摘要：隨著信息技術(shù)的快速發(fā)展．數(shù)據(jù)時代已經(jīng)全面到來，在數(shù)據(jù)技術(shù)促使企業(yè)各項工作都得到改進的同時，數(shù)據(jù)安全風險問題也隨之出現(xiàn)。數(shù)據(jù)被破壞、盜取以及篡改等，都會對企業(yè)信息安全造成威脅．因此對數(shù)據(jù)安全風險情況進行評估十分必要。但是，為保障評估效果．需要充分結(jié)合數(shù)據(jù)安全問題特點，從整體出發(fā)，構(gòu)建評估框架。文章從數(shù)據(jù)安全風險評估的內(nèi)涵、性質(zhì)以及重要意義等入手，了解構(gòu)建數(shù)據(jù)安全風險評估整體框架的必要性，并對數(shù)據(jù)安全風險評估整體框架的構(gòu)建策略進行簡要的探討。

關(guān)鍵詞：數(shù)據(jù)安全風險；安全風險評估；評估框架；安全風險問題

中圖法分類號：TP393 文獻標識碼：A

１ 引言

當前許多企業(yè)的信息系統(tǒng)都使用了信息安全管理工具，能夠識別出常見風險，并結(jié)合異常情況向管理員發(fā)出警示。但是在風險管理方面，此種信息管理方式仍處于較為初級的階段，由于數(shù)據(jù)安全風險評估體系構(gòu)建不完善，導致不能及時應對新出現(xiàn)的風險問題，并且不能保障風險管理的全面性。因此要保障數(shù)據(jù)安全，構(gòu)建評估整理框架已經(jīng)成為保障數(shù)據(jù)安全管理體系完整性，降低體系構(gòu)建難度的重要前提［１～３］ 。

２ 構(gòu)建數(shù)據(jù)安全風險評估整體框架的意義

２．１ 數(shù)據(jù)安全風險評估與風險評估框架的關(guān)系

了解數(shù)據(jù)安全風險評估是研究數(shù)據(jù)安全風險評估整體框架重要性的前提。而要了解數(shù)據(jù)安全風險評估，需要明確其重要性，以及常見數(shù)據(jù)安全風險形式。數(shù)據(jù)安全風險評估是結(jié)合數(shù)據(jù)的具體情況，對數(shù)據(jù)從信息的產(chǎn)生與存儲，到數(shù)據(jù)的傳輸與交換等全過程，以發(fā)現(xiàn)風險問題、了解評估能力為目標開展的評估行動。在數(shù)據(jù)全生命周期內(nèi)，會出現(xiàn)一系列風險問題，這些風險問題可能出現(xiàn)在數(shù)據(jù)制度管理流程中，可能出現(xiàn)在人員能力等方面，也可能出現(xiàn)在服務規(guī)劃過程中。風險評估不僅能夠發(fā)現(xiàn)數(shù)據(jù)管理存在的漏洞，而且能夠識別出異常數(shù)據(jù)，及時發(fā)現(xiàn)風險問題。因此風險評估工作是對數(shù)據(jù)得到妥善的存儲以及有效使用的重要保障。而風險評估框架是為了保障評估效果，結(jié)合具體的數(shù)據(jù)安全需求搭建的設(shè)計框架。通過構(gòu)建框架，以完善安全風險評估體系，進而保障風險評估體系的完整性。

２．２ 構(gòu)建數(shù)據(jù)安全風險評估整體框架的意義

２．２．１ 保障數(shù)據(jù)安全風險評估的科學性

在以往的安全風險評估工作中，許多安全風險評估系統(tǒng)的功能是較為單一的，僅能識別出某一方面的數(shù)據(jù)安全風險，而構(gòu)建數(shù)據(jù)安全風險評估整體框架，能夠為系統(tǒng)的搭建提供可靠的依據(jù)。整體框架不僅會全面考量企業(yè)數(shù)據(jù)面臨的安全問題，而且會對數(shù)據(jù)安全風險評估工作作出細致的部署，從而保障風險評估效果。在框架構(gòu)建的同時，能夠?qū)崟r發(fā)現(xiàn)以往數(shù)據(jù)安全風險評估系統(tǒng)存在的問題，以備注或直接解決的方式，對框架進行修訂，從而避免后續(xù)在系統(tǒng)構(gòu)建時出現(xiàn)考量不全面，以及功能不全面等問題［４～５］ 。

