石永

[摘要]本文依据数据安全技术和模型，建立以数据安全生命周期审计为中心，组织管理、网络安全等级保护、数据安全分级和运行环境为支撑的数据安全审计框架。数据安全生命周期审计依据DSMM模型将生命周期分为数据采集、传输、存储、处理、交换、销毁六个阶段，建立覆盖数据全生命周期的安全审计体系。

[关键词] DSMM   生命周期   数据安全   审计方法

根据作为生产要素，可按贡献决定报酬，数据已成为国家基础性战略资源。不断推进数据开发共享，加强数据资源整合和安全保护，提升数据资源价值，已成为数字经济时代的趋势。

一、数据安全

根据国标的定义，数据安全专指以数据为中心的安全，保护数据的可用性、完整性和机密性，还要避免保密数据被窃取、监控和干扰。近些年，云计算、物联网、人工智能等新技术的应用，增加了数据安全风险的识别难度，大数据时代的数据集中和万物互联又增加了数据安全风险复杂度，数据与经济利益联系越来越紧密，以及数据共享、挖掘和融合的需求不断增长，提升了数据泄露的风险。

数据安全模型方面，国外有IBM提出的DCSM模型（以数据为中心的安全模型）和微软提出的DGPC框架（隐私性、保密性、合规性）。国内有2019年阿里巴巴参与起草的DSMM模型（数据安全能力成熟度模型），该模型基于大数据环境提出数据安全能力成熟度分级评估方法以及明确的控制措施，见图1。

DSMM模型借鉴能力成熟度模型（CMM）的思想，由安全能力维度、能力成熟度等级维度和数据安全过程维度组成。其中，数据生存周期安全分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段;组织机构在数据安全领域需具备组织建设、制度流程、技术工具、人员能力四个安全能力维度;数据安全成熟度分为非正式执行、计划跟踪、充分定义、量化控制、持续优化五个等级。

二、数据安全审计框架

（一）组织管理

数据安全管理工作实行统一领导，纳入单位网络安全管理架构体系，分为决策、管理和执行三个层级。决策层主要负责研究决定数据安全和有关数据的重大事项，以及和数据安全相关的战略规划，统筹管理本单位的数据安全工作;数据安全管理者主要负责组织协调资源配置、相关数据安全制度的制定、考核办法制定及实施考核;数据安全具体执行人员主要负责技术支持、安全防护和事件处置。应重点关注数据安全管理机制是否建立、是否有效运行，数据管理职责是否明确，数据安全管理是否与单位所面临的安全风险相匹配。通过数据安全制度及安全技术措施对数据安全生命周期进行管控，使数据安全管理过程实现统一标记、认证、授权。

（二）网络安全等级保护

网络安全指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏，非法使用以及意外事故，使网络处于稳定可靠运行的状态，保障网络数据的完整性、保密性、可用性。信息安全技术之网络安全等级保护适用于指导非涉密对象的安全建设和监督管理，规定了等級保护第一级到第四级保护对象的安全通用要求和安全扩展要求。

网络安全等级保护分为技术要求和管理要求，其中技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心;管理要求分为安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。以网络安全等级保护审计为例，物理环境关注机房防盗和监控系统，以及多路供电线路等;网络通信关注子网划分合理性，边界访问控制策略有效性，不同网络间的访问控制策略，数据传输保密性、完整性，敏感数据明文传输等。

（三）数据安全分级

数据分级是开展数据安全管理的起点，数据分级管理依据数据的重要程度以及数据发生丢失、泄露、被篡改、被毁损事件的影响范围和程度。进一步明确数据保护，有利于单位合理划分安全防护资源，制定有针对性的安全管理措施。数据分级分类管理应具备可执行性、时效性、差异性和客观性，遵循未经过脱敏处理的数据不可降级使用等规则，判定数据分级是否合理主要考虑影响对象和影响程度两个因素。

数据分级的安全影响评估要综合考虑数据内容、规模、来源和所属业务特点，重点评估数据保密性、完整性和可用性方面的影响。数据分级之后，要在数据内容、规模、使用、加工处理等因素发现变化时及时重新评估。数据分级是对数据资源的一次重新梳理，为数据安全管理打下基础，所以数据安全管理审计要关注数据分级过程是否合法、合规、合理，数据分级结果是否满足数据安全技术防范的要求，安全控制措施是否具有针对性和差异化，防护措施能否发挥数据的价值和共享性。

