龔詩然 魏 凱

中國信息通信研究院 北京 100191

引言

黨的十九屆四中全會首次將數據列為重要的生產要素，提出加快構建數據新型要素市場體系,數字化轉型已成為社會經濟高質量發(fā)展的必由之路。大數據、云計算以及物聯網技術的成熟與完善使組織的數據更加集中，數據價值大幅提升的同時，數據遭受外部攻擊威脅的概率也大幅上升，數據泄露、破壞、濫用等安全事件層出不窮。企業(yè)對數據的依賴程度加深也導致了數據安全事件一旦發(fā)生，損失難以估量。根據IBM《2023年數據泄露成本報告》，企業(yè)數據泄露事件平均成本為445萬美元，數據安全風險的識別、評估及應對已成為國家安全戰(zhàn)略、數字經濟發(fā)展的重要議題之一。

《中華人民共和國數據安全法》(以下簡稱《數據安全法》)正式頒布、實施，提出數據處理者應加強數據安全風險監(jiān)測，發(fā)現數據安全缺陷、漏洞等風險，重要數據處理者應定期開展數據安全風險評估。然而，數據安全風險不同于已經發(fā)生的數據安全事件，其本身具有未知性、不確定性，這導致數據安全風險識別、評估等研究具有較為重要的理論與現實意義。

本文將從數據安全風險相關的定義、識別要素與評估方法，總結已有的研究成果，并提出基于多要素的數據安全風險識別與評估的研究思路。

1 數據安全風險防范存在滯后性問題

隨著數據安全上升為國家安全戰(zhàn)略的重要組成部分，國家法律法規(guī)強調通過數據安全風險評估防范數據安全風險,但數據安全風險的概念與界定方式尚未明確，目前主要以數據安全事件的結果來識別、定義數據安全風險。這一點主要體現在對數據安全風險的類別劃分上：《工業(yè)和信息化領域數據安全風險信息報送與共享工作指引(試行)》提出，數據安全風險包括但不限于數據泄露、數據篡改、數據濫用、違規(guī)傳輸、非法訪問、流量異常等。魏長水等[1]也根據風險事件發(fā)生的誘因提出了數據違規(guī)傳輸風險、新技術應用安全風險等具體的風險。2023年，全國信安標委《網絡數據安全風險評估實施指引》(以下簡稱《實施指引》)則在附錄內列出了常見的數據安全風險類型(例如：數據泄露、數據篡改、數據破壞)。值得一提的是，《實施指引》也在網絡數據安全風險的定義中特別指出，網絡數據安全風險是由于開展網絡數據處理活動不合理、缺少有效的數據安全措施等，導致數據安全事件的發(fā)生及其對國家安全、公共利益或者組織、個人合法權益造成的影響——這意味著任何一項不安全的行為、機制都有可能衍生出數據安全風險。這一點與《數據安全法》提出的“數據處理者需加強數據安全風險監(jiān)測，發(fā)現數據安全缺陷、漏洞等風險”存在一定的共性：兩者均明確了數據安全風險是受包括IT基礎設施或安全管理的缺陷、漏洞在內的多種因素共同影響。

由此可以發(fā)現，采用數據安全事件的結果去描述數據安全風險，將對數據安全風險的識別、評估乃至處置帶來一定的滯后性問題：任何不安全的行為、機制均可能成為數據安全風險的根源，從而推動風險演變、成為數據泄露、數據篡改等不同的數據安全事件，而且這些數據安全事件可能同時發(fā)生于同一數據或者在事件發(fā)生后產生新的關聯。因此，以數據安全事件的結果去識別、定義數據安全風險，一定程度上會造成對數據安全風險的識別不全、評估有誤、處置遲滯等方面的問題。而且這種基于事件結果“倒查”風險的方法難以推動企業(yè)建立全面、系統(tǒng)的數據安全風險“識別—評估—處置”工作思路，不利于企業(yè)持續(xù)構建數據安全風險治理體系。

