隨著《數(shù)據(jù)安全法》等一系列法律法規(guī)的頒布實施，我國網絡空間的法律法規(guī)秩序體系逐步完善，網絡安全工作邁入了新時代。在促進關鍵信息基礎設施和數(shù)字經濟發(fā)展的同時，需要進一步提升數(shù)據(jù)安全保障能力、風險發(fā)現(xiàn)能力，確保數(shù)據(jù)安全風險可控在控，對切實維護國家主權、國家安全和社會發(fā)展利益等方面具有重大意義。

　　一、數(shù)據(jù)安全的理解與風險評估需求

　　（一）數(shù)據(jù)安全的理解

　　《數(shù)據(jù)安全法》第三條，給出了數(shù)據(jù)安全的明確定義，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。結合定義，應該從廣義和狹義兩個角度理解數(shù)據(jù)安全概念內涵。

　　廣義地說，數(shù)據(jù)安全作為國家重要戰(zhàn)略基礎資源時的安全要義，主要是根據(jù)數(shù)據(jù)在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，確定數(shù)據(jù)安全定義。狹義地說，數(shù)據(jù)安全一是指數(shù)據(jù)本身及數(shù)據(jù)處理活動的安全性，主要包括數(shù)據(jù)本身保密性、完整性和可用性，以及圍繞數(shù)據(jù)處理活動的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的安全性考慮。二是數(shù)據(jù)支撐環(huán)境以及防護措施的安全，主要包括數(shù)據(jù)載體、防護設備、加解密算法等主動防護措施。

　?。ǘ?shù)據(jù)面臨的安全風險

　　1. 數(shù)據(jù)合規(guī)安全風險

　　數(shù)據(jù)安全合法合規(guī)已經成為企業(yè)對數(shù)據(jù)進行處理的原則和底線，但大部分企業(yè)的數(shù)據(jù)安全合規(guī)體系建設還處于起步狀態(tài)，對違規(guī)所帶來的風險缺乏相應的評估機制，可能存在潛在的數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)篡改、數(shù)據(jù)濫用等安全風險。

　　2. 關鍵信息基礎設施數(shù)據(jù)安全風險

　　目前，關鍵信息基礎設施運營者（以下簡稱“運營者”）重要數(shù)據(jù)的全生命周期保護嚴重不足，未建立起有效的防護體系機制。尤其是個人信息保護方面，未采取有效的數(shù)據(jù)防篡改和防外泄手段 , 一旦攻擊者成功獲取服務器權限后，可隨意竊取、篡改和刪除重要數(shù)據(jù)，造成大面積敏感信息泄露。此外，運營者在供應鏈開發(fā)、運維等環(huán)節(jié)數(shù)據(jù)保護方面存在缺陷，導致系統(tǒng)“帶病上線”的情況，形成攻擊者竊取數(shù)據(jù)的重要突破口。

　　3. 數(shù)據(jù)出境安全風險

　　數(shù)據(jù)的跨境流動是數(shù)據(jù)價值最大化的必經之路，數(shù)據(jù)出境是必然趨勢，其安全風險也是其派生的產物。數(shù)據(jù)出境的風險重點來源于數(shù)據(jù)出境的合規(guī)類風險。企業(yè)在出境業(yè)務穩(wěn)定發(fā)展的前提下，要保證出境數(shù)據(jù)不存在違反國家法規(guī)標準要求的風險，尤其是數(shù)據(jù)在出境前、傳輸過程和數(shù)據(jù)落地的過程中是否存在違法風險，以及數(shù)據(jù)出境后接收方對數(shù)據(jù)的保護是否存在數(shù)據(jù)濫用風險等都是需要重點關注的問題。

　?。ㄈ?shù)據(jù)安全風險評估需求

　　為了了解目前國內關鍵信息基礎設施行業(yè)對數(shù)據(jù)安全風險評估的理解以及需求，中國信息安全測評中心從數(shù)據(jù)安全面臨的風險、重點關注數(shù)據(jù)安全方向、保護數(shù)據(jù)類型等方面，對國家水利、電力、能源等行業(yè)進行了實際調研，梳理形成以下共性需求。

