现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估?威胁分类有哪些?脆弱性有哪些?如何与现有评估体系融合等问题。
本文产生的目就是希望解决如上一系列数据安全风险评估疑问,尽可能从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体系化建设。
由于内容较多,所以本系列将分多章进行编写。第一章为资产识别,资产是安全保护的对象,是风险评估的主体,资产的识别是理清内容、看透价值的重要手段,只有准确的资产识别,才能产生有意义的风险评估报告。
一、资产识别
1.1 资产分类
资产是具有价值的信息或资源,资产通常以多种形态存在,一般基于表现形式的资产分类包括:数据、软件、硬件、服务、文档、人员、其它。数据资产来讲,包括:源代码、数据库中数据、系统文档、用户手册等。
数据安全资产包括关系型及非关系,结构化(关系型和非关系型可称为结构化数据)与非结构化。
关系型包括:Oracle、Mysql、SQL Server等;
非关系型包括:Hbase、Redis、MongodDB等;
非结构化数据包括:文本(Word、Excel、PPT等)、媒体(视频、照片等)。
1.2 资产赋值
资产赋值不但需要从经济价值还需要考虑资产安全状况对系统或组织的重要性,所以资产赋值可从机密性、完整性和可用性三个方面进行对应赋值
机密性
根据资产在机密性上的不同要求,将其分为5个的等级,不同等级对应资产机密性破坏后对组织产生的影响。
资产机密性赋值示例表
完整性
根据资产在完整性上的不同要求,将其分为5个的等级,不同等级对应资产完整性缺失后对组织产生的影响。
资产完整性赋值示例表
可用性
根据资产在可用性上的不同要求,将其分为5个的等级,不同等级对应资产可用性异常后对组织产生的影响。
资产可用性赋值示例表
1.3 重要等级分类
资产价值应依据机密性、完整性、可用性上的赋值等级,经过综合评定后最终确定。其重要等级也分为5个等级。如下图:
资产登记示例图
下章介绍数据资产脆弱性相关内容(资产识别+资产脆弱性=安全事件的损失),主要包括脆弱性识别内容、识别方式、脆弱性严重等级划分等。