現今信息系統的風險評估體系已非常完善,但數據安全方面並沒有形成相關評估內容,整個體系中缺少數據安全相關的檢測與評估項,所以近期一直思考數據安全風險評估應是如何,應該從哪些方面進行檢測與評估?威脅分類有哪些?脆弱性有哪些?如何與現有評估體系融合等問題。
本文產生的目就是希望解決如上一系列數據安全風險評估疑問,儘可能從資產識別、威脅分類、脆弱性識別、風險計算、處置建議等5個環節進行完善,通過不斷持續優化完善,以期實現基於數據安全風險評估的體系化建設。
由於內容較多,所以本系列將分多章進行編寫。第一章爲資產識別,資產是安全保護的對象,是風險評估的主體,資產的識別是理清內容、看透價值的重要手段,只有準確的資產識別,才能產生有意義的風險評估報告。
一、資產識別
1.1 資產分類
資產是具有價值的信息或資源,資產通常以多種形態存在,一般基於表現形式的資產分類包括:數據、軟件、硬件、服務、文檔、人員、其它。數據資產來講,包括:源代碼、數據庫中數據、系統文檔、用戶手冊等。
數據安全資產包括關係型及非關係,結構化(關係型和非關係型可稱爲結構化數據)與非結構化。
關係型包括:Oracle、Mysql、SQL Server等;
非關係型包括:Hbase、Redis、MongodDB等;
非結構化數據包括:文本(Word、Excel、PPT等)、媒體(視頻、照片等)。
1.2 資產賦值
資產賦值不但需要從經濟價值還需要考慮資產安全狀況對系統或組織的重要性,所以資產賦值可從機密性、完整性和可用性三個方面進行對應賦值
機密性
根據資產在機密性上的不同要求,將其分爲5個的等級,不同等級對應資產機密性破壞後對組織產生的影響。
資產機密性賦值示例表
完整性
根據資產在完整性上的不同要求,將其分爲5個的等級,不同等級對應資產完整性缺失後對組織產生的影響。
資產完整性賦值示例表
可用性
根據資產在可用性上的不同要求,將其分爲5個的等級,不同等級對應資產可用性異常後對組織產生的影響。
資產可用性賦值示例表
1.3 重要等級分類
資產價值應依據機密性、完整性、可用性上的賦值等級,經過綜合評定後最終確定。其重要等級也分爲5個等級。如下圖:
資產登記示例圖
下章介紹數據資產脆弱性相關內容(資產識別+資產脆弱性=安全事件的損失),主要包括脆弱性識別內容、識別方式、脆弱性嚴重等級劃分等。