　　1. 數(shù)據(jù)安全法出臺后的合法性評估需求

　　《數(shù)據(jù)安全法》的出臺使得數(shù)據(jù)不僅擁有了“價值”屬性，也具備了“法律”屬性。調研結果表明，各行業(yè)明確將數(shù)據(jù)安全的合法合規(guī)情況作為未來一段時間內的重點工作，企業(yè)管理者開始關注面臨的數(shù)據(jù)安全風險以及如何實現(xiàn)數(shù)據(jù)安全合規(guī)。對于企業(yè)管理者來講，目前最緊急的工作是需要全面開展數(shù)據(jù)安全風險評估，找出是否存在違法的情況以及和法律要求之間的差距，從而為數(shù)據(jù)安全建設和治理提供依據(jù)。

　　2. 關鍵信息基礎設施數(shù)據(jù)的評估需求

　　關鍵信息基礎設施運營者對數(shù)據(jù)安全評估的需求主要有以下幾點。一是需要通過風險評估促進運營者開展數(shù)據(jù)分類分級制度體系建設和重點保護措施的落實，做到重要數(shù)據(jù)和核心數(shù)據(jù)重點保護，明確保護對象范圍，厘清保護責任和保護主體；二是需要通過風險評估找出可能導致重要數(shù)據(jù)失竊、泄露、破壞的安全隱患，降低重要數(shù)據(jù)一旦遭受攻擊后可能帶來的惡劣影響，尤其是涉及國家政治安全、經濟安全以及民生安全的重要數(shù)據(jù)和個人信息；三是需要通過風險評估促進數(shù)據(jù)安全防御體系的改進提升，檢驗當前的數(shù)據(jù)安全防護措施是否有效，防護體系是否可以滿足當下的網絡安全形勢，最終達到“以評促建”，提升整體數(shù)據(jù)安全防御體系的目的。

　　3. 數(shù)據(jù)出境傳輸?shù)陌踩u估需求

　　出境數(shù)據(jù)的主要評估需求點集中在：一是數(shù)據(jù)跨境傳輸安全評估，根據(jù)不同地區(qū)的監(jiān)管要求、數(shù)據(jù)敏感度和數(shù)據(jù)使用情況，需要為數(shù)據(jù)傳輸、訪問、監(jiān)控、跟蹤以及跨技術棧的存儲等方面建立不同的技術控制措施，同時還需要具備報告和監(jiān)測的能力，對其安全防護措施有效性進行評估；二是出境數(shù)據(jù)合規(guī)性評估，評估企業(yè)是否建立適當?shù)目刂拼胧?，來應對跨境?shù)據(jù)傳輸和數(shù)據(jù)本地化是否符合以上相關國內法律的要求，從而最終為數(shù)據(jù)出境業(yè)務保駕護航。

　　二、數(shù)據(jù)安全風險評估整體框架

　?。ㄒ唬?shù)據(jù)安全風險評估總體框架

　　在新時代背景下，數(shù)據(jù)安全風險評估也應具備時代特性。數(shù)據(jù)安全風險評估的發(fā)展一定是以《數(shù)據(jù)安全法》為根本出發(fā)點，以網絡安全風險評估的理論框架為準繩，且風險評估的內容和指標將圍繞數(shù)據(jù)為核心對象，以發(fā)現(xiàn)數(shù)據(jù)安全風險為主要目的。數(shù)據(jù)安全風險評估不應該以某個標準作為基準來設置評估項，也無法固化出一個固定模式去開展，主要是由于數(shù)據(jù)是一類特殊的評估對象，是具備動態(tài)性的，隨著數(shù)據(jù)在不同環(huán)境下的流動，其面臨的安全風險也是不同的。應當圍繞被評估的特定數(shù)據(jù)對象數(shù)據(jù)資產、數(shù)據(jù)所面臨的威脅和脆弱性，綜合開展風險評估找出其在特定威脅環(huán)境下所面臨的風險。其風險評估方法理論和模式應該是多樣性的，適用于不同環(huán)境和目標。

