數(shù)據(jù)安全審計(jì)方法與內(nèi)容的探索

石永

[摘要]本文依據(jù)數(shù)據(jù)安全技術(shù)和模型，建立以數(shù)據(jù)安全生命周期審計(jì)為中心，組織管理、網(wǎng)絡(luò)安全等級保護(hù)、數(shù)據(jù)安全分級和運(yùn)行環(huán)境為支撐的數(shù)據(jù)安全審計(jì)框架。數(shù)據(jù)安全生命周期審計(jì)依據(jù)DSMM模型將生命周期分為數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀六個(gè)階段，建立覆蓋數(shù)據(jù)全生命周期的安全審計(jì)體系。

[關(guān)鍵詞] DSMM? ?生命周期? ?數(shù)據(jù)安全? ?審計(jì)方法

根據(jù)作為生產(chǎn)要素，可按貢獻(xiàn)決定報(bào)酬，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源。不斷推進(jìn)數(shù)據(jù)開發(fā)共享，加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)，提升數(shù)據(jù)資源價(jià)值，已成為數(shù)字經(jīng)濟(jì)時(shí)代的趨勢。

一、數(shù)據(jù)安全

根據(jù)國標(biāo)的定義，數(shù)據(jù)安全專指以數(shù)據(jù)為中心的安全，保護(hù)數(shù)據(jù)的可用性、完整性和機(jī)密性，還要避免保密數(shù)據(jù)被竊取、監(jiān)控和干擾。近些年，云計(jì)算、物聯(lián)網(wǎng)、人工智能等新技術(shù)的應(yīng)用，增加了數(shù)據(jù)安全風(fēng)險(xiǎn)的識別難度，大數(shù)據(jù)時(shí)代的數(shù)據(jù)集中和萬物互聯(lián)又增加了數(shù)據(jù)安全風(fēng)險(xiǎn)復(fù)雜度，數(shù)據(jù)與經(jīng)濟(jì)利益聯(lián)系越來越緊密，以及數(shù)據(jù)共享、挖掘和融合的需求不斷增長，提升了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

數(shù)據(jù)安全模型方面，國外有IBM提出的DCSM模型（以數(shù)據(jù)為中心的安全模型）和微軟提出的DGPC框架（隱私性、保密性、合規(guī)性）。國內(nèi)有2019年阿里巴巴參與起草的DSMM模型（數(shù)據(jù)安全能力成熟度模型），該模型基于大數(shù)據(jù)環(huán)境提出數(shù)據(jù)安全能力成熟度分級評估方法以及明確的控制措施，見圖1。

DSMM模型借鑒能力成熟度模型（CMM）的思想，由安全能力維度、能力成熟度等級維度和數(shù)據(jù)安全過程維度組成。其中，數(shù)據(jù)生存周期安全分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個(gè)階段;組織機(jī)構(gòu)在數(shù)據(jù)安全領(lǐng)域需具備組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)安全能力維度;數(shù)據(jù)安全成熟度分為非正式執(zhí)行、計(jì)劃跟蹤、充分定義、量化控制、持續(xù)優(yōu)化五個(gè)等級。

二、數(shù)據(jù)安全審計(jì)框架

（一）組織管理

數(shù)據(jù)安全管理工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)，納入單位網(wǎng)絡(luò)安全管理架構(gòu)體系，分為決策、管理和執(zhí)行三個(gè)層級。決策層主要負(fù)責(zé)研究決定數(shù)據(jù)安全和有關(guān)數(shù)據(jù)的重大事項(xiàng)，以及和數(shù)據(jù)安全相關(guān)的戰(zhàn)略規(guī)劃，統(tǒng)籌管理本單位的數(shù)據(jù)安全工作;數(shù)據(jù)安全管理者主要負(fù)責(zé)組織協(xié)調(diào)資源配置、相關(guān)數(shù)據(jù)安全制度的制定、考核辦法制定及實(shí)施考核;數(shù)據(jù)安全具體執(zhí)行人員主要負(fù)責(zé)技術(shù)支持、安全防護(hù)和事件處置。應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)安全管理機(jī)制是否建立、是否有效運(yùn)行，數(shù)據(jù)管理職責(zé)是否明確，數(shù)據(jù)安全管理是否與單位所面臨的安全風(fēng)險(xiǎn)相匹配。通過數(shù)據(jù)安全制度及安全技術(shù)措施對數(shù)據(jù)安全生命周期進(jìn)行管控，使數(shù)據(jù)安全管理過程實(shí)現(xiàn)統(tǒng)一標(biāo)記、認(rèn)證、授權(quán)。

（二）網(wǎng)絡(luò)安全等級保護(hù)

網(wǎng)絡(luò)安全指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞，非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性。信息安全技術(shù)之網(wǎng)絡(luò)安全等級保護(hù)適用于指導(dǎo)非涉密對象的安全建設(shè)和監(jiān)督管理，規(guī)定了等級保護(hù)第一級到第四級保護(hù)對象的安全通用要求和安全擴(kuò)展要求。

