以評估為抓手提升數(shù)據(jù)安全水平

魏光輝

近年來，我國數(shù)字經(jīng)濟發(fā)展如火如荼。數(shù)字經(jīng)濟已經(jīng)成為我國經(jīng)濟高質(zhì)量發(fā)展的重要增量，工信領域是數(shù)字經(jīng)濟發(fā)展的先導區(qū)和主陣地，也是我國做大做強數(shù)字經(jīng)濟的主力軍。在工信領域?qū)用妫饕ㄈ矫娴臄?shù)據(jù)，分別是工業(yè)、電信和無線電數(shù)據(jù)。在工業(yè)數(shù)據(jù)方面，隨著第四次工業(yè)革命浪潮驅(qū)動以人工智能為代表的技術發(fā)展，數(shù)據(jù)量急劇增加，數(shù)據(jù)作為基礎性戰(zhàn)略資源的地位日益凸顯。

作為數(shù)字經(jīng)濟深入發(fā)展的核心引擎，數(shù)據(jù)要素面臨的威脅與日俱增，包括數(shù)據(jù)篡改、破壞、泄露，以及非法獲取和非法利用，關系國家安全、公共利益和組織的合法權益。當前，數(shù)據(jù)安全事件頻發(fā)，工信數(shù)據(jù)成為重點攻擊目標，比如2022年3月，匿名者黑客團伙聲稱已成功入侵了俄羅斯能源巨頭Rosneft?Deutschland?GmbH，并從中竊取了20TB的數(shù)據(jù)；2022年3月，日本豐田汽車的零部件供應商遭受勒索病毒攻擊，導致豐田14家工廠28條生產(chǎn)線停工一天；希臘最大的電信網(wǎng)絡公司Cosmote發(fā)生重大數(shù)據(jù)泄露事件，大量用戶的個人信息遭泄露。工信領域數(shù)據(jù)安全已成為事關國家安全和社會發(fā)展的重大問題。

目前來看，工信領域數(shù)據(jù)安全的典型風險主要有幾個方面。第一是數(shù)據(jù)暴露面風險。在當前的數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的背景下，智能化、網(wǎng)聯(lián)化和數(shù)字化的進程不斷推進，一定會帶來更多的新場景、新業(yè)態(tài)，極大增加了工信領域數(shù)據(jù)資產(chǎn)的暴露面，可能會面臨更多的危險。

第二是勒索病毒攻擊風險。從目前公布出來的事件來看，每年勒索病毒事件的數(shù)量和勒索給企業(yè)帶來的損失逐年有較大比例提升，勒索病毒攻擊已經(jīng)成為一個產(chǎn)業(yè)鏈，對于工信領域帶來的風險非常嚴峻。

第三是關鍵數(shù)據(jù)載體安全風險。主要是兩個層面，一是數(shù)據(jù)中心、云平臺、骨干網(wǎng)絡、移動平臺等這些關鍵載體面臨復雜的權限控制、接口安全、違規(guī)操作等安全風險。二是國外高端工業(yè)裝備存在漏洞、后門等潛在風險，尤其是工業(yè)領域，一些高端裝備嚴重依賴國外的產(chǎn)品，在日常運維和故障診斷過程中，他們可能能夠接觸到很多的日志或者生產(chǎn)參數(shù)等信息，這些都能給企業(yè)帶來很大的風險。

第四是供應鏈安全風險。開發(fā)、集成、運維、運營、第三方服務等供應商、服務商在開展服務過程中能接觸到很多數(shù)據(jù)處理者的真實數(shù)據(jù)，數(shù)據(jù)管控挑戰(zhàn)較大，在大型頭部企業(yè)和政府機關中風險比較突出。

第五是個人信息保護風險。可能存在違法收集、過度收集、非法提供、非法使用加工等個人信息保護風險。

以評估為抓手提升數(shù)據(jù)安全水平

2021年《中華人民共和國數(shù)據(jù)安全法》正式施行。在工信領域，工業(yè)和信息化部在去年出臺了工信領域數(shù)據(jù)安全管理辦法，今年1月1日正式施行，全面銜接并細化了數(shù)據(jù)安全法里面的制度。其中的數(shù)據(jù)安全風險評估制度，打通了涵蓋重要數(shù)據(jù)識別、目錄備案、安全防護、預警及處置、風險評估等工作的全環(huán)節(jié)監(jiān)管流程，明確了具體的啟動條件、開展頻次、具體流程等。

