一種面向數據運營者的數據安全評估方法

樊雅茹 楊朝暉

（1.山西農業大學軟件學院 山西省太原市 030001 2.國家計算機網絡與信息安全管理中心山西分中心 山西省太原市 030002）

本文基于信息安全、數據安全等國家標準和行業標準，結合數據安全評估工作實際經驗，提出了一種數據安全評估方法。評估方法主要包括實施流程、實施辦法、實施環境等步驟。

1 實施流程

數據安全現場評估實施包括準備環境、實施現場評估、輸出評估結果、問題回顧、復評復測五個階段。

1.1 準備環境

評估方在進行評估之前需要和被評估方展開充分溝通，形成一致意見，為評估工作做好環境準備，并對評估環境進行充分有效的說明，以保證評估方有效順利開展評估工作。具體需要準備如下材料：

（1）評估環境支持，包括出入證、工位、互聯網接入、內網接入等；

（2）網絡拓撲結構與安全域劃分；

（3）用于評估的數據庫賬號，保證需要數據庫權限的評估順利開展；

（4）用于評估的安全設備賬號，保證可以登錄安全設備去驗證相關評估信息；

（5）開展評估工作需要的其他信息。

1.2 實施評估

評估方在現場評估時，應通過召開啟動會了解被評估方的評估環境，以便展開評估工作。評估方應嚴格按照評估實施流程展開，可采取會議、詢問、配以技術手段對評估環境進行檢查和核實等方式開展評估工作。被評估組織在評估過程中應積極配合評估方的工作，并及時對評估過程中出現的問題進行有效解決。

1.3 輸出評估結果

評估結束后，評估方應按照數據安全評估要求對所涉及應用場景下的各類問題進行匯總、并對問題引起的風險進行說明，根據風險等級及嚴重程度輸出分項評分結果。同時評估方與被評估方需要針對評估結果交換意見，就問題及風險情況達成一致，完成數據安全評估報告。報告內容應包括評估工作總結、評分表、主要問題、風險匯總及整改措施等內容。

1.4 問題回顧

被評估方應根據評估報告和建議，制定整改計劃，落實整改措施，在整改過程中，對整改計劃完成情況進行及時的總結，及時完善修改整改計劃。

1.5 復評復測

被評估方在規定時間內完成整改之后，向評估方提出復評申請。復評時，被評估組織應提供整改工作報告，部分整改和未完成整改的項目應逐項說明原因。評估方也應對現場評估發現的問題逐一進行查評，結束后提交數據安全復查評估報告。

2 實施辦法

2.1 數據梳理和分類

2.1.1 評估目的

評估數據資產梳理和分類的覆蓋度、準確率和召回率。

2.1.2 評估方法

（1）采用遍歷掃描、人工核查等方式，發現并生成資產清單。

（2）根據資產清單對數據進行自動分類、人工分類和核查，建立數據分類結果清單。

（3）讀取被評估組織提供的資產分類清單。

（4）比對上述兩個清單，計算資產梳理和分類的覆蓋率、準確率、召回率。

2.2 存儲加密

2.2.1 評估目的

評估敏感數據在存儲時是否采用適當的加密措施。

2.2.2 評估方法

（1）根據數據分類結果確定需要采取存儲加密措施的數據資產清單，確定對應的加密策略。加密策略包括：加密粒度、加密算法、加密強度、解密權限控制策略等。

（2）對需要加密的數據，根據加密策略，分析是否加密、加密算法是否合規、加密強度是否合規、解密權限控制策略設置是否生效。

2.3 傳輸加密

2.3.1 評估目的

評估敏感數據在傳輸時是否采用適當的加密措施。

2.3.2 評估方法

（1）根據數據分類結果確定采取傳輸加密措施的傳輸通道清單，確定對應的加密策略。加密策略包括：加密方法、加密算法、加密強度、認證策略等。

（2）對需要加密傳輸的數據，根據加密策略，分析是否加密、加密算法是否合規、加密強度是否合規、認證策略設置是否生效。技術手段包括：網絡嗅探；導入通信密鑰，進行通信內容解密；模擬傳輸等。

2.4 權限管理

2.4.1 評估目的

評估敏感信息的訪問權限管理是否合規。

2.4.2 評估方法

（1）根據數據資產分類結果，梳理數據訪問場景，確定各類數據的權限管理策略，獲得權限策略清單。

（2）獲取被評估系統現有的權限管理策略，與權限策略清單對比，分析策略是否正確被應用。

2.5 數據脫敏

2.5.1 評估目的

評估敏感信息在各種場景中是否被正確脫敏。

2.5.2 評估方法

（1）根據數據資產分類結果，梳理使用場景，確定需要脫敏的數據和場景，并確定對應的脫敏策略。

（2）對需要脫敏的場景，根據脫敏策略，采取技術手段分析是否脫敏、脫敏算法是否合規、脫敏數據的抗分析性是否合規。

（3）根據上述分析結果，評估脫敏措施是否符合相關政策、法律、法規和標準。

2.6 日志審計

2.6.1 評估目的

評估對敏感信息的訪問是否被正確審計，對數據的危險訪問行為是否被正確識別并告警。

2.6.2 評估方法

（1）根據數據資產分類結果，梳理數據訪問場景，確定各類數據需要的審計策略，獲得審計策略清單。審計策略至少包括：操作時間、操作主體、操作類型、操作對象、操作結果等信息。

