大数据平台数据安全风险评估指标体系

II4II大数据平台数据安全风险评估指标体系范围本文件规定了大数据平台数据安全风险评估指标体系，明确了指标释义，描述了开展大数据平台数据安全风险评估的实施细则。本文件适用于大数据平台数据安全风险评估工作，为企事业单位的大数据平台安全风险态势判断和宏观决策提供支持，为大数据平台管理部门及运营单位的安全风险管控工作提供支持。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20984—2022信息安全技术信息安全风险评估方法GB/T25069—2022信息安全技术术语GB/TXXXXX—XXXX信息安全技术数据安全风险评估方法术语和定义GB/T20984—2022中界定的以及下列术语和定义适用于本文件。GB/T25069—2022中界定的以及下列术语和定义适用于本文件。

大数据bigdata具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。[来源：GB/T25069-2022，定义3.97]

大数据平台bigdataplatform采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合，包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。[来源：GB/T25069-2022，定义3.101]

风险评估riskassessment风险识别、风险分析和风险评价的整个过程。[来源：GB/T25069-2022，定义3.174]

风险识别riskidentification发现、识别和描述风险的过程。[来源：GB/T25069-2022，定义3.176]

风险分析riskanalysis理解风险本质和确定风险级别的过程。[来源：GB/T25069-2022，定义3.166]

风险评价riskevaluation将风险分析的结果与风险准则比较，以确定风险和/或其大小是否可接受或可容忍的过程。[来源：GB/T25069-2022，定义3.175]

自评估self-assessment由信息系统所有者自身发起，组成组织内部的评估小组，依据国家有关法规与标准，对信息系统安全管理进行的评估活动。[来源：GB/T25069-2022，定义3.810]

数据泄露dataleakage由于传输协议缺陷、访问控制机制漏洞、未对存储或备份数据加密、加密算法强度不足、存储介质后门、日志记录敏感数据、未完全销毁数据等，导致数据被非授权用户、程序或设备访问、复制或传输的过程。

隐私泄露privacydisclosure未经授权的个人或组织通过技术手段从非公开或公开的数据中搜集或推导出个人敏感信息，获取了不公开个人隐私信息的过程。

数据滥用dataabuse用户、程序或设备在使用、传播、处理数据前未得到授权，使用、传播、处理数据的方式、目的并非合法正当或偏离了原定计划，导致数据被超出预期访问、非授权访问、来源去向不明的行为。

数据失控dataoutofcontrol在数据生命周期治理的过程中，由于技术故障、人为错误、恶意攻击、政策或法律法规变更导致数据的质量、安全性、隐私性或合规性等受到威胁。

风险可能性riskprobability潜在威胁利用脆弱性并导致数据泄露、系统性能下降、业务中断等负面后果的发生概率。

风险影响riskimpact潜在威胁利用脆弱性后，导致的数据泄露、系统性能下降、业务中断等一系列负面后果的严重程度和范围。

风险评估指标体系riskassessmentindexsystem用于风险评估的要素及其权重的集合，通过对要素的系统分类排查，能够识别和量化某对象的风险存在程度，从而快速计算其风险值并确定风险等级，为风险管理提供依据。

存储适当性storageappropriateness把数据以适当的存储方式存放到适当的位置，并设置合理的存储期限，从而保障数据的机密性、完整性和可用性不受损害。

