基于 云风险评估框架(ENISA)的风险评估方法

最新推荐文章于 2022-06-25 08:58:32 发布
最新推荐文章于 2022-06-25 08:58:32 发布
阅读量756 收藏 3
点赞数
分类专栏: IT安全审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29406309/article/details/105571131
版权
本文详细介绍了基于ENISA云风险评估框架的风险分析方法,涉及资产识别、威胁和脆弱性评估,以及如何计算风险值。高风险资产包括公司声誉、知识产权等,高等级风险涵盖锁定、合规风险等方面,而高等级弱点则列举了认证、虚拟化漏洞等问题。
摘要由CSDN通过智能技术生成

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产

价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程

度。风险分析的主要内容为: 

a)对资产进行识别,并对资产的价值进行赋值; 

b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值; 

c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值; 

d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性; 

e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失; 

f)  根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,

即风险值。    

 

高风险资产
A1.公司声誉
A2.用户声誉
A3.员工忠诚度和经验
A4.知识产权
A5.敏感的个人资料
A6.使用者及服务提供者的个人资料
A7.使用者及服务提供者的关键个人资料
A8.日常资料(HR)
A9.需要即时提供的服务
A10.服务提供
A16.网络
A20.认证


高等级风险
R1.锁定
R2.失去治理
R3.合规风险
R6.隔离失效
R10.恶意内部人员
R21.作为证物或电子凭证
R22.管辖变更风险
R23.数据保护风险

