为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
如今,对数据进行有效的安全管控是企业释放数据资产价值的必要前提,如何组织好数据、保护好数据,已成为企业数据管理和应用的重要挑战,这就和数治网小编一起从选取的三个试点案例中取经。
一、数据资产管理与技术验证实践经验
(一)院内试点业务场景概述
复旦大学附属中山医院(以下简称“中山医院”)成立于1937年,是国家卫生健康委员会委属事业单位,同时是复旦大学附属的三级甲等综合性教学医院。在医学中心、医学科创中心等建设任务的引领下,中山医院不仅积极响应国家战略,还通过大数据和人工智能战略,构建了基于混合云的现代信息基础设施,实施了大数据平台建设和数据治理。
在本次风险评估试点工作中,挑选了两个不同的医疗典型场景作为评估对象,一个是“上海中山医院APP”,另一个是“科研专病库”。上述两个场景是医院中极具代表性的面向不同使用角色、不同使用场景、开放程度截然不同的典型代表场景。
- 上海中山医院APP
“上海中山医院APP”是中山医院面向患者提供的在线预约挂号、查询、复诊等场景下的对外服务的应用,属于患者在线查询数据和移动应用调用数据的典型代表场景。
- 科研专病库
“科研专病库”是院内利用现有的大数据平台上搭建的专病库数据平台,面向内部医生提供对特定的病例分析、专项病研究结果,属于临床研究、医生调用数据的典型代表场景。
通过对这两个场景开展风险评估试点工作,可以帮助院内团队沉淀并提取同类型场景的数据安全评估经验,为后续开展其他系统的数据安全检查工作提供技术支撑和实践经验。同时通过对试点工作中发现的安全问题进行安全加固的专项课题研讨,有助于切实提升这两个场景的数据安全能力水平,实现以评促建的建设模式。
(二)试点工作内容概述
本次试点工作中,调研团队主要采取问卷调研+技术验证的两个方式来进行现有数据安全措施情况的摸底。
在问卷调研方面,主要参考依据为《TC260-PG-20231A 网络安全标准实践指南——网络数据安全风险评估实施指引》,项目团队通过专题研讨的方式,对指南问题调研项进行了详细的梳理和问题初筛,将明显不适用项,如:云数据安全、数据公开等问题项等进行剔除,进一步精简评估问题项。通过前期细致的解读和理解,将整个问题项缩减了近3/4,每个场景中基本可能只需要在详细调研100+项问题即可以快速判断是否存在高危风险问题。
在技术工具验证方面,院内充分意识到了数据安全风险评估工作,需要在传统网络安全检测工具(漏扫、渗透等)的基础之上,有效利用数据安全检测的技术手段,规避仅通过调研问卷,依旧会存在主观意识、评估结果不可保障、过度依赖人员能力等问题。
这次工作中,多方调研并实际采用了数据安全的专项技术工具,比如:数据跨平台过程交互管理检测系统、数据资产自动化梳理平台等。通过实际测试验证,有效证明合理利用好这些数据安全技术检测平台,可以节省大量人工验证的成本,提升检测评估的效率和准确性。
比如,在数据资产梳理和分类分级打标这部分工作中,前期在保障不影响业务的情况下,引入数据资产自动化梳理平台,通过平台自动化的完成数据打标签工作,然后再对打标的结果进行人工二次的复核,“科研专病库”和“上海中山医院APP”共计近3万多个字段,整体梳理完毕的时间耗时不到1天,大幅度提高了效率。此外,因为“上海中山医院APP”会涉及到大量的API接口调用HIS数据的场景,API接口的安全性和通过API接口流转数据的记录的全面有效性非常关键。
试点工作小组通过数据跨平台过程交互管理检测系统对该场景下的API接口安全的专项验证有效的获取了当前应用开放接口、数据调用规模、调用方式等一系列的安全监测。因为这次的典型业务场景中,均会涉及到三方应用开发商,所以试点工作团队利用检测系统内置的数据权限脚本,进行了权限技术探查工作,通过技术探测的结果,发现不同应用开发商对于本身的数据安全管理权限存在明显的差异,这对于后续指导进行供应商安全管理提供支撑依据。