存储环境storageenvironment用于存储数据的物理或虚拟设施的综合安全态势，主要包括访问控制、数据日志、数据加密、数据校验、数据隔离等。符号和缩略语下列缩略语适用于本文件。API：应用程序接口（ApplicationProgrammingInterface）RPC：远程过程调用（RemoteProcedureCall）DDoS：分布式拒绝服务攻击（DistributedDenialofService）大数据平台数据安全风险评估及指标体系概述风险评估工作形式大数据平台数据安全风险评估分为自评估和检查评估两种形式。自评估是指数据拥有、运营或使用的平台发起的对本平台进行的风险评估。自评估应在本标准的指导下，结合平台数据安全现状及安全要求进行实施。周期性进行的自评估可以在评估流程上适当简化，重点针对自上次评估后平台状态变更引入的新风险。但当平台发生重大变更时，应依据本标准进行完整的评估。检查评估是指上级管理部门组织的或国家有关职能部门依法展开的风险评估。检查评估依据本标准对应的测评标准，实施相应的风险评估过程。检查评估可在自评估的基础上，对关键环节或重点内容实施抽样评估。风险要素关系大数据平台数据安全风险评估的基本要素包括：数据资产、数据处理过程、基础设施、接口、业务、风险源、安全措施等。风险评估过程中应综合考虑以上要素，各基本要素之间的关系如图1所示。大数据平台风险基本要素及其关系风险评估过程中，基本要素之间的关系如下：大数据平台包括基础设施、云操作系统、数据、数据处理过程、接口和业务；基础设施支撑云操作系统，数据处理过程处理数据，接口服务于业务；基础设施和云操作系统支撑大数据平台中的数据处理，数据处理过程和数据本身支撑大数据平台的接口与业务；基础设施、云操作系统、数据、数据处理过程、接口和业务存在风险源；风险源可能导致安全事件的发生；安全措施能够减少风险源以及预防和响应安全事件。风险分析原理大数据平台风险分析原理风险分析的原理如下：根据大数据平台的资产即基础设施、云操作系统、数据、接口和业务的重要性以及属性，评估资产价值；根据风险来源、类型和动机，以及审计日志，确定风险源的能力和频率；若安全事件未发生，则根据威胁发生的频率以及资产的价值、脆弱性，评估安全事件发生的可能性和可能对资产造成的影响；若威胁已经导致安全事件发生，则根据资产的价值评估该安全事件对资产的影响；根据对资产的影响程度，评估安全事件发生后对评估对象造成的损失，或评估可能发生的安全事件对评估对象即将造成的损失；根据造成的或即将造成的损失来评估风险值和风险等级，以支持风险决策。风险评估流程评估实施的过程主要包括评估准备、评估执行、风险分析和风险评价四个阶段，评估的具体实施过程如图所示。风险评估实施过程其中主要内容有：评估准备阶段：此阶段由评估机构受理评估申请，风险评估开展前须明确告知大数据平台最高管理者和相关安全责任人并获得批准。风险评估准备工作包括：确定评估小组的成员并进行评估策划，收集评估对象相关资料，初步了解平台基本情况；开展前期调研，确定评估目标、范围、边界、方法和工具，并制定评估方案；评估目标包括分析大数据资产的潜在风险，制定合适的风险管理策略以满足合规性要求；评估范围和边界包括企业内部的数据资产、大数据平台和接口；确定风险评估的方法和工具，以便在后续阶段进行有效的风险识别、分析和评价。评估执行阶段：此阶段进行资产风险识别，首先确定组织内的关键资产，然后根据资产类别等级以及风险指标体系进行资产价值、脆弱性以及潜在威胁分析。大数据平台风险识别应注意几个方面：数据资产风险主要存在于数据收集、传输、存储、加工等数据处理或流转环节，以及相应的数据管理环节；平台软硬件资产风险主要存在于基础设施的运行与维护；接口资产风险主要存在于平台对外提供数据服务与业务的过程。风险分析阶段：识别出潜在风险后，评估机构需要对这些风险进行分析，以确定它们的可能性和影响。进行风险分析时应注意：在大数据资产风险评估中，可能需要运用统计方法、机器学习技术、模型分析和专家评估等手段来分析风险的可能性和影响。风险评价阶段：在风险评价阶段，评估机构需根据识别的结果结合风险评估指标体系得到风险值，并对风险进行排序和优先级划分，以便制定相应的风险应对措施，最后生成评估报告并发放评估证书。进行风险评价时应注意：评价过程通常需要综合考虑风险的可能性、影响和容忍度。容忍度是指组织能够接受的风险水平。通过对风险进行评价，组织可以确定需要优先关注和管理的重大风险，从而更有效地保护和管理大数据资产；大数据资产风险评估与传统数据资产风险评估在某些程度上可以采用相同的基本流程，然而，针对大数据资产的特点和风险类型，风险评估的具体方法和技术可能需要做出相应的调整和改进。协商与沟通：评估团队内部、评估团队与被评估方间的交流是风险评估的重要组成部分，贯穿整个风险评估流程。进行协商与沟通时应注意：在此环节，评估团队内部应积极沟通，定期汇报评估进展和发现的问题，确保团队能够及时调整评估方案和调配资源；被评估方和评估团队也应保持密切联系，保证评估团队能够及时与被评估方商讨评估方案和调配人力、物力等资源，确保评估顺利进行。风险评估指标体系如图所示，大数据平台数据安全风险评估指标体系分为数据、大数据平台和接口风险量化指标体系三个部分。大数据平台数据安全风险评估指标体系构成大数据平台中的数据、平台和接口的风险量化指标体系如图4、图5和图6所示：数据风险量化指标体系（图中“数据管理”是否跟目录6.10对应改成“数据运维”？）大数据平台风险量化指标体系(7.2标题是否应与图中“云操作系统”一致改为“云操作系统风险”？“平台应急管理”放在第二，与7.3.3的第三顺位不对应。“平台防护与管理”与7.3.2标题不对应，是否改掉其中一个？)大数据平台接口风险量化指标体系数据风险量化指标体系相应表格见附录A中表A.2，大数据平台风险量化指标体系相应表格见附录A中表A.3，大数据平台接口风险量化指标体系相应表格见附录A中表A.4。大数据平台数据风险量化指标体系数据收集阶段风险6.1.1数据源风险大数据平台从数据源处收集平台内部和外部的数据，数据源形式多样，可以是系统日志、数据库、网络爬虫获取的信息等，数据源可以由开发人员事先在大数据收集组件配置文件中定制。数据源处存在的风险如下：数据源缺乏身份认证：在为收集服务器配置数据源前未进行身份验证，不能确保数据来源于预期对象。数据源缺少访问控制：没有对主体对象进行授权和访问限制。未标记数据来源：未标注收集得到的原始数据的来源或获取渠道。6.1.2收集数据质量大数据平台的数据质量主要指数据的真实性、完整性，高质量的数据是未经过恶意伪造、替换、篡改等操作的，数据的质量将直接影响平台后续的数据处理、数据导入导出、数据提供、数据发布和数据使用。数据质量存在的风险如下：未检测数据完整性：未对收集的原始数据进行检测，导致收集的数据和数据源提供的原始数据不一致，存在缺失或篡改，不能够代表典型的数据样本。未检测数据可用性：未对收集的原始数据存在的噪声、错误、重复内容等进行检测或清洗，导致后续数据分析结果、业务决策等出现错误。未检测数据一致性：未对收集的原始数据进行检测，导致原始数据中存在相互矛盾的数据。6.1.3收集合规性数据收集的合规性是指数据的来源、收集行为符合相关法律法规、行业标准和企业制度，从而确保数据收集的合法正当性。数据收集的合规性风险如下：数据来源不合规：数据源头存在及其提供的数据没有遵循相关法律规定、行业标准和企业制度。收集行为不合规：数据源收集数据以及等待预处理而暂存数据的方式没有遵循相关法律规定、行业标准和企业制度。数据存储阶段风险6.2.1存储适当性风险实现存储适当性需要为数据设置一个安全的存储方式、合适的存储位置以及确定的存储期限，以保护用户隐私和防止数据滥用。存储适当性的风险如下：存储位置设置不当：数据未存储在适当的设备或数据存储设备没有部署在适当的区域，导致数据泄露、损坏或丢失风险。存储期限设置不当：没有遵循相关规定为数据设定一个有限且必要的存储期限，不能确保数据存储时间与使用目的保持一致，或在超过存储期限后，没有对信息作删除或匿名化处理，导致数据滥用、隐私泄露风险。存储方式设置不当：未选择适当的存储技术、存储介质和管理手段，不能保障数据的机密性、完整性和可用性不受损害。6.2.2存储环境风险存储环境需要根据具体数据业务的安全需求进行配置，以确保存储数据的安全性得到切实的保障。存储环境的风险如下：未加密存储数据：没有对存储系统中的数据进行加密或确保加密密钥的安全，存在数据泄露风险。未脱敏存储个人信息：在存储个人信息时，未对信息中的敏感字段进行脱敏、匿名处理，增加了个人隐私泄露的风险。加密算法安全强度不达标：加密算法强度、复杂度不足以抵御恶意攻击如暴力破解等，导致加密后的数据存在泄露风险。