隨著《數(shù)據(jù)安全法》等一系列法律法規(guī)的頒布實施,我國網(wǎng)絡(luò)空間的法律法規(guī)秩序體系逐步完善,網(wǎng)絡(luò)安全工作邁入了新時代。在促進關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟發(fā)展的同時,需要進一步提升數(shù)據(jù)安全保障能力、風(fēng)險發(fā)現(xiàn)能力,確保數(shù)據(jù)安全風(fēng)險可控在控,對切實維護國家主權(quán)、國家安全和社會發(fā)展利益等方面具有重大意義。
一、數(shù)據(jù)安全的理解與風(fēng)險評估需求
(一)數(shù)據(jù)安全的理解
《數(shù)據(jù)安全法》第三條,給出了數(shù)據(jù)安全的明確定義,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。結(jié)合定義,應(yīng)該從廣義和狹義兩個角度理解數(shù)據(jù)安全概念內(nèi)涵。
廣義地說,數(shù)據(jù)安全作為國家重要戰(zhàn)略基礎(chǔ)資源時的安全要義,主要是根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度,確定數(shù)據(jù)安全定義。狹義地說,數(shù)據(jù)安全一是指數(shù)據(jù)本身及數(shù)據(jù)處理活動的安全性,主要包括數(shù)據(jù)本身保密性、完整性和可用性,以及圍繞數(shù)據(jù)處理活動的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的安全性考慮。二是數(shù)據(jù)支撐環(huán)境以及防護措施的安全,主要包括數(shù)據(jù)載體、防護設(shè)備、加解密算法等主動防護措施。
(二)數(shù)據(jù)面臨的安全風(fēng)險
1. 數(shù)據(jù)合規(guī)安全風(fēng)險
數(shù)據(jù)安全合法合規(guī)已經(jīng)成為企業(yè)對數(shù)據(jù)進行處理的原則和底線,但大部分企業(yè)的數(shù)據(jù)安全合規(guī)體系建設(shè)還處于起步狀態(tài),對違規(guī)所帶來的風(fēng)險缺乏相應(yīng)的評估機制,可能存在潛在的數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)篡改、數(shù)據(jù)濫用等安全風(fēng)險。
2. 關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全風(fēng)險
目前,關(guān)鍵信息基礎(chǔ)設(shè)施運營者(以下簡稱“運營者”)重要數(shù)據(jù)的全生命周期保護嚴重不足,未建立起有效的防護體系機制。尤其是個人信息保護方面,未采取有效的數(shù)據(jù)防篡改和防外泄手段 , 一旦攻擊者成功獲取服務(wù)器權(quán)限后,可隨意竊取、篡改和刪除重要數(shù)據(jù),造成大面積敏感信息泄露。此外,運營者在供應(yīng)鏈開發(fā)、運維等環(huán)節(jié)數(shù)據(jù)保護方面存在缺陷,導(dǎo)致系統(tǒng)“帶病上線”的情況,形成攻擊者竊取數(shù)據(jù)的重要突破口。
3. 數(shù)據(jù)出境安全風(fēng)險