網(wǎng)絡(luò)安全等級保護(hù)分為技術(shù)要求和管理要求，其中技術(shù)要求分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心;管理要求分為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理。以網(wǎng)絡(luò)安全等級保護(hù)審計(jì)為例，物理環(huán)境關(guān)注機(jī)房防盜和監(jiān)控系統(tǒng)，以及多路供電線路等;網(wǎng)絡(luò)通信關(guān)注子網(wǎng)劃分合理性，邊界訪問控制策略有效性，不同網(wǎng)絡(luò)間的訪問控制策略，數(shù)據(jù)傳輸保密性、完整性，敏感數(shù)據(jù)明文傳輸?shù)取?/p>

（三）數(shù)據(jù)安全分級

數(shù)據(jù)分級是開展數(shù)據(jù)安全管理的起點(diǎn)，數(shù)據(jù)分級管理依據(jù)數(shù)據(jù)的重要程度以及數(shù)據(jù)發(fā)生丟失、泄露、被篡改、被毀損事件的影響范圍和程度。進(jìn)一步明確數(shù)據(jù)保護(hù)，有利于單位合理劃分安全防護(hù)資源，制定有針對性的安全管理措施。數(shù)據(jù)分級分類管理應(yīng)具備可執(zhí)行性、時(shí)效性、差異性和客觀性，遵循未經(jīng)過脫敏處理的數(shù)據(jù)不可降級使用等規(guī)則，判定數(shù)據(jù)分級是否合理主要考慮影響對象和影響程度兩個(gè)因素。

數(shù)據(jù)分級的安全影響評估要綜合考慮數(shù)據(jù)內(nèi)容、規(guī)模、來源和所屬業(yè)務(wù)特點(diǎn)，重點(diǎn)評估數(shù)據(jù)保密性、完整性和可用性方面的影響。數(shù)據(jù)分級之后，要在數(shù)據(jù)內(nèi)容、規(guī)模、使用、加工處理等因素發(fā)現(xiàn)變化時(shí)及時(shí)重新評估。數(shù)據(jù)分級是對數(shù)據(jù)資源的一次重新梳理，為數(shù)據(jù)安全管理打下基礎(chǔ)，所以數(shù)據(jù)安全管理審計(jì)要關(guān)注數(shù)據(jù)分級過程是否合法、合規(guī)、合理，數(shù)據(jù)分級結(jié)果是否滿足數(shù)據(jù)安全技術(shù)防范的要求，安全控制措施是否具有針對性和差異化，防護(hù)措施能否發(fā)揮數(shù)據(jù)的價(jià)值和共享性。

（四）運(yùn)行環(huán)境

數(shù)據(jù)安全審計(jì)中的運(yùn)行環(huán)境重點(diǎn)關(guān)注數(shù)據(jù)環(huán)境運(yùn)維管理的規(guī)范性、運(yùn)行維護(hù)人員訪問控制的安全性以及運(yùn)行環(huán)境設(shè)備設(shè)施變更管理、問題管理、故障管理等操作的規(guī)范性。故障管理關(guān)注重要設(shè)備設(shè)施發(fā)生故障的處理是否及時(shí)有效、記錄是否完整，是否存在長期未解決的問題。另外，還要重點(diǎn)關(guān)注運(yùn)行維護(hù)人員賬戶權(quán)限管理是否符合“最小”原則，設(shè)備、主機(jī)、系統(tǒng)和應(yīng)用的口令是否定期更換，是否存在弱口令、默認(rèn)口令和口令固化在源代碼中，是否存在多人共用賬戶和閑置賬戶。運(yùn)行環(huán)境中是否存在多余的系統(tǒng)服務(wù)、默認(rèn)共享、高危端口、高危漏洞，以及不可控網(wǎng)絡(luò)環(huán)境終端的遠(yuǎn)程連接管理。系統(tǒng)日志審計(jì)功能是否啟用，內(nèi)容是否滿足監(jiān)督管理需要，有無違規(guī)外聯(lián)管理手段和檢查，有無外來設(shè)備接入安全性檢測，有無應(yīng)急預(yù)案應(yīng)急培訓(xùn)和應(yīng)急演練等。

三、生命周期審計(jì)

DSMM模型將數(shù)據(jù)生命周期分為數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀六個(gè)階段，應(yīng)建立覆蓋數(shù)據(jù)全生命周期的安全管理體系，實(shí)施數(shù)據(jù)安全控制技術(shù)，防范和控制數(shù)據(jù)處理風(fēng)險(xiǎn)，采取有效的技術(shù)手段和組織措施保障數(shù)據(jù)安全。生命周期審計(jì)應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)安全防護(hù)機(jī)制的建立和統(tǒng)一的數(shù)據(jù)安全防護(hù)架構(gòu)標(biāo)準(zhǔn)和規(guī)范。

