以評(píng)估為抓手提升數(shù)據(jù)安全水平

2023-09-16 13:27:50魏光輝

經(jīng)濟(jì) 2023年9期

魏光輝

近年來(lái)，我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展如火如荼。數(shù)字經(jīng)濟(jì)已經(jīng)成為我國(guó)經(jīng)濟(jì)高質(zhì)量發(fā)展的重要增量，工信領(lǐng)域是數(shù)字經(jīng)濟(jì)發(fā)展的先導(dǎo)區(qū)和主陣地，也是我國(guó)做大做強(qiáng)數(shù)字經(jīng)濟(jì)的主力軍。在工信領(lǐng)域?qū)用?，主要包括三方面的?shù)據(jù)，分別是工業(yè)、電信和無(wú)線(xiàn)電數(shù)據(jù)。在工業(yè)數(shù)據(jù)方面，隨著第四次工業(yè)革命浪潮驅(qū)動(dòng)以人工智能為代表的技術(shù)發(fā)展，數(shù)據(jù)量急劇增加，數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源的地位日益凸顯。

作為數(shù)字經(jīng)濟(jì)深入發(fā)展的核心引擎，數(shù)據(jù)要素面臨的威脅與日俱增，包括數(shù)據(jù)篡改、破壞、泄露，以及非法獲取和非法利用，關(guān)系國(guó)家安全、公共利益和組織的合法權(quán)益。當(dāng)前，數(shù)據(jù)安全事件頻發(fā)，工信數(shù)據(jù)成為重點(diǎn)攻擊目標(biāo)，比如2022年3月，匿名者黑客團(tuán)伙聲稱(chēng)已成功入侵了俄羅斯能源巨頭Rosneft?Deutschland?GmbH，并從中竊取了20TB的數(shù)據(jù)；2022年3月，日本豐田汽車(chē)的零部件供應(yīng)商遭受勒索病毒攻擊，導(dǎo)致豐田14家工廠(chǎng)28條生產(chǎn)線(xiàn)停工一天；希臘最大的電信網(wǎng)絡(luò)公司Cosmote發(fā)生重大數(shù)據(jù)泄露事件，大量用戶(hù)的個(gè)人信息遭泄露。工信領(lǐng)域數(shù)據(jù)安全已成為事關(guān)國(guó)家安全和社會(huì)發(fā)展的重大問(wèn)題。

目前來(lái)看，工信領(lǐng)域數(shù)據(jù)安全的典型風(fēng)險(xiǎn)主要有幾個(gè)方面。第一是數(shù)據(jù)暴露面風(fēng)險(xiǎn)。在當(dāng)前的數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的背景下，智能化、網(wǎng)聯(lián)化和數(shù)字化的進(jìn)程不斷推進(jìn)，一定會(huì)帶來(lái)更多的新場(chǎng)景、新業(yè)態(tài)，極大增加了工信領(lǐng)域數(shù)據(jù)資產(chǎn)的暴露面，可能會(huì)面臨更多的危險(xiǎn)。

第二是勒索病毒攻擊風(fēng)險(xiǎn)。從目前公布出來(lái)的事件來(lái)看，每年勒索病毒事件的數(shù)量和勒索給企業(yè)帶來(lái)的損失逐年有較大比例提升，勒索病毒攻擊已經(jīng)成為一個(gè)產(chǎn)業(yè)鏈，對(duì)于工信領(lǐng)域帶來(lái)的風(fēng)險(xiǎn)非常嚴(yán)峻。

第三是關(guān)鍵數(shù)據(jù)載體安全風(fēng)險(xiǎn)。主要是兩個(gè)層面，一是數(shù)據(jù)中心、云平臺(tái)、骨干網(wǎng)絡(luò)、移動(dòng)平臺(tái)等這些關(guān)鍵載體面臨復(fù)雜的權(quán)限控制、接口安全、違規(guī)操作等安全風(fēng)險(xiǎn)。二是國(guó)外高端工業(yè)裝備存在漏洞、后門(mén)等潛在風(fēng)險(xiǎn)，尤其是工業(yè)領(lǐng)域，一些高端裝備嚴(yán)重依賴(lài)國(guó)外的產(chǎn)品，在日常運(yùn)維和故障診斷過(guò)程中，他們可能能夠接觸到很多的日志或者生產(chǎn)參數(shù)等信息，這些都能給企業(yè)帶來(lái)很大的風(fēng)險(xiǎn)。

