https://www.secrss.com/articles/37435
引言
隨着數字經濟的快速發展以及傳統業務的數字化轉型推進,數據價值化加速推進,數據安全已成爲數字經濟時代最緊迫和最基礎的安全問題。如何能系統、全面、有效地建設和提升數據安全防護能力,在數據經濟、數據價值和數據安全之間達到平衡,是當下國家、行業以及各企業和組織都非常關注的問題。
2021年9月1日,《中華人民共和國數據安全法》(以下簡稱:《數據安全法》)正式施行。該法律聚焦數據安全領域的重點問題,確立了數據分類分級管理,建立了數據安全風險評估、監測預警、應急處置,數據安全審查等基本制度,並明確了相關主體的數據安全保護義務。
■ 數據處理活動應當加強風險監測
《數據安全法》第二十四條規定:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。數據處理活動包括:數據的收集、存儲、使用、加工、傳輸、提供、公開等;“第二十九條:“開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即採取補救措施;發生數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。”
■ 重要數據處理者應當定期開展數據風險評估
《數據安全法》第三十條規定:“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。”
數據安全風險監測與評估是對數據資產價值、合規性、潛在威脅、脆弱性環節、已採取的防護安全等進行監測,分析和判斷數據安全事件發生的概率以及可能造成的損失,並採取有針對性的處置措施和提出數據安全風險管控措施。
本文主要針對基於數據處理活動的數據安全風險評估方法的介紹,具體包括評估準備、風險識別、風險分析以及風險評價。希望能給想做或正在做數據安全風險評估的企業和組織提供一些思路。
數據安全風險評估方法概述
■ 數據安全風險評估方法
參照信息安全風險評估方法,以數據資產爲評估對象,數據處理活動中所面臨的風險爲評估內容,提供一套可落地可指導實踐的數據安全風險評估方法。核心內容包括:評估準備、風險識別、風險分析和風險評價。
1、評估準備:當前企業與組織實施風險評估工作,更多是從國家法律法規及行業監管、業務需求評估等相關要求出發,從戰略層面考量風險評估結果對企業相關的影響。數據安全風險評估準備的內容,主要包括:評估對象、評估範圍、評估邊界、評估團隊組建、評估依據、評估準則、制定評估方案並獲得管理層支持。
2、風險識別:主要包括資產價值識別、數據處理活動要素識別、合法合規性識別、威脅識別、脆弱性識別以及已有安全措施識別。
3、風險分析:通過採取適當的方法與工具,可得出企業所面臨的合法合規性風險、數據安全事件發生的可能性以及數據安全事件發生對組織的影響度,從而得到數據安全風險值。
4、風險評價:企業在執行完數據安全風險分析後,通過風險值計算方法,會得到風險值的分佈狀況,對風險等級進行劃分,一般會劃分爲:高、中、低三個等級。依據風險評價中風險值的等級,明確風險評估結果內容。
■ 數據安全風險分析原理
數據安全風險評估方法在參照信息安全風險評估方法基礎上,更關注數據資產,以及在相關數據處理活動中所面臨的風險情況。如下圖所示:
數據安全風險分析原理圖
通過對數據資產和數據處理活動中要素的梳理,結合已有合規措施,完成數據安全合法合規性分析。再通過數據資產價值、處理活動脆弱性和威脅識別等要素的識別,結合已有技術安全措施,完成技術脆弱性和威脅分析,形成數據安全事件分析報告。綜合數據安全合法合規分析和數據安全事件分析報告,最終形成數據安全風險值。
