引言
随着数字经济的快速发展以及传统业务的数字化转型推进,数据价值化加速推进,数据安全已成为数字经济时代最紧迫和最基础的安全问题。如何能系统、全面、有效地建设和提升数据安全防护能力,在数据经济、数据价值和数据安全之间达到平衡,是当下国家、行业以及各企业和组织都非常关注的问题。
2021年9月1日,《中华人民共和国数据安全法》(以下简称:《数据安全法》)正式施行。该法律聚焦数据安全领域的重点问题,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,并明确了相关主体的数据安全保护义务。
■ 数据处理活动应当加强风险监测
《数据安全法》第二十四条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。数据处理活动包括:数据的收集、存储、使用、加工、传输、提供、公开等;“第二十九条:“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”
■ 重要数据处理者应当定期开展数据风险评估
《数据安全法》第三十条规定:“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。”
数据安全风险监测与评估是对数据资产价值、合规性、潜在威胁、脆弱性环节、已采取的防护安全等进行监测,分析和判断数据安全事件发生的概率以及可能造成的损失,并采取有针对性的处置措施和提出数据安全风险管控措施。
本文主要针对基于数据处理活动的数据安全风险评估方法的介绍,具体包括评估准备、风险识别、风险分析以及风险评价。希望能给想做或正在做数据安全风险评估的企业和组织提供一些思路。
数据安全风险评估方法概述
■ 数据安全风险评估方法
参照信息安全风险评估方法,以数据资产为评估对象,数据处理活动中所面临的风险为评估内容,提供一套可落地可指导实践的数据安全风险评估方法。核心内容包括:评估准备、风险识别、风险分析和风险评价。
1、评估准备:当前企业与组织实施风险评估工作,更多是从国家法律法规及行业监管、业务需求评估等相关要求出发,从战略层面考量风险评估结果对企业相关的影响。数据安全风险评估准备的内容,主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。
2、风险识别:主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。
3、风险分析:通过采取适当的方法与工具,可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响度,从而得到数据安全风险值。
4、风险评价:企业在执行完数据安全风险分析后,通过风险值计算方法,会得到风险值的分布状况,对风险等级进行划分,一般会划分为:高、中、低三个等级。依据风险评价中风险值的等级,明确风险评估结果内容。
■ 数据安全风险分析原理
数据安全风险评估方法在参照信息安全风险评估方法基础上,更关注数据资产,以及在相关数据处理活动中所面临的风险情况。如下图所示:
数据安全风险分析原理图
通过对数据资产和数据处理活动中要素的梳理,结合已有合规措施,完成数据安全合法合规性分析。再通过数据资产价值、处理活动脆弱性和威胁识别等要素的识别,结合已有技术安全措施,完成技术脆弱性和威胁分析,形成数据安全事件分析报告。综合数据安全合法合规分析和数据安全事件分析报告,最终形成数据安全风险值。
■ 数据安全风险识别
数据安全风险评估中重点在的数据安全风险识别环节,主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。下面会分别对识别部分展开介绍。
1、资产价值识别:包括但不限于:数据本体、数据载体、数据流等。所以在数据资产价值识别中会依据不同的表现形式和资产类别,来区分识别。相关名词概念:
●数据本体:被记录的信息本身;
●数据载体:信息以某种记录形式的存在,如:数据库中的库表字段,或以文件形式存储的数据文件等;
●数据流:数据在处理活动中,从一个处理环节流动到另一个处理环节的流向情况。如:数据从存储服务器流动到应用服务器到客户终端;
2、数据处理活动要素识别:企业在进行与数据处理相关的业务活动时,会涉及到的要素有:业务场景、处理主体、处理方式、处理环境、处理类型和量级、处理行为、处理目的、处理结果、处理活动要素管理等。
●业务场景:一般以数据处理的业务场景来区分,主要包括:收集、存储、使用、加工、传输、提供、公开等场景;
●处理主体:数据控制者或数据处理者;
●处理方式:依据不同的数据处理活动,满足不同业务诉求的技术处理要求。内容包括:协议、API、SDK等;
●处理环境:依据数据本体的相关特征以提供符合要求的处理操作环境。如:终端环境、生产环境等;
