數據安全風險評估整體框架研究

摘要：隨著信息技術的快速發展．數據時代已經全面到來，在數據技術促使企業各項工作都得到改進的同時，數據安全風險問題也隨之出現。數據被破壞、盜取以及篡改等，都會對企業信息安全造成威脅．因此對數據安全風險情況進行評估十分必要。但是，為保障評估效果．需要充分結合數據安全問題特點，從整體出發，構建評估框架。文章從數據安全風險評估的內涵、性質以及重要意義等入手，了解構建數據安全風險評估整體框架的必要性，并對數據安全風險評估整體框架的構建策略進行簡要的探討。

關鍵詞：數據安全風險；安全風險評估；評估框架；安全風險問題

中圖法分類號：TP393 文獻標識碼：A

１ 引言

當前許多企業的信息系統都使用了信息安全管理工具，能夠識別出常見風險，并結合異常情況向管理員發出警示。但是在風險管理方面，此種信息管理方式仍處于較為初級的階段，由于數據安全風險評估體系構建不完善，導致不能及時應對新出現的風險問題，并且不能保障風險管理的全面性。因此要保障數據安全，構建評估整理框架已經成為保障數據安全管理體系完整性，降低體系構建難度的重要前提［１～３］ 。

２ 構建數據安全風險評估整體框架的意義

２．１ 數據安全風險評估與風險評估框架的關系

了解數據安全風險評估是研究數據安全風險評估整體框架重要性的前提。而要了解數據安全風險評估，需要明確其重要性，以及常見數據安全風險形式。數據安全風險評估是結合數據的具體情況，對數據從信息的產生與存儲，到數據的傳輸與交換等全過程，以發現風險問題、了解評估能力為目標開展的評估行動。在數據全生命周期內，會出現一系列風險問題，這些風險問題可能出現在數據制度管理流程中，可能出現在人員能力等方面，也可能出現在服務規劃過程中。風險評估不僅能夠發現數據管理存在的漏洞，而且能夠識別出異常數據，及時發現風險問題。因此風險評估工作是對數據得到妥善的存儲以及有效使用的重要保障。而風險評估框架是為了保障評估效果，結合具體的數據安全需求搭建的設計框架。通過構建框架，以完善安全風險評估體系，進而保障風險評估體系的完整性。

２．２ 構建數據安全風險評估整體框架的意義

２．２．１ 保障數據安全風險評估的科學性

在以往的安全風險評估工作中，許多安全風險評估系統的功能是較為單一的，僅能識別出某一方面的數據安全風險，而構建數據安全風險評估整體框架，能夠為系統的搭建提供可靠的依據。整體框架不僅會全面考量企業數據面臨的安全問題，而且會對數據安全風險評估工作作出細致的部署，從而保障風險評估效果。在框架構建的同時，能夠實時發現以往數據安全風險評估系統存在的問題，以備注或直接解決的方式，對框架進行修訂，從而避免后續在系統構建時出現考量不全面，以及功能不全面等問題［４～５］ 。

２．２．２ 保障數據安全風險評估的全面性

數據安全風險評估整體框架是從整體出發對數據安全風險評估體系進行設計，不僅要考慮系統存儲數據的安全性，還要考慮管理、運維等多方面的安全性，能夠多角度發現多種形態的安全風險問題，從而保障數據安全風險評估的全面性，解決以往評估系統評估功能不完善的問題。

２．２．３ 保障數據安全風險評估的高效性

在系統的搭建上，如果缺乏總體設計，往往需要不斷對系統進行補充與完善，甚至需要進行重大調整，不僅會對系統的應用產生影響，還會對系統的運行效率產生影響。而數據安全風險評估整體框架的構建，做好了數據安全風險評估的頂層設計，以及搭建好了整體的框架，基本不會出現需要重點改進的問題，并且框架覆蓋范圍較大，只需要縱向進行研究，就能夠保障風險評估效果。而在整體框架下，多維度地對安全風險問題進行評估，也能夠提高評估的速度及質量，即保障風險評估的高效性。

２．２．４ 保障數據安全風險評估的精準性

搭建數據安全風險評估整體框架還能夠保障安全風險評估的精準性。數據安全風險評估整體框架的各個模塊能夠對數據進行系統化處理，對問題進行專業化分析，從而保障數據分析效果。在數據安全風險評估整體框架中，會規范數據的出入通道，對數據類型進行精準的分類，對風險問題做出科學的評價，從而對數據的輸入到輸出全流程進行專業化評估，因此能夠有效保障風險評估的精準度。

