任興 王英杰 李冰

關鍵詞：數(shù)據(jù)安全；數(shù)據(jù)安全評估；數(shù)據(jù)安全策略；數(shù)據(jù)安全治理；能力成熟度模型

0 引言

隨著信息技術的發(fā)展，通過網絡收集、存儲、傳輸、處理等方式產生的各種數(shù)據(jù)迅猛增長，并成為重要的市場經濟要素，但開展數(shù)據(jù)應用的同時也面臨著諸多安全隱患，數(shù)據(jù)安全與否已成為數(shù)據(jù)應用成敗的關鍵。為了確保數(shù)據(jù)的保密性、完整性和可用性，需要評估其數(shù)據(jù)安全能力，并采取相應的措施來保護數(shù)據(jù)[1]。

基于GB∕T 37988-2019《信息安全技術 數(shù)據(jù)安全能力成熟度模型》國家標準的相關要求，通過數(shù)據(jù)安全能力成熟度模型（以下簡稱DSMM） 量化和評估不同方面的能力指標[2]，詳細了解數(shù)據(jù)安全現(xiàn)狀，定位數(shù)據(jù)安全能力短板，建立數(shù)據(jù)安全治理體系。因此，數(shù)據(jù)安全能力評估已成為發(fā)展數(shù)據(jù)安全的重要組成部分。

1 DSMM 的基本概念

1.1 DSMM 概述

DSMM是基于成熟度模型的思想，用于衡量組織在數(shù)據(jù)安全方面的能力水平。它由一系列能力層次和指標組成，每個層次和指標都代表了不同的數(shù)據(jù)安全能力水平。通過評估各個指標的實際情況，可以判斷組織在數(shù)據(jù)安全方面的成熟度水平。

1.2 DSMM 構建過程

DSMM構建包括確定能力層次和指標、制定評估方法和工具以及確定評估標準和指南。在構建過程中，需要綜合考慮組織的需求和實際情況，確保模型的適用性和有效性。

2 數(shù)據(jù)安全評估方案設計

2.1 確定評估流程

1） 評估準備階段，主要開展數(shù)據(jù)安全評估的前期準備工作，準備評估相關的過程文件，制定具體的評估計劃等工作。

2） 現(xiàn)場評估階段，主要開展數(shù)據(jù)資產梳理、制度收集、過程域裁剪、人員訪談、資料審查、系統(tǒng)測試等工作。

3） 評估分析階段，負責分析整理現(xiàn)場評估階段的輸出物，逐項對照DSMM指標要求，進行綜合評定，輸出不符合項以及對應的提升建議。需要滿足個人信息保護和數(shù)據(jù)保護的法律法規(guī)、標準等要求和滿足相關方的數(shù)據(jù)保護要求，以及通過技術和管理手段，保證自身控制和管理的數(shù)據(jù)安全風險可控[3]。

4） 報告編制階段，負責進行評估內容的審核、報告編寫、報告評審以及結果匯報等工作。

2.2 確定評估范圍和指標

2.2.1 評估范圍

基于DSMM的數(shù)據(jù)安全評估主要是按照組織機構的數(shù)據(jù)資產生命周期過程，對組織建設、制度流程、技術工具以及人員能力四個能力維度進行評估。評估范圍如圖1所示。

2.2.2 評估指標

評估指標是用以評估數(shù)據(jù)安全目標實現(xiàn)程度的數(shù)據(jù)安全相關活動和過程的單位，基于評估內容確定評估權重并賦予分值，定義詳細評估指標[4]。

1） 數(shù)據(jù)安全能力維度

①組織建設：設立數(shù)據(jù)安全組織，明確職責、權限、標準、各相關人員進行溝通協(xié)作。

②制度流程：建立數(shù)據(jù)安全的行為規(guī)范和執(zhí)行流程。

③技術工具：數(shù)據(jù)安全生命周期涉及的技術工具，是獨立的功能、算法技術或工具。

④人員能力：利用相關技術工具，對組織業(yè)務運營過程中的數(shù)據(jù)安全風險進行監(jiān)測、識別、預警和處置的能力。

2） 數(shù)據(jù)安全過程維度

數(shù)據(jù)安全過程維度是由30個過程域組成，覆蓋了數(shù)據(jù)的全生命周期管理范圍，包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全以及通用安全過程域[2]。

①數(shù)據(jù)采集安全：系統(tǒng)內部生成的數(shù)據(jù)以及從外部采集的數(shù)據(jù)，并保證數(shù)據(jù)采集階段的安全。

②數(shù)據(jù)傳輸安全：數(shù)據(jù)在組織機構內部從一個實體通過網絡流動到另一個實體的過程的安全。

③數(shù)據(jù)存儲安全：數(shù)據(jù)以任何數(shù)字格式進行存儲的階段的安全。

④數(shù)據(jù)處理安全：對組織內的原始數(shù)據(jù)進行整理、清洗、轉換、分析和可視化等操作階段安全[5]。

⑤數(shù)據(jù)交換安全：組織內部進行數(shù)據(jù)交換的階段的安全。

⑥數(shù)據(jù)銷毀安全：對數(shù)據(jù)及數(shù)據(jù)存儲介質通過相應操作手段，使數(shù)據(jù)在徹底刪除后無法通過任何手段恢復的過程安全。