2 數據安全風險的識別與評估密不可分

數據安全風險的未知、動態(tài)屬性凸顯了數據安全風險識別以及評估的重要性?！稊祿踩ā诽岢觯瑪祿幚碚邞ㄟ^開展數據安全風險評估對風險進行防范。《實施指引》則在“3.3評估流程”中重點提示了信息調研環(huán)節(jié)的重要性，指出評估實施者應基于調研階段獲取的信息，充分識別風險的基本信息，提煉要素間的關聯關系，對風險進行定性、定量分析，從而對風險的影響程度、發(fā)生的可能性作出科學、有效的判斷，推動后續(xù)的風險處置，實現風險管理閉環(huán)。

業(yè)內諸多學者的探索也充分佐證了這一點：魏光輝等[2]總結了政務數據處理活動的安全問題，提出了應全面識別政務數據安全風險信息，建立風險評估模型。曾令平等[3]列出了實施數據安全風險評估的典型業(yè)務場景、數據處理者以及數據，提出了數據安全風險評估實施前的風險識別要求。李安倫等[4]則提出了一種政務數據安全風險評估方法，強調將政務數據安全風險識別過程中識別到的信息輸入到安全評估模型中，計算得出風險等級。

3 要素識別推動風險識別與評估有效落地

數據安全風險要素這一概念對數據安全風險識別至關重要，風險要素的識別是數據安全風險識別與評估過程的重要環(huán)節(jié)。這一點在國際、國內的多項標準中有所體現：美國國家標準技術研究院(NIST)在《隱私工程和風險管理》(NIST 8062)曾提出“問題操作”這一概念，并指出被識別的問題操作可用于評估風險發(fā)生的可能性、風險產生的影響。國內的《信息安全風險評估方法》則提出信息安全風險評估需要識別包括資產、威脅、脆弱性、安全措施在內的“基本要素”，通過建立、分析基本要素之間的關系(即資產存在脆弱性，威脅通過利用脆弱性導致風險，而安全措施的實施是通過避免脆弱性被利用難易程度，以防范威脅、保護資產)進行風險分析。

相較于信息安全風險，數據安全風險由于伴隨數據及數據處理活動，廣泛分布于組織的諸多業(yè)務場景、數據處理系統(tǒng)、平臺及組件，其要素呈現出更為復雜、多樣的狀態(tài)。黃子洵等[5]通過分析數字化轉型背景下的企業(yè)數據安全內涵，提出了一種面向企業(yè)的數據安全風險影響因素的識別方法，并列舉了環(huán)境、技術和組織三個維度下的典型因素，論證了風險影響因素的識別對企業(yè)數據安全治理的價值，但未對各影響因素間存在何種作用關系、與風險評估如何銜接等問題進行闡述。2023年《實施指引》和國家標準征求意見稿《數據安全風險評估方法(征求意見稿)》則基于前述的基本要素，創(chuàng)造性地提出了“風險源”這一概念(即：風險源是可能導致危害數據的保密性、完整性、可用性和數據處理合理性等事件的威脅、脆弱性、問題、隱患等，也稱“風險隱患”)，并同樣指出了數據安全風險評估需要通過信息調研，識別數據處理者、業(yè)務和信息系統(tǒng)、數據資產、數據處理活動、安全措施等相關基本要素，從數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面識別風險隱患，最終梳理風險源清單，分析、評價數據安全風險并給出整改建議。

綜上，在實施數據安全風險評估之前，充分提煉、識別風險要素是有必要的，而且風險要素的識別應結合業(yè)內已有的評估方法論，與之形成有效的銜接，從而推動數據安全風險評估的落地實施。

本文結合現有評估方法論中的評估流程、內容與重點，從數據安全風險的作用對象、誘發(fā)源頭、資產暴露面的角度入手，提煉了通用的數據安全風險要素，建立了風險要素間的關聯關系，如表1所示。同時，本文梳理了風險要素間的關聯關系，如圖1所示。