　　本文提出的數(shù)據(jù)安全風險評估，有其獨特的視角和思路，重點解決某一類安全需求，主要以發(fā)現(xiàn)國家關鍵信息基礎設施行業(yè)數(shù)據(jù)安全方面的大風險、大隱患為主要目的，在數(shù)據(jù)識別、法律遵從、數(shù)據(jù)處理、支撐環(huán)境和特殊場景數(shù)據(jù)跨境流動安等方面開展風險評估。其主要思路為：首先對業(yè)務進行梳理、理清數(shù)據(jù)資產、確認數(shù)據(jù)資產范圍及重要程度，這是風險評估的基礎，因此數(shù)據(jù)識別安全重點是進行數(shù)據(jù)資產的識別摸底工作。其次在梳理數(shù)據(jù)處理活動風險時，首先考慮是否存在違法行為風險，依據(jù)已發(fā)布的法律法規(guī)進行法律遵從性評估。在滿足合法性的基礎上進而開展數(shù)據(jù)處理活動的風險評估工作，一方面，是數(shù)據(jù)自身的風險發(fā)現(xiàn)，另一方面，是承載數(shù)據(jù)所需環(huán)境的風險發(fā)現(xiàn)。在風險發(fā)現(xiàn)過程中，一旦涉及數(shù)據(jù)的跨境流動和數(shù)據(jù)主權風險，將以數(shù)據(jù)跨境流動為重點關注場景，開展數(shù)據(jù)跨境流轉的風險評估工作，評估數(shù)據(jù)跨境流動過程中的數(shù)據(jù)安全風險。數(shù)據(jù)安全風險評估結果可作為數(shù)據(jù)安全治理、監(jiān)督、審計和評價的重要參考依據(jù)。

　　圖 數(shù)據(jù)安全風險評估總體框架

　?。ǘ?shù)據(jù)安全風險評估核心內容

　　1. 數(shù)據(jù)識別安全評估

　　數(shù)據(jù)識別是數(shù)據(jù)安全評估的基礎。通過對數(shù)據(jù)的識別，可以確定數(shù)據(jù)在業(yè)務系統(tǒng)的內部分布、確定數(shù)據(jù)是如何被訪問的、當前的數(shù)據(jù)訪問賬號和授權狀況。數(shù)據(jù)識別能夠有效解決運營者對數(shù)據(jù)安全狀況的摸底管理工作?；趪?、行業(yè)的法律法規(guī)及標準要求，數(shù)據(jù)識別通常包括業(yè)務流識別、數(shù)據(jù)流識別、數(shù)據(jù)安全責任識別和數(shù)據(jù)分類分級識別。

　　2. 數(shù)據(jù)安全法律遵從性評估

　　數(shù)據(jù)安全符合相關法律要求是開展一切數(shù)據(jù)處理活動的前提和基礎，也是最受關注的安全保障能力之一。數(shù)據(jù)安全風險評估不能完全避免數(shù)據(jù)安全風險的發(fā)生，但可以減少違法違規(guī)行為的發(fā)生。本文中的數(shù)據(jù)安全法律遵從性評估核心在于依據(jù)國家、行業(yè)的法律法規(guī)及標準要求，重點評估運營者及其他數(shù)據(jù)處理者關于數(shù)據(jù)安全在相關法律法規(guī)中的落實情況，包括個人信息保護情況、重要數(shù)據(jù)出境安全情況、網絡安全審查情況、密碼技術落實情況、機構人員的落實情況、制度建設情況、分類分級情況、數(shù)據(jù)安全保障措施落實情況，以及其他法律法規(guī)、政策文件和標準規(guī)范落實情況等。法律遵從性評估的目的不僅在于應對風險，更多的是在于找出差距，驅動數(shù)據(jù)安全建設合法化，完善數(shù)據(jù)安全治理體系。

　　3. 數(shù)據(jù)處理安全評估

　　數(shù)據(jù)處理安全的評估是圍繞數(shù)據(jù)處理活動的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)開展。主要針對數(shù)據(jù)處理過程中收集的規(guī)范性、存儲機制安全性、傳輸安全性、加工和提供的安全性、公開的規(guī)范性等開展評估。

　　4. 數(shù)據(jù)環(huán)境安全評估

　　數(shù)據(jù)環(huán)境安全是指數(shù)據(jù)全生命周期安全的環(huán)境支撐，可以在多個生命周期環(huán)節(jié)內復用，主要包括主機、網絡、操作系統(tǒng)、數(shù)據(jù)庫、存儲介質等環(huán)境基礎設施。針對數(shù)據(jù)支撐環(huán)境的安全評估主要包括通信環(huán)境安全、存儲環(huán)境安全、計算環(huán)境安全、供應鏈安全和平臺安全等方面。