(三)试点优秀经验说明
1、数据资产管理平台:数据资产梳理和分类分级
在进行数据安全风险评估的过程中,通过引入数据资产管理平台,有效地对“上海中山医院APP”和“科研专病库”两个业务系统进行了数据识别和分级打标的工作。引入的数据资产管理平台不仅降低了根据院内实际的数据安全分级诉求的人工梳理成本,提高了自动化程度和处理效率,而且输出了详尽的数据分类分级报告。这些报告为后续的数据安全评估工作和重要数据的定期梳理上报工作提供了坚实的技术支撑,帮助全面认识和评估系统内包含的数据类型,包括哪些数据属于敏感数据,并实现了敏感数据的自动识别与分级。
此外,团队通过深入学习和解读数据分类分级政策法规和标准规范,不仅沉淀了行业知识和标准,形成了完善的分类分级方法论,还转化为中山医院匹配院内业务的系统发现模版和智能化识别数据的打标模型。一方面,能够更针对性地发现目标数据,通过快速落地和反复迭代完成数据分类分级工作,另一方面,结合数据流动使用场景,推动规划建立了一套常态化的分类分级流程和机制,真正做到既能满足合规诉求又能保障自身数据价值的未来需求。
在本次风险评估试点工作中,平台基于医疗行业分类分级模版,生成了丰富多维的可视化资产数据,包括业务类型数、数据库、数据表、字段等,强化了资产分类分级数据的可视化。这让院内可以更直观地了解数据资产对应的业务类型、分类结果、字段分级、敏感指数等,为数据安全合规提供了基础支撑,并加强了对重要数据和个人信息合规性的可视化图表分析,如图所示。
图1 数据资产梳理可视化示意图
2、数据跨平台过程交互管理检测系统:API安全监测、数据权限检查
由于本次挑选的“上海中山医院APP”内部数据流通主要是通过API的方式调用。因此,通过引入技术手段对数据通过API方式进行交互和数据取数用数行为是验证调研结果准确性的重要环节。本次引入的数据跨平台过程交互管理检测系统,具备对于API接口本身的安全检测能力、API调取数据的可视能力,并且内置了多种数据权限的探测脚本,可以直观展示当前的用户权限情况。
试点心得
(1)选择专业的API数据流转监测工具:选择专业的API数据流转监测工具至关重要。这样的工具通常能够自动化地发现并测试API端点,包括但不限于检查身份验证、授权检查、数据加密、以及针对常见漏洞的测试。
(2)定制化检测策略:根据不同的应用场景和API特性,定制化检测策略。例如,对于敏感数据交换较多的API,增加数据加密和权限验证的检测力度;对于公开API,重点检测防止SQL注入、跨站脚本(XSS)等常见的网络攻击。
(3)持续监控与评估:API接口的传输信息、传参在业务使用过程中经常容易有变更或失活。因此对数据调用的API接口进行实时、持续地监控和评估尤为重要。通过自动化工具实现对API获取数据的接口的持续监控,确保任何变更都能即时被检测和评估,以保障API安全性。
(4)整合到CI/CD流程:将API安全检测整合到持续集成/持续部署(CI/CD)流程中,确保在软件开发生命周期的每个阶段都能进行安全检测,及时发现并修复安全漏洞。
3、数据权限探查的应用经验
数据权限控制是数据安全的另一个关键环节,确保只有授权用户才能访问特定的数据。数据跨平台过程交互管理检测系统里内置的权限探查脚本可以帮助审查和管理数据库和文件系统的权限设置。
试点心得
(1)自动化权限审查:引入系统后,通过内置的探测脚本,可以自动化地审查数据库和文件系统的权限配置。这包括检查哪些用户或角色具有对特定数据的访问权限,是否存在过度授权的情况。
