一種面向數(shù)據(jù)運(yùn)營(yíng)者的數(shù)據(jù)安全評(píng)估方法

樊雅茹 楊朝暉

（1.山西農(nóng)業(yè)大學(xué)軟件學(xué)院 山西省太原市 030001 2.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心山西分中心 山西省太原市 030002）

本文基于信息安全、數(shù)據(jù)安全等國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，結(jié)合數(shù)據(jù)安全評(píng)估工作實(shí)際經(jīng)驗(yàn)，提出了一種數(shù)據(jù)安全評(píng)估方法。評(píng)估方法主要包括實(shí)施流程、實(shí)施辦法、實(shí)施環(huán)境等步驟。

1 實(shí)施流程

數(shù)據(jù)安全現(xiàn)場(chǎng)評(píng)估實(shí)施包括準(zhǔn)備環(huán)境、實(shí)施現(xiàn)場(chǎng)評(píng)估、輸出評(píng)估結(jié)果、問(wèn)題回顧、復(fù)評(píng)復(fù)測(cè)五個(gè)階段。

1.1 準(zhǔn)備環(huán)境

評(píng)估方在進(jìn)行評(píng)估之前需要和被評(píng)估方展開(kāi)充分溝通，形成一致意見(jiàn)，為評(píng)估工作做好環(huán)境準(zhǔn)備，并對(duì)評(píng)估環(huán)境進(jìn)行充分有效的說(shuō)明，以保證評(píng)估方有效順利開(kāi)展評(píng)估工作。具體需要準(zhǔn)備如下材料：

（1）評(píng)估環(huán)境支持，包括出入證、工位、互聯(lián)網(wǎng)接入、內(nèi)網(wǎng)接入等；

（2）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與安全域劃分；

（3）用于評(píng)估的數(shù)據(jù)庫(kù)賬號(hào)，保證需要數(shù)據(jù)庫(kù)權(quán)限的評(píng)估順利開(kāi)展；

（4）用于評(píng)估的安全設(shè)備賬號(hào)，保證可以登錄安全設(shè)備去驗(yàn)證相關(guān)評(píng)估信息；

（5）開(kāi)展評(píng)估工作需要的其他信息。

1.2 實(shí)施評(píng)估

評(píng)估方在現(xiàn)場(chǎng)評(píng)估時(shí)，應(yīng)通過(guò)召開(kāi)啟動(dòng)會(huì)了解被評(píng)估方的評(píng)估環(huán)境，以便展開(kāi)評(píng)估工作。評(píng)估方應(yīng)嚴(yán)格按照評(píng)估實(shí)施流程展開(kāi)，可采取會(huì)議、詢問(wèn)、配以技術(shù)手段對(duì)評(píng)估環(huán)境進(jìn)行檢查和核實(shí)等方式開(kāi)展評(píng)估工作。被評(píng)估組織在評(píng)估過(guò)程中應(yīng)積極配合評(píng)估方的工作，并及時(shí)對(duì)評(píng)估過(guò)程中出現(xiàn)的問(wèn)題進(jìn)行有效解決。

1.3 輸出評(píng)估結(jié)果

評(píng)估結(jié)束后，評(píng)估方應(yīng)按照數(shù)據(jù)安全評(píng)估要求對(duì)所涉及應(yīng)用場(chǎng)景下的各類問(wèn)題進(jìn)行匯總、并對(duì)問(wèn)題引起的風(fēng)險(xiǎn)進(jìn)行說(shuō)明，根據(jù)風(fēng)險(xiǎn)等級(jí)及嚴(yán)重程度輸出分項(xiàng)評(píng)分結(jié)果。同時(shí)評(píng)估方與被評(píng)估方需要針對(duì)評(píng)估結(jié)果交換意見(jiàn)，就問(wèn)題及風(fēng)險(xiǎn)情況達(dá)成一致，完成數(shù)據(jù)安全評(píng)估報(bào)告。報(bào)告內(nèi)容應(yīng)包括評(píng)估工作總結(jié)、評(píng)分表、主要問(wèn)題、風(fēng)險(xiǎn)匯總及整改措施等內(nèi)容。

1.4 問(wèn)題回顧

被評(píng)估方應(yīng)根據(jù)評(píng)估報(bào)告和建議，制定整改計(jì)劃，落實(shí)整改措施，在整改過(guò)程中，對(duì)整改計(jì)劃完成情況進(jìn)行及時(shí)的總結(jié)，及時(shí)完善修改整改計(jì)劃。

1.5 復(fù)評(píng)復(fù)測(cè)

