基于数据安全的风险评估-数据资产识别

最新推荐文章于 2024-04-25 08:37:53 发布
最新推荐文章于 2024-04-25 08:37:53 发布
阅读量1.1w 收藏 23
点赞数 5
分类专栏: 数据安全防护 数据安全治理 数据安全风险评估 文章标签: 数据安全风险评估
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a59a59/article/details/104240790
版权

现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估?威胁分类有哪些?脆弱性有哪些?如何与现有评估体系融合等问题。

本文产生的目就是希望解决如上一系列数据安全风险评估疑问,尽可能从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体系化建设。

由于内容较多,所以本系列将分多章进行编写。第一章为资产识别,资产是安全保护的对象,是风险评估的主体,资产的识别是理清内容、看透价值的重要手段,只有准确的资产识别,才能产生有意义的风险评估报告。

一、资产识别

1.1 资产分类

资产是具有价值的信息或资源,资产通常以多种形态存在,一般基于表现形式的资产分类包括:数据、软件、硬件、服务、文档、人员、其它。数据资产来讲,包括:源代码、数据库中数据、系统文档、用户手册等。

数据安全资产包括关系型及非关系,结构化(关系型和非关系型可称为结构化数据)与非结构化。

关系型包括:Oracle、Mysql、SQL Server等;

非关系型包括:Hbase、Redis、MongodDB等;

非结构化数据包括:文本(Word、Excel、PPT等)、媒体(视频、照片等)。

1.2 资产赋值

资产赋值不但需要从经济价值还需要考虑资产安全状况对系统或组织的重要性,所以资产赋值可从机密性、完整性和可用性三个方面进行对应赋值

机密性

根据资产在机密性上的不同要求,将其分为5个的等级,不同等级对应资产机密性破坏后对组织产生的影响。

基于数据安全的风险评估-数据资产识别

资产机密性赋值示例表

完整性

根据资产在完整性上的不同要求,将其分为5个的等级,不同等级对应资产完整性缺失后对组织产生的影响。

基于数据安全的风险评估-数据资产识别

资产完整性赋值示例表

可用性

根据资产在可用性上的不同要求,将其分为5个的等级,不同等级对应资产可用性异常后对组织产生的影响。

基于数据安全的风险评估-数据资产识别

资产可用性赋值示例表

1.3 重要等级分类

资产价值应依据机密性、完整性、可用性上的赋值等级,经过综合评定后最终确定。其重要等级也分为5个等级。如下图:

 

