以評估為抓手提升數(shù)據(jù)安全水平

魏光輝

近年來，我國數(shù)字經(jīng)濟(jì)發(fā)展如火如荼。數(shù)字經(jīng)濟(jì)已經(jīng)成為我國經(jīng)濟(jì)高質(zhì)量發(fā)展的重要增量，工信領(lǐng)域是數(shù)字經(jīng)濟(jì)發(fā)展的先導(dǎo)區(qū)和主陣地，也是我國做大做強(qiáng)數(shù)字經(jīng)濟(jì)的主力軍。在工信領(lǐng)域?qū)用妫饕ㄈ矫娴臄?shù)據(jù)，分別是工業(yè)、電信和無線電數(shù)據(jù)。在工業(yè)數(shù)據(jù)方面，隨著第四次工業(yè)革命浪潮驅(qū)動以人工智能為代表的技術(shù)發(fā)展，數(shù)據(jù)量急劇增加，數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源的地位日益凸顯。

作為數(shù)字經(jīng)濟(jì)深入發(fā)展的核心引擎，數(shù)據(jù)要素面臨的威脅與日俱增，包括數(shù)據(jù)篡改、破壞、泄露，以及非法獲取和非法利用，關(guān)系國家安全、公共利益和組織的合法權(quán)益。當(dāng)前，數(shù)據(jù)安全事件頻發(fā)，工信數(shù)據(jù)成為重點(diǎn)攻擊目標(biāo)，比如2022年3月，匿名者黑客團(tuán)伙聲稱已成功入侵了俄羅斯能源巨頭Rosneft?Deutschland?GmbH，并從中竊取了20TB的數(shù)據(jù)；2022年3月，日本豐田汽車的零部件供應(yīng)商遭受勒索病毒攻擊，導(dǎo)致豐田14家工廠28條生產(chǎn)線停工一天；希臘最大的電信網(wǎng)絡(luò)公司Cosmote發(fā)生重大數(shù)據(jù)泄露事件，大量用戶的個人信息遭泄露。工信領(lǐng)域數(shù)據(jù)安全已成為事關(guān)國家安全和社會發(fā)展的重大問題。

目前來看，工信領(lǐng)域數(shù)據(jù)安全的典型風(fēng)險(xiǎn)主要有幾個方面。第一是數(shù)據(jù)暴露面風(fēng)險(xiǎn)。在當(dāng)前的數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的背景下，智能化、網(wǎng)聯(lián)化和數(shù)字化的進(jìn)程不斷推進(jìn)，一定會帶來更多的新場景、新業(yè)態(tài)，極大增加了工信領(lǐng)域數(shù)據(jù)資產(chǎn)的暴露面，可能會面臨更多的危險(xiǎn)。

第二是勒索病毒攻擊風(fēng)險(xiǎn)。從目前公布出來的事件來看，每年勒索病毒事件的數(shù)量和勒索給企業(yè)帶來的損失逐年有較大比例提升，勒索病毒攻擊已經(jīng)成為一個產(chǎn)業(yè)鏈，對于工信領(lǐng)域帶來的風(fēng)險(xiǎn)非常嚴(yán)峻。

第三是關(guān)鍵數(shù)據(jù)載體安全風(fēng)險(xiǎn)。主要是兩個層面，一是數(shù)據(jù)中心、云平臺、骨干網(wǎng)絡(luò)、移動平臺等這些關(guān)鍵載體面臨復(fù)雜的權(quán)限控制、接口安全、違規(guī)操作等安全風(fēng)險(xiǎn)。二是國外高端工業(yè)裝備存在漏洞、后門等潛在風(fēng)險(xiǎn)，尤其是工業(yè)領(lǐng)域，一些高端裝備嚴(yán)重依賴國外的產(chǎn)品，在日常運(yùn)維和故障診斷過程中，他們可能能夠接觸到很多的日志或者生產(chǎn)參數(shù)等信息，這些都能給企業(yè)帶來很大的風(fēng)險(xiǎn)。

第四是供應(yīng)鏈安全風(fēng)險(xiǎn)。開發(fā)、集成、運(yùn)維、運(yùn)營、第三方服務(wù)等供應(yīng)商、服務(wù)商在開展服務(wù)過程中能接觸到很多數(shù)據(jù)處理者的真實(shí)數(shù)據(jù)，數(shù)據(jù)管控挑戰(zhàn)較大，在大型頭部企業(yè)和政府機(jī)關(guān)中風(fēng)險(xiǎn)比較突出。

第五是個人信息保護(hù)風(fēng)險(xiǎn)。可能存在違法收集、過度收集、非法提供、非法使用加工等個人信息保護(hù)風(fēng)險(xiǎn)。

以評估為抓手提升數(shù)據(jù)安全水平

2021年《中華人民共和國數(shù)據(jù)安全法》正式施行。在工信領(lǐng)域，工業(yè)和信息化部在去年出臺了工信領(lǐng)域數(shù)據(jù)安全管理辦法，今年1月1日正式施行，全面銜接并細(xì)化了數(shù)據(jù)安全法里面的制度。其中的數(shù)據(jù)安全風(fēng)險(xiǎn)評估制度，打通了涵蓋重要數(shù)據(jù)識別、目錄備案、安全防護(hù)、預(yù)警及處置、風(fēng)險(xiǎn)評估等工作的全環(huán)節(jié)監(jiān)管流程，明確了具體的啟動條件、開展頻次、具體流程等。