最低0.47元/天 解锁文章
喃喃不爱说话
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
环境风险评估技术
weixin_70923796的博客
08-06 248
本文提出的环境风险评估架构在传统网络风险评估的基础上,引入了攻防博弈,通过实时采集环境的攻防数据智能调整攻防策略,动态生成风险评估结果,提高风险评估的精准化、自动化水平。因此,本文将博弈思想引入到环境的风险评估中 ,充分考虑环境各类攻防策略的动态性和时效性,通过不断的攻防博弈和演化,在智能化模型算法的决策支持下,预测最大攻击意图,实时动态地评估环境系统整体所面临的风险,选取最优防御策略,提高环境风险评估的准确性和有效性,从而主动地提高环境的安全性,保障环境运行的业务系统和数据的安全可靠。..
ENISA计算安全风险评估
12-05
ENISA计算安全风险评估
ENISA计算安全风险评估.pdf
08-02
ENISA计算安全风险评估.pdf
服务风险慨述
weixin_34236497的博客
03-24 2482
从用户角度来看,计算意味着数据、计算及应用均通过网络被转移到用户掌控范围之外的服务提供商手中,因此,用户隐私信息和服务风险等问题随之而来。从技术层面来看,传统信息安全存在的问题在端上同样存在,而且还因为计算的商业模式及虛拟化等技术的引入,使得服务面临新的服务风险问题。 服务面临的风险 从安全事件的后果来看,主要表现为信息丢失或泄露和服务中断...
ENISA CCSM
cnbird's blog
02-06 1328
https://resilience.enisa.europa.eu/cloud-computing-certification/ https://www.enisa.europa.eu/media/press-releases/enisa-cloud-certification-schemes-metaframework
计算安全风险
menshow的专栏
06-11 635
1、特权用户访问若使用计算,你的机密数据将由贵公司外面的人员来处理,所以可想而知:不是贵公司的员工完全可以访问这些数据。 2、法规遵从在《萨班斯-奥克斯利法案》当道的时代,公司有责任实施严格的数据监控和归档级别。即便一家公司与外部的计算服务提供商签订了合同,这些法规仍要求这家公司负有责任。计算服务提供商应当提交审计和安全方面的证书,确保对方能够履行约定的承诺。 “如果计算提供商不愿意或者
ENISA
sherlockmj的博客
08-20 253
风险风险政策和组织风险技术风险法律风险特有风险脆弱性资产分类政策和组织风险厂商锁定治理缺失合规性挑战由于共同租户活动而导致商业信誉丧失服务终止或失败提供者获得供应链失效技术风险资源耗尽、不足或超卖隔离失效提供者恶意内部人员-滥用高级特权角色管理平面缺陷(操纵,基础设施的可能性)拦截传输中的数据上传/下载,内数据泄露不安全或无效的数据删除分布式拒绝服务DDOS经济拒绝服务EDOS加密秘钥丢失承担恶意探测或扫描服务引擎损坏客户加固程序与环境之间的冲突法律风险传票和电子取证管辖权变更的风险数据保护风
ENISA报告:ICS-SCADA防护建议
weixin_33830216的博客
07-03 107
为实现关键基础设施防护,ENISA公布了《ICS-SCADA系统通信网络依赖》报告。 网络武器已经开始被用于干涉政治,这是十分明显的,例如可能与中国有关的OPM类似的网络间谍活动、俄罗斯人导致的DNC数据泄露进行政治操纵、疑似俄罗斯或其支持者搞的乌克兰大断电之类的物理破坏等,这些都已将众人目光聚焦到了关键国家基础设施的安全问题上。而这些基础设施中的大部分...
CCSK计算安全认证
热门推荐
喃喃不爱说话的博客空间
09-25 1万+
一、关于CCSK 1、CCSK是什么? CCSK(Certification of Cloud Security Knowledge)是由CSA 2011年推出的安全人才认证领域最权威的认证之一。 CSA(Cloud Security Alliance)安全联盟,是在2009年美国RSA大会上成立的非营利性国际性组织,致力于研究计算环境下的安全问题,旨在提供计算环境下的最优解决方案。...
计算角色和职责 和 关键计算特征
securitypaper的博客
06-25 862
服务提供商(Cloud Service Provider,CSP)是提供计算服务的供应商。CSP将拥有数据中心、雇用员工、拥有和管理(硬件和软件)资源、提供服务和安全,并为客户和客户的数据及处理需求提供管理方面的帮助,例如AWS、Rackspace和Microsoft Azure ...
实施计算前须明确的风险问题
fadsf15的博客
04-28 213
  计算已经进入落地阶段,很多企业开始考虑或是已经拥抱计算,虽然是这样,但仍有很多企业并不知道如何实施计算,IDC机构就曾表示国内的企业在实施计算项目总是会陷入几个误区,如重概念轻本质、重硬件轻软件、重实施轻咨询等。其中咨询规划非常重要,企业在实施之前务必要理清计算问题才能更好的做好风险预估。如下是实施计算项目的四大威胁:   1、安全威胁:在互联网领域安全是永恒的话题。计算管理着企...
平台常见风险
煜铭2011
12-05 4799
0x00 前言         技术(Cloud technology)基于计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后...
风险评估框架流程及分析原理
weixin_34174322的博客
11-26 634
风险评估框架及流程风险要素关系 风险评估中各要素的关系如图 1所示: 图 1 中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属 性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估 过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要 素相关的各类属性。 图1中的风险...
计算使用者在选择供应商之前,需要防范的七个风险
多智时代的博客
05-27 567
计算的特有属性决定了风险评估的重要性,包括数据完整性保护、故障发生后可恢复性以及私密性等领域。此外,诸如e-discovery(电子发现)和审计等方面的法律评估也是必不可少的。以下是使用者在选择供应商之前需要防范的七方面风险。 优先访问权 由于计算服务供应商采用内部程序,以绕开物理、逻辑和个人控制,敏感数据在处理过程中存在被盗取风险,因此,尽可能掌握管理数据相关人员的信息至关重要。使用者需要向...
自定义Maya工具架:打造个性化工作流的秘籍
最新发布
08-19
Maya脚本主要有两种形式:MEL(Maya Embedded Language)和Python。MEL是Maya的内置脚本语言,用于自动化任务、扩展Maya的功能以及自定义用户界面。MEL脚本可以快速创建对象、精确控制对象属性,以及执行复杂的场景管理任务。MEL的语法结构与C语言接近,支持强制语法和函数语法,是一种强类型语言,但通常允许隐式声明和类型转换。 Python脚本在Maya中的应用也非常广泛,特别是在Maya 2020及以后的版本中。Python提供了一种更为现代和灵活的方式来编写脚本,可以利用Python的强大库进行复杂的数据处理和自动化任务。Python脚本可以通过`maya.cmds`模块访问Maya的命令,实现与MEL相似的功能。 在Maya中,脚本可以通过“脚本编辑器”(Script Editor)进行编写和执行,也可以保存为`.mel`或`.py`文件以便重复使用。脚本编辑器提供了MEL和Python两种语言选项,允许用户在不同语言环境下编写和测试脚本。此外,Maya还支持将Python函数注册为MEL程序,以便在需要MEL脚本的地方使用Python代码。
基于Android校园旧书交易软件APP设计与实现.docx
08-19
基于Android校园旧书交易软件APP设计与实现.docx
基于Android家校沟通系统APP设计与实现.docx
08-19
基于Android家校沟通系统APP设计与实现.docx
ENISA计算安全风险评估报告
"ENISA的《Cloud Computing Security Risk ...ENISA的这份报告为计算安全风险评估提供了深入的见解,为企业和组织在采用服务时提供了宝贵的指导,帮助他们在享受计算带来的便利的同时,有效管理和减轻安全风险
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值