任興 王英杰 李冰

關(guān)鍵詞：數(shù)據(jù)安全；數(shù)據(jù)安全評估；數(shù)據(jù)安全策略；數(shù)據(jù)安全治理；能力成熟度模型

0 引言

隨著信息技術(shù)的發(fā)展，通過網(wǎng)絡(luò)收集、存儲、傳輸、處理等方式產(chǎn)生的各種數(shù)據(jù)迅猛增長，并成為重要的市場經(jīng)濟(jì)要素，但開展數(shù)據(jù)應(yīng)用的同時也面臨著諸多安全隱患，數(shù)據(jù)安全與否已成為數(shù)據(jù)應(yīng)用成敗的關(guān)鍵。為了確保數(shù)據(jù)的保密性、完整性和可用性，需要評估其數(shù)據(jù)安全能力，并采取相應(yīng)的措施來保護(hù)數(shù)據(jù)[1]。

基于GB∕T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》國家標(biāo)準(zhǔn)的相關(guān)要求，通過數(shù)據(jù)安全能力成熟度模型（以下簡稱DSMM） 量化和評估不同方面的能力指標(biāo)[2]，詳細(xì)了解數(shù)據(jù)安全現(xiàn)狀，定位數(shù)據(jù)安全能力短板，建立數(shù)據(jù)安全治理體系。因此，數(shù)據(jù)安全能力評估已成為發(fā)展數(shù)據(jù)安全的重要組成部分。

1 DSMM 的基本概念

1.1 DSMM 概述

DSMM是基于成熟度模型的思想，用于衡量組織在數(shù)據(jù)安全方面的能力水平。它由一系列能力層次和指標(biāo)組成，每個層次和指標(biāo)都代表了不同的數(shù)據(jù)安全能力水平。通過評估各個指標(biāo)的實(shí)際情況，可以判斷組織在數(shù)據(jù)安全方面的成熟度水平。

1.2 DSMM 構(gòu)建過程

DSMM構(gòu)建包括確定能力層次和指標(biāo)、制定評估方法和工具以及確定評估標(biāo)準(zhǔn)和指南。在構(gòu)建過程中，需要綜合考慮組織的需求和實(shí)際情況，確保模型的適用性和有效性。

2 數(shù)據(jù)安全評估方案設(shè)計

2.1 確定評估流程

1） 評估準(zhǔn)備階段，主要開展數(shù)據(jù)安全評估的前期準(zhǔn)備工作，準(zhǔn)備評估相關(guān)的過程文件，制定具體的評估計劃等工作。

2） 現(xiàn)場評估階段，主要開展數(shù)據(jù)資產(chǎn)梳理、制度收集、過程域裁剪、人員訪談、資料審查、系統(tǒng)測試等工作。

3） 評估分析階段，負(fù)責(zé)分析整理現(xiàn)場評估階段的輸出物，逐項(xiàng)對照DSMM指標(biāo)要求，進(jìn)行綜合評定，輸出不符合項(xiàng)以及對應(yīng)的提升建議。需要滿足個人信息保護(hù)和數(shù)據(jù)保護(hù)的法律法規(guī)、標(biāo)準(zhǔn)等要求和滿足相關(guān)方的數(shù)據(jù)保護(hù)要求，以及通過技術(shù)和管理手段，保證自身控制和管理的數(shù)據(jù)安全風(fēng)險可控[3]。

4） 報告編制階段，負(fù)責(zé)進(jìn)行評估內(nèi)容的審核、報告編寫、報告評審以及結(jié)果匯報等工作。

2.2 確定評估范圍和指標(biāo)

2.2.1 評估范圍

基于DSMM的數(shù)據(jù)安全評估主要是按照組織機(jī)構(gòu)的數(shù)據(jù)資產(chǎn)生命周期過程，對組織建設(shè)、制度流程、技術(shù)工具以及人員能力四個能力維度進(jìn)行評估。評估范圍如圖1所示。

2.2.2 評估指標(biāo)

評估指標(biāo)是用以評估數(shù)據(jù)安全目標(biāo)實(shí)現(xiàn)程度的數(shù)據(jù)安全相關(guān)活動和過程的單位，基于評估內(nèi)容確定評估權(quán)重并賦予分值，定義詳細(xì)評估指標(biāo)[4]。

1） 數(shù)據(jù)安全能力維度

①組織建設(shè)：設(shè)立數(shù)據(jù)安全組織，明確職責(zé)、權(quán)限、標(biāo)準(zhǔn)、各相關(guān)人員進(jìn)行溝通協(xié)作。