（一）數(shù)據(jù)采集與傳輸

數(shù)據(jù)采集過程應(yīng)保證數(shù)據(jù)的準(zhǔn)確性和完整性，涉外數(shù)據(jù)應(yīng)對其合規(guī)性、完整性和真實(shí)性進(jìn)行確認(rèn)。關(guān)注數(shù)據(jù)采集的接口是否規(guī)范、安全，有無對數(shù)據(jù)完整性進(jìn)行校驗(yàn)。數(shù)據(jù)采集應(yīng)明確數(shù)據(jù)源、采集數(shù)據(jù)的范圍和頻度，簽訂隱私條款、合約協(xié)議，開展數(shù)據(jù)安全評估等，確保數(shù)據(jù)采集合法合規(guī)，明確采集的責(zé)任與義務(wù)。

數(shù)據(jù)傳輸過程依據(jù)數(shù)據(jù)分級對傳輸信道進(jìn)行加密或?qū)＞€傳輸，以保障數(shù)據(jù)傳輸?shù)臋C(jī)密性。數(shù)據(jù)傳輸過程存在傳輸中斷、篡改、偽造等安全風(fēng)險(xiǎn)。傳輸通道建立前，應(yīng)采取技術(shù)措施對傳輸主體進(jìn)行身份鑒別和認(rèn)證。

（二）數(shù)據(jù)存儲(chǔ)與處理

數(shù)據(jù)存儲(chǔ)重點(diǎn)關(guān)注數(shù)據(jù)的完整性和可用性。數(shù)據(jù)存儲(chǔ)可能存在敏感數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)丟失等數(shù)據(jù)安全風(fēng)險(xiǎn)，所以應(yīng)明確保存期限，加強(qiáng)數(shù)據(jù)存儲(chǔ)過程安全防護(hù)，落實(shí)存儲(chǔ)數(shù)據(jù)的可用性、完整性和持久性。涉及數(shù)據(jù)遷移的，應(yīng)制訂詳細(xì)的遷移計(jì)劃，進(jìn)行數(shù)據(jù)兼容性和數(shù)據(jù)有效性驗(yàn)證，保障遷移后數(shù)據(jù)的完整性、機(jī)密性和可用性。建立數(shù)據(jù)備份和恢復(fù)策略，落實(shí)數(shù)據(jù)備份、恢復(fù)策略和操作流程，規(guī)范數(shù)據(jù)備份范圍、方式、頻率保存期限等，定期測試備份數(shù)據(jù)的有效性，防范和控制數(shù)據(jù)系統(tǒng)安全風(fēng)險(xiǎn)。數(shù)據(jù)恢復(fù)的安全控制措施還應(yīng)包括訪問控制、人員權(quán)限、監(jiān)督復(fù)核等。

數(shù)據(jù)處理重點(diǎn)關(guān)注規(guī)范性和安全性。數(shù)據(jù)處理涉及數(shù)據(jù)訪問、導(dǎo)出、展示、聚融合、公開披露等，數(shù)據(jù)處理前應(yīng)進(jìn)行數(shù)據(jù)脫敏處理，尤其是在開發(fā)環(huán)境中使用的數(shù)據(jù)，數(shù)據(jù)脫敏技術(shù)包括屏蔽、去標(biāo)識化、匿名化等。數(shù)據(jù)使用時(shí)應(yīng)對用戶身份進(jìn)行標(biāo)識和鑒別，明確數(shù)據(jù)處理權(quán)限策略，關(guān)注有無多余、臨時(shí)賬戶與共用賬戶情況，有無用戶操作日志，且日志內(nèi)容是否滿足監(jiān)管需求。數(shù)據(jù)處理應(yīng)按照數(shù)據(jù)分級差異化管理，建立審批機(jī)制，確保數(shù)據(jù)處理過程安全可控，防止數(shù)據(jù)泄露。

（三）數(shù)據(jù)交換與銷毀

數(shù)據(jù)交換安全包括傳輸時(shí)的數(shù)據(jù)安全性、數(shù)據(jù)溯源和隱私保護(hù)，數(shù)據(jù)交換應(yīng)遵循合法合規(guī)、最小夠用原則。數(shù)據(jù)交換應(yīng)制定交換流程，明確交換過程中的傳輸、保管和使用職責(zé)，同時(shí)應(yīng)履行交換審批手續(xù)，明確交換過程數(shù)據(jù)加密和脫敏策略，并確保數(shù)據(jù)交換過程可追溯。

數(shù)據(jù)銷毀要明確操作規(guī)程和操作方式，對操作效果進(jìn)行評估和核驗(yàn)。數(shù)據(jù)存儲(chǔ)介質(zhì)銷毀應(yīng)集中實(shí)施，履行清點(diǎn)、登記和審批手續(xù)，對于超出保存期限的數(shù)據(jù)應(yīng)及時(shí)刪除和銷毀，經(jīng)審批臨時(shí)使用完畢的數(shù)據(jù)，應(yīng)統(tǒng)一進(jìn)行清理。

（作者單位：中國人民銀行烏魯木齊中心支行，郵政編碼：830001，電子郵箱：517512182@qq.com）

主要參考文獻(xiàn)

魯金鈿，肖睿智，金舒原.云數(shù)據(jù)安全研究進(jìn)展[J].電子與信息學(xué)報(bào)， 2020（8）：11