數(shù)據(jù)安全審計方法與內(nèi)容的探索

石永

[摘要]本文依據(jù)數(shù)據(jù)安全技術和模型，建立以數(shù)據(jù)安全生命周期審計為中心，組織管理、網(wǎng)絡安全等級保護、數(shù)據(jù)安全分級和運行環(huán)境為支撐的數(shù)據(jù)安全審計框架。數(shù)據(jù)安全生命周期審計依據(jù)DSMM模型將生命周期分為數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀六個階段，建立覆蓋數(shù)據(jù)全生命周期的安全審計體系。

[關鍵詞] DSMM? ?生命周期? ?數(shù)據(jù)安全? ?審計方法

根據(jù)作為生產(chǎn)要素，可按貢獻決定報酬，數(shù)據(jù)已成為國家基礎性戰(zhàn)略資源。不斷推進數(shù)據(jù)開發(fā)共享，加強數(shù)據(jù)資源整合和安全保護，提升數(shù)據(jù)資源價值，已成為數(shù)字經(jīng)濟時代的趨勢。

一、數(shù)據(jù)安全

根據(jù)國標的定義，數(shù)據(jù)安全專指以數(shù)據(jù)為中心的安全，保護數(shù)據(jù)的可用性、完整性和機密性，還要避免保密數(shù)據(jù)被竊取、監(jiān)控和干擾。近些年，云計算、物聯(lián)網(wǎng)、人工智能等新技術的應用，增加了數(shù)據(jù)安全風險的識別難度，大數(shù)據(jù)時代的數(shù)據(jù)集中和萬物互聯(lián)又增加了數(shù)據(jù)安全風險復雜度，數(shù)據(jù)與經(jīng)濟利益聯(lián)系越來越緊密，以及數(shù)據(jù)共享、挖掘和融合的需求不斷增長，提升了數(shù)據(jù)泄露的風險。

數(shù)據(jù)安全模型方面，國外有IBM提出的DCSM模型（以數(shù)據(jù)為中心的安全模型）和微軟提出的DGPC框架（隱私性、保密性、合規(guī)性）。國內(nèi)有2019年阿里巴巴參與起草的DSMM模型（數(shù)據(jù)安全能力成熟度模型），該模型基于大數(shù)據(jù)環(huán)境提出數(shù)據(jù)安全能力成熟度分級評估方法以及明確的控制措施，見圖1。

DSMM模型借鑒能力成熟度模型（CMM）的思想，由安全能力維度、能力成熟度等級維度和數(shù)據(jù)安全過程維度組成。其中，數(shù)據(jù)生存周期安全分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個階段;組織機構在數(shù)據(jù)安全領域需具備組織建設、制度流程、技術工具、人員能力四個安全能力維度;數(shù)據(jù)安全成熟度分為非正式執(zhí)行、計劃跟蹤、充分定義、量化控制、持續(xù)優(yōu)化五個等級。

二、數(shù)據(jù)安全審計框架

（一）組織管理

數(shù)據(jù)安全管理工作實行統(tǒng)一領導，納入單位網(wǎng)絡安全管理架構體系，分為決策、管理和執(zhí)行三個層級。決策層主要負責研究決定數(shù)據(jù)安全和有關數(shù)據(jù)的重大事項，以及和數(shù)據(jù)安全相關的戰(zhàn)略規(guī)劃，統(tǒng)籌管理本單位的數(shù)據(jù)安全工作;數(shù)據(jù)安全管理者主要負責組織協(xié)調(diào)資源配置、相關數(shù)據(jù)安全制度的制定、考核辦法制定及實施考核;數(shù)據(jù)安全具體執(zhí)行人員主要負責技術支持、安全防護和事件處置。應重點關注數(shù)據(jù)安全管理機制是否建立、是否有效運行，數(shù)據(jù)管理職責是否明確，數(shù)據(jù)安全管理是否與單位所面臨的安全風險相匹配。通過數(shù)據(jù)安全制度及安全技術措施對數(shù)據(jù)安全生命周期進行管控，使數(shù)據(jù)安全管理過程實現(xiàn)統(tǒng)一標記、認證、授權。