３ 數據安全風險評估整體框架研究

要對數據安全風險評估整體框架進行研究，首先需要了解數據安全風險評估的主要流程，了解數據安全風險評估整體框架構建的重要性，然后明確數據安全風險評估要點，最后通過評估不斷修正效果達到合理的配置，以保障數據安全風險評估效果。

３．１ 數據安全風險評估的主要流程

通常情況下，數據安全風險評估工作的核心內容分為４ 部分，即評估準備工作、發現風險問題、分析風險問題、評價風險問題。在不同的安全風險評估系統中，盡管在形式上以及具體方法上有所不同，但是基本具備這４ 部分內容。

３．１．１ 開展評估準備工作

評估準備工作是結合風險評估單位的需求，確定風險評估對象、風險評估內容以及風險評估主要形式的工作。當前，我國的風險評估工作還較為基礎，多以保障數據安全為直接目標，但是部分企業已將風險評估工作制度化，在風險評估上還存在巨大的研究空間。另外，在評估準備工作中，評估技術以及評估組織會隨著社會技術的不斷發展而不斷更新，以保障風險評估效果。

３．１．２ 發現風險問題

在做好評估準備工作后，應結合評估對象開展評估工作，以發現存在的風險。其中常見的風險包括數據加密功能薄弱、數據保護系統功能薄弱、出現能夠識別威脅數據安全的問題、安全防護效果以及風險問題處理效果不明顯等。

３．１．３ 分析風險問題

在發現風險問題后，安全風險評估會對風險問題進行分析，對風險的等級做出判斷，通常情況下風險等級是按照數據風險問題可能對企業產生的影響進行判定。

３．１．４ 評價風險問題

在分析工作完成后，會對風險問題的等級做出判斷，通常情況下，風險問題等級會被劃分為高等級風險問題、中等級風險問題、低等級風險問題３ 種。并且在評價中會對風險的形式、等級、具體影響等做出闡述。

３．２ 框架模型的構建

在框架模型的構建上，具體包括４ 大組成部分。

從輸入模塊錄入信息開始，數據安全風險評估整體框架會以動態評價的形式，對信息進行處理、分析與反饋，并將反饋結果反饋到部門，改進后再形成輸入信息，從而形成一個輸入到輸出持續反饋風險問題的閉環。并且在數據安全風險評估整體框架的構建上，需要保障框架的系統性，如運維審計系統與數據庫運維管控系統以及智能脫敏系統等之間都需要形成完整的集成系統，在確保各個模塊能夠獨立工作的同時又能夠同步各子系統的數據變化，從而保障風險評估工作的有效進行。

３．２．１ 輸入模塊

輸入模塊就是指信息的輸出端。在數據安全風險評估整體框架中，風險評估針對的不只是存儲數據，還包括從管理到系統的各個部分。各部分信息需要通過輸入模塊，將自身的情況反饋到系統中，如網絡管理系統報告、ＩＤＳ 報告、數據信息報告等，這些信息真實反映了整個信息系統的安全情況。由于覆蓋數據的種類較多，可能出現許多敏感數據，這些數據由于特殊的屬性等，可能被誤判為風險問題，從而對系統的風險識別精準度產生影響，因此進行脫敏設計十分重要。而近年來，應用智能技術進行脫敏已經成為一種趨勢，可采用智能處理的方式，優化系統算法，對敏感數據進行進一步識別、脫敏，從而避免敏感數據被錯誤識別。

３．２．２ 處理模塊

在處理模塊中，會設置評價指標以及轉換模式，將輸入的信息轉換為易于識別的模式，并結合評價指標進行評估。在轉換過程中，會對輸入信息的格式進行轉化，對類別進行匯總，并建立具備內在聯系的信息之間的關聯，以進一步保障數據處理效果。在處理模塊上，需要做好數據權限的有效控制。在數據安全風險評估整體框架中，由于數據安全風險評估系統會對全部數據信息進行風險評估，因此在授權上為避免風險問題的發生也應采取分類授權的方式，不同風險評估人員具備著不同模塊的授權，各自負責自身模塊相關的維護、管控等工作，另外在風險信息的反饋上，對應的風險信息也應反饋到對應的風險部門，以避免反饋信息引發數據泄露問題。比如，在管理人員通過堡壘機連接到虛擬服務器后，能夠在自身權限內獲得系統提供的信息，但是該信息僅在管理人員使用的虛擬化服務器上有效，信息不能被分享下載。

３．２．３ 分析模塊

在分析模塊時，會以建立不同類別數據庫的形式，對錄入的數據信息進行分類，包括高風險問題庫、病毒庫、脆弱點庫、薄弱環節庫等，符合對應條件的內容會產生反饋信息，進入評價環節。同時，會對常見的安全風險問題進行識別分析。在這一模塊中，主要圍繞以下風險模式進行設計。

