大数据安全评估与测评技术

大数据安全评估与测评技术 演讲者：刘尧昌 01 政策法规 02 大数据安全 评估与测评 01 政策法规 02 评估与测评 大数据安全 引用炼石网络 ISO27005信息安全风险评估标准 ISO31000风险评估标准 《中华人民共和国数据安全法》 《工业企业数据安全防护要求（草案）》 《工业领域重要数据和核心数据识别规则（草案）》 《工业和信息化领域数据安全管理办法（试行）》 《工业领域数据安全标准体系建设指南（2023版）》（征求意见稿） 《工业数据安全评估指南（草案）》 《数据出境安全评估办法》 GB/T27921-2023《风险管理风险评估技术》GB/T20984-2022《信息安全技术信息安全风 险评估方法》 GB/T31509-2015《信息安全技术信息安全风 险评估实施指南》 GB/T36466-2018《信息安全技术工业控制系统风险评 估实施指南》 GB/T26333-2010《工业控制网络安全风险评估规范》 中华人民共和国个人信息保护法 网络数据安全管理条例（征求意见稿） 网络数据分类分级要求（征求意见稿） 2022年12月，文件再次公开征求意见：新增无线电数据、个人信息保护相关要求。 第一章 总则 第二章数据分类分级管理 目的依据 适用范围 分类分级工作要求分类分级方法 数据定义产业发展 监管机构标准制定 一般数据重要数据核心数据数据目录备案 举报投诉处理 信息上报共享 第三章数据全生命周期安全管理 第四章数据安全监测预警与应急管理 主体责任数据提供 数据收集数据存储 数据使用加工数据转移 委托处理 数据传输 数据公开 跨主体处理 数据销毁 数据出境 日志留存 监测预警机制 应急处置 第五章数据安全检测、认证、评估管理 安全检测与认证安全评估 第六章监督检查 第七章法律责任 第八章附则 保密要求 数据安全审查 监督检查和协助义务 约谈整改个人 信息 法律责任保护 其他政务 规定数据 参照排除 国防 科工施行 烟草日期 领域 •安全检测与认证：鼓励、引导具有相应资质的机构，依据相关标准开展行业数据安全检测、认证工作； •安全评估： •工业和信息化部：制定评估机构管理制度和规范，指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估 等工作； •地方工业和信息化主管部门、通信管理局和无线电管理机构：组织开展本地区数据评估工作； •工业和信息化领域重要数据和核心数据处理者：自行或委托第三方评估机构，每年至少开展一次安全评估，及时整改风险问题，并报送评估报告。 地方通信管理局 促进产业发展推动标准规定 行业（领域）监管部门 督促指导下级单位 工业和信息化部 地方工业 和信息化主管部门 监督管理本地 工业数据处理者 监督管理本地区电信数据处理者 地方无线电管理机构 监督管理本地区无线电数据处理者 《网络数据安全管理条例（征求意见稿）》 第七十三条（四）：核心数据是指关系国家安全、国家经济命脉、重要民生和重大公共利益等的数据； 第七十三条（三）：重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。 1 未公开的政务数据工作秘密、情报数据和执法司法数据; 2 出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据: 3 国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等: 4 工业、电信、能源交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产运行的数据，关键系统组件、设备供应链数据; 5 达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据 6 国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事科研生产单位等重要敏感区域的地理位置、安保情况等数据 7 其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地深海等安全的数据 重要数据识别规则 重要数据描述格式 重要数据处理者的数据安全责任 《网络数据安全管理条例（征求意见稿）》第三十二条： 自行或委托数据安全服务机构 每年一次 于1月31日前提报上一年度数据安全评估报告 企业开展数据安全评估市级网信部门 保留期限：数据处理者应当保留风险评估报告至少三年。 【场景评估】重点评估内容： 1、提供方与接收方的合法性、正当性、必要性 2、泄露、损毁、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险 3、数据接收方背景情况及有效保障数据安全的能力 4、合同中针对数据安全保护义务的有效约束性 5、管理和技术措施的风险防范能力 评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。 【定期评估】年度数据安全评估报告的内容：1、重要数据处理情况 2、发现风险及处置措施 3、管理制度及实施情况，防护措施及有效性 4、国家法律、行政法规和标准落实情况 5、安全事件及处置情况 6、共享、交易、委托处理、向境外提供重要数 据的安全评估情况7、投诉及处理情况 8、国家网信部门和主管、监管部门明确的其他数据安全情况 报告共享：依据部门职责分工，网信部门与有关部门共享报告信息。 目录 CONTENTS 02 大数据安全评估与测评 01 政策法规 基于风险控制的思想是建立自我持续改进和发展的数据安全管理体系，使用合理成本投入达到可接受的数据安全目 标。保护数据资产，将安全事件的损失和影响降到可接受程度。 开展数据安全风险评估，识别、分析和评价风险为处理风险选择控制目标和控制措施 数据安全风险评估在原有信息安全风险评估理论基础上，更多关注于数据资产本身的安全性，呈现出围绕数据资产、强调数据应用场景的特点。