随着数据价值的不断增加，数据资产已成为行业竞争力的核心要素，网络数据安全风险也与日俱增。面对数据安全严峻形势，很多国家信息安全理念由“以网络边界，面向威胁应对的被动防护”转向“以数据为核心，面向风险控制的主动防御”。近年来，我国数据安全立法进程趋紧，数据安全相关法规密集出台。《数据安全法》对数据安全风险设置了“红线”，强化内控制度建设，从发现风险、监控风险的角度对控制数据安全风险提出具体要求。面对复杂数字化业务场景，如何实现“识别风险-评估风险-控制风险”，已成为各行业数据资产安全保障的热点问题。

一、数据安全风险管理的底层逻辑

  数据安全风险管理、数据全生命周期和数据安全目标互为正交关系的三维关系，数据安全管理按照“风险识别-风险评估-风险控制-策略调优”思路，并贯穿监控、响应、运营、咨询等内容；数据全生命周期包括采集、存储、传输、处理、交换、销毁等数据活动；数据安全目标根据安全级别规定的机密性、完整性、可用性等安全属性要求。

数据安全风险管理结构图

数据安全风险值主要与资产暴露面、威胁大小、脆弱性及安全措施等相关，同时还受业务战略、数据价值、安全需求、安全事件、残余风险等因素影响。

数据安全风险管理逻辑关系图

评估内容与相关因素有机统一，相互影响，具体逻辑关系为：

l业务战略的实施依赖数据资产，依赖程度越高，资产价值越大，希望风险值越低，要求对风险控制力越强，反之则反；

l风险受系统脆弱性、可能威胁及安全措施的综合影响，由已知风险可导出安全需求，控制风险的办法是抑制威胁、减小系统脆弱性、完善安全措施，反之则风险增大；

l未被满足的安全需求必定存在脆弱性，系统脆弱性将暴露数据资产，威胁可利用系统脆弱性危害资产，威胁度达到一定阈值就演变成为安全事件；

l完善安全措施可抵御威胁，降低风险，满足安全需求，安全措施就是实现数据有限使用，好的安全措施需要兼顾安全效果、使用效率以及建设成本之间的平衡；

l不当或无效的安全措施将产生残余风险，残余风险无法完全消除，可能诱发新的安全事件，因此，需要持续性监测和控制风险。

二、数据安全风险识别的主要内容

通过盘底资产确定数据价值、结合应用场景摸清数据活动和参与主体、判断已存或潜在影响数据CIA安全属性的威胁、查找技术和管理上存在的脆弱性、对照现有的控制措施及其对已识别风险的效果，判断安全事件发生的可能性，并根据脆弱性的严重程度及安全事件所作用的资产价值计算安全事件的损失，综合得出数据安全风险值。

1.数据资产识别

数据资产是企业及组织拥有或控制，能给企业及组织带来未来经济利益的数据资源，也是拥有数据权属（勘探权、使用权、所有权）、有价值、可计量、可读取的网络空间中的数据集，数据资产安全属性以标签及标签类目的方式予以体现。数据资产识别就是摸清“有什么数据？有多少数据？数据分布在哪里？重要数据是哪些？数据的安全措施”的过程，依据机密性、完整性、可用性的赋值等级，将数据资产重要等级划分为五级，并形成数据资产清单输出。

数据资产安全属性等级划分表

2.风险场景识别

针对主业务调用数据、数据被其他业务系统调取、对组织外部提供数据、员工访问数据、第三方服务人员访问数据等不同场景，梳理数据活动流程，如：提取、获取、整合、分析、存储、下载、外发、展示等，重点分析参与主体（包括人员、内外部系统、内外部接口等）信息，得出数据应用场景分析报告，相同数据可对应着不同应用场景，每个应用场景都有潜在的安全风险和合规风险。尤其在大数据时代，业务驱动数据流通和价值释放已成为常态，引发安全风险随之激增。常见数据安全风险场景如：