第四是供應(yīng)鏈安全風(fēng)險(xiǎn)。開(kāi)發(fā)、集成、運(yùn)維、運(yùn)營(yíng)、第三方服務(wù)等供應(yīng)商、服務(wù)商在開(kāi)展服務(wù)過(guò)程中能接觸到很多數(shù)據(jù)處理者的真實(shí)數(shù)據(jù)，數(shù)據(jù)管控挑戰(zhàn)較大，在大型頭部企業(yè)和政府機(jī)關(guān)中風(fēng)險(xiǎn)比較突出。

第五是個(gè)人信息保護(hù)風(fēng)險(xiǎn)?？赡艽嬖谶`法收集、過(guò)度收集、非法提供、非法使用加工等個(gè)人信息保護(hù)風(fēng)險(xiǎn)。

以評(píng)估為抓手提升數(shù)據(jù)安全水平

2021年《中華人民共和國(guó)數(shù)據(jù)安全法》正式施行。在工信領(lǐng)域，工業(yè)和信息化部在去年出臺(tái)了工信領(lǐng)域數(shù)據(jù)安全管理辦法，今年1月1日正式施行，全面銜接并細(xì)化了數(shù)據(jù)安全法里面的制度。其中的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度，打通了涵蓋重要數(shù)據(jù)識(shí)別、目錄備案、安全防護(hù)、預(yù)警及處置、風(fēng)險(xiǎn)評(píng)估等工作的全環(huán)節(jié)監(jiān)管流程，明確了具體的啟動(dòng)條件、開(kāi)展頻次、具體流程等。

開(kāi)展風(fēng)險(xiǎn)評(píng)估，對(duì)于企業(yè)、行業(yè)和國(guó)家都有不同的促進(jìn)意義。對(duì)企業(yè)來(lái)講，可以發(fā)現(xiàn)隱藏的威脅和脆弱性，及時(shí)識(shí)別安全風(fēng)險(xiǎn)，幫助企業(yè)制定針對(duì)性的安全策略和數(shù)據(jù)安全目標(biāo)，以及數(shù)據(jù)安全體系制度的建設(shè)與完善，確保數(shù)據(jù)資產(chǎn)的有效利用和數(shù)據(jù)風(fēng)險(xiǎn)的安全可控。對(duì)于行業(yè)，是行業(yè)主管部門(mén)落實(shí)監(jiān)管職能的重要抓手，可以保障行業(yè)的發(fā)展戰(zhàn)略、關(guān)鍵技術(shù)等重要數(shù)據(jù)不受到非法侵害，能夠促進(jìn)數(shù)據(jù)流動(dòng)，推動(dòng)數(shù)字化轉(zhuǎn)型升級(jí)。在國(guó)家層面，通過(guò)“以評(píng)促建、以評(píng)促改、以評(píng)促管”壓實(shí)數(shù)據(jù)安全保護(hù)主體責(zé)任，切實(shí)履行數(shù)據(jù)安全保護(hù)義務(wù)，助力維護(hù)國(guó)家安全，保障社會(huì)秩序和公眾利益，有效推動(dòng)數(shù)字經(jīng)濟(jì)安全健康發(fā)展。