■ 數據安全風險識別
數據安全風險評估中重點在的數據安全風險識別環節,主要包括資產價值識別、數據處理活動要素識別、合法合規性識別、威脅識別、脆弱性識別以及已有安全措施識別。下面會分別對識別部分展開介紹。
1、資產價值識別:包括但不限於:數據本體、數據載體、數據流等。所以在數據資產價值識別中會依據不同的表現形式和資產類別,來區分識別。相關名詞概念:
●數據本體:被記錄的信息本身;
●數據載體:信息以某種記錄形式的存在,如:數據庫中的庫表字段,或以文件形式存儲的數據文件等;
●數據流:數據在處理活動中,從一個處理環節流動到另一個處理環節的流向情況。如:數據從存儲服務器流動到應用服務器到客戶終端;
2、數據處理活動要素識別:企業在進行與數據處理相關的業務活動時,會涉及到的要素有:業務場景、處理主體、處理方式、處理環境、處理類型和量級、處理行爲、處理目的、處理結果、處理活動要素管理等。
●業務場景:一般以數據處理的業務場景來區分,主要包括:收集、存儲、使用、加工、傳輸、提供、公開等場景;
●處理主體:數據控制者或數據處理者;
●處理方式:依據不同的數據處理活動,滿足不同業務訴求的技術處理要求。內容包括:協議、API、SDK等;
●處理環境:依據數據本體的相關特徵以提供符合要求的處理操作環境。如:終端環境、生產環境等;
● 對象類型和量級:一般指數據本體或載體。依據不同的數據存在形式,結合數據本身的處理特性,提供符合處理要求的量級。內容包括:對象類型:重要數據、業務數據、個人數據等;
●處理行爲:依據不同的數據處理活動,執行符合該活動的數據處理操作行爲。內容包括:數據收集、數據加工、數據刪除等;
●處理目的:依據數據處理需求,實現數據處理目標。內容包括:用戶畫像分析、購物行爲分析等;
●處理結果:通過數據處理活動,獲取到符合企業要求的結果數據。在執行處理活動的過程中,數據相關的流通關係和狀態會發生變化;
●處理活動要素管理:負責對數據處理活動中,各個要素履行保護管理責任。
3、合法合規識別:依據國家頒佈的法律法規,識別企業是否滿足合法合規要求。
4、威脅識別:數據威脅識別是一種對數據資產在數據處理活動中,可能發生的對保密性、完整性、可用性等造成危害的起因識別,並進一步分析其威脅動機、頻率和發生的可能性。
5、脆弱性識別:主要涉及數據資產本身的脆弱性和數據處理活動中處理要素存在的脆弱性。
6、已有安全措施識別:是針對企業已採取的安全措施有效性的確認,可以分爲:預防性和保護性兩種。
綜上所述,一套可實施落地的數據安全風險評估方法,可助力企業或組織發現數據處理活動過程中存在的風險。有效降低安全事件發生的可能性。
數據安全風險評估的應用舉例
本文僅以金融行業數據安全風險評估的應用場景示例,如針對“某商業銀行手機客戶端App數據收集和數據使用”數據處理活動場景,進行個人信息風險評估工作,評估流程如下:
1. 核心要素分析
數據處理角色:
■數據主體:商業銀行自然人客戶;
■數據控制者:商業銀行;
■數據處理者:商業銀行內執行數據處理工作的組織或員工。
數據處理過程:
■數據處理環境:商業銀行手機客戶端業務服務提供過程中需要的環境,包括:App(包括:SDK、API接口等)、移動終端操作系統、網絡環境等;提供商業銀行手機業務服務的服務端環境。
數據處理方式:
■在商業銀行客戶通過手機客戶端,使用手機業務服務的過程中,通過終端環境和服務端環境,收集用戶的個人信息、業務信息等;
■收集到的信息通過網絡環境傳輸至商業銀行手機業務服務的服務端環境;
■客戶通過商業銀行手機客戶端進行業務查詢的過程中,客戶相關數據從商業銀行服務端環境,通過網絡環境傳輸至客戶手機端App內部執行展示。
數據處理操作:
