面向政務數據的安全風險評估方法研究
面向政務數據的安全風險評估方法研究
政務數據是政府部門滿足經濟社會治理需求,履行職能過程中產生或使用的重要資源,蘊藏著難以估量的經濟發展、社會運行以及國家戰略價值。數據要素的高效配置,是推動數字經濟發展的關鍵一環,隨著大數據應用的日益廣泛,政務數據開放已成為政府機構合作的重要內容,政務數據資源共享和開放可以極大地促進大數據產業發展。
由于政務數據的敏感性,如果政務數據被惡意分析利用,可能威脅到國家安全,如黑客對政府網站的攻擊、金融數據被不法分子竊取以及個人敏感信息大規模泄露等。另一方面,近年來各行業數據泄露事件頻發,給企業帶來了巨大的經濟損失,嚴重影響了公眾的正常生活,同時將數據安全推向了“重災區”,數據安全問題已成為社會、企業和用戶最為關注的熱點。數據安全是數據應用的基礎,政府開放數據的安全更是直接影響國家安全和社會穩定。
國內外研究現狀
政務數據作為政府部門組織和執行各項事務或者活動中產生的數據,包含了廣泛的數據內容,小到公民的個人信息,大到國家的重大決策和機密數據。因此,政務數據的安全至關重要。進入21世紀,“互聯網+政務服務”等理念得到廣泛推廣,云計算、大數據等技術迅速發展并得到廣泛應用。然而,大數據等技術在為政府部門提供科學決策、為民眾提供便利的同時,也成為攻擊者獲取政務數據中敏感信息的便捷工具,使得政務數據面臨更大、更難以預料的安全風險。
政務數據的安全風險分析評估對于有效地防范政務數據中存在的安全問題是必不可少的。自1985年美國國防部頒布可信計算機系統評估準則,國外關于信息系統的安全風險評估的研究已經有30余年。包括美國、加拿大和法國等在內的許多發達國家都在安全風險評估方面相繼頒布了相應的標準,包括信息技術安全評估準則、可信計算機產品評價準則。我國關于安全風險評估的研究起步較晚,但是近十年來,隨著我國信息技術的快速發展,一系列標準,如《信息安全技術 信息安全風險評估規范》《信息安全技術 信息安全風險評估實施指南》等也相繼頒布。除了遵循已有的標準規范之外,采用合適的評估方法對于政務數據的安全風險分析也是非常重要的。
面向政務數據的安全風險分析
隨著物聯網、大數據、云計算和人工智能等技術的飛速發展與推廣應用,政務信息化不斷推進,當前的政務數據正面臨如下的安全風險。
1.政務數據集中管理風險
當下政務云已成為個地方數字政府建設的關鍵基礎設施,集中化的政務云平臺和大規模數據的管控、調度模式面臨著許多新的安全挑戰和風險,存在“一點突破,全線泄漏的數據安全風險”。
2.政務數據共享和分發安全
政務數據開放、共享涉及監管機構、其他政務部門和第三方,數據共享的頻度非常高,數據利用、共享場景非常復雜,也導致數據安全手段落實難度大。
3.政務系統、數據開發利用存在供應鏈安全隱患
隨著開源工具在政務領域的廣泛使用,政務系統平臺開發和運維,政務數據挖掘利用的外包形態、人員和技術組件等存在很高的安全隱患。
4.政務數據敏感度非常高,易被攻擊
政務數據大多和國計民生、國家經濟發展等緊密關聯,數據量巨大、附加價值非常高,在經濟和政治雙重因素疊加的情況下,政務數據面臨的安全威脅劇增。
5.政務數據的跨境風險
政務數據公開過度、政務數據對外合作審查不嚴,極易導致政務數據的泄露,從而被境外組織甚至有政府背景的間諜機構獲取,從而危害國家安全。
6.政務數據協同安全風險
隨著基于政務數據開發的辦公和業務應用 App,安裝運行在智能移動設備上,面臨著敏感信息泄露、應用仿冒、用戶身份冒用、個人隱私侵犯、移動終端丟失或被盜等主要安全風險。PC 端、移動端的辦公和業務信息泄露,是行業機構普遍關注的重要風險移動端敏感信息泄露。
由于政務數據涉及數據廣泛,價值巨大,往往其數據敏感級別比個人消費應用數據敏感級別更高,是國外情報機關、黑產鏈等關注的重點,政務數據通信過程中,會面臨通信竊聽導致敏感信息泄露的風險和非法篡改通信內容危害通信完整性的風險,一旦發生信息竊取或篡改,往往造成更加嚴重的不良影響。政務應用數據資產會面臨與傳統互聯網應用相似的數據安全風險,包括越權、數據丟失和操作抵賴等,從而導致政務數據泄露。
政務數據安全風險評估方法設計
數據安全風險評估模型如圖所示,風險識別過程中得到的基本要素及其屬性作為輸入,通過風險計算過程得到風險值,同時描述如何評價風險計算結果,在完成了數據資產識別、數據應用場景識別、數據威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當的方法與工具確定數據威脅利用脆弱性導致安全事件發生的可能性,以及安全事件發生對組織的影響,獲知安全風險。
1.資產識別