說(shuō)到數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，首先介紹下風(fēng)險(xiǎn)管理模型。在安全管理工作中，沒(méi)有絕對(duì)的安全，所有的安全都是符合企業(yè)自身發(fā)展情況下的相對(duì)安全。在這個(gè)理論前提下，企業(yè)開(kāi)展安全管理的本質(zhì)就是發(fā)現(xiàn)風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和監(jiān)測(cè)風(fēng)險(xiǎn)，確保風(fēng)險(xiǎn)可以控制在企業(yè)能夠接受的“相對(duì)安全”范圍內(nèi)。安全風(fēng)險(xiǎn)受到內(nèi)外部威脅、數(shù)據(jù)資產(chǎn)的價(jià)值、安全弱點(diǎn)和安全措施四個(gè)方面影響，內(nèi)外部威脅對(duì)安全弱點(diǎn)加以利用，就形成了安全風(fēng)險(xiǎn)，數(shù)據(jù)資產(chǎn)的價(jià)值越高，所帶來(lái)的風(fēng)險(xiǎn)也就越大。而安全管理的作用，就是針對(duì)風(fēng)險(xiǎn)采取安全措施，防范內(nèi)外部威脅，把風(fēng)險(xiǎn)降低到我們可以接受的程度。

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)踐

工信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估體系方面，目前已編制了《工業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《電信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，明確了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估原則、流程和內(nèi)容等，同時(shí)形成了規(guī)范化的評(píng)估報(bào)告模板，為機(jī)構(gòu)開(kāi)展評(píng)估或者企業(yè)自評(píng)估工作提供實(shí)施指引。

評(píng)估流程方面，包括組建評(píng)估團(tuán)隊(duì)、確定評(píng)估范圍、制定評(píng)估方案、實(shí)施風(fēng)險(xiǎn)評(píng)估、形成評(píng)估報(bào)告等環(huán)節(jié)。

評(píng)估內(nèi)容方面，主要包括合規(guī)性評(píng)估和安全風(fēng)險(xiǎn)分析兩部分內(nèi)容。合規(guī)性評(píng)估由合法正當(dāng)性評(píng)估、基礎(chǔ)安全性評(píng)估、數(shù)據(jù)全生命周期管理評(píng)估三部分組成，重點(diǎn)分析數(shù)據(jù)處理的種類(lèi)、數(shù)量、目的、方式、范圍以及保障能力等是否符合法律、行政法規(guī)要求。安全風(fēng)險(xiǎn)分析由風(fēng)險(xiǎn)源識(shí)別、安全影響分析、綜合風(fēng)險(xiǎn)研判三部分組成，通過(guò)綜合分析數(shù)據(jù)處理活動(dòng)面臨的威脅、所采取的保障措施情況以及發(fā)生數(shù)據(jù)泄露、損毀、丟失等安全事件后產(chǎn)生的影響范圍、程度等因素，綜合研判數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)等級(jí)。

在具體實(shí)踐方面，以某企業(yè)為例，該單位具有核心數(shù)據(jù)一項(xiàng)，為核心技術(shù)源代碼數(shù)據(jù)；重要數(shù)據(jù)三項(xiàng)，為網(wǎng)聯(lián)數(shù)據(jù)、線(xiàn)索數(shù)據(jù)和客戶(hù)數(shù)據(jù)；并從一般數(shù)據(jù)中抽選了三項(xiàng)，為采購(gòu)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)和運(yùn)營(yíng)數(shù)據(jù)。評(píng)估團(tuán)隊(duì)對(duì)這七項(xiàng)數(shù)據(jù)開(kāi)展了評(píng)估，發(fā)現(xiàn)其中三個(gè)數(shù)據(jù)項(xiàng)的風(fēng)險(xiǎn)級(jí)別為中，四個(gè)數(shù)據(jù)項(xiàng)風(fēng)險(xiǎn)級(jí)別為低，企業(yè)總體數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等級(jí)為“良”。

也借這個(gè)機(jī)會(huì)介紹下電子五所在數(shù)據(jù)安全方面的研究與積累。一是有力支撐了各級(jí)數(shù)據(jù)安全主管（監(jiān)管）部門(mén)的制度供給、標(biāo)準(zhǔn)研制、監(jiān)督檢查及產(chǎn)業(yè)研究等工作。二是建立了涵蓋咨詢(xún)規(guī)劃、檢測(cè)評(píng)估、培訓(xùn)宣貫、安全審計(jì)、安全運(yùn)營(yíng)等要素的數(shù)據(jù)安全綜合服務(wù)能力，為行業(yè)企業(yè)持續(xù)提供優(yōu)質(zhì)服務(wù)。