（四）运行环境

数据安全审计中的运行环境重点关注数据环境运维管理的规范性、运行维护人员访问控制的安全性以及运行环境设备设施变更管理、问题管理、故障管理等操作的规范性。故障管理关注重要设备设施发生故障的处理是否及时有效、记录是否完整，是否存在长期未解决的问题。另外，还要重点关注运行维护人员账户权限管理是否符合“最小”原则，设备、主机、系统和应用的口令是否定期更换，是否存在弱口令、默认口令和口令固化在源代码中，是否存在多人共用账户和闲置账户。运行环境中是否存在多余的系统服务、默认共享、高危端口、高危漏洞，以及不可控网络环境终端的远程连接管理。系统日志审计功能是否启用，内容是否满足监督管理需要，有无违规外联管理手段和检查，有无外来设备接入安全性检测，有无应急预案应急培训和应急演练等。

三、生命周期审计

DSMM模型将数据生命周期分为数据采集、传输、存储、处理、交换、销毁六个阶段，应建立覆盖数据全生命周期的安全管理体系，实施数据安全控制技术，防范和控制数据处理风险，采取有效的技术手段和组织措施保障数据安全。生命周期审计应重点关注数据安全防护机制的建立和统一的数据安全防护架构标准和规范。

（一）数据采集与传输

数据采集过程应保证数据的准确性和完整性，涉外数据应对其合规性、完整性和真实性进行确认。关注数据采集的接口是否规范、安全，有无对数据完整性进行校验。数据采集应明确数据源、采集数据的范围和频度，签订隐私条款、合约协议，开展数据安全评估等，确保数据采集合法合规，明确采集的责任与义务。

数据传输过程依据数据分级对传输信道进行加密或专线传输，以保障数据传输的机密性。数据传输过程存在传输中断、篡改、伪造等安全风险。传输通道建立前，应采取技术措施对传输主体进行身份鉴别和认证。

（二）数据存储与处理

数据存储重点关注数据的完整性和可用性。数据存储可能存在敏感数据泄露、数据篡改、数据丢失等数据安全风险，所以应明确保存期限，加强数据存储过程安全防护，落实存储数据的可用性、完整性和持久性。涉及数据迁移的，应制订详细的迁移计划，进行数据兼容性和数据有效性验证，保障迁移后数据的完整性、机密性和可用性。建立数据备份和恢复策略，落实数据备份、恢复策略和操作流程，规范数据备份范围、方式、频率保存期限等，定期测试备份数据的有效性，防范和控制数据系统安全风险。数据恢复的安全控制措施还应包括访问控制、人员权限、监督复核等。

数据处理重点关注规范性和安全性。数据处理涉及数据访问、导出、展示、聚融合、公开披露等，数据处理前应进行数据脱敏处理，尤其是在开发环境中使用的数据，数据脱敏技术包括屏蔽、去标识化、匿名化等。数据使用时应对用户身份进行标识和鉴别，明确数据处理权限策略，关注有无多余、临时账户与共用账户情况，有无用户操作日志，且日志内容是否满足监管需求。数据处理应按照数据分级差异化管理，建立审批机制，确保数据处理过程安全可控，防止数据泄露。

（三）数据交换与销毁

数据交换安全包括传输时的数据安全性、数据溯源和隐私保护，数据交换应遵循合法合规、最小够用原则。数据交换应制定交换流程，明确交换过程中的传输、保管和使用职责，同时应履行交换审批手续，明确交换过程数据加密和脱敏策略，并确保数据交换过程可追溯。

数据销毁要明确操作规程和操作方式，对操作效果进行评估和核验。数据存储介质销毁应集中实施，履行清点、登记和审批手续，对于超出保存期限的数据应及时删除和销毁，经审批临时使用完毕的数据，应统一进行清理。

（作者單位：中国人民银行乌鲁木齐中心支行，邮政编码：830001，电子邮箱：517512182@qq.com）

主要参考文献

鲁金钿，肖睿智，金舒原.云数据安全研究进展[J].电子与信息学报， 2020（8）：11