資料安全風險評估總結（二）——基于場景進行安全風險評估

一、概述

        資料安全風險評估總結（一）描述了資料安全風險評估的相關理論，資料安全應該關注業務流程，以基礎安全為基礎，以資料生命周期及資料應用場景兩個次元為入口進行資料安全風險評估。最後以《資訊安全技術 資訊安全風險評估規範》為參考，并且以信貸業務中的授信申請為例說明了如何從資料生命周期的次元進行資料安全風險評估，本文将總結常見的資料應用場景，并且對這些場景中可能涉及到的威脅、脆弱性進行說明，同時補充說明相關的控制手段。

二、資料安全常見場景

（一）、開發測試

1、場景描述

       在開發測試場景中，為了確定軟體測試的有效性，往往需要用到與生産環境保持一緻的資料（如資料正确性、完整性、表間關聯性、字段關聯性、資料保持原有的意義不變等），最理想的情況下當然是直接使用生産資料，但是這樣必然大大增加了資料安全相關的風險，其中最核心的問題是資料洩露。是以通常需要從生産的備庫中提取資料出來，經過去辨別化等脫敏處理後，再将脫敏資料導入開發測試環境中。

2、風險評估說明

       在這個過程中需要關注的有流程合規風險（資料提取申請）、資料洩露風險（資料提取過程的操作風險、脫敏資料傳輸安全、脫敏資料進入到測試環節後的洩露風險等）。

威脅類型（T）	場景（S）	脆弱性分析（V）	可用的控制措施（M）
T1、流程合規	S1、資料提取申請	V1、無資料提取流程； V2、未嚴格遵守提取流程； V3、流程中申請人員、提取操作人員、脫敏操作人員、核實人員職責不明确，簽批級别不明确，提取範圍不明确等，時間節點不明确等。	M1、制定資料提取流程，明确資料提取量級與審批的級别； M2、明确流程關鍵節點及流程審計政策。
T2、資料洩露	S1、資料提取操作過程	V1、操作人員提取後惡意本地儲存資料； V2、手工脫敏，操作人員接觸原始資料； V3、資料未進行脫敏、或者資料不徹底； V4、操作過程無監控審計； V5、無資料防洩露措施。	M1、手工脫敏時，全程通過堡壘機進行監控記錄； M2、采用自動化脫敏工具，如資料庫靜态脫敏； M3、設定資料交換平台、檔案共享平台、或者SFTP共享伺服器； M4、資料加密傳輸； M5、測評環境同樣需要安全管控； M6、部署資料防洩露工具； M7、通過桌面雲拒絕資料落在本地。
S2、脫敏資料傳輸安全	V1、資料未加密傳輸； V2、資料傳輸、接收未留下日志記錄； V3、無資料防洩露措施。
S3、進入測試環境後	V1、測評環境業務存在漏洞，暴露在網際網路； V2、測試環境安全區域控制不到位； V3、超過了申請日期未及時删除； V4、無資料防洩露措施。

       注意：脫敏後的資料也需要注意其傳播的範圍，防止資料洩露。大量脫敏後的資料累積後，仍然存在安全風險，即使資料已經全部脫敏，失去了意義，被洩露後由于真假難辨，勢必會給企業帶來負面的影響。

（二）、資料運維

       在企業的運維團隊中，通常設定了專門的資料庫管理人員，資料庫管理者會設定多個不同級别的普通管理者，并且授權給不同的業務組，這裡的資料運維場景即适用于企業中對資料庫、資料進行運維管理的場景。

