本文依據數據安全技術和模型，建立以數據安全生命周期審計為中心，組織管理、網絡安全等級保護、數據安全分級和運行環境為支撐的數據安全審計框架。數據安全生命周期審計依據DSMM模型將生命周期分為數據采集、傳輸、存儲、處理、交換、銷毀六個階段，建立覆蓋數據全生命周期的安全審計體系。

　　[關鍵詞]DSMM；生命周期；數據安全；審計方法

　　據作為生產要素，可按貢獻決定報酬，數據已成為國家基礎性戰略資源。不斷推進數據開發共享，加強數據資源整合和安全保護，提升數據資源價值，已成為數字經濟時代的趨勢。

　　一、數據安全

　　根據國標的定義，數據安全專指以數據為中心的安全，保護數據的可用性、完整性和機密性，還要避免保密數據被竊取、監控和干擾。近些年，云計算、物聯網、人工智能等新技術的應用，增加了數據安全風險的識別難度，大數據時代的數據集中和萬物互聯又增加了數據安全風險復雜度，數據與經濟利益聯系越來越緊密，以及數據共享、挖掘和融合的需求不斷增長，提升了數據泄露的風險。數據安全模型方面，國外有IBM提出的DCSM模型（以數據為中心的安全模型）和微軟提出的DGPC框架（隱私性、保密性、合規性）。國內有2019年阿里巴巴參與起草的DSMM模型（數據安全能力成熟度模型），該模型基于大數據環境提出數據安全能力成熟度分級評估方法以及明確的控制措施，見圖1。DSMM模型借鑒能力成熟度模型（CMM）的思想，由安全能力維度、能力成熟度等級維度和數據安全過程維度組成。其中，數據生存周期安全分為數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段；組織機構在數據安全領域需具備組織建設、制度流程、技術工具、人員能力四個安全能力維度；數據安全成熟度分為非正式執行、計劃跟蹤、充分定義、量化控制、持續優化五個等級。

　　二、數據安全審計框架

　　（一）組織管理

　　數據安全管理工作實行統一領導，納入單位網絡安全管理架構體系，分為決策、管理和執行三個層級。決策層主要負責研究決定數據安全和有關數據的重大事項，以及和數據安全相關的戰略規劃，統籌管理本單位的數據安全工作；數據安全管理者主要負責組織協調資源配置、相關數據安全制度的制定、考核辦法制定及實施考核；數據安全具體執行人員主要負責技術支持、安全防護和事件處置。應重點關注數據安全管理機制是否建立、是否有效運行，數據管理職責是否明確，數據安全管理是否與單位所面臨的安全風險相匹配。通過數據安全制度及安全技術措施對數據安全生命周期進行管控，使數據安全管理過程實現統一標記、認證、授權。

　　（二）網絡安全等級保護

　　網絡安全指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞，非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，保障網絡數據的完整性、保密性、可用性。信息安全技術之網絡安全等級保護適用于指導非涉密對象的安全建設和監督管理，規定了等級保護第一級到第四級保護對象的安全通用要求和安全擴展要求。網絡安全等級保護分為技術要求和管理要求，其中技術要求分為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心；管理要求分為安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。以網絡安全等級保護審計為例，物理環境關注機房防盜和監控系統，以及多路供電線路等；網絡通信關注子網劃分合理性，邊界訪問控制策略有效性，不同網絡間的訪問控制策略，數據傳輸保密性、完整性，敏感數據明文傳輸等。

　　（三）數據安全分級

　　數據分級是開展數據安全管理的起點，數據分級管理依據數據的重要程度以及數據發生丟失、泄露、被篡改、被毀損事件的影響范圍和程度。進一步明確數據保護，有利于單位合理劃分安全防護資源，制定有針對性的安全管理措施。數據分級分類管理應具備可執行性、時效性、差異性和客觀性，遵循未經過脫敏處理的數據不可降級使用等規則，判定數據分級是否合理主要考慮影響對象和影響程度兩個因素。數據分級的安全影響評估要綜合考慮數據內容、規模、來源和所屬業務特點，重點評估數據保密性、完整性和可用性方面的影響。數據分級之后，要在數據內容、規模、使用、加工處理等因素發現變化時及時重新評估。數據分級是對數據資源的一次重新梳理，為數據安全管理打下基礎，所以數據安全管理審計要關注數據分級過程是否合法、合規、合理，數據分級結果是否滿足數據安全技術防范的要求，安全控制措施是否具有針對性和差異化，防護措施能否發揮數據的價值和共享性。

