（資料性）

大數(shù)據(jù)平臺數(shù)據(jù)安全風險評估指標體系框架本附錄介紹了大數(shù)據(jù)平臺數(shù)據(jù)安全風險評估指標體系框架，供企事業(yè)單位開展風險評估工作參考。本文件提出的大數(shù)據(jù)平臺數(shù)據(jù)安全風險評估指標體系包括6.1節(jié)的指標體系框架，以及6.2至6.11節(jié)的評價指標解釋。指標體系框架囊括了大數(shù)據(jù)平臺數(shù)據(jù)全生命周期各類風險的評價指標，框架的前四列分別為一級、二級、三級和四級風險評價指標。其中下級指標是對上級指標的細化分解，是對大數(shù)據(jù)平臺數(shù)據(jù)安全進行風險評估時應考慮的具體風險點，上級指標是對下級指標的概括總結，將風險點匯聚為風險面，反映了大數(shù)據(jù)平臺某部分或數(shù)據(jù)全生命周期某環(huán)節(jié)所面臨的數(shù)據(jù)安全風險概況。指標體系框架的第五列從數(shù)據(jù)安全面臨的六種主要威脅出發(fā)，列舉了數(shù)據(jù)安全風險點對應的具體后果。評價指標解釋針對每個具體的數(shù)據(jù)安全風險點，闡述了風險出現(xiàn)的原因及可能造成的影響，在進行大數(shù)據(jù)平臺數(shù)據(jù)安全風險評估時，在判斷平臺中是否存在某種風險前，應將大數(shù)據(jù)平臺的實際安全狀況與評價指標解釋中風險出現(xiàn)的原因相比較，若兩者相同或類似，則說明大數(shù)據(jù)平臺存在此種風險，否則說明大數(shù)據(jù)平臺不存在此種風險。本標準提出的指標體系列舉了大數(shù)據(jù)平臺中數(shù)據(jù)在收集、存儲、傳輸、處理、提供、發(fā)布、刪除、使用等過程中的風險，以及敏感數(shù)據(jù)面臨的風險，數(shù)據(jù)安全風險評估指標體系全面囊括了數(shù)據(jù)進入到大數(shù)據(jù)平臺后經(jīng)歷的一系列處理和流轉(zhuǎn)過程中可能面臨的風險。每類風險可細分為若干更具體的風險面，比如基礎設施、軟件、管理制度等方面的潛在風險。數(shù)據(jù)收集階段風險被細分為數(shù)據(jù)源、數(shù)據(jù)質(zhì)量和合規(guī)性風險；數(shù)據(jù)存儲階段風險細分為存儲適當性、存儲環(huán)境、存儲系統(tǒng)、存儲硬件和云服務存儲風險；數(shù)據(jù)傳輸階段風險細分為傳輸鏈路、傳輸算法、傳輸數(shù)據(jù)、傳輸硬件和傳輸軟件風險；數(shù)據(jù)處理階段風險細分為處理環(huán)境、導入導出、處理系統(tǒng)、處理硬件和處理軟件風險；數(shù)據(jù)提供安全風險細分為對外提供風險和關聯(lián)接口安全風險；數(shù)據(jù)發(fā)布階段風險細分為受控發(fā)布和非受控發(fā)布風險；數(shù)據(jù)刪除階段風險被具體化為殘留與銷毀風險；數(shù)據(jù)使用階段風險細分為數(shù)據(jù)訪問和數(shù)據(jù)使用管理風險；敏感數(shù)據(jù)安全風險被具體化為隱私保護風險。以上被細化或具體化的風險可再次細分為更具體實際的風險點。在進行大數(shù)據(jù)平臺數(shù)據(jù)安全風險評估前，評估方可以根據(jù)以上風險指標，從平臺配置文件、系統(tǒng)日志等收集足夠的風險數(shù)據(jù)，選擇進行風險評估所需的風險評估專家和平臺運維管理人員。本標準提出的指標體系為大數(shù)據(jù)平臺數(shù)據(jù)安全風險評估指明了評估方向和評估重點，在進行評估時，可以根據(jù)風險點，依次在目標大數(shù)據(jù)平臺中定位風險可能存在的部位，然后有針對性地進行檢測，將檢測結果與對風險點的解釋相對比，則可判斷出某部位是否存在風險，然后可以使用公式進一步計算相應的風險值。本標準提出的指標體系可以被用于任意大數(shù)據(jù)平臺的數(shù)據(jù)安全風險評估，若待評估平臺對數(shù)據(jù)的處理流程不是一個完整的數(shù)據(jù)生命周期，或者本次評估目標是評估大數(shù)據(jù)平臺中部分數(shù)據(jù)處理流程，則可以事先根據(jù)待評估的具體數(shù)據(jù)處理流程，從指標體系框架中節(jié)選部分數(shù)據(jù)安全風險指標，然后展開風險評估。