未隔离不同用户存储数据：没有对同一个数据库或表中不同用户或程序的数据进行逻辑或物理上的隔离，用户或程序可能能够访问不属于自己的数据。未备份存储数据：未对存储的数据建立副本备份，增加了数据丢失的风险。未授权访问：由于系统漏洞、弱密码或内部恶意用户，导致数据遭受未经授权的访问。数据传输阶段风险6.3.1传输链路风险在大数据平台数据传输的过程中，传输链路会因为缺少必要措施，导致恶意攻击者在链路上非法访问和篡改数据。具体来说，传输链路上的风险包括：未建立安全传输通道：在数据传输过程中未采用加密、身份验证、访问控制等安全机制来保护数据传输过程中的安全性。未授权的数据传输：未经授权或许可执行数据传输，导致机密数据泄露、个人隐私泄露等后果。未删除传输节点缓存数据：传输结束后未删除传输节点暂存数据，增加数据泄露风险。6.3.2传输安全机制风险传输安全机制的风险包括：传输加密算法不合规：没有根据国家、行业或企业相关法律法规要求采用安全的传输算法。传输协议漏洞：传输协议在设计或实现上存在漏洞，存在数据泄露、数据篡改、拒绝服务攻击等风险。传输密钥或证书管理不当：未重点保护和定期更新传输算法使用的密钥或证书，可能导致数据机密性和完整性受损。加密算法安全强度不达标：加密算法本身安全性存在缺陷，无法充分抵御密码分析攻击。完整性校验算法安全强度不达标：数据传输过程中使用的完整性校验算法安全强度不足以保证数据传输过程中的完整性。数字签名算法安全强度不达标：数字前面算法在密钥长度、算法安全性、随机性等方面不足以抵御伪造签名的攻击。6.3.3传输数据行为风险传输数据行为的风险包括：未加密传输数据：没有使用适当的加密算法对传输链路中的重要数据进行加密，可能导致传输过程中数据的机密性受损。未校验传输数据：没有使用适当的技术对重要传输数据进行签名、校验等操作，可能导致重要数据的完整性受损。数据加工阶段风险6.4.1数据加工行为风险加工环境的配置可能存在错误或不当管理，导致数据在加工过程中出现安全风险。具体来说，加工环境的风险包括：未脱敏加工数据：在系统加工重要数据流程结束后、输出加工结果前，没有选择适当的脱敏技术对加工结果进行脱敏操作，可能导致机密数据或用户隐私泄露。（是否需要整合基于安全计算的加工？安全计算可以实现不脱敏的加工，是否可以改个标题名字，把安全计算融合进来）未审查数据加工行为和结果：没有对数据加工任务中的代码和发布任务的对象进行审查，存在利用代码窃取机密信息或进行恶意攻击的风险。6.4.2数据分析系统风险大数据分析需要大量计算和存储资源，但可能因资源限制和性能瓶颈导致分析速度变慢，无法满足实时需求。随着数据增长和业务变化，分析系统还面临可扩展性和适应性挑战，难以有效处理大规模数据或满足新需求。具体来说，包括以下几个方面：分析环境不可信：分析环境中存在恶意程序、恶意用户或恶意设备，可能导致机密数据泄露。分析流程存在安全漏洞或违规：分析流程中存在可以被攻击者利用的漏洞，或者分析流程未按照相关规章制度执行，可能导致机密数据泄露、恶意代码执行，干扰正常的数据分析流程。未审查用户分析程序：没有对用户提交的数据分析程序进行审查或过滤，可能导致恶意用户上传恶意代码窃取或破坏数据，威胁分析系统安全。数据提供阶段风险6.5.1对外提供风险在数据提供的过程中，未经授权的访问或操作可能导致数据泄露，使敏感信息暴露给未经授权的个人或组织；不恰当的数据访问控制设置可能导致未经授权的用户获取敏感数据，或者限制了授权用户的访问权限。再者数据提供过程中可能涉及合规性要求，如隐私法规、数据保护法规等，不遵守这些要求可能导致法律风险。具体包括如下几个方面：未加密提供数据：在提供数据给外部实体时，没有将数据从明文转换成密文，引发数据在传输过程中被未经授权的第三方窃取或篡改的风险。未对提供数据脱敏：把数据提供给第三方或外部实体前，未对数据中的机密信息、个人隐私进行脱敏处理，导致数据泄露。未对提供数据签名：在数据提供中，缺少数字签名，不能确保数据在传输过程中的完整性，不能确认数据提供者的身份，存在假冒风险。未对提供数据添加数字水印：在数据提供中，未使用数字水印标记数据的来源和所有权，存在数据被第三方非法利用的风险。未审核对外提供数据：把数据提供给第三方或外部实体前，未对数据进行审核验证，确保提供的数据符合隐私保护法规要求。未鉴别接收方身份：把数据提供给第三方或外部实体前，未对接收方身份或权限进行验证，可能导致数据被发送给未授权第三方或外部实体，造成数据泄露。未与接收方签订数据安全协议：未明确数据提供的范围、类别、条件和程序，以及核验数据获取方的数据安全保护能力​。6.5.2导入导出风险在数据导入或导出过程中，导入的数据可能存在质量问题，如数据格式不兼容、数据缺失、数据重复、数据不一致等，影响数据处理和分析的准确性和可靠性。具体来说，导入导出过程的风险包括：数据格式不兼容：在不同的系统、应用程序或平台之间交换数据时，数据的格式不匹配或不一致，导致数据无法被正确解释、转换或使用。未检验数据完整性、一致性：在数据导入导出的过程中，没有对数据的完整性和一致性进行验证，可能导致数据可用性受而损影响数据加工。数据发布阶段风险依据发布方式的不同，大数据平台数据发布阶段的安全风险主要集中在受控发布和非受控发布两个方面。受控发布是指在数据发布过程中，数据的拥有者或管理者拥有明确的控制权，可以进行严格的审查和批准。相反，非受控发布是指数据在没有明确的权限控制或审查机制的情况下被发布。6.6.1受控发布风险在受控发布中，可能的风险包括但不限于：未脱敏数据发布：在将包含个人隐私、企业机密等敏感信息的数据发布给未授权用户前未进行脱敏处理，可能导致敏感信息泄露等风险。未对发布数据添加数字水印：在数据发布前，未对数据添加数据水印，不能追踪数据的使用和分发。未对发布数据添加签名：未对即将发布的数据生成数字签名以保护数据完整性，增加了数据发布后被篡改的风险。未确保发布数据一致性：在数据发布过程中未采取措施保障数据在不同系统或环境下的一致性，可能导致数据误用、业务决策失误、系统故障等风险。数据发布不合规：在数据发布之前，未对数据的规模、范围、种类和敏感程度，以及可能对国家安全、公共利益、个人或组织合法权益带来的风险进行全面和系统的风险自评估。没有明确发布方的数据安全保护责任义务，导致违反相关法律和合规性要求。6.6.2非受控发布风险在非受控发布中，可能的风险包括但不限于：未做发布前风险评估：在数据发布前，没有评估数据的敏感性，可能导致重要数据泄露、个人隐私泄露、敏感数据滥用等风险。发布范围、内容、时限等超出授权范围：在数据发布前，未明确哪些数据对哪些用户或组织开放，以及数据开放的时间期限，可能导致未经授权的数据访问、个人隐私泄露、发布内容违规。数据交换阶段风险6.7.1发送方数据交换阶段的发送方可能涉及的风险包括但不限于：未认证接收方：没有对接收数据的目标实体进行身份验证，可能导致未授权实体访问机密数据，造成数据泄露或滥用。未授权数据发送：数据在未经主体许可的情况下被发送给某个实体，可能导致隐私泄露。未有效脱敏敏感信息：在数据交换前，未对个人隐私进行有效的脱敏，如果敏感信息的范围固定（如手机号、身份证、常见姓名等），恶意攻击者可能通过暴力破解的方式碰撞出原始的敏感信息，导致隐私泄露。超范围提供数据：数据交换过程中，发送方可能会提供超出必要范围的数据。未有效控制数据：在联合建模等数据交换场景中，提供方由于缺乏对数据的访问控制、完整性校验、追踪监控等安全措施，可能失去对数据的控制，导致数据泄露、篡改、滥用等风险。6.7.2接收方数据交换阶段的接收方可能涉及的风险包括但不限于：未认证发送方：在数据交换前，没有对发送数据的实体进行身份验证和确认，发送的数据可能不可信或带有恶意目的。违规获取未授权数据：接收方通过不当手段获取了没有权限访问的数据，导致数据泄露、滥用和法律纠纷。未协商数据格式：在数据交换过程中，双方未经协商，使用了不同的数据格式，可能导致数据解释错误，影响数据可用性。敏感信息留存：在数据交换过程中，接收方可能会留存发送方提供的所有数据，暴力破解后将数据用于非法或未经授权的目的。数据备份恢复阶段风险数据备份是指把某些重要的数据完整无误地复制多个副本并存储在不同的存储位置，如不同的磁盘、机房甚至地区，以防止数据因黑客攻击、软硬件故障、人为操作失误、自然灾害等原因导致数据丢失或损坏。数据恢复是把受损或丢失的数据恢复为可用状态，比如从损坏的存储介质中恢复数据。数据备份和恢复阶段的风险如下：6.8.1备份数据风险大数据平台的数据备份环节可能涉及的风险包括但不限于：备份不可用：系统提供的数据备份和备份服务不可用，具体包括备份数据不可访问、备份服务不稳定、备份策略不完整、备份恢复时间过长等。备份不完整：进行数据备份时，由于备份任务设置不当、备份任务中断、未校验备份数据完整性等原因，可能导致备份数据部分或全部丢失、损坏、篡改等风险。