數據面臨的安全風險分析 - 網安 - 專業的網絡安全產業、社區、知識平臺

隨著《數據安全法》等一系列法律法規的頒布實施，我國網絡空間的法律法規秩序體系逐步完善，網絡安全工作邁入了新時代。在促進關鍵信息基礎設施和數字經濟發展的同時，需要進一步提升數據安全保障能力、風險發現能力，確保數據安全風險可控在控，對切實維護國家主權、國家安全和社會發展利益等方面具有重大意義。

一、數據安全的理解與風險評估需求

（一）數據安全的理解

《數據安全法》第三條，給出了數據安全的明確定義，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。結合定義，應該從廣義和狹義兩個角度理解數據安全概念內涵。

廣義地說，數據安全作為國家重要戰略基礎資源時的安全要義，主要是根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，確定數據安全定義。狹義地說，數據安全一是指數據本身及數據處理活動的安全性，主要包括數據本身保密性、完整性和可用性，以及圍繞數據處理活動的收集、存儲、使用、加工、傳輸、提供、公開等環節的安全性考慮。二是數據支撐環境以及防護措施的安全，主要包括數據載體、防護設備、加解密算法等主動防護措施。

（二）數據面臨的安全風險

1. 數據合規安全風險

數據安全合法合規已經成為企業對數據進行處理的原則和底線，但大部分企業的數據安全合規體系建設還處于起步狀態，對違規所帶來的風險缺乏相應的評估機制，可能存在潛在的數據泄露、數據丟失、數據篡改、數據濫用等安全風險。

2. 關鍵信息基礎設施數據安全風險

目前，關鍵信息基礎設施運營者（以下簡稱“運營者”）重要數據的全生命周期保護嚴重不足，未建立起有效的防護體系機制。尤其是個人信息保護方面，未采取有效的數據防篡改和防外泄手段 , 一旦攻擊者成功獲取服務器權限后，可隨意竊取、篡改和刪除重要數據，造成大面積敏感信息泄露。此外，運營者在供應鏈開發、運維等環節數據保護方面存在缺陷，導致系統“帶病上線”的情況，形成攻擊者竊取數據的重要突破口。

3. 數據出境安全風險

數據的跨境流動是數據價值最大化的必經之路，數據出境是必然趨勢，其安全風險也是其派生的產物。數據出境的風險重點來源于數據出境的合規類風險。企業在出境業務穩定發展的前提下，要保證出境數據不存在違反國家法規標準要求的風險，尤其是數據在出境前、傳輸過程和數據落地的過程中是否存在違法風險，以及數據出境后接收方對數據的保護是否存在數據濫用風險等都是需要重點關注的問題。

（三）數據安全風險評估需求

為了了解目前國內關鍵信息基礎設施行業對數據安全風險評估的理解以及需求，中國信息安全測評中心從數據安全面臨的風險、重點關注數據安全方向、保護數據類型等方面，對國家水利、電力、能源等行業進行了實際調研，梳理形成以下共性需求。

1. 數據安全法出臺后的合法性評估需求

《數據安全法》的出臺使得數據不僅擁有了“價值”屬性，也具備了“法律”屬性。調研結果表明，各行業明確將數據安全的合法合規情況作為未來一段時間內的重點工作，企業管理者開始關注面臨的數據安全風險以及如何實現數據安全合規。對于企業管理者來講，目前最緊急的工作是需要全面開展數據安全風險評估，找出是否存在違法的情況以及和法律要求之間的差距，從而為數據安全建設和治理提供依據。

2. 關鍵信息基礎設施數據的評估需求

關鍵信息基礎設施運營者對數據安全評估的需求主要有以下幾點。一是需要通過風險評估促進運營者開展數據分類分級制度體系建設和重點保護措施的落實，做到重要數據和核心數據重點保護，明確保護對象范圍，厘清保護責任和保護主體；二是需要通過風險評估找出可能導致重要數據失竊、泄露、破壞的安全隱患，降低重要數據一旦遭受攻擊后可能帶來的惡劣影響，尤其是涉及國家政治安全、經濟安全以及民生安全的重要數據和個人信息；三是需要通過風險評估促進數據安全防御體系的改進提升，檢驗當前的數據安全防護措施是否有效，防護體系是否可以滿足當下的網絡安全形勢，最終達到“以評促建”，提升整體數據安全防御體系的目的。

3. 數據出境傳輸的安全評估需求

出境數據的主要評估需求點集中在：一是數據跨境傳輸安全評估，根據不同地區的監管要求、數據敏感度和數據使用情況，需要為數據傳輸、訪問、監控、跟蹤以及跨技術棧的存儲等方面建立不同的技術控制措施，同時還需要具備報告和監測的能力，對其安全防護措施有效性進行評估；二是出境數據合規性評估，評估企業是否建立適當的控制措施，來應對跨境數據傳輸和數據本地化是否符合以上相關國內法律的要求，從而最終為數據出境業務保駕護航。

