为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技能标准化研究院、上海市信息安全测评认证中央成立试点事情组,组织开展了网络数据安全风险评估试点事情,挑选出一批试点精良单位和试点精良案例。
本日禀享浦东新区卫生康健委、浦东新区区委网信办、浦东新区大数据中央试点精良案例——《技能创新赋能风险评估管理》。
二、案例概述
本案例在网络数据安全风险评估过程中创新性地利用了多种技能手段和工具,如利用数据分类分级工具进行数据资产测绘、对分类分级的准确性进行校验,利用数据剖析工具创造敏感数据、判断在开放过程中是否进行脱敏掌握,通过渗透测试工具创造数据系统的漏洞等,并取得预期效果。风险评估结合多类型技能工具可以创造一些深层次或者具有暗藏性的安全威胁,有助于准确定位风险隐患,对确定防护策略、预防风险具有辅导意义。
三、案例展示
技能创新赋能风险评估管理
(节选)
01
被评估系统基本情形
本案例中被评估系统“浦东卫康健”,是浦东新区“互联网+”益民做事的微信"大众号平台,为居民供应预约诊疗、当日登记等便捷的就医和查询做事。做事工具为具有浦东新区区属医疗机构就医需求的居民。
02
评估目的
对付数据安全管理事情而言,数据安全风险评估是履行数据安全培植的根本性事情,“浦东卫康健”是浦东新区医疗卫生行业具备一定代表性的信息系统,对这种繁芜系统开展网络数据安全风险评估,目的在于:一是准确识别风险隐患,节制系统数据安全总体状况;二是全方位剖析,梳理共性问题,为新区各医疗机构供应风险警示和整改建议;三是试点探路,分享履历,为下一步全面推广主要信息系统数据安全风险评估供应示范辅导。
03
评估工具和范围
本次评估以“数据安全”为核心,从数据资产出发,结合业务场景对“浦东卫康健”干系的数据安全管理、数据处理活动情形、数据安全技能风险及个人信息处理风险进行评估,创造潜在的风险隐患,戒备数据安全风险,保障数据有效保护、合法利用、有序流利。
04
评估事情的组织
本次试点评估事情先由浦东卫天生长研究院组建技能团队先开展自评估,再约请第三方专业机构开展复核评估。上级主管单位浦东新区卫生康健委全程参与本次评估组织推进事情,浦东新区区委网信办、区大数据中央供应辅导和技能支撑,保障了本次评估事情高效、高质量完成。
05
评估流程安排
为了确保履行试点事情的顺利推进,在评估事情开始前,评估小组制订了“浦东卫康健”的网络数据安全风险评估事情操持,操持共包括评估准备、信息调研、风险识别、风险剖析、评估总结五个部分,按照干系韶光节点做好事情推进,确保试点成效。
06
评估工具的利用
充分利用技能工具,以技能创新赋能风险评估管理是本案例的紧张特色。
本次数据安全评估利用了复合型、多层次的技能工具开展相应的检测评估事情:
1)分类分级评估工具
本次评估时考虑医疗卫生行业的分外性、繁芜性,为了保障评估的准确性,选择了不同品牌的分类分级工具赞助开展自动扫描或手动配置网络中各种数据资产存储系统,包括数据库、大数据平台、文件做事器等,通过扫描数据资产内容,比对数据资产目录,复核“浦东卫康健”前期已经开展的分类分级的有效性和准确性。参考工具履行测绘的结果,创造了一些未归集的字段、数据表,结合评估的建议,“浦东卫康健”系统对数据资产进行了更新,优化调度了数据目录,完善了系统的分类分级事情。
2)端口扫描评估工具
“浦东卫康健”系统为互联网类业务系统,评估中结合了端口扫描工具对系统做事器(互联网出口IP地址)进行对应的端口扫描,探索创造潜在的安全漏洞和攻击面。通过端口扫描,可以有效地识别“浦东卫康健”系统开放的端口,及时创造和关闭未经授权的做事或远程访问通道,可以降落系统受到攻击的可能性,从而及时采纳相应的防御方法,保障业务安全运行。
3)漏洞扫描评估工具
主机和运用系统的漏洞扫描是最根本的评估手段,本次评估通过某品牌漏洞扫描系统多维度开展主机安全扫描、网站安全扫描、数据安全扫描、弱口令创造和基线配置核查,创造主机、运用系统和安全设备可能存在的网络安全漏洞,再用根本扫描工具开展Web扫描,检测常见的WEB运用漏洞。两种扫描工具结合既是补充也是比拟,可以充分创造根本安全漏洞。及时加固整改,可以有效地降落系统被攻击的风险,防止恶意用户或程序利用漏洞进行未经授权的访问或危害信息系统的行为。
4)数据加密评估工具
评估时为了验证“浦东卫康健”系统是否采取了加密方法,通过技能工具抓取密文返回包,识别并判断其利用的加密办法。在互联网等公共网络上,未加密的数据传输随意马虎受到中间人攻击或窃听等威胁,通过加密数据传输,可以有效防止数据在传输过程中被盗取或修改,保障数据的机密性和完全性,可以确保数据只能被合法吸收方解密并访问,从而有效防止敏感信息的透露。
5)数据传输评估工具
数据传输过程中可能存在多种潜在的安全风险,包括数据透露、修改、拦截等。本次评估时利用了技能工具评估运用层的数据传输加密情形以及数据传输过程中的安全性。通过工具论证数据传输中的风险,识别潜在的风险隐患,可以有针对性地采纳相应的安全方法,减少数据传输过程中的安全风险。
07
风险剖析
综合安全评估工具运用和人工剖析,本次风险评估紧张对数据安全管理情形、数据处理活动情形、数据安全技能情形、个人信息处理情形4大类风险情形进行识别,安全评估共创造10类风险隐患,包括:未进行分级准确性校验、数据字段未更新,脱敏数据管理不规范及缺少部分数据安全防护方法等。
08
风险评估成果
依据网络数据安全风险评估履行指引逐项开展自评估事情。通过评估,对评估创造的问题梳理形成数据安全风险清单,对存在的技能风险制订出可行的整改操持,评估过程中的台账、制度、文档等也形成了系列记录报告,有力促进了领域数据安全管理体系的建立和完善。
09
下一步思考和探索
“浦东卫康健”数据安全风险评估充分利用剖析评估工具,对深层的、隐含的、过程中的数据进行了测绘、剖析和评估,有效达成了评估的目的,我们将在行业内推动风险评估技能工具的利用,助力数据安全评估的推广和安全风险的掌握,提升全行业对数据安全风险的戒备能力,确保重要数据、敏感数据和个人信息的有效保护和合法利用。
未来市委网信办还操持推进以下两项事情:一是探索数据互助安全保护机制,有条件的开展供应链(数据互助方)的数据安全保障能力动态评估,全方面评价互助方的数据安全保护能力,对数据互助方的安全保护能力进行核验,并采纳必要的安全保护方法。二因此医疗机构与第三方共享数据的安全与隐私保护为核心,评估现有数据共享过程中存在的安全风险和隐私透露风险,结合安全技能和隐私保护方法的研究,设计数据共享安全机制,并进行实验验证和评估。