备份数据泄露：由于对备份数据的管理或保护不当，备份数据被非授权获取，造成备份数据泄露。6.8.2恢复数据风险在利用大数据平台的备份数据进行数据恢复的过程中，可能涉及的风险包括但不限于：未完整恢复数据：从备份恢复数据时，没有完整地恢复到备份时的数据状态，即恢复的数据仍然存在缺失或错误。数据删除阶段风险6.9.1销毁数据风险数据删除是指通过某种方法从系统中移除或使特定数据无法再被访问的过程，数据删除不当可能导致敏感数据的残留和对其未经授权的访问。大数据平台的数据删除阶段风险包括但不限于：未授权销毁行为：在没有得到授权的情况下，进行了数据清除操作，导致数据丢失。未销毁元数据：元数据是描述其他数据的数据。在删除数据的过程中，未同时删除与其相关的元数据，可能导致原始数据的信息暴露。销毁流程不合规：数据的销毁操作没有严格按照相关法规要求和标准规范来执行，存在数据被非法恢复而泄露的风险。6.9.2数据残留若在数据删除阶段未完全销毁数据及其所有完整或部分的备份，则残留数据可能导致的风险包括但不限于：未销毁数据缓存：数据在处理过程中可能会被缓存。在数据删除阶段，未确保所有的数据缓存全部被彻底清除，可能会导致敏感数据泄露。未销毁数据备份：进行数据删除或更换设备时，未检索到数据的全部备份并正确地执行销毁操作，导致敏感数据泄露。未净化或销毁存储介质：在数据删除阶段，除了删除存储在介质上的数据，有时还需要销毁介质本身，以防止数据被恢复。介质未被彻底销毁可能会导致数据残留。数据运维管理风险数据运维管理是对企业或组织内部的数据进行有效管理、维护和监控的一系列活动，以确保数据的机密性、完整性、可用性和一致性，令数据能够有效支撑业务决策与运营。数据运维与管理涉及的风险如下：6.10.1审计与运维在对大数据平台数据进行治理时，可能涉及的风险包括但不限于：缺少数据流转、访问、处理、备份恢复等日志：组织没有对数据的流转、访问、处理、备份恢复等操作进行日志记录，导致后续审计过程中，难以追踪数据流向、来源，难以确定相关责任人，难以判断数据是否泄露，难以判断数据是否被篡改，难以检查数据完整性，可能导致数据安全风险。日志审计粒度设置不当：在日志审计中，设置的粒度过大，导致无法准确地追踪事件的发生和处理过程，影响了日志的审计效果。未定期检测存储节点数据一致性：未定期检测存储节点上的数据是否与主节点上的数据是否一致，可能导致数据完整性、可用性、准确性受损等风险。未定期检测存储节点数据完整性：没有定期检查各存储节点中数据及备份的完整性，导致备份数据丢失、篡改、不一致等风险。未对数据分类分级：没有依据重要性、机密性等对数据进行分类分级，并对不同类别或等级下的数据采取不同的保护策略，导致机密数据泄露、数据未授权访问、数据滥用、数据违规操作等风险。未设置或定期检查数据时效性和存储期限：没有根据业务和安全需求的变化，定期检查相应数据是否过期或超出存储期限，导致数据可用性下降、违规存储、个人隐私泄露等风险。未建立数据流转追踪机制：组织在管理数据时，没有建立一套完整的制度或工具来对数据全生命周期进行追踪，包括数据产生、传输、存储、处理、销毁等，导致难以追溯数据泄露责任人、难以检测数据篡改或滥用行为等风险。未建立数据流转、处理规范：没有根据实际业务和安全需求，建立完整合理的数据流转和处理规范，导致数据在流转和处理过程中缺乏相关准则，增加了数据失控、泄露、篡改的风险。未根据法律法规制定数据跨境传输规范：组织在进行数据跨境传输时，没有建立与现行法律法规要求相匹配的数据传输规范和标准，可能导致个人隐私、重要数据泄露等严重安全事件。6.10.2数据权限管理在对大数据平台数据的权限进行管理时，可能涉及的风险包括但不限于：缺乏数据资产管理策略：组织未制定全面合理的策略以指导如何管理其数据资产，增加了组织在数据收集、存储、处理、共享等方面的合规性和安全风险。未对用户操作进行身份认证和访问控制：用户没有经过身份认证和访问控制即可操作数据，容易引发严重的安全风险。授予账户非必要权限：在权限管理过程中，没有根据实际需要和职责授予账户相应权限，或授予了非必要权限，导致账户权限过大或过小。未记录用户操作：缺乏对管理人员进行额外的身份认证和操作记录，导致管理人员的操作无法被追踪，无法确保管理人员操作的合规性。未定期检查角色或账户权限必要性：没有根据业务和安全需求定期检查角色或账户权限是否必要，以确保仍然符合组织的安全策略和最佳实践，增加了权限滥用的风险。未及时删除授权用户：当组织不再为客户提供服务或员工离职时，没有及时删除对应用户，增加了数据泄露、篡改或权限滥用等风险。缺少授权超时回收机制：组织没有及时收回用户为了完成某些事务而临时申请的某些权限，增加了数据泄露、篡改或权限滥用等风险。未定期修改系统账户密码：没有在一定周期内修改系统账户密码，使其符合组织的安全合规要求，增加了账户密码被暴力破解或泄露的风险。6.10.3数据应急管理大数据平台中数据应急管理的风险包括但不限于：未制定应急预案：没有制定一套完整的应急预案，以应对可能发生的安全事件或事故，导致组织在面临安全事件时无法及时有效地响应和处理，存在安全事件发生后影响时间过长和业务中断的风险。未建立应急响应部门：没有设置一个完整的应急响应机制和部门，以帮助组织在面临安全事件或事故时快速响应和处理，存在安全事件发生后影响时间过长和业务中断的风险。未定期进行应急演练：没有定期组织应急演练，以检验应急预案和应急响应部门的有效性和可靠性，导致安全事件发生时相关制度无法有效被执行，应急预案和应急响应部门无法有效地响应和处理安全事件，存在安全事件发生后影响时间过长和业务中断的风险。大数据平台风险量化指标体系基础设施安全风险此处基础设施是指信息技术基础设施，是支撑企业等组织信息系统和业务流程所必须的硬件、软件、网络和服务等重要资源，确保组织内部的数据流转和处理流程能够正常执行。基础设施涉及的安全风险如下：7.1.1服务器大数据平台中服务器涉及的风险包括但不限于：服务器故障：服务器由于存在安全漏洞或维护不当，容易遭受恶意网络攻击或发生故障，增加了数据安全和业务中断的风险。未加固服务器：未对服务器增加物理防护措施；未严格管理人员出入与接触服务器；未关闭不必要的接口、服务等。导致服务器无法在恶劣条件下正常工作，降低了系统的安全性。7.1.2网络大数据平台中网络涉及的风险包括但不限于：网络拓扑单点故障：网络拓扑设计不合理，导致网络中某个关键节点或组件的失效，引起整个系统的瘫痪或性能大幅下降。网络设备故障：计算机网络中的硬件设备或软件出现问题，导致网络无法正常工作或传输数据丢失。未隔离内外网：企业没有隔离用于传输机密信息的内部网络和提供服务的外部网络，导致外部网络存在的威胁更容易进入内部网络。7.1.3存储设备大数据平台中存储设备涉及的风险包括但不限于：存储设备故障：存储设备由于维护不当、误操作、病毒破坏等发生故障，导致数据泄露或丢失。7.1.4安全设备大数据平台中安全设备涉及的风险包括但不限于：安全设备故障：安全设备由于设置或维护不当、误操作、病毒破坏等发生故障，导致其保护的设备面临更高的安全风险。安全设备监测或报警功能缺陷：安全设备未及时升级，或设备上的软件和策略未及时更新，导致其不能为平台的其他设备提供完整的安全监控和报告服务。平台的云操作系统风险7.2.1软件大数据平台中软件涉及的风险包括但不限于：第三方组件漏洞。软件供应链劫持：在软件开发、交互或维护过程中，由于供应链的某个环节存在漏洞或遭受攻击，导致攻击者能够通过入侵和篡改软件开发和分发过程中的某个环节，将恶意代码注入到合法软件中，然后通过正常的更新或分发渠道将受感染的软件传递给最终用户。软件间通信未加密：没有对软件间交互时传递的数据加密，存在机密数据泄露风险。未检测代码完整性：没有对部署到平台上的软件的源代码进行审计，导致可能存在恶意代码或漏洞代码。中间件漏洞：在中间件开发、交付和维护过程中，由于中间件的某个环节存在漏洞或被攻击，导致整个软件系统面临安全风险。7.2.2镜像和容器大数据平台中容器和镜像涉及的风险包括但不限于：镜像来源不可信：由于网络不安全、镜像源等问题，下载的镜像可能被篡改，镜像内可能留有漏洞，增加了数据泄露、系统崩溃等风险。镜像或容器漏洞：没有使用镜像漏洞扫描工具检测本地镜像或容器是否存在安全漏洞，导致漏洞被攻击者利用，引发数据泄露、系统崩溃等风险。7.2.3虚拟化控制节点大数据平台中虚拟化控制节点涉及的风险包括但不限于：控制节点备份失效：控制节点出现故障，同时平台无法及时切换至控制节点备份，导致控制节点不可用，造成数据丢失、平台虚拟化环境崩溃、平台业务中断等。数据同步机制故障：控制节点管理虚拟节点间数据同步的策略失效，导致虚拟节点数据丢失、不一致、准确性和完整性受损等风险。