為了對政務數據資產的價值進行準確的評估,本文以政務數據的重要程度屬性為根據,并從政務數據的作用范圍和敏感程度兩個維度計算數據資產的重要程度。政務數據的作用范圍表示使用數據產生的利益輻射范圍。根據數據的作用范圍,將政務數據分為3個類別。
(1)較小:數據的作用在業務發展戰略中的定位相對較低,作用范圍只覆蓋到業務、組織內部或數據資產本身,對組織和社會的經濟和聲譽等影響較小。
(2)一般:數據的作用在業務發展戰略中的定位中等,作用范圍能夠覆蓋業務、組織或企業等較大范圍,對組織或企業的經濟及信譽影響較大。
(3)很大:在業務發展戰略中的定位非常高,數據作用范圍上升到社會層面,直接影響到國家的政治、經濟和文化等方面。
政務數據的敏感程度表示數據泄露后造成的危害程度,根據數據的敏感程度將數據分為3個類別,分別為敏感數據(Sensitive Data)、內部數據(Internal Data)和公開數據(Public Data),如表 1所示。
表 1 政務數據敏感程度等級劃分
(1)公開數據。公開數據的使用對象為所有社會公眾,可主動公開在面向社會公務服務的政務系統中,如公開的通知公告、已發布的標準規范等。
(2)內部數據。內部數據的使用對象為組織內的所有人員,僅可在組織內部被讀取和使用,如職工電話表、內部通知公告等。
(3)敏感數據。敏感數據的使用對象為組織內的部分人員,僅可在內部可控范圍被讀取和使用,如一些未公開的研究數據等。
結合針對數據資產的作用范圍和敏感程度,可以得到表2所示的政務數據重要程度矩陣,其中,政務數據的重要程度共分為5個等級。
表 2 政務數據重要程度矩陣
2.數據應用場景識別
確定待評估的數據對象后,針對每一類待評估的數據對象,識別其涉及的各類應用場景。數據應用場景涉及業務流程或使用流程、相關數據活動以及流程各環節參與主體。在不同的數據應用場景中,數據威脅、脆弱性以及已有的安全措施可能存在差異,因此需要分別結合數據風險值進行綜合評價。
3.威脅識別
威脅是一種對資產構成潛在破壞的可能性因素,是客觀存在的。數據威脅要素屬性包括數據威脅動機、能力及頻率。分析出具體數據威脅后,需要進一步根據威脅可能的來源分析其攻擊動機、攻擊能力,并根據調查分析威脅產生的概率。數據威脅發生可能性的賦值由數據威脅動機賦值、能力賦值及頻率賦值共同確定。
4.脆弱性識別
脆弱性是數據應用場景自身存在的,如沒有被數據威脅利用,脆弱性本身不對數據資產造成損害,如數據應用場景中涉及的信息系統、存儲系統、業務系統足夠健壯,數據威脅難以導致安全事件的發生。一般通過盡可能消減數據應用場景的脆弱性,來阻止或消減數據威脅造成的影響,所以脆弱性識別是數據安全風險分析中最重要的一個環節。
脆弱性要素屬性包括脆弱性可利用性、脆弱性影響嚴重程度。通過分析數據應用場景中脆弱點可能被利用的訪問路徑、訪問復雜性、鑒別次數判斷脆弱性可利用性,應用場景中已部署了安全措施,可視情況調整可利用性等級。通過分析脆弱性對數據機密性、完整性、可用性和可控性影響,判斷對數據影響的嚴重程度。
脆弱性可從技術和管理兩個方面進行審視,技術脆弱性涉及IT環境的物理層、網絡層、系統層和應用層各個層面的安全問題隱患。管理脆弱性又可分為技術管理脆弱和組織管理脆弱性兩方面,前者與具體技術活動相關,后者與管理環境相關。
5.已有安全措施識別
安全措施可以分為預防性安全措施和保護性安全措施兩種。有效的安全措施與脆弱性識別存在一定的聯系。一般安全措施的使用將減少系統技術或管理上的脆弱性,已有安全措施在脆弱性分析過程中,分別影響脆弱性可利用性與脆弱性影響嚴重程度的賦值。
6.風險計算
數據安全風險分析的主要過程:
(1)根據數據威脅脆弱性利用關系,結合數據威脅的可能性、脆弱性和可利用性計算安全事件發生的可能。
(2)根據數據重要程度及脆弱性影響嚴重程度,計算安全事件一旦發生后對數據、 業務及組織造的影響。
(3)部分安全事件的發生造成的損失不僅僅針對該數據資產本身,還可能影響業務連續性、組織聲譽,造成經濟損失等;不同安全事件的發生對業務與組織造成的影響也是不一樣的。在計算某個安全事件的影響時,應將對組織的影響也考慮在內。計算出安全事件發生的可能性及安全事件的影響程度。
(4)綜合數據資產在各應用場景中的風險,確定數據資產在不同應用場景下的風險值,最后根據不同場景對于風險的影響因子,綜合計算數據資產風險,根據綜合風險值計算結果,最終對政務數據的安全風險進行評估。
結語
本文提出了一種面向政務云的數據安全風險評估方法,首先對政務數據面臨的安全風險進行詳細的分析,提供了針對政務數據的資產識別、應用場景識別、威脅識別、脆弱性識別以及安全措施識別等要素信息的識別方法,并通過量化各要素信息,最終實現針對政務數據的安全風險評估。
來源:《網絡安全和信息化》雜志
作者:中國軟件評測中心 李安倫 劉龍庚 馬士民