二、數據安全風險評估整體框架

（一）數據安全風險評估總體框架

在新時代背景下，數據安全風險評估也應具備時代特性。數據安全風險評估的發展一定是以《數據安全法》為根本出發點，以網絡安全風險評估的理論框架為準繩，且風險評估的內容和指標將圍繞數據為核心對象，以發現數據安全風險為主要目的。數據安全風險評估不應該以某個標準作為基準來設置評估項，也無法固化出一個固定模式去開展，主要是由于數據是一類特殊的評估對象，是具備動態性的，隨著數據在不同環境下的流動，其面臨的安全風險也是不同的。應當圍繞被評估的特定數據對象數據資產、數據所面臨的威脅和脆弱性，綜合開展風險評估找出其在特定威脅環境下所面臨的風險。其風險評估方法理論和模式應該是多樣性的，適用于不同環境和目標。

本文提出的數據安全風險評估，有其獨特的視角和思路，重點解決某一類安全需求，主要以發現國家關鍵信息基礎設施行業數據安全方面的大風險、大隱患為主要目的，在數據識別、法律遵從、數據處理、支撐環境和特殊場景數據跨境流動安等方面開展風險評估。其主要思路為：首先對業務進行梳理、理清數據資產、確認數據資產范圍及重要程度，這是風險評估的基礎，因此數據識別安全重點是進行數據資產的識別摸底工作。其次在梳理數據處理活動風險時，首先考慮是否存在違法行為風險，依據已發布的法律法規進行法律遵從性評估。在滿足合法性的基礎上進而開展數據處理活動的風險評估工作，一方面，是數據自身的風險發現，另一方面，是承載數據所需環境的風險發現。在風險發現過程中，一旦涉及數據的跨境流動和數據主權風險，將以數據跨境流動為重點關注場景，開展數據跨境流轉的風險評估工作，評估數據跨境流動過程中的數據安全風險。數據安全風險評估結果可作為數據安全治理、監督、審計和評價的重要參考依據。

圖數據安全風險評估總體框架

（二）數據安全風險評估核心內容

1. 數據識別安全評估

數據識別是數據安全評估的基礎。通過對數據的識別，可以確定數據在業務系統的內部分布、確定數據是如何被訪問的、當前的數據訪問賬號和授權狀況。數據識別能夠有效解決運營者對數據安全狀況的摸底管理工作。基于國家、行業的法律法規及標準要求，數據識別通常包括業務流識別、數據流識別、數據安全責任識別和數據分類分級識別。

2. 數據安全法律遵從性評估

數據安全符合相關法律要求是開展一切數據處理活動的前提和基礎，也是最受關注的安全保障能力之一。數據安全風險評估不能完全避免數據安全風險的發生，但可以減少違法違規行為的發生。本文中的數據安全法律遵從性評估核心在于依據國家、行業的法律法規及標準要求，重點評估運營者及其他數據處理者關于數據安全在相關法律法規中的落實情況，包括個人信息保護情況、重要數據出境安全情況、網絡安全審查情況、密碼技術落實情況、機構人員的落實情況、制度建設情況、分類分級情況、數據安全保障措施落實情況，以及其他法律法規、政策文件和標準規范落實情況等。法律遵從性評估的目的不僅在于應對風險，更多的是在于找出差距，驅動數據安全建設合法化，完善數據安全治理體系。

3. 數據處理安全評估

數據處理安全的評估是圍繞數據處理活動的收集、存儲、使用、加工、傳輸、提供、公開等環節開展。主要針對數據處理過程中收集的規范性、存儲機制安全性、傳輸安全性、加工和提供的安全性、公開的規范性等開展評估。

4. 數據環境安全評估

數據環境安全是指數據全生命周期安全的環境支撐，可以在多個生命周期環節內復用，主要包括主機、網絡、操作系統、數據庫、存儲介質等環境基礎設施。針對數據支撐環境的安全評估主要包括通信環境安全、存儲環境安全、計算環境安全、供應鏈安全和平臺安全等方面。

5. 重要數據出境安全評估

重要數據出境是數據安全風險評估所重點關注的風險場景，如果被評估對象中包括數據出境的業務，需要按此部分開展專項評估，重點評估出境數據發送方的數據出境約束力、監管情況、救濟途徑，以及出境數據接收方的主體資格和承諾履約情況等。

（三）數據安全風險評估綜合判定

風險分析的原理主要是通過資產識別、脆弱性識別及威脅識別，分別計算出威脅造成損失的嚴重程度以及該安全事件發生的可能性，然后利用損失嚴重程度與事件發生的可能性得到風險值，最后賦予風險等級。