（2）通過技術手段獲取被評估系統現有的審計能力，與審計策略清單對比，分析策略是否正確被應用。

2.7 脆弱性管理

2.7.1 評估目的

評估軟件系統脆弱性的發現和加固情況是否合規。

2.7.2 評估方法

（1）通過調研、網絡掃描等方式生成待評估系統清單。重點關注數據存管系統、直接訪問數據的系統、與數據存管系統存在網絡通道的系統。

（2）通過端口掃描、漏洞測試、檢查系統配置等方法，發現并驗證脆弱性。

（3）與被評估方現有漏洞管理系統相比對，將發現的脆弱性標記為：未掌握、已掌握、已加固。

（4）根據分析結果，評估脆弱性管理現狀。

2.8 接口安全

2.8.1 評估目的

評估數據訪問接口的安全措施是否可靠。

2.8.2 評估方法

（1）檢查接口開發規范、交互協議等方式，評估接口是否符合要求，并獲取接口清單；

（2）采取以下方法，分析各個接口的安全性：

模擬接口調用，評估接口的身份鑒別、訪問控制、授權策略、審計等安全措施是否生效，評估接口是否過濾或限制不安全參數。

檢查接口調用日志、配置參數等，評估對接口訪問的審計能力。

檢查配置參數、分析網絡流量等，評估跨安全域的接口調用是否采用了安全通道、加密傳輸等安全措施。

模擬新增接口，評估是否具備新增接口的安全審批機制

掃描接口，發現是否有未納入管理的接口。

（3）根據分析結果，評估接口安全管理現狀。

2.9 數據防泄漏

2.9.1 評估目的評估基于審計日志發現數據泄漏的綜合分析能力；評估防止敏感數據通過網絡、存儲介質被泄漏的能力。

2.9.2 評估方法

（1）采用模擬發送、復制數據等方式，評估是否會阻止非法數據泄漏行為；

（2）讀取歷史日志數據，分別進行個人行為、應用行為、數據流動等畫像，進而分析潛在數據泄漏行為；

（3）對比現有數據泄漏檢測結果，評估數據泄漏檢測能力。

3 實施環境

在進行評估之前，被評估方需要準備評估所需的環境，以保障評估實施過程順利。

3.1 數據梳理和分類

一是提供存儲重要數據和個人信息的數據庫或相關信息系統的賬號、口令等訪問條件。二是提供歷史數據分類結果，用于比對分析。

3.2 存儲加密

一是提供敏感數據清單和相應的加密策略。二是分別提供不具有/具有解密權限的存儲重要數據和個人信息的數據庫或相關信息系統的賬號、口令，用于讀取密文和明文。

3.3 傳輸加密

一是提供現有加密傳輸規范清單，用于人工核對、流量嗅探。二是提供傳輸通道解密密鑰，用于解密傳輸通道，獲取傳輸內容。三提供傳輸通道的嗅探環境。四是提供模擬的數據傳輸環境。

3.4 權限管理

一是提供賬號與權限分配清單。二是提供模擬數據訪問賬號、口令，用于模擬數據訪問行為。三是提供管理員權限，以讀取賬號權限設置。四是提供賬號及權限開通操作流程，審批操作流程，用于評估審批流程機制。五是提供賬號及密碼策略清單，用于評估賬號、密碼管理及保護機制。

3.5 數據脫敏

一是提供現有脫敏場景和策略。二是提供脫敏后數據訪問條件。三是提供脫敏前數據訪問條件，以便于進行脫敏強度分析。

3.6 日志審計

一是提供網絡流量嗅探條件。二是提供現有日志、報表的讀取條件。三是提供或協助生成現有審計策略清單。

3.7 脆弱性管理

一是提供系統清單，包括IP地址、端口號、操作系統、中間件版本等信息，用于設定評估實施范圍。二是提供系統的管理員權限，用于讀取各種配置參數。三是提供現有脆弱性管理結果的訪問條件。

3.8 接口安全

一是提供接口開發規范和協議的相關說明文件，詳細說明參數和調用方案，用于評估是否滿足要求，并進行相關模擬驗證。二是提供接口對應的賬號、密碼，用于相關的模擬訪問及調用。三是提供接口開通操作流程，審批操作流程，用于評估是否具備接口安全審批機制。四是提供接口掃描條件。

3.9 數據防泄漏

一是提供開啟或使用數據防泄漏保護的系統清單。二是提供郵件、FTP等網絡途徑的賬號、口令，用于模擬通過網絡發送數據。三是提供主機的賬號、口令，用于模擬通過主機外發數據。四是提供歷史數據訪問日志的讀寫條件。

4 結語

本文在梳理信息安全、數據安全相關標準的基礎上，結合數據安全評估實施經驗，提出了一種面向數據運營者的數據安全評估方法，對開展相關數據安全評估實踐工作具有一定參考價值。