基于数据安全的风险评估-数据资产识别

资产登记示例图

下章介绍数据资产脆弱性相关内容(资产识别+资产脆弱性=安全事件的损失),主要包括脆弱性识别内容、识别方式、脆弱性严重等级划分等。

登峰造Geek
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
风险评估资产重要性识别_基于数据安全风险评估(一):数据资产识别、脆弱性识别...
weixin_39972519的博客
12-19 1296
作者简介王峰。曾就职于北京拓尔思,任山东区技术总监,山东米迦勒联合创始人,现就职于中安威士。拥有多年数据治理、数据安全相关工作经验。免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!欢迎各位添加微信号:qinchang_198231加入安全+ 交流群 和...
风险评估资产重要性识别_如何有效的进行风险评估
weixin_39750731的博客
12-31 2947
前言信息安全是网络发展和信息化进程的产物,近几年,无论是国家层面,还是企业本身,都对信息安全愈发的重视。风险管理的理念也逐步被引入到信息安全领域,并迅速得到较为广泛的认可。风险评估逐步成为信息安全管理的最为重要的手段之一。那如何规范的实施风险评估,保证信息系统的安全,成为很多企业安全负责人认真考虑的问题。一、参考标准1.1国外标准NIST SP800-26 《Security Self-Asses...
数据安全与网络安全:安全性能测试与评估
禅与计算机程序设计艺术
01-08 1022
1.背景介绍 数据安全和网络安全是当今世界面临的重要挑战之一。随着互联网的普及和技术的发展,数据安全和网络安全问题日益剧烈。数据安全涉及到保护数据的完整性、机密性和可用性,而网络安全则涉及到保护网络系统和数据免受未经授权的访问和攻击。 为了确保数据和网络的安全性,我们需要进行安全性能测试和评估。安全性能测试是一种评估系统安全性能的方法,旨在确保系统能够在面对恶意攻击时保持稳定运行。安全性能测试...
数据安全风险评估流程
最新发布
m0_62207482的博客
04-25 439
定期复审和更新:定期对数据安全风险评估进行复审和更新,确保评估结果和控制措施与组织的实际情况和风险变化保持一致。制定风险控制措施:根据评估结果,制定相应的风险控制措施和应对策略,包括改进现有控制措施、引入新的控制措施等。评估风险影响:评估每种潜在威胁对数据资产的影响程度和可能造成的损失,包括财务损失、声誉损害、法律责任等。评估现有控制措施:评估组织已有的数据安全控制措施的有效性和完整性,包括技术措施、管理措施、培训措施等。确定评估范围:确定评估的范围和目标,包括评估的数据资产、系统、流程和相关方。
信息安全风险评估报告.pdf
04-11
目 录 1 概述 ................................................................................................................................................. 5 1.1 项目背景 ................................................................................................................................ 5 1.2 工作方法 ................................................................................................................................ 5 1.3 评估范围 ................................................................................................................................ 5 1.4 基本信息 ................................................................................................................................ 5 2 业务系统分析 ................................................................................................................................. 6 2.1 业务系统职能 ........................................................................................................................ 6 2.2 网络拓扑结构 ........................................................................................................................ 6 2.3 边界数据流向 ........................................................................................................................ 6 3 资产分析 ......................................................................................................................................... 6 3.1 信息资产分析 ........................................................................................................................ 6 3.1.1 信息资产识别概述 ............................................................................................................ 6 3.1.2 信息资产识别 .................................................................................................................... 7 4 威胁分析 ......................................................................................................................................... 7 4.1 威胁分析概述 ........................................................................................................................ 7 4.2 威胁分类 ................................................................................................................................ 