被評(píng)估方在規(guī)定時(shí)間內(nèi)完成整改之后，向評(píng)估方提出復(fù)評(píng)申請(qǐng)。復(fù)評(píng)時(shí)，被評(píng)估組織應(yīng)提供整改工作報(bào)告，部分整改和未完成整改的項(xiàng)目應(yīng)逐項(xiàng)說(shuō)明原因。評(píng)估方也應(yīng)對(duì)現(xiàn)場(chǎng)評(píng)估發(fā)現(xiàn)的問(wèn)題逐一進(jìn)行查評(píng)，結(jié)束后提交數(shù)據(jù)安全復(fù)查評(píng)估報(bào)告。

2 實(shí)施辦法

2.1 數(shù)據(jù)梳理和分類

2.1.1 評(píng)估目的

評(píng)估數(shù)據(jù)資產(chǎn)梳理和分類的覆蓋度、準(zhǔn)確率和召回率。

2.1.2 評(píng)估方法

（1）采用遍歷掃描、人工核查等方式，發(fā)現(xiàn)并生成資產(chǎn)清單。

（2）根據(jù)資產(chǎn)清單對(duì)數(shù)據(jù)進(jìn)行自動(dòng)分類、人工分類和核查，建立數(shù)據(jù)分類結(jié)果清單。

（3）讀取被評(píng)估組織提供的資產(chǎn)分類清單。

（4）比對(duì)上述兩個(gè)清單，計(jì)算資產(chǎn)梳理和分類的覆蓋率、準(zhǔn)確率、召回率。

2.2 存儲(chǔ)加密

2.2.1 評(píng)估目的

評(píng)估敏感數(shù)據(jù)在存儲(chǔ)時(shí)是否采用適當(dāng)?shù)募用艽胧?/p>

2.2.2 評(píng)估方法

（1）根據(jù)數(shù)據(jù)分類結(jié)果確定需要采取存儲(chǔ)加密措施的數(shù)據(jù)資產(chǎn)清單，確定對(duì)應(yīng)的加密策略。加密策略包括：加密粒度、加密算法、加密強(qiáng)度、解密權(quán)限控制策略等。

（2）對(duì)需要加密的數(shù)據(jù)，根據(jù)加密策略，分析是否加密、加密算法是否合規(guī)、加密強(qiáng)度是否合規(guī)、解密權(quán)限控制策略設(shè)置是否生效。

2.3 傳輸加密

2.3.1 評(píng)估目的

評(píng)估敏感數(shù)據(jù)在傳輸時(shí)是否采用適當(dāng)?shù)募用艽胧?/p>

2.3.2 評(píng)估方法

（1）根據(jù)數(shù)據(jù)分類結(jié)果確定采取傳輸加密措施的傳輸通道清單，確定對(duì)應(yīng)的加密策略。加密策略包括：加密方法、加密算法、加密強(qiáng)度、認(rèn)證策略等。

（2）對(duì)需要加密傳輸?shù)臄?shù)據(jù)，根據(jù)加密策略，分析是否加密、加密算法是否合規(guī)、加密強(qiáng)度是否合規(guī)、認(rèn)證策略設(shè)置是否生效。技術(shù)手段包括：網(wǎng)絡(luò)嗅探；導(dǎo)入通信密鑰，進(jìn)行通信內(nèi)容解密；模擬傳輸?shù)取?/p>

2.4 權(quán)限管理

2.4.1 評(píng)估目的

評(píng)估敏感信息的訪問(wèn)權(quán)限管理是否合規(guī)。

2.4.2 評(píng)估方法

（1）根據(jù)數(shù)據(jù)資產(chǎn)分類結(jié)果，梳理數(shù)據(jù)訪問(wèn)場(chǎng)景，確定各類數(shù)據(jù)的權(quán)限管理策略，獲得權(quán)限策略清單。

（2）獲取被評(píng)估系統(tǒng)現(xiàn)有的權(quán)限管理策略，與權(quán)限策略清單對(duì)比，分析策略是否正確被應(yīng)用。

2.5 數(shù)據(jù)脫敏

2.5.1 評(píng)估目的

評(píng)估敏感信息在各種場(chǎng)景中是否被正確脫敏。

2.5.2 評(píng)估方法

（1）根據(jù)數(shù)據(jù)資產(chǎn)分類結(jié)果，梳理使用場(chǎng)景，確定需要脫敏的數(shù)據(jù)和場(chǎng)景，并確定對(duì)應(yīng)的脫敏策略。

