基于数据安全的沙盘推演体系

背景

      2022年由IBM和Ponemon研究所联合发布的一份全球性的研究报告，分析了550家遭受数据泄露事件的组织的各种成本和影响因素。根据报告，2022年全球数据泄露规模和平均成本均创下历史新高，数据泄露事件的平均成本高达435万美元，比2021年增长了2.6%，自2020年以来增长了12.7%。随着数据价值越来越大，如何保障数据在安全环境下使用，已成为全世界共同探索和关切的热点议题。

      十四届全国人大一次会议表决通过了关于国务院机构改革方案的决定，其中包括组建国家数据局。成立国家数据局对数字经济发展有重要意义。一方面，它体现了国家对数据作为新型生产要素和战略资源的高度重视和认知；另一方面，它有利于解决目前数据分散治理、数据安全隐患加剧、流通利用不畅等问题，加快推进数据要素市场建设和价值释放，促进数字经济做强做优做大。

      从微观组织个体角度，如何构建一套数据安全沙盘推演体系，模拟真实数据安全场景，评估操作可行性和影响程度，检验项目团队的工作经验和解决问题实效，以期加强针对数据安全的事件响应能力，形成“肌肉记忆”，确保数据机密性、完整性与可用性遭受破坏时能够及时做出正确响应,达到事前管理、风险管控的目标是必要且急迫的。

01数据安全沙盘推演体系建设

      数据安全沙盘推演与传统沙盘推演流程相似，包含团队建立、编制前期策划与标准文件、沙盘推理工作准备、沙盘推演评估实施与沙盘推演分析与评估5部分。区别与传统沙盘推演，数据安全沙盘推演围绕数据安全CIA特性，从战技、战术、战略三层面，针对数据使用过程中的数据服务商、数据中间商与非法数据利用三者的获取场景建立针对性沙盘推演计划，使其更加具有针对性。

      通过建设数据安全沙盘推演体系可以提高全员安全意识，增加对数据安全威胁理解；评估整体数据安全事件准备情况；发展事件响应计划中的不足之处；明确事发时的角色和责任；验证事件响应计划和培训效果；通过总结分析改进响应计划。

02数据安全沙盘推演-团队建立

      成功的沙盘推演需要多方共同参与。具体包含角色可以为事件响应参与人员、外部机构、主持人与数据记录员。

      １）事件响应参与人员包含网络管理员、安全管理员、IT部门、经理、主管和高管等不同角色人员。

外部机构可以包含执法部门、法律顾问部门和监管机构。再进行沙盘推演时，可以由内部人员进行扮演。

      2）主持人应该为经验丰富的安全专家。负责推动针对沙盘推演的场景和结果产开讨论，确保针对所有关键问题进行探讨。

      3）数据记录员需做好记录工作，记录需要培训或改进的地方。重点关注哪些环境出现了沟通问题。

03数据安全沙盘推演-沙盘推演策略化体系

      沙盘推演策略化体系可包含《数据安全沙盘推演评估指南》、《数据安全沙盘推演评估情景模拟方案》、《数据安全沙盘推演评估手册》。

      １）《数据安全沙盘推演评估指南》包含角色和责任、威胁识别和报告、分类分级、遏制与缓解、技术和运营、内部沟通与信息传递、外部沟通和信息传递、安全合规。每一个要素赋值10分，每一条标准下又细分若干个子指标，需以实际工作进行对标。 在８大要素所赋分值基础上，规定对每一要素下各个子指标执行程度的定性判断（优、良、中、差）量化分值，加权计算出每一个要素的具体得分。具体示例表如下图。

数据安全沙盘推演评估指南（示例）

数据安全沙盘推演评估判定指标及描述（示例）

     2）《数据安全沙盘推演评估情景模拟方案》应结合工作实际经验与以往典型案例，置若干个“情景模拟”的场景设置（需要包含场景背景、场景介绍、讨论问题与总结回顾），并明确在情景模拟演练后，根据响应情况与事物发展规律，将提出更高难度的多个“压力测试”场景。 具体场景从战技、战术与战略三个方面，从数据安全管理、无作为或操作失误、软硬件故障、恶意代码和病毒、越权或滥用、网络攻击、泄密（监守自盗、单位内鬼等）、篡改、抵赖、内外联动（如与公安、网信办、企业链上下游）等方面展开细化。

     3）《数据安全沙盘推演评估手册》应全面介绍评估目的、指导原则、工作方法、准备工作、日程安排、人员构成、详细分工与后续工作，并明确评估方与项目的工作，从流程上指导评估工作的全过程。

04数据安全沙盘推演-前期工作准备

     为了保障沙盘推演评估工作顺利实施，应在如下方面开展准备工作。

    １）组建受评团队，包括领导小组的成员代表、相关对口部门代表等。

    ２）准备评估文件，受评团队应提前将相关材料等提交评估方预先研阅。

    ３）受评准备工作，根 据 《数据安全沙盘推演评素指南》 《数据安全沙盘推演评估情景模拟方案》要求，围绕八大要素从目前的工作现状、可能存在的风险以及采取的应对措施方面进行详细介绍，并准备好针对情景模拟问题进行推演。

05数据安全沙盘推演-沙盘推演评估实施

     从战技、战术与战略三个层面开展沙盘推演评估实施工作。

     １）战技属于最小范围。该类型沙盘推演中，安全人员从基础设施的角度测试连续性，例如，如果一台业务系统服务器遭到入侵，从技术上一是如何进行及时阻断。二是如何溯源攻击方式方法。三是如何判定数据受破坏程度。四是如何进行针对性加固和同类型安全风险排查等。

     2）战术属于中等范围。包含了事件响应的认为因素和入侵时实时变化，该类型沙盘推演可能会蔓延到其他部门，参与者会安排在现场，练习在压力下工作。该层级需要管理级甚至高级别人员参与。

     3）战略层面范围最广。该级别沙盘推演需要高级别人员全程参与。在该级别沙盘推演中，运行攻击事件在真实情况下一样传播和蔓延，而且通常会带有压力因素，让参与者在压力下进行演习。该场景可能会涉及危机攻关、与监管机沟通、法律顾问及司法机关介入以及其它大规模的影响。

06数据安全沙盘推演-沙盘推演分析与评估

     沙盘推演分析与评估的工作开展应包含角色和责任、威胁识别和报告、分类分级、行动策略、运维与运营、内外沟通与安全合规等方面。

     １）角色和责任包含入侵事件后的汇报人员及汇报流程；哪些人员参会该汇报流程及相应角色是否明确；哪些人员做出哪些类型决策动作等；

     2）威胁识别和报告包含出现威胁事件时的汇报人员、流程及时效；威胁认定标准与依据等。

     3）分类分级包含威胁分类分级认定标准与依据；分类分级认定部门或人员等。

     4）行动策略包含针对不同事件的处置动作是否明确与得当；行动策略是否尽量减少了相关损失；行动策略制定内容由哪些部门或人员制定等。

     5）运维与运营包含如果发生事件，如何采取连续性计划；表现是否符合预期；意外物理事件如何影响连续性等。

     6）内外沟通包含内部指示如何传达及通过哪些渠道传达；各部门及处置人员是否有效传达及了解正确信息等。如何与外部机构进行沟通/汇报；发生数据泄露后如何通知受害者及通知时效；谁负责对外信息传递；是否有联系司法机关或监管机构等。

     7）安全合规包含发生安全事件后组织会违反哪些法律法规；采取怎样动作，减少违规行为；外部信息传达时是否符合法律规定等。