 作者簡介 王峰。曾就職于北京拓爾思,,任山東區(qū)技術(shù)總監(jiān),,山東米迦勒聯(lián)合創(chuàng)始人,現(xiàn)就職于中安威士,。擁有多年數(shù)據(jù)治理,、數(shù)據(jù)安全相關(guān)工作經(jīng)驗。 免責(zé)聲明:本公眾號發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng),,文末已注明出處,,其內(nèi)容和圖片版權(quán)歸原網(wǎng)站或作者本人所有,并不代表安全+的觀點,,若有無意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請聯(lián)系我們處理,,謝謝合作! 歡迎各位添加微信號:qinchang_198231 加入安全+ 交流群 和大佬們一起交流安全技術(shù) ● 數(shù)據(jù)資產(chǎn)識別 現(xiàn)今信息系統(tǒng)的風(fēng)險評估體系已非常完善,,但數(shù)據(jù)安全方面并沒有形成相關(guān)評估內(nèi)容,,整個體系中缺少數(shù)據(jù)安全相關(guān)的檢測與評估項,所以近期一直思考數(shù)據(jù)安全風(fēng)險評估應(yīng)是如何,,應(yīng)該從哪些方面進行檢測與評估,?威脅分類有哪些?脆弱性有哪些,?如何與現(xiàn)有評估體系融合等問題,。 本文產(chǎn)生的目就是希望解決如上一系列數(shù)據(jù)安全風(fēng)險評估疑問,,盡可能從資產(chǎn)識別、威脅分類,、脆弱性識別,、風(fēng)險計算、處置建議等5個環(huán)節(jié)進行完善,,通過不斷持續(xù)優(yōu)化完善,,以期實現(xiàn)基于數(shù)據(jù)安全風(fēng)險評估的體系化建設(shè)。 由于內(nèi)容較多,,所以本系列將分多章進行編寫,。第一章為資產(chǎn)識別,資產(chǎn)是安全保護的對象,,是風(fēng)險評估的主體,,資產(chǎn)的識別是理清內(nèi)容、看透價值的重要手段,,只有準(zhǔn)確的資產(chǎn)識別,,才能產(chǎn)生有意義的風(fēng)險評估報告。 一 資產(chǎn)識別 1.1 資產(chǎn)分類 資產(chǎn)是具有價值的信息或資源,,資產(chǎn)通常以多種形態(tài)存在,,一般基于表現(xiàn)形式的資產(chǎn)分類包括:數(shù)據(jù)、軟件,、硬件,、服務(wù)、文檔,、人員,、其它。數(shù)據(jù)資產(chǎn)來講,,包括:源代碼,、數(shù)據(jù)庫中數(shù)據(jù)、系統(tǒng)文檔,、用戶手冊等,。 數(shù)據(jù)安全資產(chǎn)包括關(guān)系型及非關(guān)系,結(jié)構(gòu)化(關(guān)系型和非關(guān)系型可稱為結(jié)構(gòu)化數(shù)據(jù))與非結(jié)構(gòu)化,。 關(guān)系型包括:Oracle,、Mysql、SQL Server等,; 非關(guān)系型包括:Hbase,、Redis、MongodDB等; 非結(jié)構(gòu)化數(shù)據(jù)包括:文本(Word,、Excel、PPT等),、媒體(視頻,、照片等)。 1.2 資產(chǎn)賦值 資產(chǎn)賦值不但需要從經(jīng)濟價值還需要考慮資產(chǎn)安全狀況對系統(tǒng)或組織的重要性,,所以資產(chǎn)賦值可從機密性,、完整性和可用性三個方面進行對應(yīng)賦值 機密性 根據(jù)資產(chǎn)在機密性上的不同要求,將其分為5個的等級,,不同等級對應(yīng)資產(chǎn)機密性破壞后對組織產(chǎn)生的影響,。  資產(chǎn)機密性賦值示例表 完整性 根據(jù)資產(chǎn)在完整性上的不同要求,將其分為5個的等級,,不同等級對應(yīng)資產(chǎn)完整性缺失后對組織產(chǎn)生的影響,。  