(2)精细化权限管理:通过系统的帮助,实施了更加精细化的权限管理策略。例如,根据最小权限原则,确保用户仅能访问其执行职责所必需的数据,避免不必要的数据访问风险。
(3)定期权限审计:定期使用系统的数据权限脚本进行权限审计,检查和纠正权限配置的偏差。这帮助及时发现和解决潜在的数据访问安全问题。
(4)整合到数据安全架构中:将系统探测出的数据权限结果与数据安全架构和策略相整合,确保数据访问控制的策略得到有效执行,并与组织的数据安全需求保持一致。
通过上述经验的应用,不仅提高了数据通过API接口方式进行交换的安全性,而且加强了业务、人员获取敏感数据的身份管理、权限控制,从而全面提升了数据安全管理的水平,也为后续的数据安全工作提供参考指导。
二、建立健全数据安全能力评估与提升体系
随着大数据时代来临,国家围绕数字经济、数据要素市场等做出一系列战略部署,明确将大数据战略上升为国家战略重点。“数据二十条”出台,将数据与土地等传统要素列为核心生产要素,并要求加快培育要素市场,强调重点提升社会数据资产价值。各行业数字化程度亦日益深化,绝大多数企业已逐渐意识到了数据的重要性,并积极获取数据,开展应用,积累了大量的数据资源。
为有效发现数据安全隐患,防范数据安全风险,保障数据有效保护、合法利用、有序流通,国泰君安证券股份有限公司在本次网络数据安全风险评估以《网络安全标准实践指南 网络数据安全风险评估实施指引》《信息安全技术 数据安全风险评估方法(征求意见稿)》等标准指南为基础,在试点工作组的指导下,聚焦智慧化数据中台,有序开展评估工作,并归纳总结了评估经验。
(一)有效识别外规要求,全面梳理评估清单
国家监管机构对信息科技风险的管控趋势逐年表现为强监管,我国相关法律法规立法进程亦持续深化,其中,《网络安全法》《数据安全法》《个人信息保护法》在整体数据安全保护体系中构建了三大法规支柱。此外,《证券期货业网络和信息安全管理办法》《证券期货业数据安全管理与保护指引》《证券公司网络和信息安全三年提升计划(2023-2025)》等行业监管要求及指引的不断出台,对证券公司的数据安全保护能力提出了更高的要求。全国网络安全标准化技术委员会也于2023年5月发布了《网络安全标准实践指南—网络数据安全风险评估实施指引》,对企业的网络数据安全风险评估工作进行了指导。
图1 国内数据安全相关法律法规及监管要求进程
聚焦网络数据安全相关风险的评估及管控,参照行业标准与领先实践,数据安全管理需要从数据生命周期的各阶段出发,对数据安全风险进行有效识别与跟踪,持续提升企业自身的管理及技术能力。
在评估准备阶段中,公司对外部法律法规、监管要求及标准指引进行了全面梳理,并以《网络安全标准实践指南—网络数据安全风险评估实施指引》作为主要参考范本,进行了300余条整体评估项的设计,构建了整体网络数据安全风险评估框架。
(二)明确锚定评估范围,迅速组建评估团队
本次评估以《网络安全标准实践指南 网络数据安全风险评估实施指引》为主要范本,其评估项的颗粒度相对较细,涉及的安全域及子域相对较广。在给定的时间及资源配置下,为保障本次风险评估的质效、有效开展数据安全风险的深度排查,需科学选定评估范围,从集团整体业务中确定优先级较高的区域,开展针对性风险评估。
公司在集团全域数据统一纳管及数据分类分级的基础上,对各业务与系统的数据及相关处理情况进行了初步研判。通过对数据量级、数据敏感程度、数据处理复杂程度、系统重要性、涉及风险类别等维度的综合判定,公司选定了慧化数据中台作为本次评估的重点对象,在当前行业数据分类分级的整体框架下,平台纳管数据最高等级为三级,并涉及数据的存储、使用、加工、传输、删除等多个环节。