● 对象类型和量级:一般指数据本体或载体。依据不同的数据存在形式,结合数据本身的处理特性,提供符合处理要求的量级。内容包括:对象类型:重要数据、业务数据、个人数据等;
●处理行为:依据不同的数据处理活动,执行符合该活动的数据处理操作行为。内容包括:数据收集、数据加工、数据删除等;
●处理目的:依据数据处理需求,实现数据处理目标。内容包括:用户画像分析、购物行为分析等;
●处理结果:通过数据处理活动,获取到符合企业要求的结果数据。在执行处理活动的过程中,数据相关的流通关系和状态会发生变化;
●处理活动要素管理:负责对数据处理活动中,各个要素履行保护管理责任。
3、合法合规识别:依据国家颁布的法律法规,识别企业是否满足合法合规要求。
4、威胁识别:数据威胁识别是一种对数据资产在数据处理活动中,可能发生的对保密性、完整性、可用性等造成危害的起因识别,并进一步分析其威胁动机、频率和发生的可能性。
5、脆弱性识别:主要涉及数据资产本身的脆弱性和数据处理活动中处理要素存在的脆弱性。
6、已有安全措施识别:是针对企业已采取的安全措施有效性的确认,可以分为:预防性和保护性两种。
综上所述,一套可实施落地的数据安全风险评估方法,可助力企业或组织发现数据处理活动过程中存在的风险。有效降低安全事件发生的可能性。
数据安全风险评估的应用举例
本文仅以金融行业数据安全风险评估的应用场景示例,如针对“某商业银行手机客户端App数据收集和数据使用”数据处理活动场景,进行个人信息风险评估工作,评估流程如下:
1. 核心要素分析
数据处理角色:
■数据主体:商业银行自然人客户;
■数据控制者:商业银行;
■数据处理者:商业银行内执行数据处理工作的组织或员工。
数据处理过程:
■数据处理环境:商业银行手机客户端业务服务提供过程中需要的环境,包括:App(包括:SDK、API接口等)、移动终端操作系统、网络环境等;提供商业银行手机业务服务的服务端环境。
数据处理方式:
■在商业银行客户通过手机客户端,使用手机业务服务的过程中,通过终端环境和服务端环境,收集用户的个人信息、业务信息等;
■收集到的信息通过网络环境传输至商业银行手机业务服务的服务端环境;
■客户通过商业银行手机客户端进行业务查询的过程中,客户相关数据从商业银行服务端环境,通过网络环境传输至客户手机端App内部执行展示。
数据处理操作:
■在数据收集环节,App通过让客户同意数据收集授权协议的方式,获取用户相关个人信息、业务信息等数据;
■收集到的数据通过加密网络传输回业务服务的服务器端;
■在数据使用环节,App提供服务的SDK或API接口等服务组件,向客户提供了数据查询和展示的功能。
处理范围:
■数据类型:个人信息、业务信息;
■数据量级:依据业务开展的用户数量决定;
■数据主体范围:中华人民共和国境内用户信息;成人信息或者未成年人信息。
处理目的和结果:
■处理目的的实现:商业银行业务部门,通过手机客户端App向商业银行客户提供业务服务,在业务服务的过程中,依据数据收集授权协议,收集用户个人信息、业务信息等数据,并提供相关数据查询和展示功能;
■数据流通关系变化:客户数据使用权,从客户变动到了商业银行;
■数据状态发生变化:可能存在时间状态、跨境等发生变化。
2. 数据处理活动合法合规评估
■《中华人民共和国个人信息保护法》要求,数据处理活动中,需要明示数据采集目的、采集数据类型、存储位置、获取用户授权等情况;
■商业银行客户,需要通过商业银行手机客户端所提供的确认服务,执行确认隐私协议工作,且不允许替用户默认勾选。这个过程中,涉及合规性风险里,违规采集风险;
■商业银行,需要记录客户的确认授权采集操作,保存确认记录以备查阅;采集到的客户数据需要境内存储;采集客户数据需遵循最小化原则;提供的隐私告知协议,需要包含:采集目的等相关信息。涉及合规性风险里,采集目的、最小授权、跨境存储、传输保护;
■商业银行提供的查询服务,在客户端App内展示的数据,需保证是经过客户授权的数据。这些数据需要保证是通过合法合规的渠道收集。
3. 数据处理活动安全性评估
商业银行手机客户端App数据收集和数据使用场景下的安全性风险评估:
▼处理方式安全评估
■使用权限安全风险:处理方式提权、处理范围提权、使用类型提权等;
■数据使用安全风险:服务接口被DDos攻击、数据非授权访问、数据越权访问等;
■ API数据接口安全风险:接口非授权数据访问;接口非授权数据爬取等。
▼处理操作安全评估
■操作越权安全风险:数据使用未授权、数据使用范围未授权;
■操作抵赖安全风险:数据操作行为冒充;
■操作滥用安全风险:数据被滥用、数据操作冒充他人等;
■操作泄漏安全风险:数据使用过程中恶意留存、恶意篡改数据等。
4. 解决方案
在商业银行手机客户端App数据收集和数据使用场景下,依据上面评估识别的数据安全风险情况,具体的解决方案分为合法合规解决方案和安全性解决方案。
▼ 合法合规解决方案
