摘要:随着信息技术的快速发展.数据时代已经全面到来,在数据技术促使企业各项工作都得到改进的同时,数据安全风险问题也随之出现。数据被破坏、盗取以及篡改等,都会对企业信息安全造成威胁.因此对数据安全风险情况进行评估十分必要。但是,为保障评估效果.需要充分结合数据安全问题特点,从整体出发,构建评估框架。文章从数据安全风险评估的内涵、性质以及重要意义等入手,了解构建数据安全风险评估整体框架的必要性,并对数据安全风险评估整体框架的构建策略进行简要的探讨。
关键词:数据安全风险;安全风险评估;评估框架;安全风险问题
中图法分类号:TP393 文献标识码:A
1 引言
当前许多企业的信息系统都使用了信息安全管理工具,能够识别出常见风险,并结合异常情况向管理员发出警示。但是在风险管理方面,此种信息管理方式仍处于较为初级的阶段,由于数据安全风险评估体系构建不完善,导致不能及时应对新出现的风险问题,并且不能保障风险管理的全面性。因此要保障数据安全,构建评估整理框架已经成为保障数据安全管理体系完整性,降低体系构建难度的重要前提[1~3] 。
2 构建数据安全风险评估整体框架的意义
2.1 数据安全风险评估与风险评估框架的关系
了解数据安全风险评估是研究数据安全风险评估整体框架重要性的前提。而要了解数据安全风险评估,需要明确其重要性,以及常见数据安全风险形式。数据安全风险评估是结合数据的具体情况,对数据从信息的产生与存储,到数据的传输与交換等全过程,以发现风险问题、了解评估能力为目标开展的评估行动。在数据全生命周期内,会出现一系列风险问题,这些风险问题可能出现在数据制度管理流程中,可能出现在人员能力等方面,也可能出现在服务规划过程中。风险评估不仅能够发现数据管理存在的漏洞,而且能够识别出异常数据,及时发现风险问题。因此风险评估工作是对数据得到妥善的存储以及有效使用的重要保障。而风险评估框架是为了保障评估效果,结合具体的数据安全需求搭建的设计框架。通过构建框架,以完善安全风险评估体系,进而保障风险评估体系的完整性。
2.2 构建数据安全风险评估整体框架的意义
2.2.1 保障数据安全风险评估的科学性
在以往的安全风险评估工作中,许多安全风险评估系统的功能是较为单一的,仅能识别出某一方面的数据安全风险,而构建数据安全风险评估整体框架,能够为系统的搭建提供可靠的依据。整体框架不仅会全面考量企业数据面临的安全问题,而且会对数据安全风险评估工作作出细致的部署,从而保障风险评估效果。在框架构建的同时,能够实时发现以往数据安全风险评估系统存在的问题,以备注或直接解决的方式,对框架进行修订,从而避免后续在系统构建时出现考量不全面,以及功能不全面等问题[4~5] 。
2.2.2 保障数据安全风险评估的全面性
数据安全风险评估整体框架是从整体出发对数据安全风险评估体系进行设计,不仅要考虑系统存储数据的安全性,还要考虑管理、运维等多方面的安全性,能够多角度发现多种形态的安全风险问题,从而保障数据安全风险评估的全面性,解决以往评估系统评估功能不完善的问题。
2.2.3 保障数据安全风险评估的高效性
在系统的搭建上,如果缺乏总体设计,往往需要不断对系统进行补充与完善,甚至需要进行重大调整,不仅会对系统的应用产生影响,还会对系统的运行效率产生影响。而数据安全风险评估整体框架的构建,做好了数据安全风险评估的顶层设计,以及搭建好了整体的框架,基本不会出现需要重点改进的问题,并且框架覆盖范围较大,只需要纵向进行研究,就能够保障风险评估效果。而在整体框架下,多维度地对安全风险问题进行评估,也能够提高评估的速度及质量,即保障风险评估的高效性。
2.2.4 保障数据安全风险评估的精准性
搭建数据安全风险评估整体框架还能够保障安全风险评估的精准性。数据安全风险评估整体框架的各个模块能够对数据进行系统化处理,对问题进行专业化分析,从而保障数据分析效果。在数据安全风险评估整体框架中,会规范数据的出入通道,对数据类型进行精准的分类,对风险问题做出科学的评价,从而对数据的输入到输出全流程进行专业化评估,因此能够有效保障风险评估的精准度。