（2）對(duì)需要脫敏的場(chǎng)景，根據(jù)脫敏策略，采取技術(shù)手段分析是否脫敏、脫敏算法是否合規(guī)、脫敏數(shù)據(jù)的抗分析性是否合規(guī)。

（3）根據(jù)上述分析結(jié)果，評(píng)估脫敏措施是否符合相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)。

2.6 日志審計(jì)

2.6.1 評(píng)估目的

評(píng)估對(duì)敏感信息的訪問(wèn)是否被正確審計(jì)，對(duì)數(shù)據(jù)的危險(xiǎn)訪問(wèn)行為是否被正確識(shí)別并告警。

2.6.2 評(píng)估方法

（1）根據(jù)數(shù)據(jù)資產(chǎn)分類結(jié)果，梳理數(shù)據(jù)訪問(wèn)場(chǎng)景，確定各類數(shù)據(jù)需要的審計(jì)策略，獲得審計(jì)策略清單。審計(jì)策略至少包括：操作時(shí)間、操作主體、操作類型、操作對(duì)象、操作結(jié)果等信息。

（2）通過(guò)技術(shù)手段獲取被評(píng)估系統(tǒng)現(xiàn)有的審計(jì)能力，與審計(jì)策略清單對(duì)比，分析策略是否正確被應(yīng)用。

2.7 脆弱性管理

2.7.1 評(píng)估目的

評(píng)估軟件系統(tǒng)脆弱性的發(fā)現(xiàn)和加固情況是否合規(guī)。

2.7.2 評(píng)估方法

（1）通過(guò)調(diào)研、網(wǎng)絡(luò)掃描等方式生成待評(píng)估系統(tǒng)清單。重點(diǎn)關(guān)注數(shù)據(jù)存管系統(tǒng)、直接訪問(wèn)數(shù)據(jù)的系統(tǒng)、與數(shù)據(jù)存管系統(tǒng)存在網(wǎng)絡(luò)通道的系統(tǒng)。

（2）通過(guò)端口掃描、漏洞測(cè)試、檢查系統(tǒng)配置等方法，發(fā)現(xiàn)并驗(yàn)證脆弱性。

（3）與被評(píng)估方現(xiàn)有漏洞管理系統(tǒng)相比對(duì)，將發(fā)現(xiàn)的脆弱性標(biāo)記為：未掌握、已掌握、已加固。

（4）根據(jù)分析結(jié)果，評(píng)估脆弱性管理現(xiàn)狀。

2.8 接口安全

2.8.1 評(píng)估目的

評(píng)估數(shù)據(jù)訪問(wèn)接口的安全措施是否可靠。

2.8.2 評(píng)估方法

（1）檢查接口開(kāi)發(fā)規(guī)范、交互協(xié)議等方式，評(píng)估接口是否符合要求，并獲取接口清單；

（2）采取以下方法，分析各個(gè)接口的安全性：

模擬接口調(diào)用，評(píng)估接口的身份鑒別、訪問(wèn)控制、授權(quán)策略、審計(jì)等安全措施是否生效，評(píng)估接口是否過(guò)濾或限制不安全參數(shù)。

檢查接口調(diào)用日志、配置參數(shù)等，評(píng)估對(duì)接口訪問(wèn)的審計(jì)能力。

檢查配置參數(shù)、分析網(wǎng)絡(luò)流量等，評(píng)估跨安全域的接口調(diào)用是否采用了安全通道、加密傳輸?shù)劝踩胧?/p>

模擬新增接口，評(píng)估是否具備新增接口的安全審批機(jī)制

掃描接口，發(fā)現(xiàn)是否有未納入管理的接口。

（3）根據(jù)分析結(jié)果，評(píng)估接口安全管理現(xiàn)狀。

2.9 數(shù)據(jù)防泄漏

2.9.1 評(píng)估目的評(píng)估基于審計(jì)日志發(fā)現(xiàn)數(shù)據(jù)泄漏的綜合分析能力；評(píng)估防止敏感數(shù)據(jù)通過(guò)網(wǎng)絡(luò)、存儲(chǔ)介質(zhì)被泄漏的能力。

2.9.2 評(píng)估方法

（1）采用模擬發(fā)送、復(fù)制數(shù)據(jù)等方式，評(píng)估是否會(huì)阻止非法數(shù)據(jù)泄漏行為；

（2）讀取歷史日志數(shù)據(jù)，分別進(jìn)行個(gè)人行為、應(yīng)用行為、數(shù)據(jù)流動(dòng)等畫(huà)像，進(jìn)而分析潛在數(shù)據(jù)泄漏行為；