       在該場景中主要關注的是内部的運維人員及其操作帶來的威脅，比如資料不可用、資料篡改、資料洩露等。

T1、資料不可用	S1、資料庫被惡意删除	V1、資料庫管理者擁有系統管理者超級權限，可以操作資料庫檔案； V2、資料庫管理者可以執行高危指令。	M1、實作職責分離，資料庫管理者與系統管理者權限分離； M2、通過堡壘機、資料庫防火牆等措施對高危指令進行阻斷； M3、通過資料庫審計系統對SQL語句進行審計。
S2、資料庫被勒索病毒加密	V1、系統存在高危端口，生産區域向運維區域暴露了過多的端口資産； V2、運維區域可以直接連接配接到生産區域的資料庫伺服器。	M1、從運維區域到生産區域進行嚴格的隔離，如果運維的終端從辦公區發起通路，還需要嚴格控制運維區域到辦公區域的通路； M2、嚴禁直接從辦公終端、運維終端連接配接到伺服器； M3、禁止上傳無關的檔案到資料庫伺服器。
S3、未進行資料庫備份或者有備份但恢複驗證失敗	V1、未進行資料庫備份及離線備份； V2、有備份，但是未周期性的進行恢複驗證測試； V3、備份媒體損壞或者被盜。	M1、通過流程制度進行資料備份機制的限制，實時線上備份與遠端備份； M2、對備份資料進行周期性的恢複驗證測試，并且記錄結果； M3、建立備份媒體管理流程，明確定留的份數及保護措施。
T2、資料篡改	S1、運維人員惡意修改資料	V1、資料庫管理者可以執行高危指令。	M1、通過堡壘機、資料庫防火牆等措施對高危指令進行阻斷； M2、通過資料庫審計系統對SQL語句進行審計。
T3、資料洩露	S1、運維人員可以批量查詢、導出、下載下傳資料。	V1、未限制批量查詢資料的數量； V2、未限制運維人員從伺服器下載下傳資料；	M1、根據業務情況限制批量資料查詢； M2、嚴格限制資料下載下傳，必須有相應的申請流程及審批層級授權； M3、部署資料防洩露措施及螢幕水印等。
S2、運維人員查詢敏感的統計資訊，如月度營業額、通過使用聚合函數查詢公司總的收入等。	V1、未嚴格限制給予運維人員的查詢權限。	M1、嚴格限制聚合函數的使用； M2、對資料庫進行分區，防止聚合、推理等導緻的敏感資訊洩露。

（三）、應用通路

       應用通路在宏觀的角度是使用者對應用程式的通路，從資料流轉來講，是使用者從各種應用作為入口對資料進行通路的行為，即使用者通過應用程式對資料進行增、删、改、查等相關的操作過程。本質上講，使用者對應用的通路實際上就是資料流的流轉過程。

       應用通路主要的威脅通常來自使用者的通路輸入，包括正常使用者的錯誤請求及惡意使用者的請求。是以，這一類的場景主要從傳統的網絡安全進行分析，主要的威脅類型有資料洩露、資料未授權通路、資料篡改、資料不可用等，具體分析如下：

T1、資料洩露	S1、應用程式存在注入 類的漏洞；	V1、程式存在如SQL注入漏洞；	M1、引入安全開發流程，控制程式在後端進行校驗； M2、部署WAF、IPS、網頁防篡改等工具； M3、制定系統及程式安全配置基線； M4、對伺服器進行安全加強。 M5、定期進行安全測試、風險評估、WEBSHELL檢查等。
S2、應用程式存在配置錯誤	V1、系統配置随意，無規範基線
T2、資料未授權通路	S1、程式存在越權漏洞；	V1、權限設計不合理，角色之間出現權限的覆寫，角色權限範圍過大，未遵守“最小授權”； V2、權限控制存在漏洞，如越權漏洞；
S2、程式系統存在未授權通路漏洞	V1、系統存在未授權通路漏洞，如redis未授權通路。
T3、資料篡改	S1、網頁、使用者資訊等被惡意篡改；	V1、系統存在應用漏洞，如注入漏洞； V2、系統被安裝WEBSHELL
T4、資料不可用	S1、系統中了勒索病毒	V1、程式被種馬，下載下傳了勒索軟體；	M1、加強惡意軟體防範，部署防病毒、主機安全等軟體； M2、對系統程式等進行安全檢查、安全測試； M3、使用IPS工具； M4、對資料進行備份。

（四）、特權通路

       特權通路嚴格上來講不能算作是一個場景，因為權限一定是和某個系統相關聯，但是我們可以抽象地說明一下當系統存在特權賬号，當管理者使用這種賬号時，可能會存在的資料安全問題。

       系統存在特權賬号，通常該賬号的權限即為系統的最高權限，但是并不是代表着這使用這個賬号做任何事情，比如查詢任何資料都是合規的，因為可能會違背“知其所需”的原則。在特權賬号下，主要的資料安全風險是資料洩露、資料篡改及資料未授權通路相關的問題。

	S1、特權賬号可以對資料進行批量查詢、導出	V1、系統未對查詢的時間跨度、資料的條數進行限制； V2、系統未對可導出資料的條數進行限制； V3、特權賬号本身存在脆弱性，如密碼複雜度不夠、未定期修改密碼、登入方式單一、未對特權賬号的操作行為進行記錄審計等。	M1、加強特權賬号的管理，如減少使用、雙人管理、多因素認證等； M2、加強對特權賬号使用、操作行為的記錄及審計； M3、限制特權賬号的批量查詢、條數查詢等； M4、嚴格限制特權賬号的高危操作指令，比如删除時，可以進行二次認證确認； M5、對賬号的密碼政策、密碼強度進行限制要求。
	S1、特權賬号可以對敏感資料進行修改	V1、系統未對修改、删除權限進行限制； V2、特權賬号本身存在脆弱性，如密碼複雜度不夠、未定期修改密碼、登入方式單一、未對特權賬号的操作行為進行記錄審計等。
T3、資料未授權通路	S1、特權賬号可以對指定的資料進行查詢、可以周遊資料等。	V1、系統未對查詢的時間跨度、資料的條數進行限制，查詢無限制條件等；