②制度流程：建立數(shù)據(jù)安全的行為規(guī)范和執(zhí)行流程。

③技術(shù)工具：數(shù)據(jù)安全生命周期涉及的技術(shù)工具，是獨(dú)立的功能、算法技術(shù)或工具。

④人員能力：利用相關(guān)技術(shù)工具，對組織業(yè)務(wù)運(yùn)營過程中的數(shù)據(jù)安全風(fēng)險進(jìn)行監(jiān)測、識別、預(yù)警和處置的能力。

2） 數(shù)據(jù)安全過程維度

數(shù)據(jù)安全過程維度是由30個過程域組成，覆蓋了數(shù)據(jù)的全生命周期管理范圍，包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全以及通用安全過程域[2]。

①數(shù)據(jù)采集安全：系統(tǒng)內(nèi)部生成的數(shù)據(jù)以及從外部采集的數(shù)據(jù)，并保證數(shù)據(jù)采集階段的安全。

②數(shù)據(jù)傳輸安全：數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個實(shí)體通過網(wǎng)絡(luò)流動到另一個實(shí)體的過程的安全。

③數(shù)據(jù)存儲安全：數(shù)據(jù)以任何數(shù)字格式進(jìn)行存儲的階段的安全。

④數(shù)據(jù)處理安全：對組織內(nèi)的原始數(shù)據(jù)進(jìn)行整理、清洗、轉(zhuǎn)換、分析和可視化等操作階段安全[5]。

⑤數(shù)據(jù)交換安全：組織內(nèi)部進(jìn)行數(shù)據(jù)交換的階段的安全。

⑥數(shù)據(jù)銷毀安全：對數(shù)據(jù)及數(shù)據(jù)存儲介質(zhì)通過相應(yīng)操作手段，使數(shù)據(jù)在徹底刪除后無法通過任何手段恢復(fù)的過程安全。

⑦通用安全：數(shù)據(jù)合規(guī)等貫穿整個數(shù)據(jù)生命周期的過程安全。

3） 詳細(xì)評估指標(biāo)

2.3 開展評估實(shí)施

2.3.1 準(zhǔn)備工作

通過線上遠(yuǎn)程交流和網(wǎng)上信息調(diào)研的方式，詳細(xì)了解評估對象的數(shù)據(jù)安全能力建設(shè)情況。準(zhǔn)備評估項(xiàng)目所需材料，就評估項(xiàng)目有關(guān)事項(xiàng)進(jìn)行確認(rèn)。

2.3.2 現(xiàn)狀調(diào)研

對評估對象進(jìn)行深入了解和分析，在數(shù)據(jù)全生命周期的各個階段中識別重要數(shù)據(jù)資產(chǎn)，主要工作內(nèi)容包括：

1） 系統(tǒng)分析：了解重要信息系統(tǒng)情況，從業(yè)務(wù)角度、系統(tǒng)角度、數(shù)據(jù)角度描述信息系統(tǒng)功能、架構(gòu)、流程及供應(yīng)鏈情況，明確系統(tǒng)涉及的部門、人員以及相關(guān)的管理制度和制度落實(shí)情況。

2） 數(shù)據(jù)梳理：識別重要數(shù)據(jù)（包括隱私類數(shù)據(jù)），數(shù)據(jù)業(yè)務(wù)屬性、表現(xiàn)形式、存儲位置等。

3） 現(xiàn)有制度收集：數(shù)據(jù)安全相關(guān)的制度體系文件，是否覆蓋生命周期管理；數(shù)據(jù)安全工作的落地執(zhí)行情況，是否有相關(guān)制度文件的記錄性文檔等。

4） 過程域裁剪：依據(jù)實(shí)際業(yè)務(wù)情況，在數(shù)據(jù)生命周期的30個過程域中，對不適用的過程域進(jìn)行裁剪。

2.3.3 開展評估

1） 人員訪談

對相關(guān)人員進(jìn)行訪談，以促進(jìn)對被評估單位數(shù)據(jù)安全能力管理情況的分析與了解，掌握業(yè)務(wù)基本情況，結(jié)合其他評價方法和手段，對訪談了解掌握的信息進(jìn)行驗(yàn)證，以確定實(shí)際的運(yùn)行現(xiàn)狀。包括以下內(nèi)容：