表1 數據安全風險要素

圖1 數據安全風險要素關系圖

4 基于多要素的數據安全風險識別方法

風險由其發(fā)生的可能性與發(fā)生后的影響程度共同構成。根據上述風險要素及其作用關系，當數據資產、威脅、脆弱性、已有安全措施任一因素發(fā)生變化，數據安全風險的影響程度與發(fā)生的可能性將受到影響，觸發(fā)新的風險。

本文提出一種基于多要素的數據安全風險識別方法。該識別方法通過分析數據安全風險發(fā)生的可能性與發(fā)生后的影響程度的底層構成，結合典型風險要素及其關聯關系，提供了一種在識別階段發(fā)現各風險要素，推動在評估階段有效分析數據安全風險的可能性及其影響程度的思路。

4.1 數據安全風險的影響程度

數據的價值是衡量數據安全風險影響程度的重要因素。在“數據要素化，要素市場化”的整體背景下，其主要通過被消費使用產生價值。由此，劉航等[6]認為數據本身的真實性、一致性、完整性，以及數據處理活動面臨的法律限制將直接影響數據在應用、流通過程中的價值。進一步地，數據安全的目標是通過采取必要措施，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力，因此數據面臨安全風險時，其安全狀態(tài)以及需求的變化也同樣是衡量數據安全風險影響程度的重要因素。結合YD/T 3736-2020《電信運營商大數據安全風險及需求》，數據的安全需求具體包括保密性需求、完整性需求、可用性需求、可控性需求、合規(guī)性需求。因此，在對數據安全風險的影響程度進行識別、評估的過程中，一方面需要判斷數據本身的價值，另一方面需要分析數據的安全需求保障情況，這一點具體可以通過收集數據在收集、存儲、傳輸、加工等處理活動中面臨的脆弱性以及已有的安全保障措施情況信息進行分析，如表2所示。

表2 數據安全需求保障分析

4.2 數據安全風險發(fā)生的可能性

威脅能夠對數據構成潛在破壞，是一種客觀存在的風險要素，通過對威脅的動機、能力以及發(fā)生的頻率等屬性進行賦值分析，結合脆弱性與已有安全措施的情況，能夠實現對風險發(fā)生的可能性分析。《實施指引》提出“風險隱患”危害數據的安全需求，因此，在對數據安全風險發(fā)生的可能性進行識別、評估的過程中，需要基于脆弱性的可利用程度、已有安全措施情況，分析威脅發(fā)生的可能性。

貫穿數據全生命周期的脆弱性與威脅共同構成風險發(fā)生的可能性。施嶺等[7]認為，數據應用場景與數據生命周期環(huán)節(jié)緊密相關，同一數據對應多個數據應用場景，任一應用場景均存在不同形態(tài)的數據安全風險。宋捷等[8]提出，與傳統(tǒng)的安全威脅相比，數據安全不再局限于利用安全漏洞、惡意流量、病毒木馬等網絡攻擊，貫穿數據全生命周期的脆弱性具有更為明顯的多樣動態(tài)性等特點，例如數據過度采集、用戶隱私數據被濫用、數據開放共享導致的安全不可控等，主要由于數據的不同生命周期環(huán)節(jié)存在其固有的脆弱性，因此需要基于具體的生命周期環(huán)節(jié)全面分析數據全生命周期的固有安全缺陷，比如在數據采集環(huán)節(jié)關注是否有效控制數據采集范圍，以及采集內容的質量、合法性等方面問題。

此外，在分析數據安全風險發(fā)生的可能性時，還需要關注人員在開展數據處理活動是否可能因操作不當造成的違法或違規(guī)事件——這也意味著在對數據處理活動這一風險要素進行識別與分析時，需要預先考慮其面向的數據應用場景、人員，進一步構建“數據—設備—用戶”的互動關系，實現賬號、IP、權限、數據、行為可見，對敏感數據及其流向、高危操作可知，對各類安全策略可管，如圖2所示。