3 数据安全风险评估整体框架研究
要对数据安全风险评估整体框架进行研究,首先需要了解数据安全风险评估的主要流程,了解数据安全风险评估整体框架构建的重要性,然后明确数据安全风险评估要点,最后通过评估不断修正效果达到合理的配置,以保障数据安全风险评估效果。
3.1 数据安全风险评估的主要流程
通常情况下,数据安全风险评估工作的核心内容分为4 部分,即评估准备工作、发现风险问题、分析风险问题、评价风险问题。在不同的安全风险评估系统中,尽管在形式上以及具体方法上有所不同,但是基本具备这4 部分内容。
3.1.1 开展评估准备工作
评估准备工作是结合风险评估单位的需求,确定风险评估对象、风险评估内容以及风险评估主要形式的工作。当前,我国的风险评估工作还较为基础,多以保障数据安全为直接目标,但是部分企业已将风险评估工作制度化,在风险评估上还存在巨大的研究空间。另外,在评估准备工作中,评估技术以及评估组织会随着社会技术的不断发展而不断更新,以保障风险评估效果。
3.1.2 发现风险问题
在做好评估准备工作后,应结合评估对象开展评估工作,以发现存在的风险。其中常见的风险包括数据加密功能薄弱、数据保护系统功能薄弱、出现能够识别威胁数据安全的问题、安全防护效果以及风险问题处理效果不明显等。
3.1.3 分析风险问题
在发现风险问题后,安全风险评估会对风险问题进行分析,对风险的等级做出判断,通常情况下风险等级是按照数据风险问题可能对企业产生的影响进行判定。
3.1.4 评价风险问题
在分析工作完成后,会对风险问题的等级做出判断,通常情况下,风险问题等级会被划分为高等级风险问题、中等级风险问题、低等级风险问题3 种。并且在评价中会对风险的形式、等级、具体影响等做出阐述。
3.2 框架模型的构建
在框架模型的构建上,具体包括4 大组成部分。
从输入模块录入信息开始,数据安全风险评估整体框架会以动态评价的形式,对信息进行处理、分析与反馈,并将反馈结果反馈到部门,改进后再形成输入信息,从而形成一个输入到输出持续反馈风险问题的闭环。并且在数据安全风险评估整体框架的构建上,需要保障框架的系统性,如运维审计系统与数据库运维管控系统以及智能脱敏系统等之间都需要形成完整的集成系统,在确保各个模块能够独立工作的同时又能够同步各子系统的数据变化,从而保障风险评估工作的有效进行。
3.2.1 输入模块
输入模块就是指信息的输出端。在数据安全风险评估整体框架中,风险评估针对的不只是存储数据,还包括从管理到系统的各个部分。各部分信息需要通过输入模块,将自身的情况反馈到系统中,如网络管理系统报告、IDS 报告、数据信息报告等,这些信息真实反映了整个信息系统的安全情况。由于覆盖数据的种类较多,可能出现许多敏感数据,这些数据由于特殊的属性等,可能被误判为风险问题,从而对系统的风险识别精准度产生影响,因此进行脱敏设计十分重要。而近年来,应用智能技术进行脱敏已经成为一种趋势,可采用智能处理的方式,优化系统算法,对敏感数据进行进一步识别、脱敏,从而避免敏感数据被错误识别。
3.2.2 处理模块
在处理模块中,会设置评价指标以及转换模式,将输入的信息转换为易于识别的模式,并结合评价指标进行评估。在转换过程中,会对输入信息的格式进行转化,对类别进行汇总,并建立具备内在联系的信息之间的关联,以进一步保障数据处理效果。在处理模块上,需要做好数据权限的有效控制。在数据安全风险评估整体框架中,由于数据安全风险评估系统会对全部数据信息进行风险评估,因此在授权上为避免风险问题的发生也应采取分类授权的方式,不同风险评估人员具备着不同模块的授权,各自负责自身模块相关的维护、管控等工作,另外在风险信息的反馈上,对应的风险信息也应反馈到对应的风险部门,以避免反馈信息引发数据泄露问题。比如,在管理人员通过堡垒机连接到虚拟服务器后,能够在自身权限内获得系统提供的信息,但是该信息仅在管理人员使用的虚拟化服务器上有效,信息不能被分享下载。
3.2.3 分析模块