8 4.3 威胁主体 ................................................................................................................................ 8 4.4 威胁识别 ................................................................................................................................ 9 5 脆弱性分析 ..................................................................................................................................... 9 5.1 脆弱性分析概述 .................................................................................................................... 9 5.2 技术脆弱性分析 .................................................................................................................. 10 5.2.1 网络平台脆弱性分析 ...................................................................................................... 10 5.2.2 操作系统脆弱性分析 ...................................................................................................... 10 5.2.3 脆弱性扫描结果分析 ...................................................................................................... 11 5.2.3.1 扫描资产列表 ......................................................................................................... 11 5.2.3.2 高危漏洞分析 ......................................................................................................... 11 5.2.3.3 系统帐户分析 ......................................................................................................... 11 5.2.3.4 应用帐户分析 ......................................................................................................... 11 5.3 管理脆弱性分析 .................................................................................................................. 12 5.4 脆弱性识别 .......................................................................................................................... 13 6 风险分析 ....................................................................................................................................... 14 6.1 风险分析概述 ...................................................................................................................... 14 6.2 资产风险分布 ...................................................................................................................... 14 6.3 资产风险列表 ...................................................................................................................... 15 7 系统安全加固建议 ....................................................................................................................... 15 7.1 管理类建议 .......................................................................................................................... 15 7.2 技术类建议 .......................................................................................................................... 15 7.2.1 安全措施 .....
网络安全合规-数据安全风险评估
elevn的博客
05-07 2650
数据安全风险评估是指借鉴信息安全风险评估的基本原理和步骤,基于组织的数据战略,从数据全生命周期安全出发,通过对组织目标环境中数据资产的重要程度、数据载体的安全状况、敏感数据的访问状况、数据安全相关管理制度和基础设施的安全性等多方面的信息进行收集、统计和分析,从不同维度评估风险状况,并最终计算得出综合评估结果的过程。处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。数据安全评估主要包括。
信息安全风险评估报告.doc
12-17
本次信息安全风险评估采用定量的方法对资产进行识别,并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值,综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合同上的达成程度,在此基础上得出综合结果,根据制定的重要资产评价准则,确定重要资产
数据安全治理之数据安全风险评估白皮书.pdf
01-28
本白皮书提出了基于数据数据处理活动的数据安全治理框架,包括数据资产梳理、数据安全风险评估数据安全风险处置三部分内容。该框架着重于从企业数据资产本身出发,基于企业生产经营活动中所经历的各阶段数据处理...
数据安全风险评估方法及实施指南.zip
08-02