资源调度机制故障：控制节点的资源分配或调度策略失效，出现资源分配错误、调度失败或性能瓶颈，造成平台虚拟节点无法正常运行，导致平台业务可用性和连续性受损的风险。权限管理失控：控制平台资源和其余虚拟节点的权限管理不当或被滥用，导致平台资源被未授权访问或虚拟节点无法正常运行等风险。7.2.4虚拟化计算节点大数据平台中虚拟化计算节点涉及的风险包括但不限于：未加密中间数据和结果：在处理数据过程中，没有根据实际处理场景、处理方式，采取安全措施保护数据的机密性，可能导致机密数据泄露和未授权人员访问。计算前未脱敏用户数据：在把用户个人隐私用作某些计算程序的输入数据前，未对隐私数据进行脱敏，可能导致计算结果中包含用户隐私信息。7.2.5虚拟化存储节点大数据平台中虚拟化存储节点涉及的风险包括但不限于：未加密敏感数据：没有对存储的敏感数据进行加密或确保加密密钥的安全，存在数据泄露风险。数据不可用：数据被非法篡改、未经过预处理或超过有效期，导致数据中存在虚假信息或数据质量下降。未备份数据：未按照相关规定对数据进行备份，存储节点发生故障导致数据丢失后，无法恢复数据。未隔离不同用户存储数据：未对不同用户的数据进行隔离，导致数据泄露、篡改等风险。7.2.6虚拟化网络节点大数据平台中虚拟化网络节点涉及的风险包括但不限于：未开启防火墙或防火墙功能缺陷：平台网络节点没有合理配置防火墙策略并开启防火墙，导致恶意流量进入平台，引发安全风险。节点配置错误：虚拟网络节点路由规则配置错误，导致网络流量中断、数据丢失、数据泄露等风险。节点不可用：虚拟网络节点资源被其他节点争用，导致数据传输中断、数据丢失等风险。7.2.7云服务大数据平台中云服务涉及的风险包括但不限于：缺乏云安全策略：没有制定符合企业实际情况的安全策略，或未能在提供云服务过程中严格执行安全策略，导致数据泄露、业务中断、云服务安全违规等风险。云安全配置错误：在云计算环境中，由于管理员的错误操作或者配置不当，导致系统存在安全漏洞，增加了数据泄露、系统崩溃等风险。云服务不合规：提供的云计算服务没有完全符合法律法规、行业标准、企业制度等相关规定，可能导致数据泄露、隐私泄露、业务中止等风险。云服务不可用：提供的云服务不能够连续正常运行，不能提供其声称的服务，不能及时响应用户需求，可能导致业务中断、业务违规、协议违约等风险。云服务不稳定：提供商不能长期提供稳定运行的服务，特别是极端情况下难以保障服务的正常运行和用户数据的安全。云服务不兼容：不同的云服务平台之间或者云服务平台与本地环境之间，因为技术架构、接口规范、数据格式等方面的差异，导致无法或难以实现数据和应用的无缝迁移或交互。丧失数据控制权：用户数据被上传至云服务后，用户无法维持对数据传输、加工等行为的控制。平台运维管理风险平台运维管理是指对信息技术平台进行监控、维护、优化和管理的一系列活动，确保平台的效率、稳定性、可靠性和安全性，以支持企业等组织的业务需求和服务交互。平台运维管理涉及的风险如下：7.3.1平台运维大数据平台中平台运维涉及的风险包括但不限于：未定期维护硬件：没有对硬件进行周期性的检查、更换、升级，导致硬件故障率上升，降低系统性能和可用性。未定期检查系统安全配置：未定期检查并更新系统各项安全配置，以满足最佳安全实践和业务安全需求。硬编码系统密码配置：在程序代码中直接写入明文密码，而不是使用配置文件设置密码，显著增加了密码泄露的风险。未定期更新系统软件：没有对软件进行周期性的版本检查、打补丁或升级，导致软件版本过低，可能造成软件间不兼容错误，过时的软件甚至可能存在漏洞。关键硬件缺少冗余：未在系统关键部分部署多个相同或类似的硬件，导致系统在关键硬件故障后不能及时切换到备份硬件，降低了系统的稳定性、可用性。软硬件配置不当或未定期检查配置：未对系统安全配置进行定期检查和更新，不能及时发现并更正其中的错误配置，可能导致软硬件间不兼容等问题，导致系统性能无法满足业务需求。未关闭非必要服务：大数据平台一些不必要的服务或程序仍在运行，这些服务或程序中可能存在漏洞，使平台更容易遭受攻击。未实时监控系统性能：没有实时监测系统的性能、任务执行流程和资源占用，不能及时报告异常状况。缺乏软件操作日志：未记录用户对软件的访问情况和操作，追踪软件进行的活动，对后续故障或异常事件的处理造成困难。缺乏硬件安装与运行日志：未记录硬件设备安装和启动以来的状态变化和发生事件，导致难以进行后续硬件维护中的故障排除、性能优化等活动。缺乏云服务审计：未对平台提供的云服务、使用云服务的用户、云服务的使用目的等进行日志记录，对后续服务优化、故障排查等造成困难。日志审计粒度设置不当：没有根据实际安全需求设置合理的日志审计粒度，导致难以收集关键信息进行后续服务优化、故障排查等工作。未定期检测、修复镜像、软件或硬件漏洞：未对系统软硬件进行安全评估和漏洞扫描，未识别并修复硬件中存在的安全漏洞。缺乏恶意节点、故障节点检测和修复机制：导致攻击者能够向平台注册恶意节点，窃取篡改平台机密信息、破坏平台业务运行等。7.3.2平台管理与防护大数据平台中平台管理与防护涉及的风险包括但不限于：未建立平台软硬件资产清单、系统资源清单和配套管理机制：没有为平台上部署的软硬件等资产建立一套完整的资产清单和配套管理机制，对后续平台资产管理、发现并修复安全漏洞、升级维护等造成困难。缺乏访问权限管理策略：未组织制定明确合理的策略以规定组织内外哪些角色可以访问数据到何种程度，增加的数据泄露、篡改等安全风险。密钥设置与管理不当：没有足够强度的密钥和没有按照相关安全制度保管密钥。未提供多种身份认证方式：在系统或服务的用户认证过程中，只使用单一的认证方式，如仅通过用户名和密码进行认证，而没有提供其他形式的身份验证方式，可能会增加安全风险。缺乏统一的访问控制机制：没有建立一套完整的访问控制系统以确保任何用户对系统任何数据的访问是安全和合规的，增加了未授权用户利用漏洞非法访问系统敏感数据的风险。访问控制粒度设置不当：访问控制策略中权限的划分粒度过粗或过细，给数据带来额外的安全风险如未经授权的访问，或增加管理成本。未建立分布式存储、计算节点间认证机制和规范：存储和计算节点间缺乏有效身份认证和访问控制，导致节点间通信容易被未经授权地访问，增加了数据泄露、篡改、服务中断等安全风险。未建立外部访问组件注册与使用审核机制：未经审核和授权的外部访问组件能够在平台内被自由注册与使用，导致攻击者能够利用外部访问组件进行恶意攻击、窃取数据等，增加了平台安全风险。未周期性检验节点安全策略一致性：未定期审核节点间安全策略一致性并进行修复，导致节点间安全策略不一致，增加了平台安全风险。未审查软硬件、镜像来源：软硬件或镜像从非正规渠道获得，未经过安全认证，存在病毒、后门等。未设置软硬件安全域：未把系统中不同业务的设备或软件划分到不同的安全域，进行逻辑上的隔离，导致数据泄露或恶意攻击风险。未及时完整地获取系统报警信息：没有建立健全的报警系统或设置适当的报警阈值，安全监测程序无法及时发出完整的报警信息，导致管理人员无法及时知晓系统的异常或问题。未制定人员安全管理、考核、追责制度：没有规范组织中的人员安全管理、考核和追责，增加了组织的安全风险。未建立平台安全监管部门及岗位：组织未建立一个完整的安全监管部门和岗位并赋予相应权限，可能无法帮助组织在日常平台运维中响应和处理各种事件，增加了平台的安全风险。未定期进行人员安全培训与考核：未对组织中负责平台安全监管的人员进行定期的培训与考核，可能无法确保相关人员在日常监管维护中正常发挥作用，增加了平台的安全风险。7.3.3平台应急管理大数据平台中平台应急管理涉及的风险包括但不限于：未制定平台应急预案：没有制定一套完整的应急预案，以应对可能发生的安全事件或事故，导致组织在面临安全事件时无法及时有效地响应和处理，增加了安全事件和业务中断的风险。未建立应急响应部门：没有设置一个完整的应急响应机制和部门，以帮助组织在面临安全事件或事故时快速响应和处理，增加了安全事件和业务中断的风险。未定期进行应急演练：没有定期组织应急演练，以检验应急预案和应急响应部门的有效性和可靠性，导致安全事件发生时相关制度无法有效被执行，应急预案和应急响应部门无法有效地响应和处理安全事件，增加了组织面临的安全事件和业务中断的风险。大数据平台接口风险量化指标体系数据服务接口安全风险8.1.1API接口风险大数据平台中API接口涉及的风险包括但不限于：未进行流量限制：未进行流量限制，大量请求可能突然涌入，超出系统处理能力，导致服务器崩溃或响应迟缓，影响正常服务。未设置响应延时阈值：高响应延时将影响用户体验，可能导致用户失去耐心，甚至放弃使用服务。未进行响应状态占比统计：未进行响应状态占比统计会导致对API健康状态缺乏准确了解。随着不良响应状态比例上升，可能暗示潜在问题。