在明确评估范围的同时,公司积极组建评估队伍。在项目启动阶段,我司即成立了本次评估项目的专项工作小组,并联合外部专业评估咨询团队,共同推进评估工作的开展。为保障风险评估各领域全覆盖,确保评估人员具备必要经验和技能,本次网络数据安全风险评估团队涵盖了数据安全专家、数据治理专家、数据合规专家、系统管理员、网络工程师、数据工程师等相关方,各团队间密切协调,确保了评估的规范性、全面性以及与公司管理目标的一致性。
(三)识别数据安全风险,构建风险管理闭环
识别评估数据安全风险,需以收集、传输、存储、使用、删除、销毁等环节为切入点,围绕管理要求、管控点、管理流程,应用并运营一系列技术手段。我司的数据安全保护体系围绕数据全生命周期,提供20种技术手段,涵盖身份认证、权限管控、操作管控、行为审计四大技术能力,通过多种技术手段组合或复用实现数据安全保护。
这些技术手段涉及到数据全生命周期的各个环节,例如:在数据收集阶段,提供了网络准入及设备准入;在数据传输阶段,提供了透明传输加密、链路加密、端到端加密;在数据存储阶段,提供了数据库漏洞风险检测、数据库操作行为审计及管控等;在数据使用阶段,提供了堡垒机管控、动静态脱敏、API监测、自适应零信任、隐私计算等。
评估过程中,公司构建了网络数据安全风险识别与分析的整体流程框架,对四大类、300余项评估项逐一进行判别,并出具评估记录及问题项判定。在此基础上,评估团队根据安全类别及安全子类进行了风险项的聚合,并逐一进行了风险类别、风险危害程度(含针对社会秩序、组织权益、个人权益的影响程度)、风险发生可能性的综合性分析,进行各风险项的风险等级判定,形成风险分析清单。
图2 网络数据安全风险识别与分析
针对已识别的各项风险,评估团队针对性地提出了风险处置整改建议,并进一步提炼总结,对共性问题进行深度剖析,完成了整体风险概览的汇报工作。同时,评估团队亦将风险等级、风险紧迫性、风险整改周期、整改技术成本、整改人员投入等多个维度纳入考量范围,并绘制阶梯性整改计划。
未来,公司拟成立专项管理团队。一方面,对风险项进行整改情况的跟踪与再评估,推进网络数据安全风险的常态化管理。另一方面,将已验证的评估方法进一步推广至其他业务和系统板块,拓展网络数据安全管理半径,构建长效管理机制,持续保障公司网络数据的安全、稳定运行。
三、数据安全风险评估探索与创新
上海数据集团有限公司(以下简称“数据集团”)是以数据为核心业务的具有功能保障属性的市场竞争类市属一级国企。作为上海市公共数据授权运营主体和城市一体化大数据资源基础治理的支撑主体,以推进数据要素市场建设、激发数据要素潜能、保障数据安全为战略使命,以促进公共数据、社会数据、个人数据融合开发利用为主责主业,聚焦数字产业化、产业数字化和推动数据产业生态发展,践行“数据治理体系共建者、数据资源体系开拓者、数字经济发展引领者、数字政府建设推动者、国际数据合作先行者”的责任担当,致力于成为世界一流的数据要素型企业。
数据集团积极参与并认真落实本次网络数据安全风险评估试点工作,从评估准备、信息调研、风险识别、风险分析和评价、评估总结等方面均积累了实践经验,主要包括以下四个方面:
(一)设定数据安全风险评估目标:以评促建,以改促优
数据集团高度重视安全管理,将数据安全作为业务发展的重要基石。安全建设方面,数据集团遵循“技术为基、管理为要、制度为体、文化为魂”工作原则,按照“1+6+X”(1个体系、6大模块、X项任务)总体架构,重点围绕组织、制度、技术、机制、文化、能力等,有序推进数据安全建设。实施落地上,数据集团将网络数据安全风险评估试点工作作为能力提升的重要契机,主动响应、积极参加试点,明确了“以评促建,以改促优”的两大要求,设定了“治理风险、提升能力、共享经验”三大目标:
1、治理风险
通过试点工作充分识别、及早发现潜在的数据安全隐患,更加主动地防范、治理和管控数据安全风险。
2、提升能力
