樊雅茹 楊朝暉

（1.山西農(nóng)業(yè)大學(xué)軟件學(xué)院 山西省太原市 030001 2.國家計算機網(wǎng)絡(luò)與信息安全管理中心山西分中心 山西省太原市 030002）

本文基于信息安全、數(shù)據(jù)安全等國家標準和行業(yè)標準，結(jié)合數(shù)據(jù)安全評估工作實際經(jīng)驗，提出了一種數(shù)據(jù)安全評估方法。評估方法主要包括實施流程、實施辦法、實施環(huán)境等步驟。

1 實施流程

數(shù)據(jù)安全現(xiàn)場評估實施包括準備環(huán)境、實施現(xiàn)場評估、輸出評估結(jié)果、問題回顧、復(fù)評復(fù)測五個階段。

1.1 準備環(huán)境

評估方在進行評估之前需要和被評估方展開充分溝通，形成一致意見，為評估工作做好環(huán)境準備，并對評估環(huán)境進行充分有效的說明，以保證評估方有效順利開展評估工作。具體需要準備如下材料：

（1）評估環(huán)境支持，包括出入證、工位、互聯(lián)網(wǎng)接入、內(nèi)網(wǎng)接入等；

（2）網(wǎng)絡(luò)拓撲結(jié)構(gòu)與安全域劃分；

（3）用于評估的數(shù)據(jù)庫賬號，保證需要數(shù)據(jù)庫權(quán)限的評估順利開展；

（4）用于評估的安全設(shè)備賬號，保證可以登錄安全設(shè)備去驗證相關(guān)評估信息；

（5）開展評估工作需要的其他信息。

1.2 實施評估

評估方在現(xiàn)場評估時，應(yīng)通過召開啟動會了解被評估方的評估環(huán)境，以便展開評估工作。評估方應(yīng)嚴格按照評估實施流程展開，可采取會議、詢問、配以技術(shù)手段對評估環(huán)境進行檢查和核實等方式開展評估工作。被評估組織在評估過程中應(yīng)積極配合評估方的工作，并及時對評估過程中出現(xiàn)的問題進行有效解決。

1.3 輸出評估結(jié)果

評估結(jié)束后，評估方應(yīng)按照數(shù)據(jù)安全評估要求對所涉及應(yīng)用場景下的各類問題進行匯總、并對問題引起的風(fēng)險進行說明，根據(jù)風(fēng)險等級及嚴重程度輸出分項評分結(jié)果。同時評估方與被評估方需要針對評估結(jié)果交換意見，就問題及風(fēng)險情況達成一致，完成數(shù)據(jù)安全評估報告。報告內(nèi)容應(yīng)包括評估工作總結(jié)、評分表、主要問題、風(fēng)險匯總及整改措施等內(nèi)容。

1.4 問題回顧

被評估方應(yīng)根據(jù)評估報告和建議，制定整改計劃，落實整改措施，在整改過程中，對整改計劃完成情況進行及時的總結(jié)，及時完善修改整改計劃。

1.5 復(fù)評復(fù)測

被評估方在規(guī)定時間內(nèi)完成整改之后，向評估方提出復(fù)評申請。復(fù)評時，被評估組織應(yīng)提供整改工作報告，部分整改和未完成整改的項目應(yīng)逐項說明原因。評估方也應(yīng)對現(xiàn)場評估發(fā)現(xiàn)的問題逐一進行查評，結(jié)束后提交數(shù)據(jù)安全復(fù)查評估報告。

2 實施辦法

2.1 數(shù)據(jù)梳理和分類

2.1.1 評估目的

評估數(shù)據(jù)資產(chǎn)梳理和分類的覆蓋度、準確率和召回率。

2.1.2 評估方法

（1）采用遍歷掃描、人工核查等方式，發(fā)現(xiàn)并生成資產(chǎn)清單。

（2）根據(jù)資產(chǎn)清單對數(shù)據(jù)進行自動分類、人工分類和核查，建立數(shù)據(jù)分類結(jié)果清單。

（3）讀取被評估組織提供的資產(chǎn)分類清單。

（4）比對上述兩個清單，計算資產(chǎn)梳理和分類的覆蓋率、準確率、召回率。

2.2 存儲加密

2.2.1 評估目的

評估敏感數(shù)據(jù)在存儲時是否采用適當?shù)募用艽胧?/p>

2.2.2 評估方法

（1）根據(jù)數(shù)據(jù)分類結(jié)果確定需要采取存儲加密措施的數(shù)據(jù)資產(chǎn)清單，確定對應(yīng)的加密策略。加密策略包括：加密粒度、加密算法、加密強度、解密權(quán)限控制策略等。

（2）對需要加密的數(shù)據(jù)，根據(jù)加密策略，分析是否加密、加密算法是否合規(guī)、加密強度是否合規(guī)、解密權(quán)限控制策略設(shè)置是否生效。