（五）、資料修複

       資料修複主要是當生産中的部分資料發生了異常時進行修複，這裡說的并不是使用備份資料進行資料恢複。可能需要從生産庫中取出資料，然後在測試環境中執行語句進行修複測試，最後再将新的資料導入生産庫中，或者将測試好的SQL語句在生産庫中執行。

       從上面的描述可以看出資料修複可以認為是一個高風險操作，不管是上述的哪一種方式，都可能産生資料安全相關的問題，如資料合規、資料洩露、資料篡改等等。

T1、資料合規	S1、流程不合規，操作未遵循相關的流程。	V1、未制定資料修複的審批流程； V2、流程中未明确申請、審批、核實等環節的責任人等。	M1、制定明确的資料修複流程，明确各環節責任人
	S1、資料提取環節資料洩露	V2、操作過程無監控審計；	M1、操作過程全程進行記錄； M2、設定資料交換平台、檔案共享平台、或者SFTP共享伺服器； M3、資料加密傳輸； M4、測試環境同樣需要安全管控； M5、部署資料防洩露工具； M6、通過桌面雲拒絕資料落在本地。
S1、資料傳輸環節資料洩露
	S1、操作人員修複資料時，“順便”篡改資料	V1、未對執行的SQL語句進行稽核	M1、對修數的SQL語句進行稽核； M2、對修數的行為進行記錄審計。

（六）、年結審計

       年結審計其實是兩個不同的事情，包括年終結算以及外部審計，雖然是兩個不同的事情，但是有一個共同的特點，都需要向外部第三方提供資料，而且通常包括比較多的敏感資訊，是以在這裡作為一個場景進行描述。通常是外部與公司企業某個部門進行對接，該部門因為需要使用資料而發起相關的申請，相關的部門提取資料後再轉交給該接口人，該接口人再将資料提供給第三方。

       通常上面的場景描述，可以看到這裡有一個資料的流轉過程，而伴随資料流轉過程一定有一個流程制度在運轉，即該過程需要關心合規性，也需要我們關心資料在流轉過程中的安全風險，如資料洩露風險、資料篡改風險。

	S1、資料擷取及發送流程不合規
S2、與第三方保密責任界定	V1、與第三方未簽署明确的保密協定，未對雙方的職責進行明确界定； V2、資料的交接未履行交接協定，明确簽收過程。	M1、制定并簽署保密協定； M2、明确交接手續，簽字确認。

（七）、資料治理

       資料治理是一個非常複雜的過程，包括了對資料的整個生命周期的管理，覆寫了業務經營、風險管理和内部控制流程中的全部資料，覆寫内部資料和外部資料，監管資料等等。在GBT 37973-2019《資訊安全技術 大資料安全管理指南》中對大資料安全管理基本原則進行了說明，規定了大資料安全需求、資料分類分級、大資料活動的安全要求、評估大資料安全風險等環節，但是總體上講這個标準比較粗略。本部分關于資料治理的安全風險評估也會從資料安全威脅的角度進行抽象說明，不同的企業會面臨着不同的場景，是以會有不同的問題。資料治理的結果可用于經營分析改進産品、可用于形成統一的分析報表，包括監管報表等，在本場景後面還有兩個場景分别是資料分析及報表報送的相關說明。

       大資料安全評估涉及多個方面的評估，比如資料安全合規、大資料跨境、大資料隐私保護、大資料平台安全、大資料業務應用、大資料安全營運等内容。不管資料治理有多複雜，我們在安全的角度考慮的是資料的安全性，包括資料的機密性、完整性、可用性、可審計等。在本場景下，需要綜合考慮資料的生命周期的安全。