其核心是对潜在风险进行发现，包括数据资产类型识别、处理活动合规点识别、已有合规措施识别、数据价值识别、已有技术安全措施识别、脆弱性识别、威胁识别等。 保护对象关注系统资产评估过程关注 资产所在系统安全， 资产所处环境相对静态稳定 保护对象关注数据资产 评估过程关注数据所在应用场景，数据资产所处环境相对复杂变化 数据安全风险评估能够帮助企业发现自身数据安全问题和短板，明确数据安全保护需求，为建设数据安全管理和技术手段指明方向。 静态分析符号执行污点分析模糊测试机器学习 通过对程序源代码或变体（如AST）执行模式匹配，发现疑似风险片段，或者通过反汇编代码中的控制流和数据流等信息分析发现威胁。 通过符号表达式来模拟程序执行，根据不同的分支条件收集路径约束信息，求解出可以触发每个分支的解集合，不断沿着不同分支进行路径探索，发现潜在威胁。 将外部的输入数据标记为污点，通过跟踪和污点数据相关的信息流向，监测他们是否会影响某些关键的程序操作，进而挖掘程序漏洞。 通过向目标系统构建非常规输入数据，通过不断的变异和调整，在执行过程中监控目标程序的异常行为来发现漏洞。 提取风险特征训练机器学习分类器，使其能自动化地识别疑似风险。 生命周期数据安全评估法 •数据采集阶段：数据分级分类、数据采集安全处理、数据源鉴别和记录、数据质量管理； •数据传输阶段：数据传输加密、网络可用性管理； •数据存储阶段：存储媒体安全、逻辑存储安全、数据备份和恢复； •数据处理阶段：数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导入导出安全； •数据交换阶段：数据共享安全、数据发布安全、数据接口安全； •数据销毁阶段：数据销毁处置、存储媒体销毁处置； 在数据通用过程中，加强数据安全策略、组织和人员管理、数据供应链安全、元数据安全、终端数据安全、监控与内部审计、鉴别与访问控制、需求分析、安全事件应急。 场景化数据安全评估法 •数据访问账号和用户权限管理：通过账号专人专用、账号独立、账号授权审批、最小授权、账号及时回收、行为内部审计、定期账号稽核等方式控制； •数据使用过程的访问权限管理：建议批量操作审批、高敏感数据访问审批、批量操作和高敏感数据访问的指定设备、地点、访问过程内部审计记录、开发测试访问模糊化、访问行为定期稽核等方式控制； •数据共享（提取）权限管理：通过最小共享和泛化、共享（提取）审批、最小使用范围、责任传递、定期稽核等方式控制； •定期权限稽核：主要通过数据安全的合规性检查、操作监管或稽核、数据访问账号和权限的监管与稽核、业务单位和运维的数据访问过程的合法性监管与稽核、日志风险分析与数据安全性测试等方式控制； •数据存储管理：通过涉密数据存储的网络区隔、敏感数据存储加密、备份访问建管理、存储设备的移动管理、存储设备的销毁管理等方式控制。 立 数据安全风险矩阵 •建立风险差距矩阵：明确数据流的业务目的、涉及系统和业务流程的数据安全、保密和合规要求； •执行安全威胁建模：识别数据流的机密数据所需跨越的信任边界，应对数据安全性、策略、流程或实施要求的可能变化； •分析数据安全风险：针对现有数据安全的保护控制、技术和行为进行风险/差距分析，识别现有保护措施未能解决的威胁，评估相关风险； •确定风险消除措施：列出使各项风险达到可接受水平所需额外控制措施、技术和活动，评估每项风险成本/收益，决定是否以及如何降低、转移确定风险； •评估消除措施有效性：如存在不可接受风险，审查前述结果并重新启动整个风险评估周期 个人信息保护 大型网络平台 敏感个人信息保护 个人信息处理 投诉举报 主体权利 保护义务 告知同意 基本原则 数据安全技术 安全审计 备份恢复 接口安全 数据防泄漏 数据脱敏 监测预警 身份鉴别与访 问控制 网络安全防护 数据处理活动安全 数据删除 数据公开 数据提供 数据加工 数据使用 数据传输 数据存储 数据收集 数据安全管理 云数据安全 开发运维 安全威胁和应 急管理 合作外包管理 人员管理 分类分级 组织机构 制度流程 信息调研 安全防护措施 数据处理活动情况 数据资产情况 业务和信息系统 数据处理者基本情况 数据安全风险评估内容框架 数据资产识别是一个“摸清家底”的过程，从而建立企业数据资产台账，掌握数据重要程度，是风险评估的基础，也是数据分类分级管理的基础。 数据资产评估 数据应用场景与数据生命周期息息相关，不仅包括数据收集/产生、传输、存储等过程，还包括数据调取、加工分析、外发等处理活动。每个数据类型都对应着多个数据应用场景，随之而来潜在的安全风险和合规风险。 数据 大 数在应用场景中分析 据时代 流转于应用场景 安全 风险 数据授权管理问题 数据流向追踪问题 以应用场景为背景，挖掘数据可能面临的威胁与存在的脆弱性 安全审计问题 根据数据安全风险评估结果，针对每一个数据安全风险，结合被影响的数据资产重要程度，选择适当的数据安全控制措施，实现数据分类分级管理与保护。 评估环节 评估输出 数据安全风险得到有效控制 风险 风险 自评估 数据处理者可根据相关法律法规及相应标准自行开展评估工作。 第三方评估 数据处理者委托第三方具有数据安全测评服务资质的机构进行评估工作。 各单位开展数据安全自评估 评估准备 制定评估方案，并获得本单位负责人 支持与认可 开展前期准备，制定工作计划、确定评估依据、确定评估内容、建立评估文档 组建自评估团队或委托第三方机构，组织业务、安全、法务、合规、运维、 研发等相关部门参与 根据评估目标确定评估对象、范围和边界，明确涉及的数据资产、数据处理活动、业务等 从提高数据安全治理能力、阔时法规和主管监管部门要求、高风险数据处理活动、安全态势等方案，确定评估目标 评估实施 风险识别 从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别安全风险 信息调研