樊雅茹 杨朝晖

（1.山西农业大学软件学院 山西省太原市 030001 2.国家计算机网络与信息安全管理中心山西分中心 山西省太原市 030002）

本文基于信息安全、数据安全等国家标准和行业标准，结合数据安全评估工作实际经验，提出了一种数据安全评估方法。评估方法主要包括实施流程、实施办法、实施环境等步骤。

1 实施流程

数据安全现场评估实施包括准备环境、实施现场评估、输出评估结果、问题回顾、复评复测五个阶段。

1.1 准备环境

评估方在进行评估之前需要和被评估方展开充分沟通，形成一致意见，为评估工作做好环境准备，并对评估环境进行充分有效的说明，以保证评估方有效顺利开展评估工作。具体需要准备如下材料：

（1）评估环境支持，包括出入证、工位、互联网接入、内网接入等；

（2）网络拓扑结构与安全域划分；

（3）用于评估的数据库账号，保证需要数据库权限的评估顺利开展；

（4）用于评估的安全设备账号，保证可以登录安全设备去验证相关评估信息；

（5）开展评估工作需要的其他信息。

1.2 实施评估

评估方在现场评估时，应通过召开启动会了解被评估方的评估环境，以便展开评估工作。评估方应严格按照评估实施流程展开，可采取会议、询问、配以技术手段对评估环境进行检查和核实等方式开展评估工作。被评估组织在评估过程中应积极配合评估方的工作，并及时对评估过程中出现的问题进行有效解决。

1.3 输出评估结果

评估结束后，评估方应按照数据安全评估要求对所涉及应用场景下的各类问题进行汇总、并对问题引起的风险进行说明，根据风险等级及严重程度输出分项评分结果。同时评估方与被评估方需要针对评估结果交换意见，就问题及风险情况达成一致，完成数据安全评估报告。报告内容应包括评估工作总结、评分表、主要问题、风险汇总及整改措施等内容。

1.4 问题回顾

被评估方应根据评估报告和建议，制定整改计划，落实整改措施，在整改过程中，对整改计划完成情况进行及时的总结，及时完善修改整改计划。

1.5 复评复测

被评估方在规定时间内完成整改之后，向评估方提出复评申请。复评时，被评估组织应提供整改工作报告，部分整改和未完成整改的项目应逐项说明原因。评估方也应对现场评估发现的问题逐一进行查评，结束后提交数据安全复查评估报告。

2 实施办法

2.1 数据梳理和分类

2.1.1 评估目的

评估数据资产梳理和分类的覆盖度、准确率和召回率。

2.1.2 评估方法

（1）采用遍历扫描、人工核查等方式，发现并生成资产清单。

（2）根据资产清单对数据进行自动分类、人工分类和核查，建立数据分类结果清单。

（3）读取被评估组织提供的资产分类清单。

（4）比对上述两个清单，计算资产梳理和分类的覆盖率、准确率、召回率。

2.2 存储加密

2.2.1 评估目的

评估敏感数据在存储时是否采用适当的加密措施。

2.2.2 评估方法

（1）根据数据分类结果确定需要采取存储加密措施的数据资产清单，确定对应的加密策略。加密策略包括：加密粒度、加密算法、加密强度、解密权限控制策略等。

（2）对需要加密的数据，根据加密策略，分析是否加密、加密算法是否合规、加密强度是否合规、解密权限控制策略设置是否生效。

2.3 传输加密

2.3.1 评估目的

评估敏感数据在传输时是否采用适当的加密措施。

2.3.2 评估方法

（1）根据数据分类结果确定采取传输加密措施的传输通道清单，确定对应的加密策略。加密策略包括：加密方法、加密算法、加密强度、认证策略等。

（2）对需要加密传输的数据，根据加密策略，分析是否加密、加密算法是否合规、加密强度是否合规、认证策略设置是否生效。技术手段包括：网络嗅探；导入通信密钥，进行通信内容解密；模拟传输等。

2.4 权限管理

2.4.1 评估目的

评估敏感信息的访问权限管理是否合规。

2.4.2 评估方法

（1）根据数据资产分类结果，梳理数据访问场景，确定各类数据的权限管理策略，获得权限策略清单。

（2）获取被评估系统现有的权限管理策略，与权限策略清单对比，分析策略是否正确被应用。

2.5 数据脱敏

2.5.1 评估目的

评估敏感信息在各种场景中是否被正确脱敏。

2.5.2 评估方法

（1）根据数据资产分类结果，梳理使用场景，确定需要脱敏的数据和场景，并确定对应的脱敏策略。

（2）对需要脱敏的场景，根据脱敏策略，采取技术手段分析是否脱敏、脱敏算法是否合规、脱敏数据的抗分析性是否合规。

（3）根据上述分析结果，评估脱敏措施是否符合相关政策、法律、法规和标准。

2.6 日志审计

2.6.1 评估目的

评估对敏感信息的访问是否被正确审计，对数据的危险访问行为是否被正确识别并告警。

2.6.2 评估方法

（1）根据数据资产分类结果，梳理数据访问场景，确定各类数据需要的审计策略，获得审计策略清单。审计策略至少包括：操作时间、操作主体、操作类型、操作对象、操作结果等信息。