比如某大數(shù)據(jù)平臺僅對收集數(shù)據(jù)進行存儲和公布操作，則可以參考本標準提出的指標體系的數(shù)據(jù)收集階段風險、數(shù)據(jù)傳輸階段風險、數(shù)據(jù)存儲階段風險和數(shù)據(jù)發(fā)布階段風險涉及的風險點，有針對性地對該大數(shù)據(jù)平臺展開數(shù)據(jù)安全風險評估。數(shù)據(jù)風險量化指標體系數(shù)據(jù)風險量化指標體系風險階段風險定位風險來源數(shù)據(jù)收集階段風險數(shù)據(jù)源風險缺乏數(shù)據(jù)源身份認證缺乏數(shù)據(jù)源訪問控制未標記數(shù)據(jù)來源收集數(shù)據(jù)質(zhì)量未檢測數(shù)據(jù)可用性未檢測數(shù)據(jù)完整性未檢測數(shù)據(jù)一致性收集合規(guī)性數(shù)據(jù)來源不合規(guī)收集行為不合規(guī)數(shù)據(jù)存儲階段風險存儲適當性風險存儲位置設置不當存儲期限設置不當存儲方式設置不當存儲環(huán)境風險未加密存儲數(shù)據(jù)未脫敏存儲個人信息存儲加密算法安全強度不達標未隔離不同用戶存儲數(shù)據(jù)未備份存儲數(shù)據(jù)未授權訪問數(shù)據(jù)傳輸階段風險傳輸鏈路風險未建立安全傳輸通道未授權的數(shù)據(jù)傳輸未刪除傳輸節(jié)點緩存數(shù)據(jù)傳輸安全機制傳輸算法不合規(guī)傳輸協(xié)議漏洞傳輸密鑰或證書管理不當加密算法安全強度不達標完整性校驗算法安全強度不達標數(shù)字簽名算法安全強度不達標傳輸數(shù)據(jù)行為風險未加密傳輸數(shù)據(jù)未校驗傳輸數(shù)據(jù)數(shù)據(jù)加工階段風險數(shù)據(jù)加工行為風險未脫敏使用數(shù)據(jù)未審查數(shù)據(jù)加工行為和結果數(shù)據(jù)分析系統(tǒng)風險分析環(huán)境不可信分析流程存在安全漏洞或違規(guī)未審查用戶分析程序數(shù)據(jù)提供階段風險對外提供風險未加密提供數(shù)據(jù)未對提供數(shù)據(jù)脫敏未對提供數(shù)字簽名未對提供數(shù)據(jù)添加數(shù)字水印未審核對外提供數(shù)據(jù)未鑒別接收方身份未與接收方簽訂數(shù)據(jù)安全協(xié)議導入導出風險數(shù)據(jù)格式不兼容未檢驗數(shù)據(jù)完整性、一致性數(shù)據(jù)發(fā)布階段風險受控發(fā)布風險未脫敏發(fā)布數(shù)據(jù)未對發(fā)布數(shù)據(jù)添加數(shù)字水印未對發(fā)布數(shù)字添加簽名未確保發(fā)布數(shù)據(jù)一致性數(shù)據(jù)發(fā)布不合規(guī)非受控發(fā)布風險未做發(fā)布風險評估發(fā)布范圍、內(nèi)容、時限等超出授權范圍數(shù)據(jù)交換階段發(fā)送方未認證接收方未授權數(shù)據(jù)發(fā)送未有效脫敏敏感信息超范圍提供數(shù)據(jù)未有效控制數(shù)據(jù)接收方未認證發(fā)送方違規(guī)獲取未授權數(shù)據(jù)未協(xié)商數(shù)據(jù)格式敏感信息留存數(shù)據(jù)備份恢復階段風險備份數(shù)據(jù)風險備份不可用備份不完整備份數(shù)據(jù)泄露恢復數(shù)據(jù)風險未完整恢復數(shù)據(jù)數(shù)據(jù)刪除階段風險銷毀數(shù)據(jù)風險未授權銷毀行為未銷毀元數(shù)據(jù)銷毀流程不合規(guī)數(shù)據(jù)殘留未銷毀數(shù)據(jù)緩存未銷毀數(shù)據(jù)備份未凈化或銷毀存儲介質(zhì)數(shù)據(jù)運維管理風險審計與運維缺少數(shù)據(jù)流轉(zhuǎn)、訪問、處理、備份恢復、刪除等日志日志審計粒度設置不當未定期檢測存儲節(jié)點數(shù)據(jù)一致性未定期檢測