通过试点工作有效驱动、有力带动数据业务部门、关键人员、核心系统的安全协同能力,提高数据业务的安全运营能力。
3、共享经验
通过试点工作充分积累、细致总结实践经验,探索可复制、可推广的方法工具,助力助推行业整体数据安全水平提升。
(二)运行数据安全风险评估项目:统一组织,统筹开展
1、研究评估方法
针对数据安全风险评估实践参考相对缺失的痛点,数据集团通过研究国家标准、提炼评估方法、输出指标体系,确保评估工作“有依据、有方法、有指标”。制定《数据安全风险评估方法与指标研究推进表》,推动研究成果按计划输出;形成《数据安全风险评估全要素矩阵表》,实现评估工作有载体支撑。
2、组建评估团队
针对数据安全风险评估组织开展相对复杂的难点,数据集团组建了多部门拉通、多角色参与的数据安全风险评估团队,确保评估工作的代表性、充分性和有效性。具体地,由数据集团安全管理部门牵头,明确被评估方、评估方构成。被评估方为数据业务部门从事具体数据业务的各关键岗位人员;评估团队为非业务和非利益相关方,包括数据集团安全管理部门的数据安全专职人员、数据业务部门的安全岗位人员、所属企业的数据安全专家人员,既考虑评估人员的独立性,又兼顾业务活动的熟悉度。
3、强化评估管理
针对数据安全风险评估任务配置相对弹性的特点,数据集团全面引入项目管理方法,采用全要素拆解、全过程跟踪的项目化运作模式,确保关键事项及时推进、重要节点按时达成。制定《网络数据安全风险评估试点项目化管理表》,探索和应用风险评估辅助工具,将试点各个阶段和目标进行拆分,形成一条条具体的工作项、里程碑、责任人,保障了试点工作全面落地、按期完成。
4、落地评估应用
针对数据安全风险评估问题整改相对隔离的盲点,数据集团采用分类分级、定岗定人的方法,根据风险项、风险等级和影响程度,设置风险整改承接人员,促进已识别风险进行治理闭环。优先落实短期可实施的整改项,对于短期无法整改的风险项制定工作计划,纳入中长期风险治理过程,促进风险持续改进、安全平稳提升。
(三)践行数据安全风险评估创新:实践探索、孵化创新
1、保障评估质量:从方法到工具
在评估方法创新方面,数据集团立足指标研究和量化分析,参考国标细化了风险评估项和评估步骤,并对风险进行量化赋值,定性定量结合开展风险分析与评价,总结出完整评估方法,形成《数据安全风险评估工作手册》《网络数据安全风险评估表》《网络数据安全风险分析表》等一套线下实操工具。
2、提升评估效能:从线上到线下
在评估方式创新性方面,数据集团针对评估工作进行工具化开发,自研网络数据安全风险评估矩阵表、数据安全风险评估辅助工具(DSRAS)。工具涵盖全要素评估项,丰富且实用,可满足自评估和外评估、线下评估和线上评估等不同场景需求。
图1 数据安全风险评估—评估管理(线上)
图2 数据安全风险评估-风险管理(线上)
(四)促进数据安全风险评估实施:企业落地,行业推广
为促进数据安全风险评估的落地扎根,数据集团将试点工作转化为常态工作,将试点成果转化为管理抓手,在内部使用和外部共享中对方法和工具不断迭代优化、释放价值。
1、集团本部
将数据安全风险评估管理要求,嵌入到数据部门、数据平台的数据安全管理中,实施定期评估持续消减风险,支撑数据集团核心业务安全运营。
2、所属企业
将数据安全风险评估经验积累,赋能到所属企业、重要项目的数据安全治理中,开展专项评估强化风险管理,促进集团整体安全能力增强。
将数据安全风险评估方法工具,分享到数据行业、国有企业的数据安全建设中,组织技术沙龙推广方法工具,助力行业生态安全水平提升。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索数据安全等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。