■在數據收集環節,App通過讓客戶同意數據收集授權協議的方式,獲取用戶相關個人信息、業務信息等數據;
■收集到的數據通過加密網絡傳輸回業務服務的服務器端;
■在數據使用環節,App提供服務的SDK或API接口等服務組件,向客戶提供了數據查詢和展示的功能。
處理範圍:
■數據類型:個人信息、業務信息;
■數據量級:依據業務開展的用戶數量決定;
■數據主體範圍:中華人民共和國境內用戶信息;成人信息或者未成年人信息。
處理目的和結果:
■處理目的的實現:商業銀行業務部門,通過手機客戶端App向商業銀行客戶提供業務服務,在業務服務的過程中,依據數據收集授權協議,收集用戶個人信息、業務信息等數據,並提供相關數據查詢和展示功能;
■數據流通關係變化:客戶數據使用權,從客戶變動到了商業銀行;
■數據狀態發生變化:可能存在時間狀態、跨境等發生變化。
2. 數據處理活動合法合規評估
■《中華人民共和國個人信息保護法》要求,數據處理活動中,需要明示數據採集目的、採集數據類型、存儲位置、獲取用戶授權等情況;
■商業銀行客戶,需要通過商業銀行手機客戶端所提供的確認服務,執行確認隱私協議工作,且不允許替用戶默認勾選。這個過程中,涉及合規性風險裏,違規採集風險;
■商業銀行,需要記錄客戶的確認授權採集操作,保存確認記錄以備查閱;採集到的客戶數據需要境內存儲;採集客戶數據需遵循最小化原則;提供的隱私告知協議,需要包含:採集目的等相關信息。涉及合規性風險裏,採集目的、最小授權、跨境存儲、傳輸保護;
■商業銀行提供的查詢服務,在客戶端App內展示的數據,需保證是經過客戶授權的數據。這些數據需要保證是通過合法合規的渠道收集。
3. 數據處理活動安全性評估
商業銀行手機客戶端App數據收集和數據使用場景下的安全性風險評估:
▼處理方式安全評估
■使用權限安全風險:處理方式提權、處理範圍提權、使用類型提權等;
■數據使用安全風險:服務接口被DDos攻擊、數據非授權訪問、數據越權訪問等;
■ API數據接口安全風險:接口非授權數據訪問;接口非授權數據爬取等。
▼處理操作安全評估
■操作越權安全風險:數據使用未授權、數據使用範圍未授權;
■操作抵賴安全風險:數據操作行爲冒充;
■操作濫用安全風險:數據被濫用、數據操作冒充他人等;
■操作泄漏安全風險:數據使用過程中惡意留存、惡意篡改數據等。
4. 解決方案
在商業銀行手機客戶端App數據收集和數據使用場景下,依據上面評估識別的數據安全風險情況,具體的解決方案分爲合法合規解決方案和安全性解決方案。
▼ 合法合規解決方案
針對《中華人民共和國個人信息保護法》、行業相關標準規範等要求,在數據收集環節,對數據採集目的、採集類型、存儲位置等信息,需要對用戶明示,可通過隱私授權協議的方式獲得用戶的許可,且不可默認替用戶勾選。針對客戶數據中涉及操作和存儲合法性風險,需保證中華人民共和國境內數據存儲,數據採集最小化,並保存授權協議、採集記錄和相關操作記錄,以備後續檢查機構覈查。針對客戶端內展示用戶數據,需符合隱私協議和採集協議的要求,保證數據採集渠道的合法性。
▼安全性解決方案
針對商業銀行手機客戶端App數據收集和數據使用場景下的安全性風險,主要包括:處理環境、處理方式、處理操作等安全性風險。以上風險需要與已有安全防護措施相結合,需要考慮的數據安全技術手段包括:終端需要App加固、反破解反爬蟲、網絡傳輸需要加密、敏感數據需要本體加密等。
數據安全風險評估的工具
風險評估工具的使用價值,最大化的減輕了企業在數據安全風險評估中的實施工作量。從合法合規角度和技術風險角度,全方位保證了風險評估的全面覆蓋。數據安全風險評估過程中分爲三類工具。