缺乏错误分布分析：错误分布分析指对大数据平台中发生的错误进行收集、分类和统计，以识别错误发生的频率、位置和模式。缺乏错误分布分析可能导致难以定位和修复问题，延长系统故障修复时间。无黑白名单控制：无黑白名单控制可能使未授权用户或恶意实体访问API，危及敏感数据和系统安全。缺少输入过滤：缺少输入过滤可能导致恶意数据传入系统，引发数据损坏、泄露或攻击。API上下线机制部署不当：对API版本进行迭代更新时，只关注新版本API的上线部署，而忽略旧版本API的下线，可能被攻击者利用，导致信息泄露、系统越权控制、注入攻击等安全风险。API安全配置不当：设计和实现API时，没有采取充分的安全措施和最佳实践，导致API存在安全漏洞或被恶意利用的风险。API访问证书泄露：API访问密钥或证书意外或非授权地被未经授权的第三方获取，增加了数据泄露的风险。API数据未进行脱敏：对于涉及到重要信息和个人数据的API，没有对返回数据进行脱敏处理，导致隐私数据泄露。8.1.2消息队列大数据平台中消息队列涉及的风险包括但不限于：未正确配置持久化选项：在传递消息的过程中，如果未正确配置持久化选项，消息可能会在异常情况下丢失，导致信息不完整。未进行消息去重：网络故障或队列处理问题可能导致消息重复传递，引发重复处理和数据一致性问题。未进行消息排序：在分布式环境下，消息可能因为不同消费者处理速度不同而导致处理顺序混乱，影响系统的正确性。未限制消息资源使用量：如果消息队列处理速度跟不上消息的产生速度，可能导致系统资源（如内存、存储等）被消耗殆尽，影响整体性能。未对消息进行拥塞控制：如果消息队列消费者崩溃或处理速度降低，未处理的消息可能会堆积，最终影响整个系统的稳定性。未对消息格式进行统一：消息格式变化可能导致新版本的消费者无法正确处理旧版本的消息，需要考虑版本兼容性问题。8.1.3RPC防护大数据平台中RPC防护涉及的风险包括但不限于：未加密的RPC通信：未加密的RPC通信可能被窃听或中间人攻击，导致敏感数据泄露。缺乏适当的身份验证和授权机制：缺乏适当的身份验证和授权机制，可能使未授权的用户访问和执行远程过程。未采用数据完整性保护措施：未采用数据完整性保护措施可能导致数据被篡改，影响通信内容的正确性。未部署抗DDoS服务：恶意请求可能导致服务器资源耗尽，使系统无法响应合法请求。不合理的超时设置或错误处理机制：不合理的超时设置或错误处理机制可能导致调用方无法得知远程操作的真实状态。8.1.4数据库请求接口风险大数据平台中数据库请求接口涉及的风险包括但不限于：未进行恶意输入过滤：恶意用户可能通过构造恶意的SQL查询，绕过验证，访问或篡改数据库中的数据。错误的数据库授权：错误的数据库授权设置可能使未授权的用户获得对敏感数据的访问权限，导致数据泄露。未对数据库请求的资源请求进行限制：大量复杂的数据库请求可能导致数据库性能下降，影响应用程序的响应速度。未隐藏敏感接口：开放敏感的数据库请求接口可能导致不必要的数据暴露，增加安全风险。未加密和没有保证完整性的数据库请求：未加密和没有保证完整性的数据库请求和响应可能导致敏感数据在传输过程中被窃听或泄露。业务安全风险8.2.1业务访问风险大数据平台中业务访问涉及的风险包括但不限于：未经授权：未经授权的用户可能通过各种手段访问业务系统，可能导致数据泄露、恶意操作或服务滥用。未设置密码强度检验和多因素认证：弱密码、缺乏多因素认证等可能导致身份验证不足，使攻击者能够冒充合法用户进入系统。不当的访问权限设置：不当的访问权限设置或安全漏洞可能导致敏感数据泄露，影响用户隐私和合规性。接口可用性不足以支撑业务：在大数据平台中，用于连接不同组件、服务或系统的接口或API存在问题，导致接口无法提供足够的可用性和稳定性，以支持业务正常运行。8.2.2业务应用风险大数据平台中业务应用涉及的风险包括但不限于：未检查代码漏洞和配置错误：未检查可能存在的代码漏洞、配置错误等，存在被黑客利用进行攻击或数据泄露的风险。应用故障、硬件问题或网络中断导致的业务中断：应用故障、硬件问题或网络中断可能导致业务中断，影响用户体验和信誉。不符合合规性要求：接口提供的服务的安全性、可用性等不符合法规要求，可能导致法律违约风险，影响业务运营。未对第三方库和服务做安全性检验：使用第三方库、服务等可能存在稳定性和安全性风险，影响整体应用。大数据平台及数据安全风险评估实施流程风险评估准备大数据平台的风险评估是一个复杂的过程，涉及系统架构、网络拓扑、人员组织、业务流程、法律法规等诸多方面。因此，在进行风险评估前应该进行以下准备工作：9.1.1设置评估目标评估目标应明确、具体，与大数据平台下各系统的组件和模块直接相关。目标的设定应考虑组织的数据安全需求、业务安全需求、法律法规要求、技术环境等因素，以确保评估工作的针对性和有效性。同时，评估目标也应具有可衡量性，以便于后续的评估结果分析和改进工作。9.1.2确定评估范围评估范围应包括所有相关的数据流转和处理活动、平台数据与软硬件资产、平台内外接口、对数据的运维管理以及对平台基础设施的运维管理。其中资产包括平台中的数据、软件、硬件、云底座、接口、人员等。数据流转和处理活动，包括平台各类业务涉及的数据收集、传输、存储、计算、交换、提供、发布、删除等行为。对数据的管理运维，包括数据与系统运维、数据权限管理和应急管理。对平台基础设施的管理运维，包括平台运维、平台管理和应急管理。由于大数据平台是一个复杂庞大的系统，风险评估前，应在评估范围内根据被评估方要求和实际情况，进一步选择重点评估对象，做到全面排查、重点评测。同时，评估范围的确定也应考虑评估资源的限制，确保评估工作的可行性。9.1.3组建评估团队评估团队应由具有相关专业知识和经验的人员组成，团队成员应具备数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面的专业知识。团队成员的选择应考虑其专业能力、经验、独立性等因素，以确保评估结果的客观性和准确性。同时，团队的组建也应考虑团队成员的协作能力，在正式开展评估工作前，应对团队成员进行必要的培训和沟通，让成员了解评估方法和工具的使用，以及评估的目的和过程，以确保评估工作的顺利进行。在实施大数据平台风险量化评估前，建议分别组建数据安全评估团队和大数据资产评估团队。数据安全评估团队应当由具备数据安全管理、数据处理、数据安全技术和个人信息保护等方面专业知识和经验的成员组成。选择团队成员时应考量其专业能力、独立性和经验，以保证评估的客观性和准确性。同时也应考虑成员的协作能力，以确保评估工作的顺利开展。大数据资产评估团队应具备大数据平台架构、组件和运维等方面的专业知识，能对平台的网络环境、数据资产、访问控制、漏洞等进行全面的风险识别和评估。同时，团队还需要包含对业务流程熟悉的成员，以确定资产的关键性和风险承受能力。评估团队在正式实施针对大数据平台的风险评估前，应与被评估方签署协议，被评估方应向评估团队提供评估所必须的真实资料、人员等资源，评估团队不能在未经授权的情况下，以任何方式泄露在评估期间从被评估方大数据平台处获取的任何信息。9.1.4建立风险评价准则风险评估准则的确立，应该以相关国家法律法规和行业标准为前提，综合考虑大数据特点和被评估方企业规章制度、安全需求和开展的业务。在明确了评估目标的资产和数据安全基础上，根据组织的需求和侧重点，给出几种常见的风险评价准则：认证与访问控制风险：评估平台是否具备足够的安全措施，包括数据加密、身份验证、访问控制等，以保护数据免受未经授权的访问。数据风险：确保数据的机密性、完整性、可用性、一致性不会受到平台内部和外部威胁的损害。隐私风险：确保平台在收集、处理和存储数据时遵循隐私法规，保护用户个人信息和敏感数据。数据处理与流转风险：确保数据处理和流转过程的连续性不会受到平台内部和外部威胁的损害。基础设施风险：确保大数据平台做好基础设施的物理访问控制和容灾备份。接口安全风险：评估平台开放接口的安全机制，包括认证、授权、入侵检测、防护墙等。保证接口只允许经过授权的应用和用户进行调用，有效防止接口被利用进行非法访问或攻击。对接口的访问进行监控和审计，发现未经授权的调用。建立接口调用频率限制，避免被恶意调用拖垮。定期检查接口的安全配置，修复漏洞。合规性风险：确保平台遵循适用的法规和行业标准，防止因不合规操作而面临法律风险。供应链风险：评估与平台相关的第三方供应商所提供的数据、软件、硬件和服务的可靠性和安全性。人员管理：确保大数据平台团队了解平台的功能、操作和安全性，提供必要的培训和审核，保证管理人员能够正确地进行平台监管和维护，不做出影响平台安全性的错误操作。紧急应对计划：制定应对紧急事件的计划，包括数据泄露、系统故障等，以确保业务连续性和数据安全。9.1.5制定评估方案评估方案是指导评估工作的具体计划和方法，包括详细的评估计划、流程、时间表和责任人。