以評估為抓手提升數據安全水平

魏光輝

近年來，我國數字經濟發展如火如荼。數字經濟已經成為我國經濟高質量發展的重要增量，工信領域是數字經濟發展的先導區和主陣地，也是我國做大做強數字經濟的主力軍。在工信領域層面，主要包括三方面的數據，分別是工業、電信和無線電數據。在工業數據方面，隨著第四次工業革命浪潮驅動以人工智能為代表的技術發展，數據量急劇增加，數據作為基礎性戰略資源的地位日益凸顯。

作為數字經濟深入發展的核心引擎，數據要素面臨的威脅與日俱增，包括數據篡改、破壞、泄露，以及非法獲取和非法利用，關系國家安全、公共利益和組織的合法權益。當前，數據安全事件頻發，工信數據成為重點攻擊目標，比如2022年3月，匿名者黑客團伙聲稱已成功入侵了俄羅斯能源巨頭Rosneft?Deutschland?GmbH，并從中竊取了20TB的數據；2022年3月，日本豐田汽車的零部件供應商遭受勒索病毒攻擊，導致豐田14家工廠28條生產線停工一天；希臘最大的電信網絡公司Cosmote發生重大數據泄露事件，大量用戶的個人信息遭泄露。工信領域數據安全已成為事關國家安全和社會發展的重大問題。

目前來看，工信領域數據安全的典型風險主要有幾個方面。第一是數據暴露面風險。在當前的數字產業化和產業數字化的背景下，智能化、網聯化和數字化的進程不斷推進，一定會帶來更多的新場景、新業態，極大增加了工信領域數據資產的暴露面，可能會面臨更多的危險。

第二是勒索病毒攻擊風險。從目前公布出來的事件來看，每年勒索病毒事件的數量和勒索給企業帶來的損失逐年有較大比例提升，勒索病毒攻擊已經成為一個產業鏈，對于工信領域帶來的風險非常嚴峻。

第三是關鍵數據載體安全風險。主要是兩個層面，一是數據中心、云平臺、骨干網絡、移動平臺等這些關鍵載體面臨復雜的權限控制、接口安全、違規操作等安全風險。二是國外高端工業裝備存在漏洞、后門等潛在風險，尤其是工業領域，一些高端裝備嚴重依賴國外的產品，在日常運維和故障診斷過程中，他們可能能夠接觸到很多的日志或者生產參數等信息，這些都能給企業帶來很大的風險。

第四是供應鏈安全風險。開發、集成、運維、運營、第三方服務等供應商、服務商在開展服務過程中能接觸到很多數據處理者的真實數據，數據管控挑戰較大，在大型頭部企業和政府機關中風險比較突出。

第五是個人信息保護風險。可能存在違法收集、過度收集、非法提供、非法使用加工等個人信息保護風險。

以評估為抓手提升數據安全水平

2021年《中華人民共和國數據安全法》正式施行。在工信領域，工業和信息化部在去年出臺了工信領域數據安全管理辦法，今年1月1日正式施行，全面銜接并細化了數據安全法里面的制度。其中的數據安全風險評估制度，打通了涵蓋重要數據識別、目錄備案、安全防護、預警及處置、風險評估等工作的全環節監管流程，明確了具體的啟動條件、開展頻次、具體流程等。

開展風險評估，對于企業、行業和國家都有不同的促進意義。對企業來講，可以發現隱藏的威脅和脆弱性，及時識別安全風險，幫助企業制定針對性的安全策略和數據安全目標，以及數據安全體系制度的建設與完善，確保數據資產的有效利用和數據風險的安全可控。對于行業，是行業主管部門落實監管職能的重要抓手，可以保障行業的發展戰略、關鍵技術等重要數據不受到非法侵害，能夠促進數據流動，推動數字化轉型升級。在國家層面，通過“以評促建、以評促改、以評促管”壓實數據安全保護主體責任，切實履行數據安全保護義務，助力維護國家安全，保障社會秩序和公眾利益，有效推動數字經濟安全健康發展。

說到數據安全風險評估，首先介紹下風險管理模型。在安全管理工作中，沒有絕對的安全，所有的安全都是符合企業自身發展情況下的相對安全。在這個理論前提下，企業開展安全管理的本質就是發現風險、控制風險和監測風險，確保風險可以控制在企業能夠接受的“相對安全”范圍內。安全風險受到內外部威脅、數據資產的價值、安全弱點和安全措施四個方面影響，內外部威脅對安全弱點加以利用，就形成了安全風險，數據資產的價值越高，所帶來的風險也就越大。而安全管理的作用，就是針對風險采取安全措施，防范內外部威脅，把風險降低到我們可以接受的程度。

數據安全風險評估實踐

工信領域數據安全風險評估體系方面，目前已編制了《工業領域數據安全風險評估規范》《電信領域數據安全風險評估規范》，明確了數據安全風險評估原則、流程和內容等，同時形成了規范化的評估報告模板，為機構開展評估或者企業自評估工作提供實施指引。

評估流程方面，包括組建評估團隊、確定評估范圍、制定評估方案、實施風險評估、形成評估報告等環節。

評估內容方面，主要包括合規性評估和安全風險分析兩部分內容。合規性評估由合法正當性評估、基礎安全性評估、數據全生命周期管理評估三部分組成，重點分析數據處理的種類、數量、目的、方式、范圍以及保障能力等是否符合法律、行政法規要求。安全風險分析由風險源識別、安全影響分析、綜合風險研判三部分組成，通過綜合分析數據處理活動面臨的威脅、所采取的保障措施情況以及發生數據泄露、損毀、丟失等安全事件后產生的影響范圍、程度等因素，綜合研判數據處理活動安全風險等級。

在具體實踐方面，以某企業為例，該單位具有核心數據一項，為核心技術源代碼數據；重要數據三項，為網聯數據、線索數據和客戶數據；并從一般數據中抽選了三項，為采購數據、財務數據和運營數據。評估團隊對這七項數據開展了評估，發現其中三個數據項的風險級別為中，四個數據項風險級別為低，企業總體數據安全風險評估等級為“良”。

也借這個機會介紹下電子五所在數據安全方面的研究與積累。一是有力支撐了各級數據安全主管（監管）部門的制度供給、標準研制、監督檢查及產業研究等工作。二是建立了涵蓋咨詢規劃、檢測評估、培訓宣貫、安全審計、安全運營等要素的數據安全綜合服務能力，為行業企業持續提供優質服務。