數(shù)據(jù)的跨境流動是數(shù)據(jù)價值最大化的必經(jīng)之路,數(shù)據(jù)出境是必然趨勢,其安全風(fēng)險也是其派生的產(chǎn)物。數(shù)據(jù)出境的風(fēng)險重點來源于數(shù)據(jù)出境的合規(guī)類風(fēng)險。企業(yè)在出境業(yè)務(wù)穩(wěn)定發(fā)展的前提下,要保證出境數(shù)據(jù)不存在違反國家法規(guī)標準要求的風(fēng)險,尤其是數(shù)據(jù)在出境前、傳輸過程和數(shù)據(jù)落地的過程中是否存在違法風(fēng)險,以及數(shù)據(jù)出境后接收方對數(shù)據(jù)的保護是否存在數(shù)據(jù)濫用風(fēng)險等都是需要重點關(guān)注的問題。
(三)數(shù)據(jù)安全風(fēng)險評估需求
為了了解目前國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)對數(shù)據(jù)安全風(fēng)險評估的理解以及需求,中國信息安全測評中心從數(shù)據(jù)安全面臨的風(fēng)險、重點關(guān)注數(shù)據(jù)安全方向、保護數(shù)據(jù)類型等方面,對國家水利、電力、能源等行業(yè)進行了實際調(diào)研,梳理形成以下共性需求。
1. 數(shù)據(jù)安全法出臺后的合法性評估需求
《數(shù)據(jù)安全法》的出臺使得數(shù)據(jù)不僅擁有了“價值”屬性,也具備了“法律”屬性。調(diào)研結(jié)果表明,各行業(yè)明確將數(shù)據(jù)安全的合法合規(guī)情況作為未來一段時間內(nèi)的重點工作,企業(yè)管理者開始關(guān)注面臨的數(shù)據(jù)安全風(fēng)險以及如何實現(xiàn)數(shù)據(jù)安全合規(guī)。對于企業(yè)管理者來講,目前最緊急的工作是需要全面開展數(shù)據(jù)安全風(fēng)險評估,找出是否存在違法的情況以及和法律要求之間的差距,從而為數(shù)據(jù)安全建設(shè)和治理提供依據(jù)。
2. 關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)的評估需求
關(guān)鍵信息基礎(chǔ)設(shè)施運營者對數(shù)據(jù)安全評估的需求主要有以下幾點。一是需要通過風(fēng)險評估促進運營者開展數(shù)據(jù)分類分級制度體系建設(shè)和重點保護措施的落實,做到重要數(shù)據(jù)和核心數(shù)據(jù)重點保護,明確保護對象范圍,厘清保護責(zé)任和保護主體;二是需要通過風(fēng)險評估找出可能導(dǎo)致重要數(shù)據(jù)失竊、泄露、破壞的安全隱患,降低重要數(shù)據(jù)一旦遭受攻擊后可能帶來的惡劣影響,尤其是涉及國家政治安全、經(jīng)濟安全以及民生安全的重要數(shù)據(jù)和個人信息;三是需要通過風(fēng)險評估促進數(shù)據(jù)安全防御體系的改進提升,檢驗當前的數(shù)據(jù)安全防護措施是否有效,防護體系是否可以滿足當下的網(wǎng)絡(luò)安全形勢,最終達到“以評促建”,提升整體數(shù)據(jù)安全防御體系的目的。
3. 數(shù)據(jù)出境傳輸?shù)陌踩u估需求
出境數(shù)據(jù)的主要評估需求點集中在:一是數(shù)據(jù)跨境傳輸安全評估,根據(jù)不同地區(qū)的監(jiān)管要求、數(shù)據(jù)敏感度和數(shù)據(jù)使用情況,需要為數(shù)據(jù)傳輸、訪問、監(jiān)控、跟蹤以及跨技術(shù)棧的存儲等方面建立不同的技術(shù)控制措施,同時還需要具備報告和監(jiān)測的能力,對其安全防護措施有效性進行評估;二是出境數(shù)據(jù)合規(guī)性評估,評估企業(yè)是否建立適當?shù)目刂拼胧瑏響?yīng)對跨境數(shù)據(jù)傳輸和數(shù)據(jù)本地化是否符合以上相關(guān)國內(nèi)法律的要求,從而最終為數(shù)據(jù)出境業(yè)務(wù)保駕護航。
二、數(shù)據(jù)安全風(fēng)險評估整體框架
(一)數(shù)據(jù)安全風(fēng)險評估總體框架