1、數據處理活動識別類工具:幫助風險評估實施人員識別待評估系統內進行的重要數據處理活動,並對數據處理活動要素進行拆分梳理。此類工具側重流程梳理,利用專家的經驗進行數據處理活動識別。
2、數據處理活動合法合規判別類工具:對數據處理活動中存在的合法合規性進行識別。此類工具將協助評估人員對數據處理活動合法合規評估要點進行識別與提取,同時提供合法合規要求參考庫,幫助評估人員進行判斷。
3、數據處理活動安全探測類工具:探測收集數據處理活動中各活動要素的安全現狀,評估數據處理活動安全性風險。此類工具主要建立在自動化探測基礎上,結合專家經驗全面探測數據處理活動安全情況。隨着評估工作的經驗累積,此種類評估工具可不斷豐富、優化檢測規則。
■安全漏洞掃描:此種工具內置多種漏洞探測規則,主要對操作系統、數據庫系統、網絡協議等進行安全脆弱性檢測,幫助評估人員快速進行安全漏洞發掘探測。
■數據資產識別:此種工具可自動掃描探測待評估系統多種類型數據資產,包括結構化數據、非結構化數據及半結構化數據,自動識別敏感數據類型,檢測數據保護能力,如數據加密、數據脫敏等情況。
■賬號權限探測:此種工具可對操作系統、應用、數據庫等賬號進行權限探測及梳理,檢測違規的權限開放、特權賬號等。
■數據暴露檢測:此種工具可自動梳理待評估系統數據接口,識別數據接口的返回內容,檢測敏感數據暴露面。
■ 數據流向探測:此種工具可自動識別敏感數據流向、敏感數據訪問情況,包括數據庫出入庫、應用系統間的數據調用、跨區域數據傳輸等情況。
總結
當下企業面臨的數據安全風險並不一致。特別是一些行業的特殊性,不管是業務數據還是客戶數據,均存在極高的商業價值。近些年屢屢發生數據安全事件問題(如大量客戶數據泄露),給相關機構帶來了巨大的行業影響和聲譽影響。
由於數據管理工作的特殊性,不僅僅是跨部門甚至涉及跨區域部門共同協作。尤其落實數據安全管理工作,更是對責任與業務部門都提出了更高要求。大多數機構內部安全管理,均傾向於通過發現客觀實際存在的風險,推動業務相關部門整改需求的方式,並提高整體的數據安全風險防控水位。這也意味着,數據安全風險評估工作需要評估方法與評估工具的融合,通過發現風險問題客觀存在的角度,推動業務整改執行。
參考文獻:
|
編號 |
名稱 |
類型 |
|
1 |
《中華人民共和國網絡安全法》 |
法律 |
|
2 |
《中華人民共和國數據安全法》 |
法律 |
|
3 |
《中華人民共和國個人信息保護法》 |
法律 |
|
4 |
《關鍵信息基礎設施安全保護條例》 |
行政法規 |
|
5 |
《網絡數據安全管理條例(徵求意見稿)》 |
部門規章 |
|
6 |
GB/T 20984-2007《信息安全技術 信息安全風險評估規範》 |
國家標準 |
|
7 |
GB/T 35273-2020《信息安全技術 個人信息安全規範》 |
國家標準 |
|
8 |
GB/T 39335-2020《信息安全技術 個人信息安全影響評估指南》 |
國家標準 |
|
9 |
GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》 |
國家標準 |
|
10 |
GB/T 37973-2019《信息安全技術 大數據安全管理指南》 |
國家標準 |
|
11 |
JR/T 0197-2020《金融數據安全 數據安全分級指南》 |
行業標準 |
|
12 |
JR/T 0171-2020《個人金融信息保護技術規範》 |
行業標準 |
|
13 |
《電信網和互聯網數據安全風險評估實施方法》 |
行業標準 |
|
14 |
《網絡安全態勢感知技術標準化白皮書》 |
其他 |
|
15 |
《數據安全治理白皮書》 |
其他 |
|
16 |
《銀行業數據安全體系建設指南》 |
其他 |