存儲節(jié)點數(shù)據(jù)完整性未對數(shù)據(jù)分類分級未設置或定期檢查數(shù)據(jù)時效性和存儲期限缺乏數(shù)據(jù)流轉(zhuǎn)追蹤機制未建立數(shù)據(jù)流轉(zhuǎn)、處理規(guī)范未根據(jù)法律法規(guī)制定數(shù)據(jù)跨境傳輸規(guī)范數(shù)據(jù)權限管理缺乏數(shù)據(jù)資產(chǎn)管理策略未對用戶操作進行身份認證和訪問控制授予賬戶非必要權限未記錄用戶操作未定期檢查角色或用戶權限必要性未及時刪除過期用戶缺少授權超時回收機制未定期修改系統(tǒng)用戶密碼數(shù)據(jù)應急管理未制定應急預案未建立應急響應部門未定期進行應急演練大數(shù)據(jù)平臺風險量化指標體系大數(shù)據(jù)平臺風險量化指標體系風險階段風險定位風險來源基礎設施安全風險服務器服務器故障未加固服務器網(wǎng)絡網(wǎng)絡拓撲單點故障網(wǎng)絡設備故障未隔離內(nèi)外網(wǎng)存儲設備存儲設備故障安全設備安全設備故障安全設備監(jiān)測或報警功能缺陷平臺的云操作系統(tǒng)風險軟件第三方組件漏洞軟件供應鏈劫持軟件間通信未加密未檢測代碼完整性中間件漏洞鏡像和容器鏡像來源不可信鏡像或容器漏洞虛擬化控制節(jié)點控制節(jié)點備份失效數(shù)據(jù)同步機制故障資源調(diào)度機制故障權限管理失控虛擬化計算節(jié)點未加密中間數(shù)據(jù)和結果計算前未脫敏用戶數(shù)據(jù)虛擬化存儲節(jié)點未加密敏感數(shù)據(jù)數(shù)據(jù)不可用未備份數(shù)據(jù)未隔離不同用戶存儲數(shù)據(jù)虛擬化網(wǎng)絡節(jié)點未開啟防火墻或防火墻功能缺陷節(jié)點配置錯誤節(jié)點不可用云服務缺乏云安全策略云安全配置錯誤云服務不合規(guī)云服務不可用云服務不穩(wěn)定云服務不兼容喪失數(shù)據(jù)控制權平臺運維管理風險平臺運維未定期維護硬件未定期檢查系統(tǒng)安全配置硬編碼系統(tǒng)密碼配置未定期更新系統(tǒng)軟件關鍵硬件缺少冗余軟硬件配置不當或未定期檢查配置未關閉非必要服務未實時監(jiān)控系統(tǒng)性能缺乏軟件操作日志缺乏硬件安裝與運行日志缺乏云服務審計日志審計粒度設置不當未定期檢測、修復鏡像、軟件或硬件漏洞缺乏惡意節(jié)點、故障節(jié)點檢測和修復機制平臺管理與防護未建立平臺軟硬件資產(chǎn)清單、系統(tǒng)資源清單和配套管理機制缺乏訪問權限管理策略密鑰設置與管理不當未提供多種身份認證方式缺乏統(tǒng)一的訪問控制機制訪問控制粒度設置不當未建立分布式存儲、計算節(jié)點間認證機制和規(guī)范未建立外部訪問組件注冊與使用審核審計機制未周期性檢驗節(jié)點安全策略一致性未審查軟硬件、鏡像來源未設置軟硬件安全域未及時完整地獲取系統(tǒng)報警信息未制定人員安全管理、考核、追責制度未建立平臺安全監(jiān)管部門及崗位未定期進行人員安全培訓與考核平臺應急管理未制定平臺應急預案未建立應急響應部門未定期進行應急演練大數(shù)據(jù)平臺接口風險量化指標體系接口及業(yè)務風險量化指標體系風險階段風險定位風險來源數(shù)據(jù)服務接口安全風險API接口風險未進行流量限制未設置響應延時閾值未進行響應狀態(tài)占比統(tǒng)計缺乏錯誤分布分析無黑白名單控制缺少輸入過濾API上下線機制部署不當API安全配置不當API訪問證書泄露API數(shù)據(jù)未進行脫敏消息隊列管理未正確配置持久化選項未進行消息去重未進行消息排序未限制消息資源使用量未對消息進行擁塞控制未對消息格式進行統(tǒng)一RPC防護未加密的RPC通信缺乏適當?shù)纳矸蒡炞C和授權機制未采用數(shù)據(jù)完整性保護措施未部署抗DDoS服務不合理的超時設置或錯誤處理機制數(shù)據(jù)庫請求接口風險未進行惡意輸入過濾錯誤的數(shù)據(jù)庫授權未對數(shù)據(jù)庫請求的資源請求進行限制未隱藏敏感接口未加密和沒有保證完整性的數(shù)據(jù)庫請求業(yè)務安全風險業(yè)務訪問風險未經(jīng)授權未設置密碼強度檢驗和多因素認證不當?shù)脑L問權限設置接口可用性不足以支撐業(yè)務業(yè)務應用風險未檢查代碼漏洞和配置錯誤應用故障、硬件問題或網(wǎng)絡中斷導致的業(yè)務中斷不符合合規(guī)性要求未對第三方庫和服務做安全性檢驗