在新時代背景下,數(shù)據(jù)安全風(fēng)險評估也應(yīng)具備時代特性。數(shù)據(jù)安全風(fēng)險評估的發(fā)展一定是以《數(shù)據(jù)安全法》為根本出發(fā)點,以網(wǎng)絡(luò)安全風(fēng)險評估的理論框架為準繩,且風(fēng)險評估的內(nèi)容和指標將圍繞數(shù)據(jù)為核心對象,以發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險為主要目的。數(shù)據(jù)安全風(fēng)險評估不應(yīng)該以某個標準作為基準來設(shè)置評估項,也無法固化出一個固定模式去開展,主要是由于數(shù)據(jù)是一類特殊的評估對象,是具備動態(tài)性的,隨著數(shù)據(jù)在不同環(huán)境下的流動,其面臨的安全風(fēng)險也是不同的。應(yīng)當圍繞被評估的特定數(shù)據(jù)對象數(shù)據(jù)資產(chǎn)、數(shù)據(jù)所面臨的威脅和脆弱性,綜合開展風(fēng)險評估找出其在特定威脅環(huán)境下所面臨的風(fēng)險。其風(fēng)險評估方法理論和模式應(yīng)該是多樣性的,適用于不同環(huán)境和目標。
本文提出的數(shù)據(jù)安全風(fēng)險評估,有其獨特的視角和思路,重點解決某一類安全需求,主要以發(fā)現(xiàn)國家關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)數(shù)據(jù)安全方面的大風(fēng)險、大隱患為主要目的,在數(shù)據(jù)識別、法律遵從、數(shù)據(jù)處理、支撐環(huán)境和特殊場景數(shù)據(jù)跨境流動安等方面開展風(fēng)險評估。其主要思路為:首先對業(yè)務(wù)進行梳理、理清數(shù)據(jù)資產(chǎn)、確認數(shù)據(jù)資產(chǎn)范圍及重要程度,這是風(fēng)險評估的基礎(chǔ),因此數(shù)據(jù)識別安全重點是進行數(shù)據(jù)資產(chǎn)的識別摸底工作。其次在梳理數(shù)據(jù)處理活動風(fēng)險時,首先考慮是否存在違法行為風(fēng)險,依據(jù)已發(fā)布的法律法規(guī)進行法律遵從性評估。在滿足合法性的基礎(chǔ)上進而開展數(shù)據(jù)處理活動的風(fēng)險評估工作,一方面,是數(shù)據(jù)自身的風(fēng)險發(fā)現(xiàn),另一方面,是承載數(shù)據(jù)所需環(huán)境的風(fēng)險發(fā)現(xiàn)。在風(fēng)險發(fā)現(xiàn)過程中,一旦涉及數(shù)據(jù)的跨境流動和數(shù)據(jù)主權(quán)風(fēng)險,將以數(shù)據(jù)跨境流動為重點關(guān)注場景,開展數(shù)據(jù)跨境流轉(zhuǎn)的風(fēng)險評估工作,評估數(shù)據(jù)跨境流動過程中的數(shù)據(jù)安全風(fēng)險。數(shù)據(jù)安全風(fēng)險評估結(jié)果可作為數(shù)據(jù)安全治理、監(jiān)督、審計和評價的重要參考依據(jù)。
圖 數(shù)據(jù)安全風(fēng)險評估總體框架
(二)數(shù)據(jù)安全風(fēng)險評估核心內(nèi)容
1. 數(shù)據(jù)識別安全評估
數(shù)據(jù)識別是數(shù)據(jù)安全評估的基礎(chǔ)。通過對數(shù)據(jù)的識別,可以確定數(shù)據(jù)在業(yè)務(wù)系統(tǒng)的內(nèi)部分布、確定數(shù)據(jù)是如何被訪問的、當前的數(shù)據(jù)訪問賬號和授權(quán)狀況。數(shù)據(jù)識別能夠有效解決運營者對數(shù)據(jù)安全狀況的摸底管理工作。基于國家、行業(yè)的法律法規(guī)及標準要求,數(shù)據(jù)識別通常包括業(yè)務(wù)流識別、數(shù)據(jù)流識別、數(shù)據(jù)安全責(zé)任識別和數(shù)據(jù)分類分級識別。