针对《中华人民共和国个人信息保护法》、行业相关标准规范等要求,在数据收集环节,对数据采集目的、采集类型、存储位置等信息,需要对用户明示,可通过隐私授权协议的方式获得用户的许可,且不可默认替用户勾选。针对客户数据中涉及操作和存储合法性风险,需保证中华人民共和国境内数据存储,数据采集最小化,并保存授权协议、采集记录和相关操作记录,以备后续检查机构核查。针对客户端内展示用户数据,需符合隐私协议和采集协议的要求,保证数据采集渠道的合法性。
▼安全性解决方案
针对商业银行手机客户端App数据收集和数据使用场景下的安全性风险,主要包括:处理环境、处理方式、处理操作等安全性风险。以上风险需要与已有安全防护措施相结合,需要考虑的数据安全技术手段包括:终端需要App加固、反破解反爬虫、网络传输需要加密、敏感数据需要本体加密等。
数据安全风险评估的工具
风险评估工具的使用价值,最大化的减轻了企业在数据安全风险评估中的实施工作量。从合法合规角度和技术风险角度,全方位保证了风险评估的全面覆盖。数据安全风险评估过程中分为三类工具。
1、数据处理活动识别类工具:帮助风险评估实施人员识别待评估系统内进行的重要数据处理活动,并对数据处理活动要素进行拆分梳理。此类工具侧重流程梳理,利用专家的经验进行数据处理活动识别。
2、数据处理活动合法合规判别类工具:对数据处理活动中存在的合法合规性进行识别。此类工具将协助评估人员对数据处理活动合法合规评估要点进行识别与提取,同时提供合法合规要求参考库,帮助评估人员进行判断。
3、数据处理活动安全探测类工具:探测收集数据处理活动中各活动要素的安全现状,评估数据处理活动安全性风险。此类工具主要建立在自动化探测基础上,结合专家经验全面探测数据处理活动安全情况。随着评估工作的经验累积,此种类评估工具可不断丰富、优化检测规则。
■安全漏洞扫描:此种工具内置多种漏洞探测规则,主要对操作系统、数据库系统、网络协议等进行安全脆弱性检测,帮助评估人员快速进行安全漏洞发掘探测。
■数据资产识别:此种工具可自动扫描探测待评估系统多种类型数据资产,包括结构化数据、非结构化数据及半结构化数据,自动识别敏感数据类型,检测数据保护能力,如数据加密、数据脱敏等情况。
■账号权限探测:此种工具可对操作系统、应用、数据库等账号进行权限探测及梳理,检测违规的权限开放、特权账号等。
■数据暴露检测:此种工具可自动梳理待评估系统数据接口,识别数据接口的返回内容,检测敏感数据暴露面。
■ 数据流向探测:此种工具可自动识别敏感数据流向、敏感数据访问情况,包括数据库出入库、应用系统间的数据调用、跨区域数据传输等情况。
总结
当下企业面临的数据安全风险并不一致。特别是一些行业的特殊性,不管是业务数据还是客户数据,均存在极高的商业价值。近些年屡屡发生数据安全事件问题(如大量客户数据泄露),给相关机构带来了巨大的行业影响和声誉影响。
由于数据管理工作的特殊性,不仅仅是跨部门甚至涉及跨区域部门共同协作。尤其落实数据安全管理工作,更是对责任与业务部门都提出了更高要求。大多数机构内部安全管理,均倾向于通过发现客观实际存在的风险,推动业务相关部门整改需求的方式,并提高整体的数据安全风险防控水位。这也意味着,数据安全风险评估工作需要评估方法与评估工具的融合,通过发现风险问题客观存在的角度,推动业务整改执行。
参考文献:
编号 | 名称 | 类型 |
1 | 《中华人民共和国网络安全法》 | 法律 |
2 | 《中华人民共和国数据安全法》 | 法律 |
3 | 《中华人民共和国个人信息保护法》 | 法律 |
4 | 《关键信息基础设施安全保护条例》 | 行政法规 |
5 | 《网络数据安全管理条例(征求意见稿)》 | 部门规章 |
6 | GB/T 20984-2007《信息安全技术 信息安全风险评估规范》 | 国家标准 |
7 | GB/T 35273-2020《信息安全技术 个人信息安全规范》 | 国家标准 |
8 | GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》 | 国家标准 |
9 | GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》 | 国家标准 |
10 | GB/T 37973-2019《信息安全技术 大数据安全管理指南》 | 国家标准 |
11 | JR/T 0197-2020《金融数据安全 数据安全分级指南》 | 行业标准 |
12 | JR/T 0171-2020《个人金融信息保护技术规范》 | 行业标准 |
13 | 《电信网和互联网数据安全风险评估实施方法》 | 行业标准 |
14 | 《网络安全态势感知技术标准化白皮书》 | 其他 |
15 | 《数据安全治理白皮书》 | 其他 |
16 | 《银行业数据安全体系建设指南》 | 其他 |
(本文作者:全知科技(杭州)有限责任公司 于晶 田乐)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。