2.3 傳輸加密

2.3.1 評估目的

評估敏感數(shù)據(jù)在傳輸時是否采用適當?shù)募用艽胧?/p>

2.3.2 評估方法

（1）根據(jù)數(shù)據(jù)分類結(jié)果確定采取傳輸加密措施的傳輸通道清單，確定對應(yīng)的加密策略。加密策略包括：加密方法、加密算法、加密強度、認證策略等。

（2）對需要加密傳輸?shù)臄?shù)據(jù)，根據(jù)加密策略，分析是否加密、加密算法是否合規(guī)、加密強度是否合規(guī)、認證策略設(shè)置是否生效。技術(shù)手段包括：網(wǎng)絡(luò)嗅探；導(dǎo)入通信密鑰，進行通信內(nèi)容解密；模擬傳輸?shù)取?/p>

2.4 權(quán)限管理

2.4.1 評估目的

評估敏感信息的訪問權(quán)限管理是否合規(guī)。

2.4.2 評估方法

（1）根據(jù)數(shù)據(jù)資產(chǎn)分類結(jié)果，梳理數(shù)據(jù)訪問場景，確定各類數(shù)據(jù)的權(quán)限管理策略，獲得權(quán)限策略清單。

（2）獲取被評估系統(tǒng)現(xiàn)有的權(quán)限管理策略，與權(quán)限策略清單對比，分析策略是否正確被應(yīng)用。

2.5 數(shù)據(jù)脫敏

2.5.1 評估目的

評估敏感信息在各種場景中是否被正確脫敏。

2.5.2 評估方法

（1）根據(jù)數(shù)據(jù)資產(chǎn)分類結(jié)果，梳理使用場景，確定需要脫敏的數(shù)據(jù)和場景，并確定對應(yīng)的脫敏策略。

（2）對需要脫敏的場景，根據(jù)脫敏策略，采取技術(shù)手段分析是否脫敏、脫敏算法是否合規(guī)、脫敏數(shù)據(jù)的抗分析性是否合規(guī)。

（3）根據(jù)上述分析結(jié)果，評估脫敏措施是否符合相關(guān)政策、法律、法規(guī)和標準。

2.6 日志審計

2.6.1 評估目的

評估對敏感信息的訪問是否被正確審計，對數(shù)據(jù)的危險訪問行為是否被正確識別并告警。

2.6.2 評估方法

（1）根據(jù)數(shù)據(jù)資產(chǎn)分類結(jié)果，梳理數(shù)據(jù)訪問場景，確定各類數(shù)據(jù)需要的審計策略，獲得審計策略清單。審計策略至少包括：操作時間、操作主體、操作類型、操作對象、操作結(jié)果等信息。

（2）通過技術(shù)手段獲取被評估系統(tǒng)現(xiàn)有的審計能力，與審計策略清單對比，分析策略是否正確被應(yīng)用。

2.7 脆弱性管理

2.7.1 評估目的

評估軟件系統(tǒng)脆弱性的發(fā)現(xiàn)和加固情況是否合規(guī)。

2.7.2 評估方法

（1）通過調(diào)研、網(wǎng)絡(luò)掃描等方式生成待評估系統(tǒng)清單。重點關(guān)注數(shù)據(jù)存管系統(tǒng)、直接訪問數(shù)據(jù)的系統(tǒng)、與數(shù)據(jù)存管系統(tǒng)存在網(wǎng)絡(luò)通道的系統(tǒng)。

（2）通過端口掃描、漏洞測試、檢查系統(tǒng)配置等方法，發(fā)現(xiàn)并驗證脆弱性。

（3）與被評估方現(xiàn)有漏洞管理系統(tǒng)相比對，將發(fā)現(xiàn)的脆弱性標記為：未掌握、已掌握、已加固。

（4）根據(jù)分析結(jié)果，評估脆弱性管理現(xiàn)狀。

2.8 接口安全

2.8.1 評估目的

評估數(shù)據(jù)訪問接口的安全措施是否可靠。

2.8.2 評估方法

（1）檢查接口開發(fā)規(guī)范、交互協(xié)議等方式，評估接口是否符合要求，并獲取接口清單；

（2）采取以下方法，分析各個接口的安全性：

模擬接口調(diào)用，評估接口的身份鑒別、訪問控制、授權(quán)策略、審計等安全措施是否生效，評估接口是否過濾或限制不安全參數(shù)。

檢查接口調(diào)用日志、配置參數(shù)等，評估對接口訪問的審計能力。

檢查配置參數(shù)、分析網(wǎng)絡(luò)流量等，評估跨安全域的接口調(diào)用是否采用了安全通道、加密傳輸?shù)劝踩胧?/p>

模擬新增接口，評估是否具備新增接口的安全審批機制

掃描接口，發(fā)現(xiàn)是否有未納入管理的接口。

（3）根據(jù)分析結(jié)果，評估接口安全管理現(xiàn)狀。

2.9 數(shù)據(jù)防泄漏

2.9.1 評估目的評估基于審計日志發(fā)現(xiàn)數(shù)據(jù)泄漏的綜合分析能力；評估防止敏感數(shù)據(jù)通過網(wǎng)絡(luò)、存儲介質(zhì)被泄漏的能力。