（3）對(duì)比現(xiàn)有數(shù)據(jù)泄漏檢測(cè)結(jié)果，評(píng)估數(shù)據(jù)泄漏檢測(cè)能力。

3 實(shí)施環(huán)境

在進(jìn)行評(píng)估之前，被評(píng)估方需要準(zhǔn)備評(píng)估所需的環(huán)境，以保障評(píng)估實(shí)施過(guò)程順利。

3.1 數(shù)據(jù)梳理和分類

一是提供存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息的數(shù)據(jù)庫(kù)或相關(guān)信息系統(tǒng)的賬號(hào)、口令等訪問(wèn)條件。二是提供歷史數(shù)據(jù)分類結(jié)果，用于比對(duì)分析。

3.2 存儲(chǔ)加密

一是提供敏感數(shù)據(jù)清單和相應(yīng)的加密策略。二是分別提供不具有/具有解密權(quán)限的存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息的數(shù)據(jù)庫(kù)或相關(guān)信息系統(tǒng)的賬號(hào)、口令，用于讀取密文和明文。

3.3 傳輸加密

一是提供現(xiàn)有加密傳輸規(guī)范清單，用于人工核對(duì)、流量嗅探。二是提供傳輸通道解密密鑰，用于解密傳輸通道，獲取傳輸內(nèi)容。三提供傳輸通道的嗅探環(huán)境。四是提供模擬的數(shù)據(jù)傳輸環(huán)境。

3.4 權(quán)限管理

一是提供賬號(hào)與權(quán)限分配清單。二是提供模擬數(shù)據(jù)訪問(wèn)賬號(hào)、口令，用于模擬數(shù)據(jù)訪問(wèn)行為。三是提供管理員權(quán)限，以讀取賬號(hào)權(quán)限設(shè)置。四是提供賬號(hào)及權(quán)限開(kāi)通操作流程，審批操作流程，用于評(píng)估審批流程機(jī)制。五是提供賬號(hào)及密碼策略清單，用于評(píng)估賬號(hào)、密碼管理及保護(hù)機(jī)制。

3.5 數(shù)據(jù)脫敏

一是提供現(xiàn)有脫敏場(chǎng)景和策略。二是提供脫敏后數(shù)據(jù)訪問(wèn)條件。三是提供脫敏前數(shù)據(jù)訪問(wèn)條件，以便于進(jìn)行脫敏強(qiáng)度分析。

3.6 日志審計(jì)

一是提供網(wǎng)絡(luò)流量嗅探條件。二是提供現(xiàn)有日志、報(bào)表的讀取條件。三是提供或協(xié)助生成現(xiàn)有審計(jì)策略清單。

3.7 脆弱性管理

一是提供系統(tǒng)清單，包括IP地址、端口號(hào)、操作系統(tǒng)、中間件版本等信息，用于設(shè)定評(píng)估實(shí)施范圍。二是提供系統(tǒng)的管理員權(quán)限，用于讀取各種配置參數(shù)。三是提供現(xiàn)有脆弱性管理結(jié)果的訪問(wèn)條件。

3.8 接口安全

一是提供接口開(kāi)發(fā)規(guī)范和協(xié)議的相關(guān)說(shuō)明文件，詳細(xì)說(shuō)明參數(shù)和調(diào)用方案，用于評(píng)估是否滿足要求，并進(jìn)行相關(guān)模擬驗(yàn)證。二是提供接口對(duì)應(yīng)的賬號(hào)、密碼，用于相關(guān)的模擬訪問(wèn)及調(diào)用。三是提供接口開(kāi)通操作流程，審批操作流程，用于評(píng)估是否具備接口安全審批機(jī)制。四是提供接口掃描條件。

3.9 數(shù)據(jù)防泄漏

一是提供開(kāi)啟或使用數(shù)據(jù)防泄漏保護(hù)的系統(tǒng)清單。二是提供郵件、FTP等網(wǎng)絡(luò)途徑的賬號(hào)、口令，用于模擬通過(guò)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。三是提供主機(jī)的賬號(hào)、口令，用于模擬通過(guò)主機(jī)外發(fā)數(shù)據(jù)。四是提供歷史數(shù)據(jù)訪問(wèn)日志的讀寫(xiě)條件。

4 結(jié)語(yǔ)

本文在梳理信息安全、數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合數(shù)據(jù)安全評(píng)估實(shí)施經(jīng)驗(yàn)，提出了一種面向數(shù)據(jù)運(yùn)營(yíng)者的數(shù)據(jù)安全評(píng)估方法，對(duì)開(kāi)展相關(guān)數(shù)據(jù)安全評(píng)估實(shí)踐工作具有一定參考價(jià)值。