（二）網(wǎng)絡安全等級保護

網(wǎng)絡安全指通過采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞，非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性。信息安全技術之網(wǎng)絡安全等級保護適用于指導非涉密對象的安全建設和監(jiān)督管理，規(guī)定了等級保護第一級到第四級保護對象的安全通用要求和安全擴展要求。

網(wǎng)絡安全等級保護分為技術要求和管理要求，其中技術要求分為安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心;管理要求分為安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。以網(wǎng)絡安全等級保護審計為例，物理環(huán)境關注機房防盜和監(jiān)控系統(tǒng)，以及多路供電線路等;網(wǎng)絡通信關注子網(wǎng)劃分合理性，邊界訪問控制策略有效性，不同網(wǎng)絡間的訪問控制策略，數(shù)據(jù)傳輸保密性、完整性，敏感數(shù)據(jù)明文傳輸?shù)取?/p>

（三）數(shù)據(jù)安全分級

數(shù)據(jù)分級是開展數(shù)據(jù)安全管理的起點，數(shù)據(jù)分級管理依據(jù)數(shù)據(jù)的重要程度以及數(shù)據(jù)發(fā)生丟失、泄露、被篡改、被毀損事件的影響范圍和程度。進一步明確數(shù)據(jù)保護，有利于單位合理劃分安全防護資源，制定有針對性的安全管理措施。數(shù)據(jù)分級分類管理應具備可執(zhí)行性、時效性、差異性和客觀性，遵循未經(jīng)過脫敏處理的數(shù)據(jù)不可降級使用等規(guī)則，判定數(shù)據(jù)分級是否合理主要考慮影響對象和影響程度兩個因素。

數(shù)據(jù)分級的安全影響評估要綜合考慮數(shù)據(jù)內(nèi)容、規(guī)模、來源和所屬業(yè)務特點，重點評估數(shù)據(jù)保密性、完整性和可用性方面的影響。數(shù)據(jù)分級之后，要在數(shù)據(jù)內(nèi)容、規(guī)模、使用、加工處理等因素發(fā)現(xiàn)變化時及時重新評估。數(shù)據(jù)分級是對數(shù)據(jù)資源的一次重新梳理，為數(shù)據(jù)安全管理打下基礎，所以數(shù)據(jù)安全管理審計要關注數(shù)據(jù)分級過程是否合法、合規(guī)、合理，數(shù)據(jù)分級結果是否滿足數(shù)據(jù)安全技術防范的要求，安全控制措施是否具有針對性和差異化，防護措施能否發(fā)揮數(shù)據(jù)的價值和共享性。

（四）運行環(huán)境

數(shù)據(jù)安全審計中的運行環(huán)境重點關注數(shù)據(jù)環(huán)境運維管理的規(guī)范性、運行維護人員訪問控制的安全性以及運行環(huán)境設備設施變更管理、問題管理、故障管理等操作的規(guī)范性。故障管理關注重要設備設施發(fā)生故障的處理是否及時有效、記錄是否完整，是否存在長期未解決的問題。另外，還要重點關注運行維護人員賬戶權限管理是否符合“最小”原則，設備、主機、系統(tǒng)和應用的口令是否定期更換，是否存在弱口令、默認口令和口令固化在源代碼中，是否存在多人共用賬戶和閑置賬戶。運行環(huán)境中是否存在多余的系統(tǒng)服務、默認共享、高危端口、高危漏洞，以及不可控網(wǎng)絡環(huán)境終端的遠程連接管理。系統(tǒng)日志審計功能是否啟用，內(nèi)容是否滿足監(jiān)督管理需要，有無違規(guī)外聯(lián)管理手段和檢查，有無外來設備接入安全性檢測，有無應急預案應急培訓和應急演練等。

三、生命周期審計

DSMM模型將數(shù)據(jù)生命周期分為數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀六個階段，應建立覆蓋數(shù)據(jù)全生命周期的安全管理體系，實施數(shù)據(jù)安全控制技術，防范和控制數(shù)據(jù)處理風險，采取有效的技術手段和組織措施保障數(shù)據(jù)安全。生命周期審計應重點關注數(shù)據(jù)安全防護機制的建立和統(tǒng)一的數(shù)據(jù)安全防護架構標準和規(guī)范。