内部场景：运维人员、开发人员、测试人员、数据分析人员的舞弊、滥用、操作失误、蓄意攻击等。

特权场景：数据滥用、操作失误、权限滥用、数据窃听等风险。

外部场景：黑客攻击、恶意爬取、SQL注入、数据泄露等风险。

合规场景：GDPR/网络安全法/等保2.0/数据安全法/个人数据保护法等法律、行业监管、产品准入、数据跨境等风险。

第三方合作场景：数据合理性、权限滥用、API接口攻击等风险。 

3.威胁识别

数据在应用场景中可能存在各种影响数据机密性、完整性、可用性及可控性的威胁因素，通过分析其属性以判断威胁发生的概率。造成威胁的因素可分为人为因素（恶意和非恶意）和环境因素（不可抗力和其它）。

数据面临威胁主要有：安全管理不到位、操作失误、软硬件故障、恶意代码和病毒、越权滥用、网络攻击、泄露、篡改、抵赖等。人为因素造成的数据威胁是识别重点，数据威胁潜在数据处理全过程，如，采集阶段的非用户授权采集、恶意代码注入；分析加工阶段的分类分级不当、恶意篡改/误操作；存储阶段的非法访问、脱库操作；内部消费阶段的授权不当和数据滥用/泄露；外部共享阶段的非法数据交换、共享授权不当、API非法访问等。威胁识别结果直接影响风险评估质量和安全策略制定，根据威胁出现频率高低，对数据威胁进行等级划分，具体如下示例图。

数据威胁等级划分表

4.脆弱性识别

脆弱性主要与管理和技术相关，脆弱性本身不会产生危害，当被威胁利用才会产生危害。采用问卷调查、工具检测、人工核查、文档查阅、渗透性测试等方法，可分析脆弱性对数据机密性、完整性、可用性、可控性影响。具体识别内容包括：

（1）技术脆弱性

物理环境方面：从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。

网络结构方面：从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。

系统软件方面：从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、系统配置、注册表加固、网络安全、系统管理等方面进行识别。

应用中间件方面：从协议安全、交易完整性、数据完整性等方面进行识别。

信息系统方面：从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。 

（2）管理脆弱性

技术管理方面：从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。

组织管理方面：从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。

5.已有安全措施识别

预防性安全措施可以降低数据威胁利用脆弱性导致安全事件发生的可能性，如威胁情报系统、入侵检测系统；保护性安全措施可以减少因安全事件发生后对数据、业务或组织造成的影响。识别已有的安全措施可以避免额外建设成本，还可对已有安全措施的有效性进行检查，形成分析报告，为不合理或低效的安全措施予以改进提供依据。

已有安全措施识别流程图

三、数据安全风险评估的关键环节

大数据时代，数据安全模式已由边界防护为核心，向以数据权益保护为目标、以交易托管为运营模式转变，对数据资产实施持续动态风险评估成为数据运营中心的重点工作。除了日常自行组织或委托第三方数据安全风险评估服务实施外，还可由被评估组织的上级主管机关或业务机关发起，通过行政手段进行评估。主要内容如图所示:

数据安全风险评估示意图

关键环节包括：

1.进行风险计算

数据安全风险分析分定性和定量两种方式，定性分析易于理解、条件约束少，分析结果偏重于获取风险总体情况和发现主要风险；定量风险对各种来源历史事件数据进行定量计算，可对事件后果和风险可能性做出较为准确的判断。在实践中，先进行定性分析，判断出主要风险，再根据需要对主要风险进行定量分析，同时结合DSMM数据安全能力成熟度模型，对数据资产风险现状实施评估，进而形成安全调优策略。

风险评估计算模型

风险计算取决于安全事件的损失、发生的可能性和安全措施的确定，风险值的计算主要涉及资产的重要性、脆弱性的严重程度、威胁发生的频率和安全措施有效性等要素。基于GB/T20984-2007信息安全风险评估规范，对风险评估计算进行细化量化分析，用公式表示为：

R=r（S，W，V，T）=r（S，D（W，V），P（V，T））

式中，R为风险值；r为风险计算函数；S为安全措施有效性系数；V表示脆弱性严重程度；T表示威胁的程度；W为资产的价值；D（W，V）表示安全事件导致的损失；而P（V，T）则表示安全事件发生的概率。

