Redian新闻
>
七步走,搞定数据安全风险评估

七步走,搞定数据安全风险评估

公众号新闻

每天两块钱,实时获取全球数据合规风险预警

👇

来源:安恒信息
转载:数据学堂
仅供学习,如有侵权,请联系删除

在数字化时代,各行业企业机构目前正在从 “信息化” 转型到 “数字化” 中,数据成为生产要素推动企业业务发展变革,数据的重要性受到前所未有的重视。与此同时,数据所面临的安全风险也急剧增加,如何精准识别基于数据自身的风险,成为数据安全治理与防护的前提条件。

数据安全风险评估意义


数据具有多样性、复杂性等特征,如果没有合适的数据安全风险评估方法和体系,就无法针对性地摸清所有面临的安全风险,也无法评估与法律合规要求的差距。同时,根据《数据安全法》以及各行业相关标准要求,数据安全风险评估是开展数据安全治理工作的基础,是各行业机构必要的数据安全保护义务。


传统安全防护采用边界防护的策略,只是保证静态数据安全,而现实中企业一旦开展业务,必然涉及数据流动过程中的安全风险评估和监测。而数据安全风险评估不仅是一套简单的评估流程或一系列的评估工具,其核心是如何平衡企业数据价值和数据风险之间的冲突。

数据安全风险评估难点

● 随着数据量爆炸式增长与数据应用的范围不断扩大,出现数据访问账号和用户权限管理不清晰、数据在使用过程中审批流程不明确、数据共享交换时的控制措施不可靠等等一些数据问题。

● 数据一旦生产出来后就会进入传输、存储、处理、分析、访问与服务应用等各环节且循环往复,重要数据在流动过程中,会产生大量的接触和交互。如内部的研发和运营管理角色,服务器、云平台、大数据处理与分析系统中的流动,与众多伙伴、客户等进行互动和推送,涉及面异常广泛。

● 非敏感的数据可以通过二次组合或通过数据的聚合分析,形成更有价值的衍生敏感数据,若对数据安全级别判断不足,存在保护强度不够的情况,将导致数据泄露风险,且责任难以界定。



基于在金融、政府、国企等行业的数据安全风险研究和评估方面积累的丰富实战经验,关于数据安全风险评估开展工作,将采取以下7步走的动作进行开展:


数据安全风险评估咨询服务过程实践 ▲


  第一步(资产与数据发现)

基于企业机构所属行业标准规范指南识别相关系统的敏感数据,如金融行业的《个人金融信息保护技术规范》《金融数据安全·数据安全分级指南》等,确定不同安全级别的数据类型,进而形成业务场景下的敏感数据范围。


  第二步(业务数据流调研)

依据敏感数据资产及对应的承载体,分析业务逻辑架构及数据资产,整合梳理出数据流转走向。从数据、场景、用户、环境多个维度分析数据流现状,基于业务场景梳理敏感数据流走向,识别数据流转过程中的关键节点要素,输出数据流走向分析图。


业务数据流调研建议内容 ▲


  第三步(生产环境靶场搭建)

基于前期业务与数据环境的咨询调研结果,明确靶场搭建的资源环境以及已有安全防护设备配合验证的需求进行搭建靶场环境工作,为数据安全攻击模拟实施奠定基础。其中靶场的搭建以保障企业业务正常进行为首要目标,通过模拟场景测试,发现目前业务环境下数据安全面临的实际安全风险威胁。


  第四步(安全威胁分析)

基于原有数据安全威胁库积累,结合实际业务及数据流分析结果、敏感数据识别结果等咨询调研材料,以数据为中心,重点关注数据流转中的动态安全风险,从数据泄露、数据篡改以及数据不可用等层面分析数据流转各要素的安全威胁。


基于数据生命周期的数据安全威胁分析简图 ▲


以金融行业为例,数据应用典型业务场景分析举例如下:

1.数据访问账号和用户权限管理:通过账号专人专用、账号独立、账号授权审批、最小授权、账号及时回收、行为内部审计、定期账号稽核等方式控制。

2.数据使用过程的访问权限管理:批量操作审批、高敏感数据访问审批、批量操作和高敏感数据访问的指定设备、地点、访问过程内部审计记录、开发测试访问模糊化、访问行为定期稽核等方式控制。

3.数据共享(提取)权限管理:通过最小共享和泛化、共享(提取)审批、最小使用范围、责任传递、定期稽核等方式控制。

4.定期权限稽核:通过数据安全合规检查、操作监管或稽核、数据访问账号和权限的监管与稽核、业务单位和运维的数据访问过程的合法性监管与稽核、日志风险分析与数据安全性测试等方式控制。