２．２．２ 保障數(shù)據(jù)安全風險評估的全面性

數(shù)據(jù)安全風險評估整體框架是從整體出發(fā)對數(shù)據(jù)安全風險評估體系進行設(shè)計，不僅要考慮系統(tǒng)存儲數(shù)據(jù)的安全性，還要考慮管理、運維等多方面的安全性，能夠多角度發(fā)現(xiàn)多種形態(tài)的安全風險問題，從而保障數(shù)據(jù)安全風險評估的全面性，解決以往評估系統(tǒng)評估功能不完善的問題。

２．２．３ 保障數(shù)據(jù)安全風險評估的高效性

在系統(tǒng)的搭建上，如果缺乏總體設(shè)計，往往需要不斷對系統(tǒng)進行補充與完善，甚至需要進行重大調(diào)整，不僅會對系統(tǒng)的應用產(chǎn)生影響，還會對系統(tǒng)的運行效率產(chǎn)生影響。而數(shù)據(jù)安全風險評估整體框架的構(gòu)建，做好了數(shù)據(jù)安全風險評估的頂層設(shè)計，以及搭建好了整體的框架，基本不會出現(xiàn)需要重點改進的問題，并且框架覆蓋范圍較大，只需要縱向進行研究，就能夠保障風險評估效果。而在整體框架下，多維度地對安全風險問題進行評估，也能夠提高評估的速度及質(zhì)量，即保障風險評估的高效性。

２．２．４ 保障數(shù)據(jù)安全風險評估的精準性

搭建數(shù)據(jù)安全風險評估整體框架還能夠保障安全風險評估的精準性。數(shù)據(jù)安全風險評估整體框架的各個模塊能夠?qū)?shù)據(jù)進行系統(tǒng)化處理，對問題進行專業(yè)化分析，從而保障數(shù)據(jù)分析效果。在數(shù)據(jù)安全風險評估整體框架中，會規(guī)范數(shù)據(jù)的出入通道，對數(shù)據(jù)類型進行精準的分類，對風險問題做出科學的評價，從而對數(shù)據(jù)的輸入到輸出全流程進行專業(yè)化評估，因此能夠有效保障風險評估的精準度。

３ 數(shù)據(jù)安全風險評估整體框架研究

要對數(shù)據(jù)安全風險評估整體框架進行研究，首先需要了解數(shù)據(jù)安全風險評估的主要流程，了解數(shù)據(jù)安全風險評估整體框架構(gòu)建的重要性，然后明確數(shù)據(jù)安全風險評估要點，最后通過評估不斷修正效果達到合理的配置，以保障數(shù)據(jù)安全風險評估效果。

３．１ 數(shù)據(jù)安全風險評估的主要流程

通常情況下，數(shù)據(jù)安全風險評估工作的核心內(nèi)容分為４ 部分，即評估準備工作、發(fā)現(xiàn)風險問題、分析風險問題、評價風險問題。在不同的安全風險評估系統(tǒng)中，盡管在形式上以及具體方法上有所不同，但是基本具備這４ 部分內(nèi)容。

３．１．１ 開展評估準備工作

評估準備工作是結(jié)合風險評估單位的需求，確定風險評估對象、風險評估內(nèi)容以及風險評估主要形式的工作。當前，我國的風險評估工作還較為基礎(chǔ)，多以保障數(shù)據(jù)安全為直接目標，但是部分企業(yè)已將風險評估工作制度化，在風險評估上還存在巨大的研究空間。另外，在評估準備工作中，評估技術(shù)以及評估組織會隨著社會技術(shù)的不斷發(fā)展而不斷更新，以保障風險評估效果。