開展風險評估，對于企業(yè)、行業(yè)和國家都有不同的促進意義。對企業(yè)來講，可以發(fā)現(xiàn)隱藏的威脅和脆弱性，及時識別安全風險，幫助企業(yè)制定針對性的安全策略和數(shù)據(jù)安全目標，以及數(shù)據(jù)安全體系制度的建設與完善，確保數(shù)據(jù)資產(chǎn)的有效利用和數(shù)據(jù)風險的安全可控。對于行業(yè)，是行業(yè)主管部門落實監(jiān)管職能的重要抓手，可以保障行業(yè)的發(fā)展戰(zhàn)略、關鍵技術等重要數(shù)據(jù)不受到非法侵害，能夠促進數(shù)據(jù)流動，推動數(shù)字化轉型升級。在國家層面，通過“以評促建、以評促改、以評促管”壓實數(shù)據(jù)安全保護主體責任，切實履行數(shù)據(jù)安全保護義務，助力維護國家安全，保障社會秩序和公眾利益，有效推動數(shù)字經(jīng)濟安全健康發(fā)展。

說到數(shù)據(jù)安全風險評估，首先介紹下風險管理模型。在安全管理工作中，沒有絕對的安全，所有的安全都是符合企業(yè)自身發(fā)展情況下的相對安全。在這個理論前提下，企業(yè)開展安全管理的本質(zhì)就是發(fā)現(xiàn)風險、控制風險和監(jiān)測風險，確保風險可以控制在企業(yè)能夠接受的“相對安全”范圍內(nèi)。安全風險受到內(nèi)外部威脅、數(shù)據(jù)資產(chǎn)的價值、安全弱點和安全措施四個方面影響，內(nèi)外部威脅對安全弱點加以利用，就形成了安全風險，數(shù)據(jù)資產(chǎn)的價值越高，所帶來的風險也就越大。而安全管理的作用，就是針對風險采取安全措施，防范內(nèi)外部威脅，把風險降低到我們可以接受的程度。

數(shù)據(jù)安全風險評估實踐

工信領域數(shù)據(jù)安全風險評估體系方面，目前已編制了《工業(yè)領域數(shù)據(jù)安全風險評估規(guī)范》《電信領域數(shù)據(jù)安全風險評估規(guī)范》，明確了數(shù)據(jù)安全風險評估原則、流程和內(nèi)容等，同時形成了規(guī)范化的評估報告模板，為機構開展評估或者企業(yè)自評估工作提供實施指引。

評估流程方面，包括組建評估團隊、確定評估范圍、制定評估方案、實施風險評估、形成評估報告等環(huán)節(jié)。

評估內(nèi)容方面，主要包括合規(guī)性評估和安全風險分析兩部分內(nèi)容。合規(guī)性評估由合法正當性評估、基礎安全性評估、數(shù)據(jù)全生命周期管理評估三部分組成，重點分析數(shù)據(jù)處理的種類、數(shù)量、目的、方式、范圍以及保障能力等是否符合法律、行政法規(guī)要求。安全風險分析由風險源識別、安全影響分析、綜合風險研判三部分組成，通過綜合分析數(shù)據(jù)處理活動面臨的威脅、所采取的保障措施情況以及發(fā)生數(shù)據(jù)泄露、損毀、丟失等安全事件后產(chǎn)生的影響范圍、程度等因素，綜合研判數(shù)據(jù)處理活動安全風險等級。

在具體實踐方面，以某企業(yè)為例，該單位具有核心數(shù)據(jù)一項，為核心技術源代碼數(shù)據(jù)；重要數(shù)據(jù)三項，為網(wǎng)聯(lián)數(shù)據(jù)、線索數(shù)據(jù)和客戶數(shù)據(jù)；并從一般數(shù)據(jù)中抽選了三項，為采購數(shù)據(jù)、財務數(shù)據(jù)和運營數(shù)據(jù)。評估團隊對這七項數(shù)據(jù)開展了評估，發(fā)現(xiàn)其中三個數(shù)據(jù)項的風險級別為中，四個數(shù)據(jù)項風險級別為低，企業(yè)總體數(shù)據(jù)安全風險評估等級為“良”。

也借這個機會介紹下電子五所在數(shù)據(jù)安全方面的研究與積累。一是有力支撐了各級數(shù)據(jù)安全主管（監(jiān)管）部門的制度供給、標準研制、監(jiān)督檢查及產(chǎn)業(yè)研究等工作。二是建立了涵蓋咨詢規(guī)劃、檢測評估、培訓宣貫、安全審計、安全運營等要素的數(shù)據(jù)安全綜合服務能力，為行業(yè)企業(yè)持續(xù)提供優(yōu)質(zhì)服務。