資產(chǎn)完整性賦值示例表 可用性 根據(jù)資產(chǎn)在可用性上的不同要求,將其分為5個的等級,,不同等級對應(yīng)資產(chǎn)可用性異常后對組織產(chǎn)生的影響,。  資產(chǎn)可用性賦值示例表 1.3 重要等級分類 資產(chǎn)價值應(yīng)依據(jù)機密性、完整性,、可用性上的賦值等級,,經(jīng)過綜合評定后最終確定。其重要等級也分為5個等級,。如下圖:  資產(chǎn)登記示例圖 ● 脆弱性識別 數(shù)據(jù)資產(chǎn)識別是風(fēng)險評估的開始,,而脆弱性是對一個或多個資產(chǎn)弱點的集合,脆弱性識別也可稱為弱點識別,,而該弱點是資產(chǎn)本身存在的,,如果沒有威脅利用,單純的弱點不會引發(fā)安全事件,。威脅總是利用資產(chǎn)脆弱點才能造成破壞,,這也是弱點和威脅的區(qū)別。 本篇文章將從脆弱性識別內(nèi)容,、識別方式,、脆弱性定級,三個部分進行介紹,。 一 脆弱性識別內(nèi)容 資產(chǎn)脆弱性包括管理型與技術(shù)型兩大類,。技術(shù)脆弱性主要涉及數(shù)據(jù)庫(結(jié)構(gòu)化,關(guān)系型和非關(guān)系型)及網(wǎng)絡(luò)層和主機層(非結(jié)構(gòu)化,,DLP檢測),。具體脆弱性識別示例內(nèi)容如下表:  數(shù)據(jù)脆弱性識別示例 二 識別方式 常見主要識別方法有問卷調(diào)查、工具檢測、人工核查,、文檔查閱,、滲透測試等,不同環(huán)節(jié),、不同場景下?lián)駜?yōu)選擇,,本篇主要介紹工具檢測,即數(shù)據(jù)庫漏洞掃描系統(tǒng),。數(shù)據(jù)庫漏洞掃描系統(tǒng)一般是通過讀取數(shù)據(jù)庫的信息與安全策略進行綜合分析,,在查出數(shù)據(jù)庫中存在的漏洞后自動給出詳細的漏洞描述、漏洞來源及修復(fù)建議,、并提供完整的數(shù)據(jù)庫漏洞報告,、數(shù)據(jù)庫安全評估報告。我們據(jù)此報告對數(shù)據(jù)庫進行漏洞修復(fù),,大限度地保護數(shù)據(jù)庫的安全,。  數(shù)據(jù)庫漏掃功能架構(gòu)圖示例圖(中安威士-漏洞掃描系統(tǒng)) 端口掃描:系統(tǒng)提供自動搜索數(shù)據(jù)庫的功能,可以直接給出數(shù)據(jù)庫的各項信息 漏洞檢測:(授權(quán)檢測,、非授權(quán)檢測,、滲透檢測、木馬檢測) 授權(quán)檢測:具有DBA權(quán)限的數(shù)據(jù)庫用戶,,執(zhí)行選定的安全策略實現(xiàn)對目標(biāo)數(shù)據(jù)庫的檢測,。 非授權(quán)檢測:用戶在無權(quán)限的情況下,依據(jù)數(shù)據(jù)庫版本號并根據(jù)選定的安全策略對目標(biāo)數(shù)據(jù)庫進行的檢測的方法,。 滲透檢測:利用數(shù)據(jù)庫本身存在的漏洞,,攻擊數(shù)據(jù)庫。 木馬檢測:檢查數(shù)據(jù)庫所在服務(wù)器是否感染木馬,,可檢測出被占用的端口和木馬種類,。 三 脆弱性定級 可以根據(jù)資產(chǎn)的損害程度、技術(shù)實現(xiàn)的難易程度,,以及弱點的流行程度等多個維度,,采用等級方式對已識別的脆弱性嚴(yán)重程度進行賦值。對某個資產(chǎn)脆弱性賦值還應(yīng)參考管理脆弱性的嚴(yán)重程度,。具體定級如下示例表:  脆弱性定級 此外還可以參考CVE,、CNNVD等提供的漏洞分級作為脆弱性賦值參考。 下章介紹數(shù)據(jù)資產(chǎn)威脅性相關(guān)內(nèi)容(威脅識別+脆弱性識別=安全事件的可能性),,主要包括威脅來源,、威脅識別內(nèi)容、威脅等級劃分等,。  |
|
|