３．１．２ 發(fā)現(xiàn)風險問題

在做好評估準備工作后，應結(jié)合評估對象開展評估工作，以發(fā)現(xiàn)存在的風險。其中常見的風險包括數(shù)據(jù)加密功能薄弱、數(shù)據(jù)保護系統(tǒng)功能薄弱、出現(xiàn)能夠識別威脅數(shù)據(jù)安全的問題、安全防護效果以及風險問題處理效果不明顯等。

３．１．３ 分析風險問題

在發(fā)現(xiàn)風險問題后，安全風險評估會對風險問題進行分析，對風險的等級做出判斷，通常情況下風險等級是按照數(shù)據(jù)風險問題可能對企業(yè)產(chǎn)生的影響進行判定。

３．１．４ 評價風險問題

在分析工作完成后，會對風險問題的等級做出判斷，通常情況下，風險問題等級會被劃分為高等級風險問題、中等級風險問題、低等級風險問題３ 種。并且在評價中會對風險的形式、等級、具體影響等做出闡述。

３．２ 框架模型的構(gòu)建

在框架模型的構(gòu)建上，具體包括４ 大組成部分。

從輸入模塊錄入信息開始，數(shù)據(jù)安全風險評估整體框架會以動態(tài)評價的形式，對信息進行處理、分析與反饋，并將反饋結(jié)果反饋到部門，改進后再形成輸入信息，從而形成一個輸入到輸出持續(xù)反饋風險問題的閉環(huán)。并且在數(shù)據(jù)安全風險評估整體框架的構(gòu)建上，需要保障框架的系統(tǒng)性，如運維審計系統(tǒng)與數(shù)據(jù)庫運維管控系統(tǒng)以及智能脫敏系統(tǒng)等之間都需要形成完整的集成系統(tǒng)，在確保各個模塊能夠獨立工作的同時又能夠同步各子系統(tǒng)的數(shù)據(jù)變化，從而保障風險評估工作的有效進行。

３．２．１ 輸入模塊

輸入模塊就是指信息的輸出端。在數(shù)據(jù)安全風險評估整體框架中，風險評估針對的不只是存儲數(shù)據(jù)，還包括從管理到系統(tǒng)的各個部分。各部分信息需要通過輸入模塊，將自身的情況反饋到系統(tǒng)中，如網(wǎng)絡(luò)管理系統(tǒng)報告、ＩＤＳ 報告、數(shù)據(jù)信息報告等，這些信息真實反映了整個信息系統(tǒng)的安全情況。由于覆蓋數(shù)據(jù)的種類較多，可能出現(xiàn)許多敏感數(shù)據(jù)，這些數(shù)據(jù)由于特殊的屬性等，可能被誤判為風險問題，從而對系統(tǒng)的風險識別精準度產(chǎn)生影響，因此進行脫敏設(shè)計十分重要。而近年來，應用智能技術(shù)進行脫敏已經(jīng)成為一種趨勢，可采用智能處理的方式，優(yōu)化系統(tǒng)算法，對敏感數(shù)據(jù)進行進一步識別、脫敏，從而避免敏感數(shù)據(jù)被錯誤識別。