了解被評估單位對數(shù)據(jù)安全的看法及要求，明確數(shù)據(jù)安全建設(shè)目標(biāo)。

了解被評估單位數(shù)據(jù)安全建設(shè)現(xiàn)狀及存在的問題。

了解平臺建設(shè)、運(yùn)維管理中的數(shù)據(jù)安全現(xiàn)狀及存在的問題。

了解被評估單位數(shù)據(jù)日常運(yùn)營，使用流程的現(xiàn)狀及存在的問題。

了解工作人員、支撐廠商人員在數(shù)據(jù)安全方面的日常行為及安全意識的現(xiàn)狀。

2） 文檔查閱

由被評估單位提供其與數(shù)據(jù)安全相關(guān)的電子材料和文檔材料（數(shù)據(jù)安全頂層規(guī)劃、數(shù)據(jù)安全方針策略、數(shù)據(jù)安全制度規(guī)范、數(shù)據(jù)安全審批流程、數(shù)據(jù)安全培訓(xùn)教材以及數(shù)據(jù)安全產(chǎn)品技術(shù)相關(guān)的技術(shù)方案、配置策略、部署方式、日志記錄、執(zhí)行表單等），評估人員審核相關(guān)文檔材料是否涵蓋適用的數(shù)據(jù)全生命周期所涉及過程域的相關(guān)具體要求。

3） 配置檢查

依據(jù)被評估單位所提供的技術(shù)材料，登錄相關(guān)的系統(tǒng)平臺，檢查其配置屬性是否符合相應(yīng)的安全要求，是否與技術(shù)材料保持一致。配置檢查主要包括以下內(nèi)容：

是否使用服務(wù)最小化原則，是否關(guān)閉不必要的服務(wù)和端口。

內(nèi)、外網(wǎng)之間、重要的網(wǎng)段之間是否進(jìn)行了必要的隔離措施。

防火墻配置策略是否正確。

入侵檢測設(shè)備配置策略是否正確。

各種設(shè)備配置中是否存在不安全因素。

是否存在僵尸賬戶。

權(quán)限分配是否合理。

是否有完善的日志審計策略是否完善。

備份/恢復(fù)策略是否完善。

4） 工具測試

利用專業(yè)的數(shù)據(jù)安全評估工具箱對系統(tǒng)平臺進(jìn)行測試，驗(yàn)證其是否有數(shù)據(jù)安全相關(guān)的漏洞，其數(shù)據(jù)安全策略是否配置合理，是否符合數(shù)據(jù)安全能力成熟度的技術(shù)要求。

①漏洞掃描

利用專業(yè)掃描工具檢查平臺系統(tǒng)的脆弱性，從而識別能被入侵者用來非法入侵的系統(tǒng)漏洞。掃描內(nèi)容包括：

信息收集，識別主機(jī)與受限主機(jī)。

發(fā)現(xiàn)和漏洞掃描，全面的端口掃描，服務(wù)和應(yīng)用程序的指紋識別。

掃描系統(tǒng)是否存在了弱口令的情況。

②滲透測試

滲透測試用于識別可能被利用的安全漏洞。主要目標(biāo)是防止未經(jīng)授權(quán)地訪問、更改或利用系統(tǒng)。滲透測試針對已知的漏洞或跨應(yīng)用程序發(fā)生的常見模式，不僅發(fā)現(xiàn)軟件缺陷，還發(fā)現(xiàn)網(wǎng)絡(luò)配置中的弱點(diǎn)。

5） 旁站驗(yàn)證

評估人員在現(xiàn)場通過實(shí)地觀察評估對象的相關(guān)人員的操作過程、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、執(zhí)行流程等方面的安全情況。

2.4 編制評估報告

通過分析整理現(xiàn)場評估輸出物，對照評估指標(biāo)要求進(jìn)行評定，提出不符合項(xiàng)以及對應(yīng)的提升建議，并編制評估報告《數(shù)據(jù)安全評估報告》，內(nèi)容包含：評估范圍、評估方式和周期、評估過程記錄、評估結(jié)論。

3 結(jié)束語

本論文提出了基于DSMM的數(shù)據(jù)安全評估方案設(shè)計，該方案通過評估組織在數(shù)據(jù)安全能力方面的成熟度水平，幫助組織全面了解其數(shù)據(jù)安全現(xiàn)狀，并提供改進(jìn)建議，為后續(xù)制定改進(jìn)策略提供依據(jù)。