分析和確定數據全風險的方法是，考慮已知威脅利用數據資產已知脆弱性的可能性，以及如果發生這種利用所產生的后果或不利影響（即危害程度），使用威脅和脆弱性信息以及可能性和后果 /影響信息定性或定量地確定數據安全風險。在分析中重點要圍繞“數據生命周期”或者“數據應用場景”，最終的評估結果是某個業務或威脅場景之下利用某個資產的某個脆弱性造成某種破壞，該破壞的可能性有多大，破壞后影響有多大，進而綜合評價風險有多大。

1. 可能性分析

可能性是指攻擊事件可能導致任務能力喪失的概率。可能性判定應該考慮威脅假設，即闡明數據資產以及支撐環境可能面臨的威脅類型，如網絡安全威脅、自然災害或物理安全威脅；還要考慮實際基于業務場景的數據安全脆弱性信息，包括識別的系統、數據或支撐環境的脆弱性；可能性分析要綜合考慮利用漏洞成功利用的難度并將其與威脅信息相結合，在其實際應用場景下確定風險評估過程中成功攻擊的可能性。

2. 影響分析

影響分析是一個關聯分析過程，由數據所涉及的系統、數據的價值以及數據被破壞后對組織的影響等因素綜合考慮。影響分析很大程度上要結合脆弱性被威脅利用的可能性，以及被評估單位管理者基于業務角度對風險的決策的判斷，最終決定對風險是否接受、避免、減輕、分擔或轉移。

3. 風險結論

數據安全風險評估的結論應涵蓋三個層級的風險。一是根據被評估組織或行業的性質和重要程度，可形成國家組織或者行業層面的數據安全戰略風險報告。二是根據關鍵信息基礎設施業務使命和形式，形成各自企業層面的數據安全風險報告。三是依據數據本身的特點或場景，形成面向系統級別、數據級別或者供應鏈級別等重點關注方面的風險評估報告。風險評估的結論應包括潛在破壞數據安全的可能性和影響，特定場景和特定數據的風險發生的可能性以及目前現有的數據安全防護措施的有效性和差距性，進而為被評估單位數據安全系統建設、支撐環境建設以及數據安全整體規劃做決策依據。

三、數據安全風險評估的建議

（一）數據安全風險評估相關標準體系存在空缺，需盡快建立完善提供依據

當前，數據安全風險評估的通用方法論、標準體系尚未建立，亟需提出數據安全風險評估方法，制定數據安全風險評估標準來指導數據安全風險評估活動，以滿足當前數據安全保護的迫切需求。建議在充分借鑒現有標準基礎之上，聚焦國家關鍵信息基礎設施重要行業、重點領域，在數據安全風險評估關鍵環節、關鍵業務場景、關鍵網絡產品和服務等方面進一步細化規范，提出數據安全風險評估實施指南、提出數據安全風險評估指標，建設和完善數據安全風險評估體系，滿足當前數據安全風險評估方法論和評估指標建設的迫切需求，進一步推進數據安全政策和法律法規落地實施。

（二）數據資產識別和分類分級存在難度，急需行業主管部門及企業自身統籌解決

很多企業數據資產類型呈多樣化，數據載體分布廣、數據源眾多，這些都給數據識別和分類分級造成困難。數據資產未有效識別，數據未科學分類分級使得數據安全保護對象不明確，數據安全保護要求不清晰，進而影響數據安全風險評估的有效開展。因此，數據識別和分類分級是數據安全保護和風險評估工作的當務之急，應加快推動自上而下數據分類分級安全保護制度建設，結合行業重要數據特點和安全保護需求，對數據進行準確識別，明確各行業，尤其是關鍵信息基礎設施所涉及行業的核心數據、重要數據、一般數據。與此同時，推動數據分類分級安全風險評估體系建設，以在數據安全保護措施建設初期給予安全風險防范指導，建設完成后用于檢驗成效，使得數據安全風險防范的思想貫穿數據安全治理的各個環節。

（三）數據安全風險評估的健康生態尚未建立，需各方協作助力生態建設

多年來對數據重要性以及數據安全的認知盲區使得很多企業在大肆采集個人信息和重要數據之后，對數據缺少必要的管理，對其所掌握的數據資產數量、敏感程度以及具體分布情況不夠清晰準確，甚至是一無所知，而相應的數據安全防護能力建設更加滯后，數據安全有效治理的大環境遠未形成，數據安全風險評估的健康生態也尚未建立。未來需要借助《數據安全法》出臺的東風，深入推進數字基礎設施建設，建立數據安全風險評估業界健康生態，建立健全適應人工智能、萬物互聯、跨行業、跨境數據規范和使用等支持大數據關鍵風險評估技術的基礎性研究風險評估基礎方法研究和技術攻關關鍵評估技術裝備，建立適應數據安全風險評估發展需求的人才培養體系。把維護核心數據、重要數據安全、確保國家經濟金融安全作為底線，形成數據安全風險發現、風險問題責任追究、整改效果考核評價相結合的工作機制，進一步強化數據安全風險評估工作閉環，為生態建設決策提供支撐。