2. 數(shù)據(jù)安全法律遵從性評估
數(shù)據(jù)安全符合相關(guān)法律要求是開展一切數(shù)據(jù)處理活動的前提和基礎(chǔ),也是最受關(guān)注的安全保障能力之一。數(shù)據(jù)安全風(fēng)險評估不能完全避免數(shù)據(jù)安全風(fēng)險的發(fā)生,但可以減少違法違規(guī)行為的發(fā)生。本文中的數(shù)據(jù)安全法律遵從性評估核心在于依據(jù)國家、行業(yè)的法律法規(guī)及標準要求,重點評估運營者及其他數(shù)據(jù)處理者關(guān)于數(shù)據(jù)安全在相關(guān)法律法規(guī)中的落實情況,包括個人信息保護情況、重要數(shù)據(jù)出境安全情況、網(wǎng)絡(luò)安全審查情況、密碼技術(shù)落實情況、機構(gòu)人員的落實情況、制度建設(shè)情況、分類分級情況、數(shù)據(jù)安全保障措施落實情況,以及其他法律法規(guī)、政策文件和標準規(guī)范落實情況等。法律遵從性評估的目的不僅在于應(yīng)對風(fēng)險,更多的是在于找出差距,驅(qū)動數(shù)據(jù)安全建設(shè)合法化,完善數(shù)據(jù)安全治理體系。
3. 數(shù)據(jù)處理安全評估
數(shù)據(jù)處理安全的評估是圍繞數(shù)據(jù)處理活動的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)開展。主要針對數(shù)據(jù)處理過程中收集的規(guī)范性、存儲機制安全性、傳輸安全性、加工和提供的安全性、公開的規(guī)范性等開展評估。
4. 數(shù)據(jù)環(huán)境安全評估
數(shù)據(jù)環(huán)境安全是指數(shù)據(jù)全生命周期安全的環(huán)境支撐,可以在多個生命周期環(huán)節(jié)內(nèi)復(fù)用,主要包括主機、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、存儲介質(zhì)等環(huán)境基礎(chǔ)設(shè)施。針對數(shù)據(jù)支撐環(huán)境的安全評估主要包括通信環(huán)境安全、存儲環(huán)境安全、計算環(huán)境安全、供應(yīng)鏈安全和平臺安全等方面。
5. 重要數(shù)據(jù)出境安全評估
重要數(shù)據(jù)出境是數(shù)據(jù)安全風(fēng)險評估所重點關(guān)注的風(fēng)險場景,如果被評估對象中包括數(shù)據(jù)出境的業(yè)務(wù),需要按此部分開展專項評估,重點評估出境數(shù)據(jù)發(fā)送方的數(shù)據(jù)出境約束力、監(jiān)管情況、救濟途徑,以及出境數(shù)據(jù)接收方的主體資格和承諾履約情況等。
(三)數(shù)據(jù)安全風(fēng)險評估綜合判定
風(fēng)險分析的原理主要是通過資產(chǎn)識別、脆弱性識別及威脅識別,分別計算出威脅造成損失的嚴重程度以及該安全事件發(fā)生的可能性,然后利用損失嚴重程度與事件發(fā)生的可能性得到風(fēng)險值,最后賦予風(fēng)險等級。
分析和確定數(shù)據(jù)全風(fēng)險的方法是,考慮已知威脅利用數(shù)據(jù)資產(chǎn)已知脆弱性的可能性,以及如果發(fā)生這種利用所產(chǎn)生的后果或不利影響(即危害程度),使用威脅和脆弱性信息以及可能性和后果 /影響信息定性或定量地確定數(shù)據(jù)安全風(fēng)險。在分析中重點要圍繞“數(shù)據(jù)生命周期”或者“數(shù)據(jù)應(yīng)用場景”,最終的評估結(jié)果是某個業(yè)務(wù)或威脅場景之下利用某個資產(chǎn)的某個脆弱性造成某種破壞,該破壞的可能性有多大,破壞后影響有多大,進而綜合評價風(fēng)險有多大。
