公司

首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2022 > 正文

七步走，搞定數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估

閱讀量：次

講武堂，帶兵者研究武學(xué)之所。今設(shè)“安恒信息安全咨詢講武堂”，與圈內(nèi)人士共同聚焦、分享安全咨詢領(lǐng)域的心得體會(huì)與實(shí)踐經(jīng)驗(yàn)。

本期聚焦數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，歡迎大家文末留言探討。

?前言?

在數(shù)字化時(shí)代，各行業(yè)企業(yè)機(jī)構(gòu)目前正在從 “信息化” 轉(zhuǎn)型到 “數(shù)字化” 中，數(shù)據(jù)成為生產(chǎn)要素推動(dòng)企業(yè)業(yè)務(wù)發(fā)展變革，數(shù)據(jù)的重要性受到前所未有的重視。與此同時(shí)，數(shù)據(jù)所面臨的安全風(fēng)險(xiǎn)也急劇增加，如何精準(zhǔn)識(shí)別基于數(shù)據(jù)自身的風(fēng)險(xiǎn)，成為數(shù)據(jù)安全治理與防護(hù)的前提條件。

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估意義

數(shù)據(jù)具有多樣性、復(fù)雜性等特征，如果沒有合適的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法和體系，就無(wú)法針對(duì)性地摸清所有面臨的安全風(fēng)險(xiǎn)，也無(wú)法評(píng)估與法律合規(guī)要求的差距。同時(shí)，根據(jù)《數(shù)據(jù)安全法》以及各行業(yè)相關(guān)標(biāo)準(zhǔn)要求，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是開展數(shù)據(jù)安全治理工作的基礎(chǔ)，是各行業(yè)機(jī)構(gòu)必要的數(shù)據(jù)安全保護(hù)義務(wù)。

傳統(tǒng)安全防護(hù)采用邊界防護(hù)的策略，只是保證靜態(tài)數(shù)據(jù)安全，而現(xiàn)實(shí)中企業(yè)一旦開展業(yè)務(wù)，必然涉及數(shù)據(jù)流動(dòng)過(guò)程中的安全風(fēng)險(xiǎn)評(píng)估和監(jiān)測(cè)。而數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估不僅是一套簡(jiǎn)單的評(píng)估流程或一系列的評(píng)估工具，其核心是如何平衡企業(yè)數(shù)據(jù)價(jià)值和數(shù)據(jù)風(fēng)險(xiǎn)之間的沖突。

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估難點(diǎn)

● 隨著數(shù)據(jù)量爆炸式增長(zhǎng)與數(shù)據(jù)應(yīng)用的范圍不斷擴(kuò)大，出現(xiàn)數(shù)據(jù)訪問(wèn)賬號(hào)和用戶權(quán)限管理不清晰、數(shù)據(jù)在使用過(guò)程中審批流程不明確、數(shù)據(jù)共享交換時(shí)的控制措施不可靠等等一些數(shù)據(jù)問(wèn)題。

● 數(shù)據(jù)一旦生產(chǎn)出來(lái)后就會(huì)進(jìn)入傳輸、存儲(chǔ)、處理、分析、訪問(wèn)與服務(wù)應(yīng)用等各環(huán)節(jié)且循環(huán)往復(fù)，重要數(shù)據(jù)在流動(dòng)過(guò)程中，會(huì)產(chǎn)生大量的接觸和交互。如內(nèi)部的研發(fā)和運(yùn)營(yíng)管理角色，服務(wù)器、云平臺(tái)、大數(shù)據(jù)處理與分析系統(tǒng)中的流動(dòng)，與眾多伙伴、客戶等進(jìn)行互動(dòng)和推送，涉及面異常廣泛。

● 非敏感的數(shù)據(jù)可以通過(guò)二次組合或通過(guò)數(shù)據(jù)的聚合分析，形成更有價(jià)值的衍生敏感數(shù)據(jù)，若對(duì)數(shù)據(jù)安全級(jí)別判斷不足，存在保護(hù)強(qiáng)度不夠的情況，將導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)，且責(zé)任難以界定。

安恒信息深耕數(shù)據(jù)安全領(lǐng)域多年，在對(duì)金融、政府、國(guó)企等行業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)研究和評(píng)估方面積累了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)，關(guān)于數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估開展工作，將采取以下7步走的動(dòng)作進(jìn)行開展：