圖2 基于多要素的數據安全風險識別方法框架圖

4.3 基于多要素的風險識別方法的應用價值

組織數字化轉型迅速，數據形式多樣、種類繁雜，業(yè)務場景多，流轉環(huán)節(jié)復雜，數據分布位置廣泛、所涉人員眾多。本文介紹的基于多要素的數據安全風險識別方法，能夠為數據安全風險的評估乃至風險防治提供實施思路與要點，如表3所示：一方面，該方法有助于進一步明確風險評估的范圍，推動復雜業(yè)務場景及其生命周期環(huán)節(jié)的解析；另一方面，該方法明確了需要識別、評估的維度與具體要素內容，能夠有效厘清風險評估與分析的目標，從數據資產識別、法律法規(guī)遵從、數據處理活動、數據流轉、數據載體或支撐環(huán)境等方向開展評估工作，創(chuàng)建可視的業(yè)務流、數據流，推動構建清晰的評估與分析邏輯，并通過建立風險要素分析矩陣，識別數據安全風險，判斷風險等級是否可接受。

表3 基于多要素的數據安全風險識別方法

以信貸業(yè)務的授信申請流程為例。如圖3所示，該業(yè)務為銀行等提供貸款服務的機構最典型的業(yè)務場景之一，業(yè)務人員的操作流程涉及到查看額度、身份認證、證件上傳、實名認證、活體識別、信息采集、電子簽章、提交申請等具體動作，流程覆蓋了數據的采集、傳輸與存儲等環(huán)節(jié)。其中，由于業(yè)務必需，高價值的個人金融信息一經采集，需要被存儲于銀行的數據庫中，面臨被內部人員或非授權人員導出、非法竊取等安全隱患。

圖3 信貸業(yè)務的授信申請流程圖

為有效評估該場景下個人金融信息數據面臨的數據安全風險，按照本文介紹的基于多要素的數據安全風險識別方法，對數據安全風險要素進行識別。

數據價值高低、數據安全需求受影響的程度、已有安全措施的狀態(tài)共同決定了數據安全風險的影響程度。數據的真實性、一致性、完整性，一方面決定了數據本身的價值，另一方面影響了具體業(yè)務場景下的數據安全風險表現形式。在信貸業(yè)務場景下，一旦數據的真實性、完整性、一致性受損，這意味著存在授信流程中的身份認證環(huán)節(jié)存在安全缺陷、采集的身份信息數據為機器人注冊等問題，可能導致機構面臨數據造假、數據不可用、未經授權的用戶修改數據等安全風險。數據安全需求與數據的價值形成正比，數據的價值越高，其安全需求就越高。以授信場景進行活體識別的個人生物識別信息為例，其本身是敏感的個人信息，一旦被泄露或濫用，易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。因此，這類數據及其載體、處理活動均具有極高的保密性、完整性、可用性、可控性、合規(guī)性需求，這也要求組織對于基于業(yè)務必需產生的數據采集、傳輸以及存儲等環(huán)節(jié)，不僅需要關注業(yè)務、業(yè)務系統(tǒng)及其他載體的穩(wěn)定性，還需要關注各環(huán)節(jié)已有的技術與管理措施是否安全、合規(guī)。一旦已有安全措施的狀態(tài)不足以滿足其安全需求，例如在授信場景下，處理敏感個人信息的業(yè)務人員未接受保密意識教育或者未簽訂保密協議，可能導致其誤操作刪除、違規(guī)外發(fā)敏感個人信息，導致關鍵業(yè)務不可用、侵害用戶權益、組織面臨監(jiān)管合規(guī)處罰等安全風險。數據安全風險的實際影響程度主要受以上三種要素共同影響，數據價值越高，其安全需求越高，已有的安全措施與其安全需求的要求偏離越大，數據安全風險一旦發(fā)生則將對組織產生極大的影響。