同时，应当制定合理的评估方案，避免风险评估中的某些访问或测试行为，对大数据平台业务的正常运行造成不可接受的影响或泄露机密数据。资产建模资产可以分为平台资产、数据资产和数据接口资产。表1给出了资产识别的主要内容描述。大数据平台资产分类表资产类别示例平台资产数据处理和分析软件：例如ApacheHadoop（用于分布式处理大量数据）、ApacheSpark（用于快速处理和分析大数据）、SQL和NoSQL数据库等。云计算管理平台：对计算资源、存储资源和网络进行虚拟化，调度资源，支撑上层软件的正常运行。硬件基础设施：例如服务器(运行大数据平台软件、处理数据)、存储设备(硬盘驱动器、固态驱动器、磁带驱动器等)、网络设备(路由器、交换机、光纤)等。数据资产原始数据：结构化数据（按照预定义的模型或模式组织的数据。它们通常包含在固定字段内，这使得它们易于查询和分析）、半结构化数据（不符合传统的关系数据库模型，但仍然包含某种形式的标记来分隔数据元素。例如，XML和JSON文件，它们可以包含各种类型的数据，如网站数据，社交媒体帖子，或者地理位置数据）、非结构化数据（文本文件，图像，视频，音频文件）。行为数据：记录个体或实体行为、活动和互动的数据。这些数据记录了用户、设备、系统或其他参与者的各种操作、交互和活动，可以包括各种在线和离线行为。行为数据可以涵盖多个方面，如用户在网站上的点击、浏览、购买、搜索、评论等行为，设备的操作和传感器数据，社交媒体互动、应用使用情况，以及其他交互和活动。这些数据通常是时间序列数据，记录了行为的时间、地点、频率、持续时间等信息。元数据：描述数据属性的数据。例如：数据源（客户数据、交易数据、社交媒体数据、公开数据集等），数据何时、何地、被谁收集，数据处理者、使用者。预处理数据：通过对原始数据进行过滤、格式转换等处理而生成，用于数据分析，通常比原始数据更有价值。信息：经过数据处理、分析和挖掘后的数据汇总，例如生成的报告、图表、指标、预测模型等。知识：业务见解、市场趋势、消费者行为分析、预测模型、关键绩效指标等内容。这些知识有助于组织做出更明智的决策、制定战略计划、识别新的商机以及改进业务流程。决策支持数据：经过分析、整理和加工的数据，旨在为组织内的决策者提供有关业务、市场、运营等方面的信息，以便他们能够做出更明智、基于数据的决策。数据接口资产API接口（RESTAPI使用HTTP协议进行传输、SOAPAPI使用XML协议进行数据传输）、数据库接口、文件接口、消息队列（处理不同系统间的异步通信，比如RabbitMQ）、数据流接口（用于处理实时数据流，比如ApacheKafka）。资产价值赋值应根据资产类别和场景对资产重要性进行等级划分，并对其赋值，主要从资产对组织正常运行的影响，以及发生安全事件的概率进行考虑。由于软件资产的正常运行通常是依赖硬件资产的，所以硬件资产的重要性一般更高。同时，也要考虑资产出现安全问题的概率。下表给出了一种资产赋值的参考。大数据平台资产赋值参考表赋值等级概率定义5很高大概率资产对于组织的正常运行极其重要，并且发生安全事件概率很大4高资产对于组织的正常运行较重要，并且发生安全事件概率很大3中等正常概率资产与组织的正常运行有一定关系，并且有一定概率发生安全事件2低小概率资产对于组织的正常运行无太大影响，并且发生概率较小1很低资产对于组织的正常运行几乎没有影响，并且发生概率较小若部分资产价值极高，即便发生安全问题的概率较小，也应该赋予较高的等级。组织应根据实际情况进行修改。业务建模对于业务安全等级的划分可以参考以下几个方面：业务连续性：该流程的安全问题可能会导致整个业务的中断。数据敏感程度：涉及个人身份信息、财务信息、商业机密、核心知识产权等的信息通常被视为敏感数据，需要更高的安全等级来保护。合规性：对于处理个人隐私数据、医疗数据、金融数据或儿童数据等数据的业务流程，需要遵守特定的法律法规。业务面临威胁情况：业务暴露在互联网侧，被黑客攻击的风险较高。数据价值：公司的核心业务数据或客户数据。业务重要性：对公司核心业务至关重要的流程，其中断会严重影响业务运营。安全威胁：面向公网或者处理大量外部输入的业务流程，存在较高被攻击风险。数据价值：处理或产出的数据具有重要商业价值或关键性。业务复杂度：业务流程涉及的系统和参与方复杂，安全控制难度较大。影响程度建模影响程度主要指资产受到的安全威胁以及后果，其等级划分可以参考以下几个方面：资产价值：由组织对各个资产的价值赋值结果决定。攻击复杂度：攻击过程是否复杂，比如实施攻击的技术门槛和难度。攻击条件：实施攻击所需要的条件。恢复难度：受到攻击后恢复正常运行所需要的时间和代价。资产保密性：对资产数据保密性造成的影响。资产完整性：对资产数据完整性造成的影响。资产可用性：对资产数据及服务可用性造成的影响。资产安全需求：组织根据平台资产的重要性为资产设置的安全需求。资产敏感性：资产包含的敏感信息量。影响范围：资产受损导致的业务中断范围和程度。风险量化在识别数据安全风险、平台安全风险和接口安全风险的基础上，依据GB/T20984-2022所确定的风险计算方法开展风险量化。评估团队在进行风险量化时，根据第6章指标体系框架，采用适当的数学计算方法和风险评估工具，分别计算数据、大数据平台、服务接口对应指标的风险发生可能性和风险危害程度，得到三类风险值，最后综合计算得到总体风险值。评估团队进行风险量化的具体步骤如下：综合资产、业务建模，并分析平台安全日志和资产、业务的脆弱性，计算威胁事件的频率、脆弱性被利用的难易程度，进而计算威胁利用脆弱性导致风险发生的可能性，即：风险事件发生的可能性=F[威胁频率赋值，脆弱性被利用难易程度]综合资产、业务建模和影响程度建模，分析资产价值和风险事件产生的影响，计算风险事件发生后对大数据平台造成的危害程度，即：风险事件的危害程度=L[资产价值，影响程度]根据风险发生的可能性和风险事件造成的危害程度，分别计算数据、大数据平台和服务接口三类资产的风险值，即：风险值=R[风险事件发生的可能性，风险事件的危害程度]根据大数据平台所涵盖的三类资产风险值综合计算得到总体风险值，即：总体风险值=S[数据风险值，大数据平台风险值，服务接口风险值]对于数据、大数据平台、服务接口各指标的风险量化过程，风险评估团队可根据自身的实际情况及不同的应用场景选取适当的风险量化方法，风险量化示例见附录C。风险评估报告与处置手段9.6.1评估报告风险评估报告对大数据平台数据安全风险评估过程和评估结果进行总结。风险评估报告中详细说明评估方案，给出风险识别结果，进行风险分析等。报告的内容包括但不限于以下内容：评估方的评估方案和工作开展情况，包括评估目标、评估范围、评估团队、评估准则、评估工作组织情况、时间进度情况等。被评估方的基本信息、业务、数据资产、平台、关联接口、数据流转和处理活动、安全保护措施、合规性等基本情况。评估实施流程，包括评估计划、评估方法、评估工具、实际实施步骤等。评估结果，包括对数据、平台、接口的资产建模和风险识别情况，风险值量化结果，风险总体评价等。风险分析，根据风险识别的情况对风险进行说明，包括风险统计、风险排序和风险影响建模，并依据相关法律法规和证据，对风险进行综述。风险处置建议，对风险评估结果进行综合分析，列出大数据平台存在的风险，给出风险对应的处置方法与对策建议。风险评估过程中的关键记录和证据，应在附录中列出。9.6.2处置手段风险的处理方式通常包括接受风险、消减风险、转移风险、规避风险等。风险处理的基本原则是适度接受风险，组织根据可接受的处置成本将残余安全风险控制在可以接受的范围内。按照大数据平台数据安全风险评估结果，评估方人员根据风险的实际情况，对识别出的安全风险给出对应的处置手段及安全整改建议。被评估方按照其风险接受规则，制定风险处置方案和整改计划。依据国家、行业主管部门发布的信息安全建设要求进行的风险处置，应严格执行相关规定。根据大数据平台数据安全风险指标体系，常见的处置手段包括但不限于以下选项：对数据源进行身份认证，并保证数据质量，保障数据收集的合规性。提高数据加密算法、完整性校验算法的安全强度。根据风险分析结果，重新划分访问控制权限粒度。对收集、传输、存储等数据流转和处理活动中的数据进行分级分类，并采取相应防护措施。实时监测平台设备的运行状态，定期维护和升级平台的硬件设备。加强对数据全生命周期各阶段的安全审计与监控。定期检查和更新系统的安全配置和安全策略。对敏感数据脱敏、权限管控、添加数据水印、数字签名。加强对数据销毁的监督与管理。采用安全的传输协议。采取其他隐私保护技术，如差分隐私、同态加密、联邦学习等。开展安全事件监测、建立数据安全应急响应处置机制。9.6.3风险评估报告模板本文件附录B中介绍了风险评估报告模板，供企事业单位开展风险评估工作参考。