（一）數(shù)據(jù)采集與傳輸

數(shù)據(jù)采集過程應保證數(shù)據(jù)的準確性和完整性，涉外數(shù)據(jù)應對其合規(guī)性、完整性和真實性進行確認。關注數(shù)據(jù)采集的接口是否規(guī)范、安全，有無對數(shù)據(jù)完整性進行校驗。數(shù)據(jù)采集應明確數(shù)據(jù)源、采集數(shù)據(jù)的范圍和頻度，簽訂隱私條款、合約協(xié)議，開展數(shù)據(jù)安全評估等，確保數(shù)據(jù)采集合法合規(guī)，明確采集的責任與義務。

數(shù)據(jù)傳輸過程依據(jù)數(shù)據(jù)分級對傳輸信道進行加密或?qū)＞€傳輸，以保障數(shù)據(jù)傳輸?shù)臋C密性。數(shù)據(jù)傳輸過程存在傳輸中斷、篡改、偽造等安全風險。傳輸通道建立前，應采取技術措施對傳輸主體進行身份鑒別和認證。

（二）數(shù)據(jù)存儲與處理

數(shù)據(jù)存儲重點關注數(shù)據(jù)的完整性和可用性。數(shù)據(jù)存儲可能存在敏感數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)丟失等數(shù)據(jù)安全風險，所以應明確保存期限，加強數(shù)據(jù)存儲過程安全防護，落實存儲數(shù)據(jù)的可用性、完整性和持久性。涉及數(shù)據(jù)遷移的，應制訂詳細的遷移計劃，進行數(shù)據(jù)兼容性和數(shù)據(jù)有效性驗證，保障遷移后數(shù)據(jù)的完整性、機密性和可用性。建立數(shù)據(jù)備份和恢復策略，落實數(shù)據(jù)備份、恢復策略和操作流程，規(guī)范數(shù)據(jù)備份范圍、方式、頻率保存期限等，定期測試備份數(shù)據(jù)的有效性，防范和控制數(shù)據(jù)系統(tǒng)安全風險。數(shù)據(jù)恢復的安全控制措施還應包括訪問控制、人員權限、監(jiān)督復核等。

數(shù)據(jù)處理重點關注規(guī)范性和安全性。數(shù)據(jù)處理涉及數(shù)據(jù)訪問、導出、展示、聚融合、公開披露等，數(shù)據(jù)處理前應進行數(shù)據(jù)脫敏處理，尤其是在開發(fā)環(huán)境中使用的數(shù)據(jù)，數(shù)據(jù)脫敏技術包括屏蔽、去標識化、匿名化等。數(shù)據(jù)使用時應對用戶身份進行標識和鑒別，明確數(shù)據(jù)處理權限策略，關注有無多余、臨時賬戶與共用賬戶情況，有無用戶操作日志，且日志內(nèi)容是否滿足監(jiān)管需求。數(shù)據(jù)處理應按照數(shù)據(jù)分級差異化管理，建立審批機制，確保數(shù)據(jù)處理過程安全可控，防止數(shù)據(jù)泄露。

（三）數(shù)據(jù)交換與銷毀

數(shù)據(jù)交換安全包括傳輸時的數(shù)據(jù)安全性、數(shù)據(jù)溯源和隱私保護，數(shù)據(jù)交換應遵循合法合規(guī)、最小夠用原則。數(shù)據(jù)交換應制定交換流程，明確交換過程中的傳輸、保管和使用職責，同時應履行交換審批手續(xù)，明確交換過程數(shù)據(jù)加密和脫敏策略，并確保數(shù)據(jù)交換過程可追溯。

數(shù)據(jù)銷毀要明確操作規(guī)程和操作方式，對操作效果進行評估和核驗。數(shù)據(jù)存儲介質(zhì)銷毀應集中實施，履行清點、登記和審批手續(xù)，對于超出保存期限的數(shù)據(jù)應及時刪除和銷毀，經(jīng)審批臨時使用完畢的數(shù)據(jù)，應統(tǒng)一進行清理。

（作者單位：中國人民銀行烏魯木齊中心支行，郵政編碼：830001，電子郵箱：517512182@qq.com）

主要參考文獻

魯金鈿，肖睿智，金舒原.云數(shù)據(jù)安全研究進展[J].電子與信息學報， 2020（8）：11