1. 可能性分析
可能性是指攻擊事件可能導(dǎo)致任務(wù)能力喪失的概率。可能性判定應(yīng)該考慮威脅假設(shè),即闡明數(shù)據(jù)資產(chǎn)以及支撐環(huán)境可能面臨的威脅類型,如網(wǎng)絡(luò)安全威脅、自然災(zāi)害或物理安全威脅;還要考慮實際基于業(yè)務(wù)場景的數(shù)據(jù)安全脆弱性信息,包括識別的系統(tǒng)、數(shù)據(jù)或支撐環(huán)境的脆弱性;可能性分析要綜合考慮利用漏洞成功利用的難度并將其與威脅信息相結(jié)合,在其實際應(yīng)用場景下確定風(fēng)險評估過程中成功攻擊的可能性。
2. 影響分析
影響分析是一個關(guān)聯(lián)分析過程,由數(shù)據(jù)所涉及的系統(tǒng)、數(shù)據(jù)的價值以及數(shù)據(jù)被破壞后對組織的影響等因素綜合考慮。影響分析很大程度上要結(jié)合脆弱性被威脅利用的可能性,以及被評估單位管理者基于業(yè)務(wù)角度對風(fēng)險的決策的判斷,最終決定對風(fēng)險是否接受、避免、減輕、分擔(dān)或轉(zhuǎn)移。
3. 風(fēng)險結(jié)論
數(shù)據(jù)安全風(fēng)險評估的結(jié)論應(yīng)涵蓋三個層級的風(fēng)險。一是根據(jù)被評估組織或行業(yè)的性質(zhì)和重要程度,可形成國家組織或者行業(yè)層面的數(shù)據(jù)安全戰(zhàn)略風(fēng)險報告。二是根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)使命和形式,形成各自企業(yè)層面的數(shù)據(jù)安全風(fēng)險報告。三是依據(jù)數(shù)據(jù)本身的特點或場景,形成面向系統(tǒng)級別、數(shù)據(jù)級別或者供應(yīng)鏈級別等重點關(guān)注方面的風(fēng)險評估報告。風(fēng)險評估的結(jié)論應(yīng)包括潛在破壞數(shù)據(jù)安全的可能性和影響,特定場景和特定數(shù)據(jù)的風(fēng)險發(fā)生的可能性以及目前現(xiàn)有的數(shù)據(jù)安全防護措施的有效性和差距性,進而為被評估單位數(shù)據(jù)安全系統(tǒng)建設(shè)、支撐環(huán)境建設(shè)以及數(shù)據(jù)安全整體規(guī)劃做決策依據(jù)。
三、數(shù)據(jù)安全風(fēng)險評估的建議
(一)數(shù)據(jù)安全風(fēng)險評估相關(guān)標準體系存在空缺,需盡快建立完善提供依據(jù)
當前,數(shù)據(jù)安全風(fēng)險評估的通用方法論、標準體系尚未建立,亟需提出數(shù)據(jù)安全風(fēng)險評估方法,制定數(shù)據(jù)安全風(fēng)險評估標準來指導(dǎo)數(shù)據(jù)安全風(fēng)險評估活動,以滿足當前數(shù)據(jù)安全保護的迫切需求。建議在充分借鑒現(xiàn)有標準基礎(chǔ)之上,聚焦國家關(guān)鍵信息基礎(chǔ)設(shè)施重要行業(yè)、重點領(lǐng)域,在數(shù)據(jù)安全風(fēng)險評估關(guān)鍵環(huán)節(jié)、關(guān)鍵業(yè)務(wù)場景、關(guān)鍵網(wǎng)絡(luò)產(chǎn)品和服務(wù)等方面進一步細化規(guī)范,提出數(shù)據(jù)安全風(fēng)險評估實施指南、提出數(shù)據(jù)安全風(fēng)險評估指標,建設(shè)和完善數(shù)據(jù)安全風(fēng)險評估體系,滿足當前數(shù)據(jù)安全風(fēng)險評估方法論和評估指標建設(shè)的迫切需求,進一步推進數(shù)據(jù)安全政策和法律法規(guī)落地實施。