在分析模块时,会以建立不同类别数据库的形式,对录入的数据信息进行分类,包括高风险问题库、病毒库、脆弱点库、薄弱环节库等,符合对应条件的内容会产生反馈信息,进入评价环节。同时,会对常见的安全风险问题进行识别分析。在这一模块中,主要围绕以下风险模式进行设计。
(1)数据丢失。数据丢失是数据安全问题中的常见问题,其原因包括传输以及加密技术水平较低引发数据丢失。在传输过程中,受到网络以及数据本身等多方面的影响,数据不能得到高效传输,从而引发数据丢失问题,进而对后续数据的使用产生影响。而加密技术水平较低引发的数据安全问题,可能为人为破坏造成数据丢失,也可能为系统本身抵御能力不足感染病毒导致数据丢失。其中,人为破坏导致的数据丢失,在具有安全风险防护机制的情况下是能够检索出来的,但是当前许多基础设施数据保护工作还处于不完善的状态,导致许多关键信息丢失问题仍未得到完全解决。在分析模块设计中,结合此种风险问题的具体特性对问题进行识别。
(2)数据篡改。数据篡改是对数据信息进行非法修改,无论是对于企业还是个人,数据篡改都可能引发严重的后果,是数据风险问题中的重点问题之一。
并且数据篡改属于违反法律规定的行为。但是由于数据篡改具有隐秘性强、技术性强等特点,在数据被篡改时,无论是找回篡改前的数据,还是找出篡改对象、篡改路径等都存在较大的难度。因此,分析模块会快速识别此类问题并做出反馈。
(3)数据泄露。大部分企业的内部信息处于一种保密状态,这些信息包括企业财务数据、运营数据、规划数据等,一旦数据信息被其他企业所获知,则可能对企业的发展产生威胁,因此数据泄露是十分严重的数据安全风险问题。为保障数据安全,大部分企业都会建立自身的安全管理系统或安全风险评估系统,但受到技术、资金投入等多方面原因的影响,不同企业的系统性能也存在着一定的差异性,系统性能的薄弱性,即使具备安全防护系统,仍面临数据泄露问题。因此分析模块会通过持续优化,以保障分析效果。
3.2.4 评价模块
在评价环节,形成的数据库对应其录入信息,并对存在风险的信息内容进行归档。如在数据信息安全管理制度方面存在风险问题,在数据安全管理制度相关报告进入输入模块后,会被系统进行处理,形成易于辨别的形式,系统会结合评价指标,对数据进行进一步加工处理,以及对数据内容进行分析,最终进入评价模块。在安全管理制度信息库中,对安全管理制度存在的问题作出评价,再将评价信息反馈到相应的部门,完成一轮数据安全风险评估。在评价模块的构建上,为保障评价效果,需要建立评价模块自动优化更新机制,以确保评价系统具备持续优化的能力。
由于数据时代信息技术发展速度极快,新的病毒以及技术手段层出不穷,只有具备持续优化的能力,能够对新问题做出判断,才能保障数据安全风险评估效果。而在系统持续优化上,其要点包括三3 个。(1)功能定位。需要对评价模块的功能做出清晰的定位,不仅具备风险评价功能,还具有改进功能等。(2)做好管控工作。模块需要具备管控功能,能够实现数据的精准分类以及科学有效的管控。(3)细致分解。需要对模块的各项细微功能进行有效分解,以保障评价的准确性,确保相关问题能够精准反馈到负责部门。
4 结束语
在数据时代,保障数据安全,构建数据安全风险评估整体框架十分重要。只有构建风险评估整体框架,才能确保数据得到科学规范的使用,以及保障数据技术的稳定发展,因此持续对数据安全风险评估整体框架进行研究,也是数据安全技术下的重要研究主题。
参考文献:
[1] 宋捷.数据安全风险分析及应对策略初探[J].通信与信息技术,2022(5):59?61.
[2] 徐胜超.基于历史数据分析的容器云安全风险评估方法[J].計算机测量与控制,2022,30(11):265?271.
[3] 李安伦,刘龙庚,马士民.面向政务数据的安全风险评估方法研究[J].网络安全和信息化,2022(6):9?12.
[4] 宋璟,邸丽清,杨光,等.新时代下数据安全风险评估工作的思考[J].中国信息安全,2021(9):62?65.
[5] 乐文城.大数据环境下数据安全风险对策浅析[J].电子元器件与信息技术,2021,5(8):141?142.
作者简介:陈志(1981—),本科,科员,研究方向:网络安全和数据安全。