	S1、資料生命周期管理不合規	V1、資料采集、傳輸等各階段不符合法律法規，未對資料來源進行合規檢查； V2、企業沒有制定相應的流程制度，資料處理的各環節無流程依據，無審計流程。	M1、參考國家法律法規，并以此為合規基線制定企業自己的規程； M2、制定審計辦法及審計頻率，留存審計日志。
	S1、資料被洩露	V2、資料未分級保護，高敏感資訊未加密存儲； V3、資料未分級保護，高敏感資訊未脫敏存儲； V4、資料治理環境與一般的生産或者辦公區域保護級别相同； V5、資料治理人員可以随意從大資料平台中提取檢視資料； V6、存儲資料的媒體不可控或者故障媒體處理不當； V7、資料交換或者提供時無安全控制，無溯源審計措施； V8、資料采集源、采集軟體、系統等存在安全漏洞，無配置基線； V9、使用者可下載下傳資料到本地、未部署資料防洩露工具。	M1、采用加密傳輸確定傳輸安全； M2、根據分類分級辦法進行分級管理，敏感資料進行脫敏存儲、去辨別化存儲、或者根據賬号權限顯示資訊； M3、遵守“縱深防禦”政策，大資料治理獨立安全區域，嚴格管理資料的流動方向及區域的通路控制； M4、實施統一身份認證與授權，全員遵守； M5、設定資料交換平台、檔案共享平台、或者SFTP共享伺服器； M6、對基礎軟硬體設施及系統定期進行漏洞測試與漏洞掃描； M7、嚴格的媒體管理措施，高安全級的存儲媒體遵守進階别的媒體安全政策，如存儲“機密”資料的故障媒體做銷毀處理，不退回“更換”； M8、采用堡壘機、雲桌面等措施，嚴控上傳與下載下傳功能，部署資料防洩露工具。
	S1、權限控制不合理或者失效	V3、無明确的權限管理及審計辦法，在崗使用者、轉崗使用者、離職使用者未定期清理； V4、資料治理環境與一般的生産或者辦公區域保護級别相同。	M1、實施統一身份認證與授權，全員遵守； M2、定期對系統中的權限進行梳理，存檔記錄； M4、對基礎軟硬體設施及系統定期進行漏洞測試與漏洞掃描。

（八）、資料分析

       該場景是場景七的一個補充，通常業務部門會需要各種資料來支撐該部門的一些決策經營，業務部門會向資料分析中心（資料治理的一個團隊）提出資料需求及申請，資料中心會将治理後的資料以業務部門需要的形式進行呈現，用以支撐業務部門的資料分析。

       本場景需要關注業務部門擷取資料的流程是否合規、傳輸過程是否安全可控、資料分析的環境是否安全可控、資料的保留及終端安全等方面，具體如下：

	S1、資料申請流程不合規	V1、無資料需求申請流程； V2、資料申請流程簽批不規範，申請人、提供人、審批人等責任人員職責不清晰，時間節點不清晰、申請的資料範圍及保留時長不清楚等。	M1、制定資料申請的流程規範，明确其中的關鍵環節及責任人； M2、定期對申請進行審計回顧。
	S1、資料傳輸過程不安全	V1、資料提供過程未加密、接收者不可控，接收者無确認機制等； V2、資料傳輸或者提供的方法不安全，如通過各種即時通訊軟體發送、通過私有郵箱發送、通過“各種網際網路平台的企業郵箱”發送等等，事後雙方均可通過儲存的副本再下載下傳到本地； V3、嚴格禁止提供未去辨別化的資料； V4、資料提供過程日志不完整，無法審計。	M1、資料接收者簽字确認； M2、資料傳輸采用加密的方式進行，并且密碼要通過獨立的通道向接收者單點提供； M3、建立企業資料交換共享平台； M4、嚴格管理資料治理、資料分析的環境，采用堡壘機、雲桌面等環節嚴控資料落在本地終端； M5、進行資料資産的梳理； M6、嚴格限制原始資料的對外提供，部署資料脫敏工具； M7、部署資料防洩露工具； M8、部署終端安全管理工具及防毒軟體。
S2、資料分析的環境不夠安全可控	V1、業務人員可以将資料報表下載下傳到本地電腦； V2、終端未安裝防毒軟體或者未保持病毒庫更新； V3、資料報表在終端上長期保留，大量終端上存在分散的資料資産； V4、未部署資料防洩露工具。

（九）、報表報送

       該場景是場景七的一個補充，在這個場景與資料分析場景有一些類似，少了資料分析的部分，通常是企業中的某個部門與上級機關或者主管部門對接，該部門根據其要求向資料中心部門申請資料報表，并且向上級機關或者主管部門提供。

       本場景關注資料申請的流程是否合規，資料的流程是否安全可控等環節，具體如下：

			M2、定期對申請進行審計回顧； M3、資料對外提供時同樣要考慮合規及審計的問題。
	S1、資料擷取過程發生資料洩露	V4、資料提供過程日志不完整，無法審計； V5、終端未安裝防毒軟體或者未保持病毒庫更新； V6、資料報表在終端上長期保留，大量終端上存在分散的資料資産； V7、未部署資料防洩露工具。	M4、進行資料資産的梳理； M5、嚴格限制原始資料的對外提供，部署資料脫敏工具； M7、部署終端安全管理工具及防毒軟體。