　　（四）運行環境

　　數據安全審計中的運行環境重點關注數據環境運維管理的規范性、運行維護人員訪問控制的安全性以及運行環境設備設施變更管理、問題管理、故障管理等操作的規范性。故障管理關注重要設備設施發生故障的處理是否及時有效、記錄是否完整，是否存在長期未解決的問題。另外，還要重點關注運行維護人員賬戶權限管理是否符合“最小”原則，設備、主機、系統和應用的口令是否定期更換，是否存在弱口令、默認口令和口令固化在源代碼中，是否存在多人共用賬戶和閑置賬戶。運行環境中是否存在多余的系統服務、默認共享、高危端口、高危漏洞，以及不可控網絡環境終端的遠程連接管理。系統日志審計功能是否啟用，內容是否滿足監督管理需要，有無違規外聯管理手段和檢查，有無外來設備接入安全性檢測，有無應急預案應急培訓和應急演練等。

　　三、生命周期審計

　　DSMM模型將數據生命周期分為數據采集、傳輸、存儲、處理、交換、銷毀六個階段，應建立覆蓋數據全生命周期的安全管理體系，實施數據安全控制技術，防范和控制數據處理風險，采取有效的技術手段和組織措施保障數據安全。生命周期審計應重點關注數據安全防護機制的建立和統一的數據安全防護架構標準和規范。

　　（一）數據采集與傳輸

　　數據采集過程應保證數據的準確性和完整性，涉外數據應對其合規性、完整性和真實性進行確認。關注數據采集的接口是否規范、安全，有無對數據完整性進行校驗。數據采集應明確數據源、采集數據的范圍和頻度，簽訂隱私條款、合約協議，開展數據安全評估等，確保數據采集合法合規，明確采集的責任與義務。數據傳輸過程依據數據分級對傳輸信道進行加密或專線傳輸，以保障數據傳輸的機密性。數據傳輸過程存在傳輸中斷、篡改、偽造等安全風險。傳輸通道建立前，應采取技術措施對傳輸主體進行身份鑒別和認證。

　　（二）數據存儲與處理

　　數據存儲重點關注數據的完整性和可用性。數據存儲可能存在敏感數據泄露、數據篡改、數據丟失等數據安全風險，所以應明確保存期限，加強數據存儲過程安全防護，落實存儲數據的可用性、完整性和持久性。涉及數據遷移的，應制訂詳細的遷移計劃，進行數據兼容性和數據有效性驗證，保障遷移后數據的完整性、機密性和可用性。建立數據備份和恢復策略，落實數據備份、恢復策略和操作流程，規范數據備份范圍、方式、頻率保存期限等，定期測試備份數據的有效性，防范和控制數據系統安全風險。數據恢復的安全控制措施還應包括訪問控制、人員權限、監督復核等。數據處理重點關注規范性和安全性。數據處理涉及數據訪問、導出、展示、聚融合、公開披露等，數據處理前應進行數據脫敏處理，尤其是在開發環境中使用的數據，數據脫敏技術包括屏蔽、去標識化、匿名化等。數據使用時應對用戶身份進行標識和鑒別，明確數據處理權限策略，關注有無多余、臨時賬戶與共用賬戶情況，有無用戶操作日志，且日志內容是否滿足監管需求。數據處理應按照數據分級差異化管理，建立審批機制，確保數據處理過程安全可控，防止數據泄露。

　　（三）數據交換與銷毀

　　數據交換安全包括傳輸時的數據安全性、數據溯源和隱私保護，數據交換應遵循合法合規、最小夠用原則。數據交換應制定交換流程，明確交換過程中的傳輸、保管和使用職責，同時應履行交換審批手續，明確交換過程數據加密和脫敏策略，并確保數據交換過程可追溯。數據銷毀要明確操作規程和操作方式，對操作效果進行評估和核驗。數據存儲介質銷毀應集中實施，履行清點、登記和審批手續，對于超出保存期限的數據應及時刪除和銷毀，經審批臨時使用完畢的數據，應統一進行清理。

　　作者：石永