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估咨詢服務(wù)過(guò)程實(shí)踐 ▲

? 第一步（資產(chǎn)與數(shù)據(jù)發(fā)現(xiàn)）

基于企業(yè)機(jī)構(gòu)所屬行業(yè)標(biāo)準(zhǔn)規(guī)范指南識(shí)別相關(guān)系統(tǒng)的敏感數(shù)據(jù)，如金融行業(yè)的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全·數(shù)據(jù)安全分級(jí)指南》等，確定不同安全級(jí)別的數(shù)據(jù)類型，進(jìn)而形成業(yè)務(wù)場(chǎng)景下的敏感數(shù)據(jù)范圍。

? 第二步（業(yè)務(wù)數(shù)據(jù)流調(diào)研）

依據(jù)敏感數(shù)據(jù)資產(chǎn)及對(duì)應(yīng)的承載體，分析業(yè)務(wù)邏輯架構(gòu)及數(shù)據(jù)資產(chǎn)，整合梳理出數(shù)據(jù)流轉(zhuǎn)走向。從數(shù)據(jù)、場(chǎng)景、用戶、環(huán)境多個(gè)維度分析數(shù)據(jù)流現(xiàn)狀，基于業(yè)務(wù)場(chǎng)景梳理敏感數(shù)據(jù)流走向，識(shí)別數(shù)據(jù)流轉(zhuǎn)過(guò)程中的關(guān)鍵節(jié)點(diǎn)要素，輸出數(shù)據(jù)流走向分析圖。

業(yè)務(wù)數(shù)據(jù)流調(diào)研建議內(nèi)容 ▲

? 第三步（生產(chǎn)環(huán)境靶場(chǎng)搭建）

基于前期業(yè)務(wù)與數(shù)據(jù)環(huán)境的咨詢調(diào)研結(jié)果，明確靶場(chǎng)搭建的資源環(huán)境以及已有安全防護(hù)設(shè)備配合驗(yàn)證的需求進(jìn)行搭建靶場(chǎng)環(huán)境工作，為數(shù)據(jù)安全攻擊模擬實(shí)施奠定基礎(chǔ)。其中靶場(chǎng)的搭建以保障企業(yè)業(yè)務(wù)正常進(jìn)行為首要目標(biāo)，通過(guò)模擬場(chǎng)景測(cè)試，發(fā)現(xiàn)目前業(yè)務(wù)環(huán)境下數(shù)據(jù)安全面臨的實(shí)際安全風(fēng)險(xiǎn)威脅。

? 第四步（安全威脅分析）

基于安恒信息原有數(shù)據(jù)安全威脅庫(kù)積累，結(jié)合實(shí)際業(yè)務(wù)及數(shù)據(jù)流分析結(jié)果、敏感數(shù)據(jù)識(shí)別結(jié)果等咨詢調(diào)研材料，以數(shù)據(jù)為中心，重點(diǎn)關(guān)注數(shù)據(jù)流轉(zhuǎn)中的動(dòng)態(tài)安全風(fēng)險(xiǎn)，從數(shù)據(jù)泄露、數(shù)據(jù)篡改以及數(shù)據(jù)不可用等層面分析數(shù)據(jù)流轉(zhuǎn)各要素的安全威脅。

基于數(shù)據(jù)生命周期的數(shù)據(jù)安全威脅分析簡(jiǎn)圖 ▲

以金融行業(yè)為例，數(shù)據(jù)應(yīng)用典型業(yè)務(wù)場(chǎng)景分析舉例如下：

1.數(shù)據(jù)訪問(wèn)賬號(hào)和用戶權(quán)限管理：通過(guò)賬號(hào)專人專用、賬號(hào)獨(dú)立、賬號(hào)授權(quán)審批、最小授權(quán)、賬號(hào)及時(shí)回收、行為內(nèi)部審計(jì)、定期賬號(hào)稽核等方式控制。

2.數(shù)據(jù)使用過(guò)程的訪問(wèn)權(quán)限管理：批量操作審批、高敏感數(shù)據(jù)訪問(wèn)審批、批量操作和高敏感數(shù)據(jù)訪問(wèn)的指定設(shè)備、地點(diǎn)、訪問(wèn)過(guò)程內(nèi)部審計(jì)記錄、開發(fā)測(cè)試訪問(wèn)模糊化、訪問(wèn)行為定期稽核等方式控制。