（2）通过技术手段获取被评估系统现有的审计能力，与审计策略清单对比，分析策略是否正确被应用。

2.7 脆弱性管理

2.7.1 评估目的

评估软件系统脆弱性的发现和加固情况是否合规。

2.7.2 评估方法

（1）通过调研、网络扫描等方式生成待评估系统清单。重点关注数据存管系统、直接访问数据的系统、与数据存管系统存在网络通道的系统。

（2）通过端口扫描、漏洞测试、检查系统配置等方法，发现并验证脆弱性。

（3）与被评估方现有漏洞管理系统相比对，将发现的脆弱性标记为：未掌握、已掌握、已加固。

（4）根据分析结果，评估脆弱性管理现状。

2.8 接口安全

2.8.1 评估目的

评估数据访问接口的安全措施是否可靠。

2.8.2 评估方法

（1）检查接口开发规范、交互协议等方式，评估接口是否符合要求，并获取接口清单；

（2）采取以下方法，分析各个接口的安全性：

模拟接口调用，评估接口的身份鉴别、访问控制、授权策略、审计等安全措施是否生效，评估接口是否过滤或限制不安全参数。

检查接口调用日志、配置参数等，评估对接口访问的审计能力。

检查配置参数、分析网络流量等，评估跨安全域的接口调用是否采用了安全通道、加密传输等安全措施。

模拟新增接口，评估是否具备新增接口的安全审批机制

扫描接口，发现是否有未纳入管理的接口。

（3）根据分析结果，评估接口安全管理现状。

2.9 数据防泄漏

2.9.1 评估目的评估基于审计日志发现数据泄漏的综合分析能力；评估防止敏感数据通过网络、存储介质被泄漏的能力。

2.9.2 评估方法

（1）采用模拟发送、复制数据等方式，评估是否会阻止非法数据泄漏行为；

（2）读取历史日志数据，分别进行个人行为、应用行为、数据流动等画像，进而分析潜在数据泄漏行为；

（3）对比现有数据泄漏检测结果，评估数据泄漏检测能力。

3 实施环境

在进行评估之前，被评估方需要准备评估所需的环境，以保障评估实施过程顺利。

3.1 数据梳理和分类

一是提供存储重要数据和个人信息的数据库或相关信息系统的账号、口令等访问条件。二是提供历史数据分类结果，用于比对分析。

3.2 存储加密

一是提供敏感数据清单和相应的加密策略。二是分别提供不具有/具有解密权限的存储重要数据和个人信息的数据库或相关信息系统的账号、口令，用于读取密文和明文。

3.3 传输加密

一是提供现有加密传输规范清单，用于人工核对、流量嗅探。二是提供传输通道解密密钥，用于解密传输通道，获取传输内容。三提供传输通道的嗅探环境。四是提供模拟的数据传输环境。

3.4 权限管理

一是提供账号与权限分配清单。二是提供模拟数据访问账号、口令，用于模拟数据访问行为。三是提供管理员权限，以读取账号权限设置。四是提供账号及权限开通操作流程，审批操作流程，用于评估审批流程机制。五是提供账号及密码策略清单，用于评估账号、密码管理及保护机制。

3.5 数据脱敏

一是提供现有脱敏场景和策略。二是提供脱敏后数据访问条件。三是提供脱敏前数据访问条件，以便于进行脱敏强度分析。

3.6 日志审计

一是提供网络流量嗅探条件。二是提供现有日志、报表的读取条件。三是提供或协助生成现有审计策略清单。

3.7 脆弱性管理

一是提供系统清单，包括IP地址、端口号、操作系统、中间件版本等信息，用于设定评估实施范围。二是提供系统的管理员权限，用于读取各种配置参数。三是提供现有脆弱性管理结果的访问条件。

3.8 接口安全

一是提供接口开发规范和协议的相关说明文件，详细说明参数和调用方案，用于评估是否满足要求，并进行相关模拟验证。二是提供接口对应的账号、密码，用于相关的模拟访问及调用。三是提供接口开通操作流程，审批操作流程，用于评估是否具备接口安全审批机制。四是提供接口扫描条件。

3.9 数据防泄漏

一是提供开启或使用数据防泄漏保护的系统清单。二是提供邮件、FTP等网络途径的账号、口令，用于模拟通过网络发送数据。三是提供主机的账号、口令，用于模拟通过主机外发数据。四是提供历史数据访问日志的读写条件。

4 结语

本文在梳理信息安全、数据安全相关标准的基础上，结合数据安全评估实施经验，提出了一种面向数据运营者的数据安全评估方法，对开展相关数据安全评估实践工作具有一定参考价值。