(二)數(shù)據(jù)資產(chǎn)識別和分類分級存在難度,急需行業(yè)主管部門及企業(yè)自身統(tǒng)籌解決
很多企業(yè)數(shù)據(jù)資產(chǎn)類型呈多樣化,數(shù)據(jù)載體分布廣、數(shù)據(jù)源眾多,這些都給數(shù)據(jù)識別和分類分級造成困難。數(shù)據(jù)資產(chǎn)未有效識別,數(shù)據(jù)未科學(xué)分類分級使得數(shù)據(jù)安全保護對象不明確,數(shù)據(jù)安全保護要求不清晰,進而影響數(shù)據(jù)安全風(fēng)險評估的有效開展。因此,數(shù)據(jù)識別和分類分級是數(shù)據(jù)安全保護和風(fēng)險評估工作的當務(wù)之急,應(yīng)加快推動自上而下數(shù)據(jù)分類分級安全保護制度建設(shè),結(jié)合行業(yè)重要數(shù)據(jù)特點和安全保護需求,對數(shù)據(jù)進行準確識別,明確各行業(yè),尤其是關(guān)鍵信息基礎(chǔ)設(shè)施所涉及行業(yè)的核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。與此同時,推動數(shù)據(jù)分類分級安全風(fēng)險評估體系建設(shè),以在數(shù)據(jù)安全保護措施建設(shè)初期給予安全風(fēng)險防范指導(dǎo),建設(shè)完成后用于檢驗成效,使得數(shù)據(jù)安全風(fēng)險防范的思想貫穿數(shù)據(jù)安全治理的各個環(huán)節(jié)。
(三)數(shù)據(jù)安全風(fēng)險評估的健康生態(tài)尚未建立,需各方協(xié)作助力生態(tài)建設(shè)
多年來對數(shù)據(jù)重要性以及數(shù)據(jù)安全的認知盲區(qū)使得很多企業(yè)在大肆采集個人信息和重要數(shù)據(jù)之后,對數(shù)據(jù)缺少必要的管理,對其所掌握的數(shù)據(jù)資產(chǎn)數(shù)量、敏感程度以及具體分布情況不夠清晰準確,甚至是一無所知,而相應(yīng)的數(shù)據(jù)安全防護能力建設(shè)更加滯后,數(shù)據(jù)安全有效治理的大環(huán)境遠未形成,數(shù)據(jù)安全風(fēng)險評估的健康生態(tài)也尚未建立。未來需要借助《數(shù)據(jù)安全法》出臺的東風(fēng),深入推進數(shù)字基礎(chǔ)設(shè)施建設(shè),建立數(shù)據(jù)安全風(fēng)險評估業(yè)界健康生態(tài),建立健全適應(yīng)人工智能、萬物互聯(lián)、跨行業(yè)、跨境數(shù)據(jù)規(guī)范和使用等支持大數(shù)據(jù)關(guān)鍵風(fēng)險評估技術(shù)的基礎(chǔ)性研究風(fēng)險評估基礎(chǔ)方法研究和技術(shù)攻關(guān)關(guān)鍵評估技術(shù)裝備,建立適應(yīng)數(shù)據(jù)安全風(fēng)險評估發(fā)展需求的人才培養(yǎng)體系。把維護核心數(shù)據(jù)、重要數(shù)據(jù)安全、確保國家經(jīng)濟金融安全作為底線,形成數(shù)據(jù)安全風(fēng)險發(fā)現(xiàn)、風(fēng)險問題責(zé)任追究、整改效果考核評價相結(jié)合的工作機制,進一步強化數(shù)據(jù)安全風(fēng)險評估工作閉環(huán),為生態(tài)建設(shè)決策提供支撐。