　　5. 重要數(shù)據(jù)出境安全評估

　　重要數(shù)據(jù)出境是數(shù)據(jù)安全風險評估所重點關注的風險場景，如果被評估對象中包括數(shù)據(jù)出境的業(yè)務，需要按此部分開展專項評估，重點評估出境數(shù)據(jù)發(fā)送方的數(shù)據(jù)出境約束力、監(jiān)管情況、救濟途徑，以及出境數(shù)據(jù)接收方的主體資格和承諾履約情況等。

　　（三）數(shù)據(jù)安全風險評估綜合判定

　　風險分析的原理主要是通過資產識別、脆弱性識別及威脅識別，分別計算出威脅造成損失的嚴重程度以及該安全事件發(fā)生的可能性，然后利用損失嚴重程度與事件發(fā)生的可能性得到風險值，最后賦予風險等級。

　　分析和確定數(shù)據(jù)全風險的方法是，考慮已知威脅利用數(shù)據(jù)資產已知脆弱性的可能性，以及如果發(fā)生這種利用所產生的后果或不利影響（即危害程度），使用威脅和脆弱性信息以及可能性和后果 /影響信息定性或定量地確定數(shù)據(jù)安全風險。在分析中重點要圍繞“數(shù)據(jù)生命周期”或者“數(shù)據(jù)應用場景”，最終的評估結果是某個業(yè)務或威脅場景之下利用某個資產的某個脆弱性造成某種破壞，該破壞的可能性有多大，破壞后影響有多大，進而綜合評價風險有多大。

　　1. 可能性分析

　　可能性是指攻擊事件可能導致任務能力喪失的概率?？赡苄耘卸☉摽紤]威脅假設，即闡明數(shù)據(jù)資產以及支撐環(huán)境可能面臨的威脅類型，如網絡安全威脅、自然災害或物理安全威脅；還要考慮實際基于業(yè)務場景的數(shù)據(jù)安全脆弱性信息，包括識別的系統(tǒng)、數(shù)據(jù)或支撐環(huán)境的脆弱性；可能性分析要綜合考慮利用漏洞成功利用的難度并將其與威脅信息相結合，在其實際應用場景下確定風險評估過程中成功攻擊的可能性。

　　2. 影響分析

　　影響分析是一個關聯(lián)分析過程，由數(shù)據(jù)所涉及的系統(tǒng)、數(shù)據(jù)的價值以及數(shù)據(jù)被破壞后對組織的影響等因素綜合考慮。影響分析很大程度上要結合脆弱性被威脅利用的可能性，以及被評估單位管理者基于業(yè)務角度對風險的決策的判斷，最終決定對風險是否接受、避免、減輕、分擔或轉移。

　　3. 風險結論

　　數(shù)據(jù)安全風險評估的結論應涵蓋三個層級的風險。一是根據(jù)被評估組織或行業(yè)的性質和重要程度，可形成國家組織或者行業(yè)層面的數(shù)據(jù)安全戰(zhàn)略風險報告。二是根據(jù)關鍵信息基礎設施業(yè)務使命和形式，形成各自企業(yè)層面的數(shù)據(jù)安全風險報告。三是依據(jù)數(shù)據(jù)本身的特點或場景，形成面向系統(tǒng)級別、數(shù)據(jù)級別或者供應鏈級別等重點關注方面的風險評估報告。風險評估的結論應包括潛在破壞數(shù)據(jù)安全的可能性和影響，特定場景和特定數(shù)據(jù)的風險發(fā)生的可能性以及目前現(xiàn)有的數(shù)據(jù)安全防護措施的有效性和差距性，進而為被評估單位數(shù)據(jù)安全系統(tǒng)建設、支撐環(huán)境建設以及數(shù)據(jù)安全整體規(guī)劃做決策依據(jù)。

　　三、數(shù)據(jù)安全風險評估的建議

　?。ㄒ唬?shù)據(jù)安全風險評估相關標準體系存在空缺，需盡快建立完善提供依據(jù)