開展風(fēng)險(xiǎn)評估，對于企業(yè)、行業(yè)和國家都有不同的促進(jìn)意義。對企業(yè)來講，可以發(fā)現(xiàn)隱藏的威脅和脆弱性，及時識別安全風(fēng)險(xiǎn)，幫助企業(yè)制定針對性的安全策略和數(shù)據(jù)安全目標(biāo)，以及數(shù)據(jù)安全體系制度的建設(shè)與完善，確保數(shù)據(jù)資產(chǎn)的有效利用和數(shù)據(jù)風(fēng)險(xiǎn)的安全可控。對于行業(yè)，是行業(yè)主管部門落實(shí)監(jiān)管職能的重要抓手，可以保障行業(yè)的發(fā)展戰(zhàn)略、關(guān)鍵技術(shù)等重要數(shù)據(jù)不受到非法侵害，能夠促進(jìn)數(shù)據(jù)流動，推動數(shù)字化轉(zhuǎn)型升級。在國家層面，通過“以評促建、以評促改、以評促管”壓實(shí)數(shù)據(jù)安全保護(hù)主體責(zé)任，切實(shí)履行數(shù)據(jù)安全保護(hù)義務(wù)，助力維護(hù)國家安全，保障社會秩序和公眾利益，有效推動數(shù)字經(jīng)濟(jì)安全健康發(fā)展。

說到數(shù)據(jù)安全風(fēng)險(xiǎn)評估，首先介紹下風(fēng)險(xiǎn)管理模型。在安全管理工作中，沒有絕對的安全，所有的安全都是符合企業(yè)自身發(fā)展情況下的相對安全。在這個理論前提下，企業(yè)開展安全管理的本質(zhì)就是發(fā)現(xiàn)風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和監(jiān)測風(fēng)險(xiǎn)，確保風(fēng)險(xiǎn)可以控制在企業(yè)能夠接受的“相對安全”范圍內(nèi)。安全風(fēng)險(xiǎn)受到內(nèi)外部威脅、數(shù)據(jù)資產(chǎn)的價值、安全弱點(diǎn)和安全措施四個方面影響，內(nèi)外部威脅對安全弱點(diǎn)加以利用，就形成了安全風(fēng)險(xiǎn)，數(shù)據(jù)資產(chǎn)的價值越高，所帶來的風(fēng)險(xiǎn)也就越大。而安全管理的作用，就是針對風(fēng)險(xiǎn)采取安全措施，防范內(nèi)外部威脅，把風(fēng)險(xiǎn)降低到我們可以接受的程度。

數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)踐

工信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估體系方面，目前已編制了《工業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估規(guī)范》《電信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估規(guī)范》，明確了數(shù)據(jù)安全風(fēng)險(xiǎn)評估原則、流程和內(nèi)容等，同時形成了規(guī)范化的評估報(bào)告模板，為機(jī)構(gòu)開展評估或者企業(yè)自評估工作提供實(shí)施指引。

評估流程方面，包括組建評估團(tuán)隊(duì)、確定評估范圍、制定評估方案、實(shí)施風(fēng)險(xiǎn)評估、形成評估報(bào)告等環(huán)節(jié)。

評估內(nèi)容方面，主要包括合規(guī)性評估和安全風(fēng)險(xiǎn)分析兩部分內(nèi)容。合規(guī)性評估由合法正當(dāng)性評估、基礎(chǔ)安全性評估、數(shù)據(jù)全生命周期管理評估三部分組成，重點(diǎn)分析數(shù)據(jù)處理的種類、數(shù)量、目的、方式、范圍以及保障能力等是否符合法律、行政法規(guī)要求。安全風(fēng)險(xiǎn)分析由風(fēng)險(xiǎn)源識別、安全影響分析、綜合風(fēng)險(xiǎn)研判三部分組成，通過綜合分析數(shù)據(jù)處理活動面臨的威脅、所采取的保障措施情況以及發(fā)生數(shù)據(jù)泄露、損毀、丟失等安全事件后產(chǎn)生的影響范圍、程度等因素，綜合研判數(shù)據(jù)處理活動安全風(fēng)險(xiǎn)等級。

在具體實(shí)踐方面，以某企業(yè)為例，該單位具有核心數(shù)據(jù)一項(xiàng)，為核心技術(shù)源代碼數(shù)據(jù)；重要數(shù)據(jù)三項(xiàng)，為網(wǎng)聯(lián)數(shù)據(jù)、線索數(shù)據(jù)和客戶數(shù)據(jù)；并從一般數(shù)據(jù)中抽選了三項(xiàng)，為采購數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)和運(yùn)營數(shù)據(jù)。評估團(tuán)隊(duì)對這七項(xiàng)數(shù)據(jù)開展了評估，發(fā)現(xiàn)其中三個數(shù)據(jù)項(xiàng)的風(fēng)險(xiǎn)級別為中，四個數(shù)據(jù)項(xiàng)風(fēng)險(xiǎn)級別為低，企業(yè)總體數(shù)據(jù)安全風(fēng)險(xiǎn)評估等級為“良”。

也借這個機(jī)會介紹下電子五所在數(shù)據(jù)安全方面的研究與積累。一是有力支撐了各級數(shù)據(jù)安全主管（監(jiān)管）部門的制度供給、標(biāo)準(zhǔn)研制、監(jiān)督檢查及產(chǎn)業(yè)研究等工作。二是建立了涵蓋咨詢規(guī)劃、檢測評估、培訓(xùn)宣貫、安全審計(jì)、安全運(yùn)營等要素的數(shù)據(jù)安全綜合服務(wù)能力，為行業(yè)企業(yè)持續(xù)提供優(yōu)質(zhì)服務(wù)。