3.數(shù)據(jù)共享（提?。?quán)限管理：通過(guò)最小共享和泛化、共享（提?。徟?、最小使用范圍、責(zé)任傳遞、定期稽核等方式控制。

4.定期權(quán)限稽核：通過(guò)數(shù)據(jù)安全合規(guī)檢查、操作監(jiān)管或稽核、數(shù)據(jù)訪問(wèn)賬號(hào)和權(quán)限的監(jiān)管與稽核、業(yè)務(wù)單位和運(yùn)維的數(shù)據(jù)訪問(wèn)過(guò)程的合法性監(jiān)管與稽核、日志風(fēng)險(xiǎn)分析與數(shù)據(jù)安全性測(cè)試等方式控制。

5.數(shù)據(jù)存儲(chǔ)管理：通過(guò)涉密數(shù)據(jù)存儲(chǔ)的網(wǎng)絡(luò)區(qū)隔、敏感數(shù)據(jù)存儲(chǔ)加密、備份訪問(wèn)管理、存儲(chǔ)設(shè)備的移動(dòng)管理、存儲(chǔ)設(shè)備的銷毀管理等方式控制。

? 第五步（安全脆弱性分析）

通過(guò)工具監(jiān)測(cè)、人工核查、滲透測(cè)試、文檔查閱等手段，分別分析管理以及技術(shù)層面在數(shù)據(jù)安全管理、系統(tǒng)運(yùn)維管理、數(shù)據(jù)庫(kù)、數(shù)據(jù)應(yīng)用各模塊具體內(nèi)容的數(shù)據(jù)安全脆弱性節(jié)點(diǎn)，明確數(shù)據(jù)安全脆弱性分布。

? 第六步（數(shù)據(jù)安全攻擊模擬）

結(jié)合業(yè)內(nèi)成熟的攻防框架，例如MIRTE推出的ATT&CK，并基于數(shù)據(jù)安全威脅場(chǎng)景以及勒索攻擊威脅場(chǎng)景，劃分攻擊模擬戰(zhàn)術(shù)，具體從數(shù)據(jù)使用時(shí)的初始訪問(wèn)、數(shù)據(jù)的收集、數(shù)據(jù)的滲出及數(shù)據(jù)處理、銷毀等造成的影響等威脅場(chǎng)景處出發(fā)，針對(duì)每一威脅場(chǎng)景，確定所需戰(zhàn)術(shù)對(duì)應(yīng)的技術(shù)手段，進(jìn)行數(shù)據(jù)安全攻擊突破模擬。

基于ATT&CK框架解析勒索軟件威脅場(chǎng)景模擬評(píng)估 ▲

? 第七步（數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別）

最后以數(shù)據(jù)安全咨詢以及攻擊模擬的結(jié)果，分析基于業(yè)務(wù)場(chǎng)景的數(shù)據(jù)全生命周期過(guò)程中存在的風(fēng)險(xiǎn)，通過(guò)定性分析展現(xiàn)風(fēng)險(xiǎn)嚴(yán)重程度以及分析可能性，通過(guò)定量計(jì)算輸出風(fēng)險(xiǎn)分值，綜合得出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果。

數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別 ▲

隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》相繼推出，以及各行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)的不斷完善，建立完整的數(shù)據(jù)安全治理體系已是迫在眉睫。其中，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估作為數(shù)據(jù)安全建設(shè)的基礎(chǔ)和前提，在發(fā)現(xiàn)數(shù)據(jù)安全威脅和風(fēng)險(xiǎn)方面意義重大。

傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)，依靠信息系統(tǒng)為單位進(jìn)行經(jīng)驗(yàn)分析，難以聚焦梳理數(shù)據(jù)安全威脅場(chǎng)景，僅通過(guò)通用的技術(shù)手段進(jìn)行輔助安全驗(yàn)證，難以準(zhǔn)確且有效的分析數(shù)據(jù)安全風(fēng)險(xiǎn)。安恒信息數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)的最佳實(shí)踐，基于業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)，能夠在獲得授權(quán)的前提下，以攻擊者的角度，通過(guò)真實(shí)模擬攻擊者使用的工具、分析方法進(jìn)行模擬攻擊，驗(yàn)證當(dāng)前業(yè)務(wù)場(chǎng)景下數(shù)據(jù)全生命周期的各種事前事中事后安全措施，找出數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)，提供有價(jià)值的數(shù)據(jù)安全整改建議和提升舉措，全面、有效保障數(shù)據(jù)的安全性。