2.判定风险结果

    根据计算出的风险值，结合具体数据应用场景形成数据安全风险分析报告，可得出安全事件发生的可能性和对数据资产影响的严重程度。为便于风险控制和安全管理，同时适应业务运行，可将风险划分多个等级，等级越高，风险也就越高。如下示例表：

数据风险等级划分表

3.形成处置策略

要制定合理的风险处置策略，需基于评估结果综合化解风险的预期成本和收益。在具体实施中，优先选择相对较低的支出就使用户收益明显的择优策略。通常按风险降低、风险保留、风险规避、风险转移方式制定出风险处置计划，明确采取的弥补弱点的措施、预期效果、实施条件、进度安排、责任部门、协调部门等，以减少脆弱性或降低安全事件发生的可能性。

4.评估残余风险

风险处置完毕后应进行风险再评估，以判断实施安全措施后的残余风险是否已经降到了可接受水平。如果残余风险仍处于不可接受的风险范围内，则应由管理层依据风险接受原则考虑是否接受此类风险或增加更多的风险控制措施。另外，由于受信息系统自身缺陷和外界各种因素的影响，数字空间风险无法穷尽，风险处置后的残余风险始终存在，需要定期开展残余风险再评估，评估结果应作为风险管理的重要输入。

四、持续动态数据安全风险控制的业务模型   

为使风险控制趋于最优，应建立PDCA（Plan-Do-Check-Action：规划-实施-检查-处置）风险管理闭环，以实现风险识别、风险评估、风险处置、风险监视等过程保持与能力迭代，确保数据风险可控可管，追求数据安全与开放共享的最大化平衡。

实现持续动态数据安全风险控制，需要满足对风险的深度识别、自动化关联分析、安全策略调度与优化、风险监测呈现等要求，从而掌控数据安全风险状态、数据流转状态及数据安全态势，业务模型如图所示：

持续动态数据安全风险控制模型图

l风险集取层：通过主动检测模块和被动检测模块，采集设备资产、数据资产、事件行为风险相关信息，提供数据资产盘点、敏感数据测绘、资产脆弱性和系统漏洞扫描、安全审计等服务，为数据安全风险评估提供情报素材。

l关联分析层：基于数据风险相关知识库和安全基线的管理，明确各类威胁情报的类型和触发条件，建立数据安全风险分析引擎，面向数据全生命周期活动提供行为分析、泄露建模、血缘分析、机器学习等多维度关联分析和智能化推理，为制定数据安全策略提供依据。

l安全策略层：根据数据安全风险分析结论，形成数据安全控制策略和业务安全控制策略，在数据安全策略管理引擎的驱动下，基于安全策略进行服务的编排、调度和配置，针对业务场景、作用对象、防护手段等实现数据安全防护。另外，根据防护措施效果评估反馈，可继续对安全策略进行调优处置。

l风险呈现层：结合安全态势感知、敏感数据流转监测、安全事件预警及可视化呈现等技术，全面提供数据资产态势、违规异常预警通报、资产威胁溯源、安全风险趋势等信息，为统一数据安全运营和实时风险管控提供支撑。

五、总结

网络数字空间如同战场，由于数据是流动的、变化的、有范畴和时效性的，这使数据安全风险管理同样复杂难控，具有典型攻防对抗特征。风险识别就是搞清“敌情、我情、战场环境”等情况，为评估分析提供及时、准确、全面的材料；风险评估就是数字空间的“作战能力评估”，综合数据风险点、业务场景、资产价值等因素，形成正确判断和应对策略；风险处置包括风险控制和策略调优，按照OODA(Obseration,Orientation,Decision,Action:观察、判断、决策和行动)闭环展开具体“作战行动”。随着人工智能和大数据等信息技术不断发展，以数据为核心，将人工智能和大数据新兴技术引入数据安全风险控制模型，进行深度风险识别、精准风险评估、持续动态风险控制，实现对数据资产细粒度安全管理将成为数据安全建设重要内容。（来源：中孚信息(北京)研究院：张旗、赵新）