2.9.2 評估方法

（1）采用模擬發(fā)送、復(fù)制數(shù)據(jù)等方式，評估是否會阻止非法數(shù)據(jù)泄漏行為；

（2）讀取歷史日志數(shù)據(jù)，分別進行個人行為、應(yīng)用行為、數(shù)據(jù)流動等畫像，進而分析潛在數(shù)據(jù)泄漏行為；

（3）對比現(xiàn)有數(shù)據(jù)泄漏檢測結(jié)果，評估數(shù)據(jù)泄漏檢測能力。

3 實施環(huán)境

在進行評估之前，被評估方需要準備評估所需的環(huán)境，以保障評估實施過程順利。

3.1 數(shù)據(jù)梳理和分類

一是提供存儲重要數(shù)據(jù)和個人信息的數(shù)據(jù)庫或相關(guān)信息系統(tǒng)的賬號、口令等訪問條件。二是提供歷史數(shù)據(jù)分類結(jié)果，用于比對分析。

3.2 存儲加密

一是提供敏感數(shù)據(jù)清單和相應(yīng)的加密策略。二是分別提供不具有/具有解密權(quán)限的存儲重要數(shù)據(jù)和個人信息的數(shù)據(jù)庫或相關(guān)信息系統(tǒng)的賬號、口令，用于讀取密文和明文。

3.3 傳輸加密

一是提供現(xiàn)有加密傳輸規(guī)范清單，用于人工核對、流量嗅探。二是提供傳輸通道解密密鑰，用于解密傳輸通道，獲取傳輸內(nèi)容。三提供傳輸通道的嗅探環(huán)境。四是提供模擬的數(shù)據(jù)傳輸環(huán)境。

3.4 權(quán)限管理

一是提供賬號與權(quán)限分配清單。二是提供模擬數(shù)據(jù)訪問賬號、口令，用于模擬數(shù)據(jù)訪問行為。三是提供管理員權(quán)限，以讀取賬號權(quán)限設(shè)置。四是提供賬號及權(quán)限開通操作流程，審批操作流程，用于評估審批流程機制。五是提供賬號及密碼策略清單，用于評估賬號、密碼管理及保護機制。

3.5 數(shù)據(jù)脫敏

一是提供現(xiàn)有脫敏場景和策略。二是提供脫敏后數(shù)據(jù)訪問條件。三是提供脫敏前數(shù)據(jù)訪問條件，以便于進行脫敏強度分析。

3.6 日志審計

一是提供網(wǎng)絡(luò)流量嗅探條件。二是提供現(xiàn)有日志、報表的讀取條件。三是提供或協(xié)助生成現(xiàn)有審計策略清單。

3.7 脆弱性管理

一是提供系統(tǒng)清單，包括IP地址、端口號、操作系統(tǒng)、中間件版本等信息，用于設(shè)定評估實施范圍。二是提供系統(tǒng)的管理員權(quán)限，用于讀取各種配置參數(shù)。三是提供現(xiàn)有脆弱性管理結(jié)果的訪問條件。

3.8 接口安全

一是提供接口開發(fā)規(guī)范和協(xié)議的相關(guān)說明文件，詳細說明參數(shù)和調(diào)用方案，用于評估是否滿足要求，并進行相關(guān)模擬驗證。二是提供接口對應(yīng)的賬號、密碼，用于相關(guān)的模擬訪問及調(diào)用。三是提供接口開通操作流程，審批操作流程，用于評估是否具備接口安全審批機制。四是提供接口掃描條件。

3.9 數(shù)據(jù)防泄漏

一是提供開啟或使用數(shù)據(jù)防泄漏保護的系統(tǒng)清單。二是提供郵件、FTP等網(wǎng)絡(luò)途徑的賬號、口令，用于模擬通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。三是提供主機的賬號、口令，用于模擬通過主機外發(fā)數(shù)據(jù)。四是提供歷史數(shù)據(jù)訪問日志的讀寫條件。

4 結(jié)語

本文在梳理信息安全、數(shù)據(jù)安全相關(guān)標準的基礎(chǔ)上，結(jié)合數(shù)據(jù)安全評估實施經(jīng)驗，提出了一種面向數(shù)據(jù)運營者的數(shù)據(jù)安全評估方法，對開展相關(guān)數(shù)據(jù)安全評估實踐工作具有一定參考價值。