⑦通用安全：數(shù)據(jù)合規(guī)等貫穿整個數(shù)據(jù)生命周期的過程安全。

3） 詳細評估指標

2.3 開展評估實施

2.3.1 準備工作

通過線上遠程交流和網上信息調研的方式，詳細了解評估對象的數(shù)據(jù)安全能力建設情況。準備評估項目所需材料，就評估項目有關事項進行確認。

2.3.2 現(xiàn)狀調研

對評估對象進行深入了解和分析，在數(shù)據(jù)全生命周期的各個階段中識別重要數(shù)據(jù)資產，主要工作內容包括：

1） 系統(tǒng)分析：了解重要信息系統(tǒng)情況，從業(yè)務角度、系統(tǒng)角度、數(shù)據(jù)角度描述信息系統(tǒng)功能、架構、流程及供應鏈情況，明確系統(tǒng)涉及的部門、人員以及相關的管理制度和制度落實情況。

2） 數(shù)據(jù)梳理：識別重要數(shù)據(jù)（包括隱私類數(shù)據(jù)），數(shù)據(jù)業(yè)務屬性、表現(xiàn)形式、存儲位置等。

3） 現(xiàn)有制度收集：數(shù)據(jù)安全相關的制度體系文件，是否覆蓋生命周期管理；數(shù)據(jù)安全工作的落地執(zhí)行情況，是否有相關制度文件的記錄性文檔等。

4） 過程域裁剪：依據(jù)實際業(yè)務情況，在數(shù)據(jù)生命周期的30個過程域中，對不適用的過程域進行裁剪。

2.3.3 開展評估

1） 人員訪談

對相關人員進行訪談，以促進對被評估單位數(shù)據(jù)安全能力管理情況的分析與了解，掌握業(yè)務基本情況，結合其他評價方法和手段，對訪談了解掌握的信息進行驗證，以確定實際的運行現(xiàn)狀。包括以下內容：

了解被評估單位對數(shù)據(jù)安全的看法及要求，明確數(shù)據(jù)安全建設目標。

了解被評估單位數(shù)據(jù)安全建設現(xiàn)狀及存在的問題。

了解平臺建設、運維管理中的數(shù)據(jù)安全現(xiàn)狀及存在的問題。

了解被評估單位數(shù)據(jù)日常運營，使用流程的現(xiàn)狀及存在的問題。

了解工作人員、支撐廠商人員在數(shù)據(jù)安全方面的日常行為及安全意識的現(xiàn)狀。

2） 文檔查閱

由被評估單位提供其與數(shù)據(jù)安全相關的電子材料和文檔材料（數(shù)據(jù)安全頂層規(guī)劃、數(shù)據(jù)安全方針策略、數(shù)據(jù)安全制度規(guī)范、數(shù)據(jù)安全審批流程、數(shù)據(jù)安全培訓教材以及數(shù)據(jù)安全產品技術相關的技術方案、配置策略、部署方式、日志記錄、執(zhí)行表單等），評估人員審核相關文檔材料是否涵蓋適用的數(shù)據(jù)全生命周期所涉及過程域的相關具體要求。

3） 配置檢查

依據(jù)被評估單位所提供的技術材料，登錄相關的系統(tǒng)平臺，檢查其配置屬性是否符合相應的安全要求，是否與技術材料保持一致。配置檢查主要包括以下內容：

是否使用服務最小化原則，是否關閉不必要的服務和端口。

內、外網之間、重要的網段之間是否進行了必要的隔離措施。

防火墻配置策略是否正確。

入侵檢測設備配置策略是否正確。

各種設備配置中是否存在不安全因素。

是否存在僵尸賬戶。

權限分配是否合理。

是否有完善的日志審計策略是否完善。

備份/恢復策略是否完善。

4） 工具測試

利用專業(yè)的數(shù)據(jù)安全評估工具箱對系統(tǒng)平臺進行測試，驗證其是否有數(shù)據(jù)安全相關的漏洞，其數(shù)據(jù)安全策略是否配置合理，是否符合數(shù)據(jù)安全能力成熟度的技術要求。

①漏洞掃描

利用專業(yè)掃描工具檢查平臺系統(tǒng)的脆弱性，從而識別能被入侵者用來非法入侵的系統(tǒng)漏洞。掃描內容包括：

信息收集，識別主機與受限主機。

發(fā)現(xiàn)和漏洞掃描，全面的端口掃描，服務和應用程序的指紋識別。

掃描系統(tǒng)是否存在了弱口令的情況。

②滲透測試

滲透測試用于識別可能被利用的安全漏洞。主要目標是防止未經授權地訪問、更改或利用系統(tǒng)。滲透測試針對已知的漏洞或跨應用程序發(fā)生的常見模式，不僅發(fā)現(xiàn)軟件缺陷，還發(fā)現(xiàn)網絡配置中的弱點。

5） 旁站驗證

評估人員在現(xiàn)場通過實地觀察評估對象的相關人員的操作過程、技術設施和環(huán)境狀況判斷人員的安全意識、業(yè)務操作、執(zhí)行流程等方面的安全情況。

2.4 編制評估報告

通過分析整理現(xiàn)場評估輸出物，對照評估指標要求進行評定，提出不符合項以及對應的提升建議，并編制評估報告《數(shù)據(jù)安全評估報告》，內容包含：評估范圍、評估方式和周期、評估過程記錄、評估結論。

3 結束語

本論文提出了基于DSMM的數(shù)據(jù)安全評估方案設計，該方案通過評估組織在數(shù)據(jù)安全能力方面的成熟度水平，幫助組織全面了解其數(shù)據(jù)安全現(xiàn)狀，并提供改進建議，為后續(xù)制定改進策略提供依據(jù)。