中孚数据安全风险评估:防患于未然,护航数据安全规划建设
日期:2023年04月03日 阅:137
2022年12月,蔚来汽车确认,因服务器配置错误导致百万条用户信息泄露,并遭受225万美元等额比特币的勒索。蔚来创始人、董事长、首席执行官李斌就数据泄露一事公开致歉。
2023年1月,英国皇家邮政遭遇网络攻击导致国际邮政业务被迫中断,事发1个月后,LockBit组织正式宣告对这起攻击事件负责,该组织表示如果不能在2月9日凌晨03:42(UTC)之前缴纳赎金,被盗数据将会公开发布。
2023年2月,英国半导体材料厂商摩根先进材料(Morgan Advanced Materials)发布消息,该公司1月发生的网络攻击事件导致重要数据丢失,可能造成高达1200万英镑(约合人民币9799万元)的损失,消息发布后,摩根先进材料股价立即下跌超5%,收盘时跌幅为4.91%。
从上述事件可以看出,重要数据和核心数据正成为新型网络攻击的重要标靶,数据安全事件对组织的影响已经越来越大,带来的损失也越来越惨重。党政机关、科研院所、央国企等重要部门及单位,亟需转变传统被动防护的安全思路,通过开展数据安全风险评估工作,全面识别评估数据资产以及在数据处理活动中面临的风险问题,以风险管理为导向建立合适的数据安全技术能力与防护措施,实现对未知安全威胁的主动防御。
2021年9月1日,我国首部数据安全法律——《数据安全法》正式实施,明确提出“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。开展数据安全风险评估成为党政机关、科研院所、央国企等组织必须满足的合规监管要求。
(一)
数据安全风险评估的定义及目的
数据安全风险评估是从风险管理角度出发,以网络安全风险评估框架内容为基础,以《数据安全法》相关要求为基准,运用科学及自动化的方法和手段,识别分析组织数据资产以及在采集、存储、传输、使用、加工、处理、销毁等相关处理活动中,面临的威胁和存在的脆弱性,深度分析数据安全合法合规及技术风险,评估安全事件一旦发生可能造成的危害程度,然后再针对性提出抵御威胁的防护对策和整改措施,将风险控制在组织可接受水平。
(二)
数据安全风险评估的要素及关系视图数据安全风险评估是以安全风险为核心,围绕数据资产、威胁、脆弱性和安全措施等要素展开,且在安全评估过程中,充分考虑企业数字战略、资产价值、数据处理活动、安全需求、残余风险、安全事件等相关衍生要素。
(三)
中孚数据安全风险评估原理中孚信息以风险评估要素关系为基础,通过对组织数据资产、威胁、脆弱性、已有安全措施等要素识别,基于数据重要程度评判,深度分析数据威胁出现的可能性、脆弱性影响严重程度,研判数据安全事件发生的可能性以及发生后的损失,精准计算数据面临的风险值。
(四)
中孚数据安全风险评估框架基于数据流量检测、数据漏洞扫描、API检测、合规评估等评估工具,通过“4识别+1检查”,实现数据安全风险分析及等级化处置,并结合组织业务,制定数据安全风险管控策略及安全体系优化方案。“4识别”即对组织结构化与非结构化全数据资产、威胁、脆弱性、已有安全措施进行识别;“1检查”即对组织进行合规性检查。
(五)
中孚数据安全风险评估流程基于数据安全风险评估原理及框架,绘制评估流程。分别为评估准备阶段、识别检查阶段、风险分析阶段、风险处置阶段。
1、评估准备阶段
从国家法律法规及行业监管等相关要求出发,以组织数字战略为基础,明确此次数据安全风险评估的目标、内容与范围边界,确立评估准则,保障评估工作始终围绕主旨目标不偏离。
2、识别检查阶段
数据资产识别:通过数据资源发现系统,对用户的办公区终端、数据库服务器、应用服务器等节点进行全数据扫描识别,并对账号等资产进行盘点。综合考虑数据资产的经济价值、资产安全状况对系统或组织的重要性,并对资产价值重要程度赋值定级。
已有安全措施识别:使用文档查看、数据验证、协议分析、脆弱性分析等工具,从产品功能性、安全性两方面进行已有安全措施识别确认及有效性评估。明确已有安全措施是否真正地降低了系统的脆弱性,抵御了威胁,并对评估结果进行标记。
威胁识别:基于管理不到位、无作为或操作失误、软硬件故障、恶意代码和病毒、越权或滥用、网络攻击、泄密、篡改、抵赖等12个大类、31项子类中孚数据威胁评估指标库,通过对以往安全事件、检测工具与日志发现、日常监测发现、近期公布与公开等数据分析研究,识别威胁的来源、主体、种类、动机、时机和频率,并依据出现频率、动机与能力对威胁赋值定级。
脆弱性识别:基于数据安全管理、系统运维管理、数据库、数据应用等4个大类、24项中孚脆弱性评估指标库,依据脆弱性是对一个或多个资产弱点的集合的特性,综合采用问卷调查、工具检测、人工核查、文档查阅、渗透测试等方式,进行脆弱性识别。同时,结合资产的损害程度、技术实现的难易程度、弱点的流行程度以及管理脆弱性的严重程度等多个维度,评估脆弱性的严重程度,并对脆弱性赋值定级。
合规性检查:基于中孚数据合规性评估指标库,从管理和技术两个维度入手,通过访谈,工具核查方式,进行合规性检查,评估已有安全管理措施与技术手段是否满足合规要求,发现现有安全体系与合规要求的差距,标记出“不合规、部分合规、合规”项,针对不合规项提出整改建议。
3、风险分析阶段
以数据资产重要程度为核心,采取风险最大化的原则,一是基于威胁等级,结合现有资产脆弱性,计算出安全事件发生的可能性;二是基于脆弱性等级,结合数据资产价值,计算安全事件发生后的严重程度,并赋值定级;三是采取风险计算原理及范式进行风险值计算,对数据资产风险定级处理。
4、风险处置阶段
依据风险值,结合组织数字战略和安全目标,明晰组织风险容忍度,明确风险分级处置策略,并根据已有安全措施和合规性评估结果,输出风险处置和安全体系优化方案,保障组织目标的实现。中孚信息数据安全风险评估,深入用户办公、生产运维、开发测试等业务场景,全面识别数据在生产存储、共享交换、内部协同应用、测试运维等环节下的安全风险。以全面的资产盘点、全面的风险评估,摸清用户数据安全基础与问题,协助用户做好数据安全体系规划建设,从而实现主动安全。
未来,中孚信息将持续深耕数据安全领域,以数据资产梳理、数据分类分级、数据安全风险评估等服务为抓手,深度挖掘用户数据安全工作的实际需求,持续打磨数据安全产品,为党政机关、科研院所、央国企等用户的数字化转型、数据开放共享奠定安全基础。
中孚信息成立于2002年,专业从事信息安全产品的研发、销售并提供整体解决方案。公司拥有齐全的业务运营资质和产品质量体系和多个国家级、省级创新平台。中孚信息积极推进国家网络安全强国战略,着力打造信息安全、人工智能和大数据技术深度融合的特色优势,巩固和夯实在网络安全领域的优势地位。 中孚信息为党的十九大、上合峰会等国家重大会议、赛事保驾护航。未来,中孚信息将继续打造开放共赢生态链,共同推动国家信息安全事业的发展。