金融机构敏感数据泄露安全评估方法浅谈

1、概述

在古代，人们只要藏住自己的名字与八字、店铺只要收好独家的秘方，就能保得“信息”安全；而随着电话、银行卡、邮箱等事物被不断的发明，人、企业、乃至国家需要保管的信息数据越来越多、且越来越重要。也正是因为看中了这些数据的价值，不法分子攻击网站、机构，并窃取其储存私密信息的事件愈发频繁。

2018年国内疑似数据泄露事件：

5月 国内黑客成功入侵快递公司后台并盗近亿客户信息

6月 A站受黑客攻击 近千万条用户数据外泄

6月 圆通10亿条快递数据在暗网上兜售

8月 浙江省1000万学籍数据在暗网被售卖

8月 华住旗下酒店5亿条信息泄露

9月 顺丰疑似泄露3亿条物流数据

10月 国泰航空940万乘客敏感信息外泄。

12月 陌陌数据外泄

12月 “春节抢票”导致信息泄露

经历近年频发的各种信息安全事件，个人隐私、敏感用户信息、业务数据非法买卖等不同程度的数据泄露事件再次给各金融机构敲响警钟，敏感数据安全已危及到金融机构的生存发展。金融机构如何做好数据保护工作成为信息安全发展道路上一个尖锐的话题。而如何对敏感数据进行安全评估工作，通过什么方法进行安全评估？这些问题成为每个金融机构在安全评估中的重要思考点。

2、信息生命周期

根据国际权威调研机构Gartner《关于2013-2020年间信息安全发展方向的预测（Prevention Is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence）》中提到“2020年，我们需要向以信息为中心和以人为中心的安全战略转变，再结合内部普遍监控和安全情报分享，才能确保企业安全。”

2.1

向以信息为中心的安全战略转变（来自Gartner调研报告）

考虑典型的 IT 堆栈（参见上图）。2020 年，企业 IT 部门将不再掌控设备，在使用基于云的服务时，它们可能会也可能不会控制最终用户使用的网络、服务器、操作系统和应用程序。2020 年，IT 部门可以真正直接控制的还剩下什么？答案是信息本身。在大多数情况下，信息必须成为信息安全战略的焦点。

这是一种朝向信息安全的基础的回归，因为信息安全的目标始终是保护信息的机密性、完整性、真实性、可用性和实用性，以及保护对信息的访问。对于许多企业来说，对设备、应用程序和服务器的控制和加锁是达到目的的一种手段。为了实现保护信息的目标，我们利用设备所有权，通过加锁和控制来保护信息。但是，这会把加锁、所有权和控制等同于信息安全，将手段与最终目标混为一谈。所有权和严格控制代表着信任。在未来，当 IT 部门越来越无法掌控或控制技术的使用或发送时，人们就需要使用新的信任模型。信息安全战略需要从自下而上的设备和以网络为中心的战略，转变为自上而下的以信息为中心的战略，且该战略注重信息本身（参见下图）。

2.2

信息生命周期

信息生命周期是指信息数据存在一个从产生，到被使用、 维护、存档， 直至删除的一个生命周期。

一般说来， 从管理的角度而言，信息数据的生命周期分为五个阶段。

产生

传播

使用

维护

归宿(存档或删除)

产生阶段指信息数据从无到有的起源。信息数据可以是企业内部的某一个或某些人员创立的，也可以是从外部接受的， 还可以是信息系统本身运行所产生的。例如，各种来往商业函件、 计算机系统的输入输出、员工编写的各种报告、 报表、统计数据等。

传播阶段是指数据一旦产生后， 按照某种方式在企业内部或外部进行传递并到达最终用户手中的过程。

使用是指在信息到达最终用户手中后对数据进行的分析、统计和以其为基础进行的商业、 政治和道德决策。

维护是指对信息的管理， 这种管理包括存放、 读取、 传输、 拷贝、 备份等。

归宿是指对已经使用过的信息进行最终处理。这种最终处理可能是存档，例如对各种法律法规要求存档的文件进行最后归档， 也有可能是删除。对于使用过且不再需要的信息可以进行此种处理。例如对个人Email邮件的处理。其中，存档时间的长短依赖于该信息的法律价值、 历史价值、 情感价值、 商业价值、 军事价值和政治价值。

这五个阶段的关系【如图】所示。

3、基于信息生命周期的安全评估方法

根据信息生命周期理论，以数据（信息）为核心，充分考虑信息生命生命周期的五个阶段，即产生、传播、使用、维护、归宿(存档或删除)的特征，对各阶段所遭受的威胁进行建模，通过技术手段模拟相应威胁进行验证，从而更加充分的验证技术漏洞、逻辑缺陷及管理缺失，全面评价系统的安全状况。

对于新建系统，除考虑基础数据保护措施外，我们偏重采用威胁建模的方式分析数据泄露的风险可能性，以此来制定最佳的解决方案；对于现有系统，我们则偏重使用基于数据流程分析的数据泄露风险评估方法，以此来制定最佳的解决方案。

基于以上两种情况，下图是对信息系统进行基于信息生命周期安全评估的一般性实践思路。

从上图可知，大致可以分为数据分级分类、数据流图分析、数据使用分析、数据维护分析，到最后数据归宿分析的数据安全评估方案。

3.1

数据分级分类

首先，需要对现有系统内数据信息进行分级分类，明确要保护的数据对象，并非所有的数据都是要保护的。数据的分级分类可以结合自身业务从“数据价值”和“敏感程度”两个角度思考。数据价值一般需要考虑业务关联性和业务收益影响；敏感程度一般需要考虑内部保密要求和数据泄露对客户造成的影响。