数据资产识别数据安全风险评估的基础 数据应用场景是识别数据安全风险的主线 数据安全风险评估结果支撑实施数据安全分类分级管理 数据安全风险评估方法 数据安全风险评估实施指南 数据安全评估实施流程 风险处置 ...
安全制度-数据安全管理办法V1.0.doc
03-15
* 数据资产责任人:基于业务或职能分工,对与其业务相关的数据资产的完整性、机密性及可用性负责,主要承担评估数据资产对公司的重要性,协助组进行数据分级工作等职责。 四、数据分级分类规范 * 数据分级定义:...
信息系统安全风险评估的形式.pdf
11-11
总的来说,信息系统安全风险评估是一项综合性的任务,涉及到资产识别、威胁分析、漏洞检测和风险计算等多个环节。通过这样的评估,企业能够更全面地了解自身的安全状况,及时采取措施降低风险,确保业务的持续性和...
风险评估报告模板-非涉密信息系统信息安全风险评估报告
05-31
一、风险评估项目概述 1 1.1 工程项目概况 1 1.1.1 建设项目基本信息 1 1.1.2 建设单位基本信息 1 1.1.3承建单位基本信息 2 1.2 风险评估实施单位基本情况 2 二、风险评估活动概述 2 2.1 风险评估工作组织管理 2 2.2 风险评估工作过程 2 2.3 依据的技术标准及相关法规文件 2 2.4 保障与限制条件 3 三、评估对象 3 3.1 评估对象构成与定级 3 3.1.1 网络结构 3 3.1.2 业务应用 3 3.1.3 子系统构成及定级 3 3.2 评估对象等级保护措施 3 3.2.1 XX子系统的等级保护措施 3 3.2.2 子系统N的等级保护措施 3 四、资产识别与分析 4 4.1 资产类型与赋值 4 4.1.1资产类型 4 4.1.2资产赋值 4 4.2 关键资产说明 4 五、威胁识别与分析 4 5.1 威胁数据采集 5 5.2 威胁描述与分析 5 5.2.1 威胁源分析 5 5.2.2 威胁行为分析 5 5.2.3 威胁能量分析 5 5.3 威胁赋值 5 六、脆弱性识别与分析 5 6.1 常规脆弱性描述 5 6.1.1 管理脆弱性 5 6.1.2 网络脆弱性 5 6.1.3系统脆弱性 5 6.1.4应用脆弱性 5 6.1.5数据处理和存储脆弱性 6 6.1.6运行维护脆弱性 6 6.1.7灾备与应急响应脆弱性 6 6.1.8物理脆弱性 6 6.2脆弱性专项检测 6 6.2.1木马病毒专项检查 6 6.2.2渗透与攻击性专项测试 6 6.2.3关键设备安全性专项测试 6 6.2.4设备采购和维保服务专项检测 6 6.2.5其他专项检测 6 6.2.6安全保护效果综合验证 6 6.3 脆弱性综合列表 6 七、风险分析 6 7.1 关键资产的风险计算结果 6 7.2 关键资产的风险等级 7 7.2.1 风险等级列表 7 7.2.2 风险等级统计 7 7.2.3 基于脆弱性的风险排名 7 7.2.4 风险结果分析 7 八、综合分析与评价 7 九、整改意见 7 附件1:管理措施表 8 附件2:技术措施表 9 附件3:资产类型与赋值表 11 附件4:威胁赋值表 11 附件5:脆弱性分析赋值表 12
数据安全成熟度和风险评估清单.xlsx
04-25
数据安全成熟度和风险评估清单
操作系统以及数据风险评估报告
11-23
AIX.doc CiscoRouter.doc Firewall.doc HP-UX Security Checklist.doc Linux.doc Network.doc Oracle.doc Oracle_Checklist.doc SCO-UNIX.doc Solaris.doc SQLServer.doc Windows.doc Windows_Checklist.doc
天融信信息安全风险评估服务介绍.pptx
03-02
【天融信信息安全风险评估服务】是针对当前日益严重的网络安全挑战提供的一项专业服务。随着信息技术的快速发展,信息安全问题已经成为企业和组织不能忽视的关键因素。风险评估是信息安全保障的核心环节,它并非旨在...
数据资产扫描的几种方法
qq_35104900的博客
05-06 995
3. 元数据分析:元数据是描述数据的信息,包括数据集、格式、大小、存储位置和使用情况等。2. 自动扫描:使用特定的扫描工具,例如数据发现工具,与系统中的所有数据源进行扫描。在更广泛的角度来说,它可以在与数据相关信息的时间(如操作日志)里发现潜在的恶意行为。1. 手动扫描:人工手动检查系统中的所有数据资产,包括数据库、文档、电子表格、图像、音频和视频文件等。然而,选择一个恰当的数据扫描方法是组织的安全和合规性的重要组成部分,应在数据管理团队或数据安全专家的指导下进行。
最大后验概率_贝叶斯决策论(后验概率最大化)的问题
weixin_39782394的博客
12-19 919
在看待解决一分类问题时候,在相关概率已知的条件下,贝叶斯决策论考虑如何基于这些概率把(期望损失)风险 降到最低,从而得到最优的类别标记,即 期望风险最小化。假设由 种可能的类别标记为 , 是一个将真实标记为 误分类为 所产生的损失,则基于后验概率 可得到将样本分类为 的风险,即在样本上面的条件风险,可表示为: 显然 时分类正确,风险为0,如若分类错误则在风险会随后验概率 的变...
【案例】金融行业的数据安全风险评估-数据安全治理之数据安全风险评估白皮书
securitypaper的博客
06-21 2291
由于金融数据的重要性,国家、行业等相关机构与监管部门,提供了一系列可参照的规范标准《金融数据安全 数据分类分级指南》、《金融数据安全 数据生命周期规范》等;另一方面,相关机构也在探索如何科学有效的指导从业企业,防控数据安全事件风险,通过体系化的方式提供有效保障。...
数据平台安全研究报告2021
热门推荐
网络研究观
05-29 1万+
数据平台安全研究报告2021 CAICT 中国信通院网络研究院昨天 来源:中国信息通信研究院 大数据平台安全伴随着大数据平台而生。随着互联网和大数据应用的普及,新闻头条上发布的数据泄露、滥用、诈骗层出不穷,引发了一系列发人深思的社会事件和问题。 大数据面临的安全挑战   (1)传统安全保护手段失效:大数据应用使用开放的分布式计算和存储框架来提供海量数据分布式存储和计算服务。新技术、新架构、新型攻击手段带来新的挑战,使得传统的安全保护手段暴露出严重的不足。   (2)大数...
数据安全风险评估白皮书 pdf
12-07
数据安全风险评估白皮书pdf是一份关于评估数据安全风险的文件,具体内容包括以下几个方面。 首先,白皮书中会介绍数据安全风险评估的背景和重要性。随着信息技术的发展,数据安全问题已经成为各行各业所面临的一个重要挑战。通过评估数据安全风险,可以帮助组织识别和理解自身面临的各种潜在威胁和漏洞,从而制定相应的安全措施和应对策略。 其次,白皮书会介绍数据安全风险评估的方法和步骤。数据安全风险评估通常包括以下几个方面的内容:确定评估范围和目标、收集和分析相关数据、评估潜在威胁和漏洞、分析和评估风险潜在影响和可能性、制定应对策略和措施等。通过系统地进行数据安全风险评估,可以更好地了解组织的数据安全状况,为制定有效的数据安全管理方案提供依据。 第三,白皮书还会介绍数据安全风险评估的优势和应用场景。数据安全风险评估可以帮助组织及时发现和解决潜在的数据安全问题,提高组织对数据安全风险的认识和应对能力,减少数据泄露和损失的风险。同时,数据安全风险评估也可以应用于新项目的启动、现有系统和流程的改进和更新,以及组织间数据共享和合作等场景,为组织的信息安全提供更为可靠的保障。 综上所述,数据安全风险评估白皮书pdf是一份关于评估数据安全风险的文件,内容包括评估的背景和重要性、方法和步骤,以及优势和应用场景等。通过读取和理解这份白皮书,可以更好地了解和应对数据安全风险问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

登峰造Geek

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值