　　當前，數(shù)據(jù)安全風險評估的通用方法論、標準體系尚未建立，亟需提出數(shù)據(jù)安全風險評估方法，制定數(shù)據(jù)安全風險評估標準來指導數(shù)據(jù)安全風險評估活動，以滿足當前數(shù)據(jù)安全保護的迫切需求。建議在充分借鑒現(xiàn)有標準基礎之上，聚焦國家關鍵信息基礎設施重要行業(yè)、重點領域，在數(shù)據(jù)安全風險評估關鍵環(huán)節(jié)、關鍵業(yè)務場景、關鍵網絡產品和服務等方面進一步細化規(guī)范，提出數(shù)據(jù)安全風險評估實施指南、提出數(shù)據(jù)安全風險評估指標，建設和完善數(shù)據(jù)安全風險評估體系，滿足當前數(shù)據(jù)安全風險評估方法論和評估指標建設的迫切需求，進一步推進數(shù)據(jù)安全政策和法律法規(guī)落地實施。

　?。ǘ?shù)據(jù)資產識別和分類分級存在難度，急需行業(yè)主管部門及企業(yè)自身統(tǒng)籌解決

　　很多企業(yè)數(shù)據(jù)資產類型呈多樣化，數(shù)據(jù)載體分布廣、數(shù)據(jù)源眾多，這些都給數(shù)據(jù)識別和分類分級造成困難。數(shù)據(jù)資產未有效識別，數(shù)據(jù)未科學分類分級使得數(shù)據(jù)安全保護對象不明確，數(shù)據(jù)安全保護要求不清晰，進而影響數(shù)據(jù)安全風險評估的有效開展。因此，數(shù)據(jù)識別和分類分級是數(shù)據(jù)安全保護和風險評估工作的當務之急，應加快推動自上而下數(shù)據(jù)分類分級安全保護制度建設，結合行業(yè)重要數(shù)據(jù)特點和安全保護需求，對數(shù)據(jù)進行準確識別，明確各行業(yè)，尤其是關鍵信息基礎設施所涉及行業(yè)的核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。與此同時，推動數(shù)據(jù)分類分級安全風險評估體系建設，以在數(shù)據(jù)安全保護措施建設初期給予安全風險防范指導，建設完成后用于檢驗成效，使得數(shù)據(jù)安全風險防范的思想貫穿數(shù)據(jù)安全治理的各個環(huán)節(jié)。

　?。ㄈ?shù)據(jù)安全風險評估的健康生態(tài)尚未建立，需各方協(xié)作助力生態(tài)建設

　　多年來對數(shù)據(jù)重要性以及數(shù)據(jù)安全的認知盲區(qū)使得很多企業(yè)在大肆采集個人信息和重要數(shù)據(jù)之后，對數(shù)據(jù)缺少必要的管理，對其所掌握的數(shù)據(jù)資產數(shù)量、敏感程度以及具體分布情況不夠清晰準確，甚至是一無所知，而相應的數(shù)據(jù)安全防護能力建設更加滯后，數(shù)據(jù)安全有效治理的大環(huán)境遠未形成，數(shù)據(jù)安全風險評估的健康生態(tài)也尚未建立。未來需要借助《數(shù)據(jù)安全法》出臺的東風，深入推進數(shù)字基礎設施建設，建立數(shù)據(jù)安全風險評估業(yè)界健康生態(tài)，建立健全適應人工智能、萬物互聯(lián)、跨行業(yè)、跨境數(shù)據(jù)規(guī)范和使用等支持大數(shù)據(jù)關鍵風險評估技術的基礎性研究風險評估基礎方法研究和技術攻關關鍵評估技術裝備，建立適應數(shù)據(jù)安全風險評估發(fā)展需求的人才培養(yǎng)體系。把維護核心數(shù)據(jù)、重要數(shù)據(jù)安全、確保國家經濟金融安全作為底線，形成數(shù)據(jù)安全風險發(fā)現(xiàn)、風險問題責任追究、整改效果考核評價相結合的工作機制，進一步強化數(shù)據(jù)安全風險評估工作閉環(huán)，為生態(tài)建設決策提供支撐。