5.数据存储管理:通过涉密数据存储的网络区隔、敏感数据存储加密、备份访问管理、存储设备的移动管理、存储设备的销毁管理等方式控制。


  第五步(安全脆弱性分析)

通过工具监测、人工核查、渗透测试、文档查阅等手段,分别分析管理以及技术层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点,明确数据安全脆弱性分布。


  第六步(数据安全攻击模拟)

结合业内成熟的攻防框架,例如MIRTE推出的ATT&CK,并基于数据安全威胁场景以及勒索攻击威胁场景,划分攻击模拟战术,具体从数据使用时的初始访问、数据的收集、数据的渗出及数据处理、销毁等造成的影响等威胁场景处出发,针对每一威胁场景,确定所需战术对应的技术手段,进行数据安全攻击突破模拟。


基于ATT&CK框架解析勒索软件威胁场景模拟评估 ▲


  第七步(数据安全风险识别)

最后以数据安全咨询以及攻击模拟的结果,分析基于业务场景的数据全生命周期过程中存在的风险,通过定性分析展现风险严重程度以及分析可能性,通过定量计算输出风险分值,综合得出数据安全风险评估结果。


数据安全风险识别 ▲



随着《数据安全法》和《个人信息保护法》相继推出,以及各行业数据安全标准的不断完善,建立完整的数据安全治理体系已是迫在眉睫。其中,数据安全风险评估作为数据安全建设的基础和前提,在发现数据安全威胁和风险方面意义重大。

传统的信息安全风险评估服务,依靠信息系统为单位进行经验分析,难以聚焦梳理数据安全威胁场景,仅通过通用的技术手段进行辅助安全验证,难以准确且有效的分析数据安全风险。


数据安全风险评估服务最佳实践,基于业务场景的数据安全风险评估服务,能够在获得授权的前提下,以攻击者的角度,通过真实模拟攻击者使用的工具、分析方法进行模拟攻击,验证当前业务场景下数据全生命周期的各种事前事中事后安全措施,找出数据安全风险点,提供有价值的数据安全整改建议和提升举措,全面、有效保障数据的安全性。




DPOHUB年度会员,扫码加入!


权益1:一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课(除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程),权益期内新增的在线课程同样免费听。

权益2:一年的鹅圈子“数据合规俱乐部”,第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
忍不住剧透一下,我花了4个多月,搞定一件大事!疫情泛滥后,有多少人患了疫情后遗症龙卷风健康快递 202《“十四五”全民健康信息化规划》:三级医院核心信息全国互通共享,强调网络与数据安全保障体系奔跑吧,天寺!心内专家解读,长QT综合征的风险评估和治疗Taylor Swift新专辑单价创纪录,谁在决定数字专辑的价格?因缘际会,自有定数 | 人间日签仅剩一席|九大投行导师亲自带队,搞定量化刷题面试,小班授课,报完截止!日行1万步的人,多种疾病和死亡风险都会降低,快步走更有益|环球科学要闻曲线移民三步走,从“小绿卡”到”大绿卡”,格林纳达或许就是梦想开始的地方!深圳证监局通报:某券商网络安全风险管理存在漏洞,OA系统遭受注入攻击《证券期货业数据安全管理与保护指引》学习笔记3步走,让阅读和写作相互帮助结课 | 张敏《数据安全合规与实践课》11讲 | 最后优惠,欢迎拼团!3分钟准备,5分钟出锅!人人都夸的高效搭配法,搞定1周不重样全文 | 工信部《工业和信息化领域数据安全管理办法(试行)》发布!附一图读懂!融入爱尔兰新生活七步走(上)2万多件被召回!这种产品的安全风险别忽视全文下载 | 最新12项数据安全国标来了融入爱尔兰新生活七步走(下)十问数据安全:我们的手机安全吗?为什么总感觉被“偷听”?1986年伦敦穷游记 在船上(1)有关回国, 你失去孩子身份了吗?预报名|数据出境安全评估项目落地交流会(线下闭门会):自评估报告+合规整改+流程控制,法律+管理+技术|DPOHUB x 国瓴企业数据安全建设“六步走”,打造完备数据安全体系关于确定数据知识产权工作试点地方的通知一个人命里的钱,都是有定数的,四个地方告诉你为了搞定数据库兼容性与性能,这些企业都做了啥?| Q推荐美国司法部:对TikTok数据安全问题持续担忧?侃哥自用三年,这款洗面奶人手一支,搞定黑头脏东西!这里有一份「抑郁风险评估」1碗面粉1把葱,搞定早餐店的“王牌明星”!蓬松软乎乎,放凉也不硬专访蚂蚁集团副总裁韦韬:如今谈数据安全,我们在谈些什么?致力提供下一代数据安全解决方案,「薮猫科技」完成源码资本领投A轮融资|36氪首发
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。