数据分类分级的目标为调研系统承载的数据，区分普通数据和敏感数据，确定敏感数据和敏感性级 。

敏感数据分级分类步骤：

收集相关管理制度，掌握系统管理措施；

收集系统设计文档，掌握系统组成、组网结构、功能架构、数据模型等资料；

通过访谈，掌握系统维护人员、使用人员的岗位、角色和职责等信息；

通过访谈，掌握系统承载的数据类型、价值和机密程度等信息

数据价值判断依据

根据敏感性分级定义，将敏感数据分级分类。

敏感数据分级原则

敏感数据分级分类结果为对系统承载的所有数据类型有清晰的了解，并对其中的敏感数据进行区分和敏感性分级，系统需要保护的敏感数据详细内容得到了明确。

数据安全级别

数据保护应针对安全级别为1、2、3级的数据进行保护和安全监控。

对于金融机构，以下信息是重点需要关注的敏感信息举例：

3.2

数据流图分析

其次，需要进行数据流图的梳理，明确在现有系统内外，数据产生到最终销毁的全过程中，数据操作的交互活动和数据的存在状态。数据操作的交互活动一般会包括创建、读取、修改和删除；数据的存在状态一般会包括使用、传输和存储。通过分析数据生命周期的各流程数据操作交互活动和数据存在状态，能够更准确的识别数据的每个细节。

数据信息的一般性生命周期

根据上述数据的生命周期方法，我们可以进一步分析涉敏业务的数据流向及业务流向，其目的为通过梳理业务流和数据流，识别分析出敏感数据在生命周期各过程的存在形式，以及明确可接触到这些敏感数据的人员。

业务梳理步骤：

标识资源，找出需要保护的资源，例如：用户信息，交易信息，审计日志等。

调研业务过程，确定敏感数据的生成、获取、分析、处理、存储、搜索、消亡等各过程的状态。

调研业务过程，确定敏感信息生命周期相关数据操作和维护人员，明确其岗位和职责。

通过设备对流量镜像进行分析及人工调研确认的方法，梳理出相关业务系统中敏感数据的流量流向图，进而为防护方案提供相应依据

分析体系结构

确定应用程序功能

确定应用程序做什么以及它是如何利用和访问资源的。记录用例，帮助您和其他人理解应该如何使用应用程序。这还有助于您推断出误用应用程序的情况。用例在一定的环境中实现应用程序的功能。

确定体系结构示意图

体系结构示意图说明了应用程序、子系统以及物理部署特点的组成和结构。根据系统的复杂性，您可能需要创建重点处理不同区域的其他示意图，如模拟中间层应用程序服务器体系结构的示意图，或模拟与外部系统进行交互的示意图。

应用程序体系结构示意图示例

3.确定技术

明确应用程序中使用了哪些技术，这将有助于关注技术特有的威胁，并使用恰当的方法消减威胁。

相关定义如下：

实际数据流图的举例：

3.3

数据使用分析

结合数据使用过程（分析、统计和以其为基础进行的商业、 政治和道德决策）的分析，通过受攻击面分析（Attack surface Analysis）和威胁建模（Threat Modeling）两个主要手段，对业务的进行数据流层的呈现和分析，利用STRIDE模型将数据流以及其要素转化成威胁在应用系统的立足点。

受攻击面分析

受攻击面是指应用软件任何可被人或其他程序访问的部分。而针对其进行分析的目的是为了减少应用和数据暴露在不可信用户面前的数量。受攻击面将会定位各类数据的进入点，如网络输入/输出，文件输入/输出等，同时更进一步针对进入点的数据类型、信道和协议、访问方法和权限进行尽可能完备的分析，为后续的威胁建模奠定基础。以下是典型的受攻击面分析对象：

文件格式：如TXT、PDF、JPG等

协议：如HTTP、telnet、ssh等

方法和动作：增删改查，如针对HTTP，如GET,、POST、PUT、HEAD、 OPTIONS、 TRACE等；

威胁建模

威胁建模的核心是根据业务功能确定和了解各项业务功能的风险，详细了解每个业务功能实现背后的威胁和可能的攻击，推进开发团队业务实现的基础上融入安全功能，使风险管理的决策更加与业务过程相协调。

威胁建模是基于STRIDE威胁模型进行威胁分析的结构化方法，与传统针对资产的风险评估不同的是，威胁建模不仅可以对已上线系统进行威胁评估，同时更适用于处于设计阶段的软件与系统。而相对渗透测试式的威胁呈现方式，威胁建模在参与人员广泛度、完备性和成本控制上更具优势，三者的比较可参见下表：

威胁分析方式优劣势分析

业务在威胁建模过程中数据流图（DFD）呈现

通过数据流图的元素识别STRIDE威胁：

3.4

数据维护分析

基于数据维护的方法，结合维护（包括存放、 读取、 传输、 拷贝、 备份等）进行威胁验证及威胁削减，进而形成相应闭环。

威胁验证

根据对数据维护进行分析，结合威胁分析，对现有控制点进行测试，其中测试包括技术测试及安全管理调研。

威胁削减

决定如何减轻你已经标识出的威胁。首先根据STRIDE威胁类型确定控制措施，对于每一种消减机制，我们采用一个或多个具体的技术来实现目标。

常见消减技术如下：

3.5

数据归宿分析

最后，根据数据归宿分析及对前4步的分析结果，对可接受和转移的风险，可以不采更多的数据保护措施；而对于需要规避和减低的风险，则要更加重视，提出详细的解决方案，指导数据保护建设工作。同时，在数据保护建设长期工作中，还要进行定期的类似评估，使得这项工作不断的开展下去。

参考文献

绿盟科技金融事业部微信公众号：nsfocusfbd