威脅的等級高低、數據全生命周期的脆弱性分布情況共同決定了數據安全風險發(fā)生的可能性。威脅的來源、頻率與能力直接構成威脅的等級。貸款授信業(yè)務中涉及大量用戶的個人身份信息、賬戶信息等敏感數據，數據價值較高，面臨被內部或外部不法分子竊取、倒賣牟利的威脅動機，而無論是能夠利用漏洞、缺陷進行頻繁攻擊的犯罪分子，還是已被授權可隨時訪問、獲取數據的業(yè)務人員，均具備構成高級威脅的能力，可能導致數據泄露頻繁發(fā)生、業(yè)務服務屢屢被中斷等數據安全風險。數據在全生命周期環(huán)節(jié)中均面臨固有的脆弱性問題，例如數據在傳輸階段可能面臨由于敏感數據傳輸未加密被攔截竊取、密鑰丟失等脆弱性問題，而數據在存儲階段則可能面臨由于敏感數據明文存儲、存儲介質不可靠、數據備份不可用等脆弱性問題引發(fā)潛在的安全風險。這也要求組織的已有安全措施除了滿足安全需求以外，還需要有針對性地排查、預防各業(yè)務場景所涉及的生命周期環(huán)節(jié)內的脆弱性問題，防止高級威脅頻繁利用已知、已有的缺陷，構成風險事件。此外，數據全生命周期各環(huán)節(jié)涉及的設備、人員眾多，同樣加劇了數據安全風險發(fā)生的可能性。以授信業(yè)務場景下的數據存儲環(huán)節(jié)為例，身份認證、證件上傳、實名認證、活體識別等多個動作內環(huán)節(jié)均涉及數據存儲，實際業(yè)務開展中可能由不同系統(tǒng)對數據進行處理，數據存儲于不同位置，任一位置、環(huán)節(jié)的安全措施未滿足安全需求(例如：敏感數據明文存儲、數據庫缺少審計及異常操作告警機制等)，導致缺陷被威脅頻繁成功利用(例如：運維人員違規(guī)訪問、外發(fā)明文的敏感數據等)，構成極高的數據安全風險發(fā)生的可能性。

綜上，本文介紹的基于數據安全風險要素的識別方法，不僅能夠識別與分析威脅、脆弱性與已有安全措施對數據的機密性、完整性、可用性的直接影響，進而分析風險發(fā)生的可能性以及影響，還能夠分析數據及其各生命周期階段面臨的威脅、脆弱性與已有安全措施對其涉及的業(yè)務、數據處理活動的影響，防止因未有效關聯分析各個風險要素導致的數據安全風險識別與實際情況存在滯后或偏差的情況，推動后續(xù)的風險處置，實現風險管理閉環(huán)。

此外，根據該識別方法，同樣可以窺見未來數據安全風險防治相關的技術工具的發(fā)展方向：基于數據資產、威脅、脆弱性、已有安全措施因素的動態(tài)變化前提，數據安全風險檢測工具應關聯用戶、設備、應用等多維信息，識別、分析數據安全風險要素狀態(tài)，在數據采集層充分獲取數據信息，在處理層、引擎分析層應提取賬號、用戶、設備、應用、數據、IP等影響數據安全風險關鍵要素的元素，對采集的日志進行數據標準化處理或對采集的流量進行解析和信息提取，并進一步發(fā)現、識別敏感數據，分析脆弱性、威脅，持續(xù)對檢測結果進行驗證和回饋，最終在運營層通過對所有用戶和實體的行為基于時間序列的跟蹤、畫像，形成可視化態(tài)勢安全運營，將用戶與實體的數據活動可視化。

5 結語

數據安全風險的全面治理離不開科學、有效的數據安全風險評估，數據安全風險的識別與評估是開展數據安全風險管控的第一步，評估的結果是風險處置與監(jiān)控的重要輸入。數據安全風險的識別與管控還需要持續(xù)面向組織的業(yè)務開展，著眼于數據的全生命周期，有針對性地盤點、分析不同環(huán)節(jié)的風險要素，從技術、管理角度提供關鍵控制點，實現對整體風險敞口的最大控制。

本文總結了數據安全風險相關的研究工作，基于風險的基本特性分析了數據安全風險的關鍵要素，介紹了一種基于多要素的數據安全風險識別方法。數據安全風險識別與評估方法需要持續(xù)面向不同的行業(yè)典型的數據應用場景，提升數據安全風險識別與評估方法的適用性，提供更多維度的風險評估思路以及更多要素的風險識別方法。