（資料性）

風險評估報告模板B.1封面示例大數(shù)據(jù)平臺數(shù)據(jù)安全風險評估報告風險評估單位：報告時間：年月日B.2目錄示例一、評估概述1.1評估目的（說明本次評估工作的目的。）1.2評估對象（說明本次評估工作的對象、評估范圍和邊界。）1.3評估依據(jù)（說明開展本次評估工作時依據(jù)的國家法律法規(guī)和標準制度等。）二、評估工作開展情況2.1評估工作組織情況（說明開展本次評估工作的組織機構、人員構成、工作機制等基本情況。）2.2評估時間進度（對開展本次評估工作的時間進度安排情況進行說明，并對每個階段的主要工作內(nèi)容、完成情況等信息進行描述。）2.3參與人員情況（對參與本次評估工作的相關單位、部門和人員進行說明。）2.4評估方法（說明風險評估的過程，對建立的風險分析模型進行說明，闡明采用的風險計算方法及評價方法。）三、評估要素基本情況3.1大數(shù)據(jù)平臺基本情況3.2數(shù)據(jù)情況3.3關聯(lián)接口情況3.4業(yè)務情況3.5威脅識別情況3.6脆弱性識別情況3.7安全措施情況四、數(shù)據(jù)安全風險評估4.1數(shù)據(jù)風險評估4.1.1數(shù)據(jù)收集階段風險評估4.1.2數(shù)據(jù)存儲階段風險評估4.1.3數(shù)據(jù)傳輸階段風險評估4.1.4數(shù)據(jù)加工階段風險評估4.1.5數(shù)據(jù)提供安全風險評估4.1.6數(shù)據(jù)發(fā)布階段風險評估4.1.7數(shù)據(jù)交換階段風險評估4.1.8數(shù)據(jù)備份恢復階段風險評估4.1.9數(shù)據(jù)刪除階段風險評估4.1.10數(shù)據(jù)運維管理風險評估4.2平臺風險評估4.2.1基礎設施安全風險評估4.2.2平臺的云操作系統(tǒng)風險評估4.2.3平臺運維管理風險評估4.3接口風險評估4.3.1數(shù)據(jù)服務接口安全風險評估4.3.2業(yè)務安全風險評估五、風險結果及處置建議5.1數(shù)據(jù)、平臺、接口安全風險清單5.2風險分析與評價5.3風險處置建議附錄C

（資料性）

大數(shù)據(jù)平臺數(shù)據(jù)安全風險量化評估方法本附錄介紹了大數(shù)據(jù)平臺數(shù)據(jù)安全風險量化評估方法，供企事業(yè)單位開展風險評估工作參考。此風險量化方法參考GB/T20984—2022中的附錄F（資料性）風險的計算示例方法。識別大數(shù)據(jù)平臺業(yè)務A及其所涵蓋的系統(tǒng)資產(chǎn)B，梳理業(yè)務重要性、系統(tǒng)資產(chǎn)業(yè)務承載連續(xù)性并完成業(yè)務建模后系統(tǒng)資產(chǎn)價值Vb賦值；在識別平臺系統(tǒng)組件和單元資產(chǎn)C并完成資產(chǎn)識別與分類后對其資產(chǎn)價值Vc賦值；識別威脅行為能力和頻率后對威脅值Th賦值；識別脆弱性和安全措施后對脆弱性被利用的難易程度Vu賦值；分析風險的危害并完成影響程度建模后對影響程度Im賦值。采用適當?shù)臄?shù)學計算方法、借助風險評估工具確定風險事件發(fā)生的可能性和危害程度，進行風險的量化計算。計算風險事件發(fā)生的可能性由威脅和脆弱性被利用難易程度，計算威脅利用脆弱性導致風險事件發(fā)生的可能性，即：風險事件發(fā)生的可能性=F[威脅賦值，脆弱性被利用難易程度]=F(Th,Vu)。計算風險事件的危害程度由資產(chǎn)價值和風險事件影響程度，計算風險事件造成的危害程度，即：風險事件的危害程度=L[資產(chǎn)價值，影響程度]=L(Vc,Im)。計算平臺系統(tǒng)資產(chǎn)風險值根據(jù)計算出的風險事件發(fā)生的可能性以及風險事件造成的危害程度值，分別計算系統(tǒng)資產(chǎn)包括數(shù)據(jù)的風險值、大數(shù)