（１）數據丟失。數據丟失是數據安全問題中的常見問題，其原因包括傳輸以及加密技術水平較低引發數據丟失。在傳輸過程中，受到網絡以及數據本身等多方面的影響，數據不能得到高效傳輸，從而引發數據丟失問題，進而對后續數據的使用產生影響。而加密技術水平較低引發的數據安全問題，可能為人為破壞造成數據丟失，也可能為系統本身抵御能力不足感染病毒導致數據丟失。其中，人為破壞導致的數據丟失，在具有安全風險防護機制的情況下是能夠檢索出來的，但是當前許多基礎設施數據保護工作還處于不完善的狀態，導致許多關鍵信息丟失問題仍未得到完全解決。在分析模塊設計中，結合此種風險問題的具體特性對問題進行識別。

（２）數據篡改。數據篡改是對數據信息進行非法修改，無論是對于企業還是個人，數據篡改都可能引發嚴重的后果，是數據風險問題中的重點問題之一。

并且數據篡改屬于違反法律規定的行為。但是由于數據篡改具有隱秘性強、技術性強等特點，在數據被篡改時，無論是找回篡改前的數據，還是找出篡改對象、篡改路徑等都存在較大的難度。因此，分析模塊會快速識別此類問題并做出反饋。

（３）數據泄露。大部分企業的內部信息處于一種保密狀態，這些信息包括企業財務數據、運營數據、規劃數據等，一旦數據信息被其他企業所獲知，則可能對企業的發展產生威脅，因此數據泄露是十分嚴重的數據安全風險問題。為保障數據安全，大部分企業都會建立自身的安全管理系統或安全風險評估系統，但受到技術、資金投入等多方面原因的影響，不同企業的系統性能也存在著一定的差異性，系統性能的薄弱性，即使具備安全防護系統，仍面臨數據泄露問題。因此分析模塊會通過持續優化，以保障分析效果。

３．２．４ 評價模塊

在評價環節，形成的數據庫對應其錄入信息，并對存在風險的信息內容進行歸檔。如在數據信息安全管理制度方面存在風險問題，在數據安全管理制度相關報告進入輸入模塊后，會被系統進行處理，形成易于辨別的形式，系統會結合評價指標，對數據進行進一步加工處理，以及對數據內容進行分析，最終進入評價模塊。在安全管理制度信息庫中，對安全管理制度存在的問題作出評價，再將評價信息反饋到相應的部門，完成一輪數據安全風險評估。在評價模塊的構建上，為保障評價效果，需要建立評價模塊自動優化更新機制，以確保評價系統具備持續優化的能力。

由于數據時代信息技術發展速度極快，新的病毒以及技術手段層出不窮，只有具備持續優化的能力，能夠對新問題做出判斷，才能保障數據安全風險評估效果。而在系統持續優化上，其要點包括三３ 個。（１）功能定位。需要對評價模塊的功能做出清晰的定位，不僅具備風險評價功能，還具有改進功能等。（２）做好管控工作。模塊需要具備管控功能，能夠實現數據的精準分類以及科學有效的管控。（３）細致分解。需要對模塊的各項細微功能進行有效分解，以保障評價的準確性，確保相關問題能夠精準反饋到負責部門。

４ 結束語

在數據時代，保障數據安全，構建數據安全風險評估整體框架十分重要。只有構建風險評估整體框架，才能確保數據得到科學規范的使用，以及保障數據技術的穩定發展，因此持續對數據安全風險評估整體框架進行研究，也是數據安全技術下的重要研究主題。

參考文獻：

［１］ 宋捷．數據安全風險分析及應對策略初探［Ｊ］．通信與信息技術，２０２２（５）：５９?６１．

［２］ 徐勝超．基于歷史數據分析的容器云安全風險評估方法［Ｊ］．計算機測量與控制，２０２２，３０（１１）：２６５?２７１．

［３］ 李安倫，劉龍庚，馬士民．面向政務數據的安全風險評估方法研究［Ｊ］．網絡安全和信息化，２０２２（６）：９?１２．

［４］ 宋璟，邸麗清，楊光，等．新時代下數據安全風險評估工作的思考［Ｊ］．中國信息安全，２０２１（９）：６２?６５．

［５］ 樂文城．大數據環境下數據安全風險對策淺析［Ｊ］．電子元器件與信息技術，２０２１，５（８）：１４１?１４２．

作者簡介：陳志（１９８１—），本科，科員，研究方向：網絡安全和數據安全。