（资料性）

大数据平台数据安全风险评估指标体系框架本附录介绍了大数据平台数据安全风险评估指标体系框架，供企事业单位开展风险评估工作参考。本文件提出的大数据平台数据安全风险评估指标体系包括6.1节的指标体系框架，以及6.2至6.11节的评价指标解释。指标体系框架囊括了大数据平台数据全生命周期各类风险的评价指标，框架的前四列分别为一级、二级、三级和四级风险评价指标。其中下级指标是对上级指标的细化分解，是对大数据平台数据安全进行风险评估时应考虑的具体风险点，上级指标是对下级指标的概括总结，将风险点汇聚为风险面，反映了大数据平台某部分或数据全生命周期某环节所面临的数据安全风险概况。指标体系框架的第五列从数据安全面临的六种主要威胁出发，列举了数据安全风险点对应的具体后果。评价指标解释针对每个具体的数据安全风险点，阐述了风险出现的原因及可能造成的影响，在进行大数据平台数据安全风险评估时，在判断平台中是否存在某种风险前，应将大数据平台的实际安全状况与评价指标解释中风险出现的原因相比较，若两者相同或类似，则说明大数据平台存在此种风险，否则说明大数据平台不存在此种风险。本标准提出的指标体系列举了大数据平台中数据在收集、存储、传输、处理、提供、发布、删除、使用等过程中的风险，以及敏感数据面临的风险，数据安全风险评估指标体系全面囊括了数据进入到大数据平台后经历的一系列处理和流转过程中可能面临的风险。每类风险可细分为若干更具体的风险面，比如基础设施、软件、管理制度等方面的潜在风险。数据收集阶段风险被细分为数据源、数据质量和合规性风险；数据存储阶段风险细分为存储适当性、存储环境、存储系统、存储硬件和云服务存储风险；数据传输阶段风险细分为传输链路、传输算法、传输数据、传输硬件和传输软件风险；数据处理阶段风险细分为处理环境、导入导出、处理系统、处理硬件和处理软件风险；数据提供安全风险细分为对外提供风险和关联接口安全风险；数据发布阶段风险细分为受控发布和非受控发布风险；数据删除阶段风险被具体化为残留与销毁风险；数据使用阶段风险细分为数据访问和数据使用管理风险；敏感数据安全风险被具体化为隐私保护风险。以上被细化或具体化的风险可再次细分为更具体实际的风险点。在进行大数据平台数据安全风险评估前，评估方可以根据以上风险指标，从平台配置文件、系统日志等收集足够的风险数据，选择进行风险评估所需的风险评估专家和平台运维管理人员。本标准提出的指标体系为大数据平台数据安全风险评估指明了评估方向和评估重点，在进行评估时，可以根据风险点，依次在目标大数据平台中定位风险可能存在的部位，然后有针对性地进行检测，将检测结果与对风险点的解释相对比，则可判断出某部位是否存在风险，然后可以使用公式进一步计算相应的风险值。本标准提出的指标体系可以被用于任意大数据平台的数据安全风险评估，若待评估平台对数据的处理流程不是一个完整的数据生命周期，或者本次评估目标是评估大数据平台中部分数据处理流程，则可以事先根据待评估的具体数据处理流程，从指标体系框架中节选部分数据安全风险指标，然后展开风险评估。比如某大数据平台仅对收集数据进行存储和公布操作，则可以参考本标准提出的指标体系的数据收集阶段风险、数据传输阶段风险、数据存储阶段风险和数据发布阶段风险涉及的风险点，有针对性地对该大数据平台展开数据安全风险评估。数据风险量化指标体系数据风险量化指标体系风险阶段风险定位风险来源数据收集阶段风险数据源风险缺乏数据源身份认证缺乏数据源访问控制未标记数据来源收集数据质量未检测数据可用性未检测数据完整性未检测数据一致性收集合规性数据来源不合规收集行为不合规数据存储阶段风险存储适当性风险存储位置设置不当存储期限设置不当存储方式设置不当存储环境风险未加密存储数据未脱敏存储个人信息存储加密算法安全强度不达标未隔离不同用户存储数据未备份存储数据未授权访问数据传输阶段风险传输链路风险未建立安全传输通道未授权的数据传输未删除传输节点缓存数据传输安全机制传输算法不合规传输协议漏洞传输密钥或证书管理不当加密算法安全强度不达标完整性校验算法安全强度不达标数字签名算法安全强度不达标传输数据行为风险未加密传输数据未校验传输数据数据加工阶段风险数据加工行为风险未脱敏使用数据未审查数据加工行为和结果数据分析系统风险分析环境不可信分析流程存在安全漏洞或违规未审查用户分析程序数据提供阶段风险对外提供风险未加密提供数据未对提供数据脱敏未对提供数字签名未对提供数据添加数字水印未审核对外提供数据未鉴别接收方身份未与接收方签订数据安全协议导入导出风险数据格式不兼容未检验数据完整性、一致性数据发布阶段风险受控发布风险未脱敏发布数据未对发布数据添加数字水印未对发布数字添加签名未确保发布数据一致性数据发布不合规非受控发布风险未做发布风险评估发布范围、内容、时限等超出授权范围数据交换阶段发送方未认证接收方未授权数据发送未有效脱敏敏感信息超范围提供数据未有效控制数据接收方未认证发送方违规获取未授权数据未协商数据格式敏感信息留存数据备份恢复阶段风险备份数据风险备份不可用备份不完整备份数据泄露恢复数据风险未完整恢复数据数据删除阶段风险销毁数据风险未授权销毁行为未销毁元数据销毁流程不合规数据残留未销毁数据缓存未销毁数据备份未净化或销毁存储介质数据运维管理风险审计与运维缺少数据流转、访问、处理、备份恢复、删除等日志日志审计粒度设置不当未定期检测存储节点数据一致性未定期检测存储节点数据完整性未对数据分类分级未设置或定期检查数据时效性和存储期限缺乏数据流转追踪机制未建立数据流转、处理规范未根据法律法规制定数据跨境传输规范数据权限管理缺乏数据资产管理策略未对用户操作进行身份认证和访问控制授予账户非必要权限未记录用户操作未定期检查角色或用户权限必要性未及时删除过期用户缺少授权超