３．２．２ 處理模塊

在處理模塊中，會設(shè)置評價指標以及轉(zhuǎn)換模式，將輸入的信息轉(zhuǎn)換為易于識別的模式，并結(jié)合評價指標進行評估。在轉(zhuǎn)換過程中，會對輸入信息的格式進行轉(zhuǎn)化，對類別進行匯總，并建立具備內(nèi)在聯(lián)系的信息之間的關(guān)聯(lián)，以進一步保障數(shù)據(jù)處理效果。在處理模塊上，需要做好數(shù)據(jù)權(quán)限的有效控制。在數(shù)據(jù)安全風險評估整體框架中，由于數(shù)據(jù)安全風險評估系統(tǒng)會對全部數(shù)據(jù)信息進行風險評估，因此在授權(quán)上為避免風險問題的發(fā)生也應采取分類授權(quán)的方式，不同風險評估人員具備著不同模塊的授權(quán)，各自負責自身模塊相關(guān)的維護、管控等工作，另外在風險信息的反饋上，對應的風險信息也應反饋到對應的風險部門，以避免反饋信息引發(fā)數(shù)據(jù)泄露問題。比如，在管理人員通過堡壘機連接到虛擬服務器后，能夠在自身權(quán)限內(nèi)獲得系統(tǒng)提供的信息，但是該信息僅在管理人員使用的虛擬化服務器上有效，信息不能被分享下載。

３．２．３ 分析模塊

在分析模塊時，會以建立不同類別數(shù)據(jù)庫的形式，對錄入的數(shù)據(jù)信息進行分類，包括高風險問題庫、病毒庫、脆弱點庫、薄弱環(huán)節(jié)庫等，符合對應條件的內(nèi)容會產(chǎn)生反饋信息，進入評價環(huán)節(jié)。同時，會對常見的安全風險問題進行識別分析。在這一模塊中，主要圍繞以下風險模式進行設(shè)計。

（１）數(shù)據(jù)丟失。數(shù)據(jù)丟失是數(shù)據(jù)安全問題中的常見問題，其原因包括傳輸以及加密技術(shù)水平較低引發(fā)數(shù)據(jù)丟失。在傳輸過程中，受到網(wǎng)絡(luò)以及數(shù)據(jù)本身等多方面的影響，數(shù)據(jù)不能得到高效傳輸，從而引發(fā)數(shù)據(jù)丟失問題，進而對后續(xù)數(shù)據(jù)的使用產(chǎn)生影響。而加密技術(shù)水平較低引發(fā)的數(shù)據(jù)安全問題，可能為人為破壞造成數(shù)據(jù)丟失，也可能為系統(tǒng)本身抵御能力不足感染病毒導致數(shù)據(jù)丟失。其中，人為破壞導致的數(shù)據(jù)丟失，在具有安全風險防護機制的情況下是能夠檢索出來的，但是當前許多基礎(chǔ)設(shè)施數(shù)據(jù)保護工作還處于不完善的狀態(tài)，導致許多關(guān)鍵信息丟失問題仍未得到完全解決。在分析模塊設(shè)計中，結(jié)合此種風險問題的具體特性對問題進行識別。

（２）數(shù)據(jù)篡改。數(shù)據(jù)篡改是對數(shù)據(jù)信息進行非法修改，無論是對于企業(yè)還是個人，數(shù)據(jù)篡改都可能引發(fā)嚴重的后果，是數(shù)據(jù)風險問題中的重點問題之一。

并且數(shù)據(jù)篡改屬于違反法律規(guī)定的行為。但是由于數(shù)據(jù)篡改具有隱秘性強、技術(shù)性強等特點，在數(shù)據(jù)被篡改時，無論是找回篡改前的數(shù)據(jù)，還是找出篡改對象、篡改路徑等都存在較大的難度。因此，分析模塊會快速識別此類問題并做出反饋。

（３）數(shù)據(jù)泄露。大部分企業(yè)的內(nèi)部信息處于一種保密狀態(tài)，這些信息包括企業(yè)財務數(shù)據(jù)、運營數(shù)據(jù)、規(guī)劃數(shù)據(jù)等，一旦數(shù)據(jù)信息被其他企業(yè)所獲知，則可能對企業(yè)的發(fā)展產(chǎn)生威脅，因此數(shù)據(jù)泄露是十分嚴重的數(shù)據(jù)安全風險問題。為保障數(shù)據(jù)安全，大部分企業(yè)都會建立自身的安全管理系統(tǒng)或安全風險評估系統(tǒng)，但受到技術(shù)、資金投入等多方面原因的影響，不同企業(yè)的系統(tǒng)性能也存在著一定的差異性，系統(tǒng)性能的薄弱性，即使具備安全防護系統(tǒng)，仍面臨數(shù)據(jù)泄露問題。因此分析模塊會通過持續(xù)優(yōu)化，以保障分析效果。

３．２．４ 評價模塊

在評價環(huán)節(jié)，形成的數(shù)據(jù)庫對應其錄入信息，并對存在風險的信息內(nèi)容進行歸檔。如在數(shù)據(jù)信息安全管理制度方面存在風險問題，在數(shù)據(jù)安全管理制度相關(guān)報告進入輸入模塊后，會被系統(tǒng)進行處理，形成易于辨別的形式，系統(tǒng)會結(jié)合評價指標，對數(shù)據(jù)進行進一步加工處理，以及對數(shù)據(jù)內(nèi)容進行分析，最終進入評價模塊。在安全管理制度信息庫中，對安全管理制度存在的問題作出評價，再將評價信息反饋到相應的部門，完成一輪數(shù)據(jù)安全風險評估。在評價模塊的構(gòu)建上，為保障評價效果，需要建立評價模塊自動優(yōu)化更新機制，以確保評價系統(tǒng)具備持續(xù)優(yōu)化的能力。

由于數(shù)據(jù)時代信息技術(shù)發(fā)展速度極快，新的病毒以及技術(shù)手段層出不窮，只有具備持續(xù)優(yōu)化的能力，能夠?qū)π聠栴}做出判斷，才能保障數(shù)據(jù)安全風險評估效果。而在系統(tǒng)持續(xù)優(yōu)化上，其要點包括三３ 個。（１）功能定位。需要對評價模塊的功能做出清晰的定位，不僅具備風險評價功能，還具有改進功能等。（２）做好管控工作。模塊需要具備管控功能，能夠?qū)崿F(xiàn)數(shù)據(jù)的精準分類以及科學有效的管控。（３）細致分解。需要對模塊的各項細微功能進行有效分解，以保障評價的準確性，確保相關(guān)問題能夠精準反饋到負責部門。

４ 結(jié)束語

在數(shù)據(jù)時代，保障數(shù)據(jù)安全，構(gòu)建數(shù)據(jù)安全風險評估整體框架十分重要。只有構(gòu)建風險評估整體框架，才能確保數(shù)據(jù)得到科學規(guī)范的使用，以及保障數(shù)據(jù)技術(shù)的穩(wěn)定發(fā)展，因此持續(xù)對數(shù)據(jù)安全風險評估整體框架進行研究，也是數(shù)據(jù)安全技術(shù)下的重要研究主題。

參考文獻：

［１］ 宋捷．數(shù)據(jù)安全風險分析及應對策略初探［Ｊ］．通信與信息技術(shù)，２０２２（５）：５９?６１．

［２］ 徐勝超．基于歷史數(shù)據(jù)分析的容器云安全風險評估方法［Ｊ］．計算機測量與控制，２０２２，３０（１１）：２６５?２７１．

［３］ 李安倫，劉龍庚，馬士民．面向政務數(shù)據(jù)的安全風險評估方法研究［Ｊ］．網(wǎng)絡(luò)安全和信息化，２０２２（６）：９?１２．

［４］ 宋璟，邸麗清，楊光，等．新時代下數(shù)據(jù)安全風險評估工作的思考［Ｊ］．中國信息安全，２０２１（９）：６２?６５．

［５］ 樂文城．大數(shù)據(jù)環(huán)境下數(shù)據(jù)安全風險對策淺析［Ｊ］．電子元器件與信息技術(shù)，２０２１，５（８）：１４１?１４２．

作者簡介：陳志（１９８１—），本科，科員，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全。