基于数据安全的风险评估(一):数据资产识别、脆弱性识别
王峰。曾就职于北京拓尔思,任山东区技术总监,山东米迦勒联合创始人,现就职于中安威士。拥有多年数据治理、数据安全相关工作经验。
免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
● 数据资产识别
现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估?威胁分类有哪些?脆弱性有哪些?如何与现有评估体系融合等问题。
本文产生的目就是希望解决如上一系列数据安全风险评估疑问,尽可能从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体系化建设。
由于内容较多,所以本系列将分多章进行编写。第一章为资产识别,资产是安全保护的对象,是风险评估的主体,资产的识别是理清内容、看透价值的重要手段,只有准确的资产识别,才能产生有意义的风险评估报告。
一
资产识别
1.1 资产分类
资产是具有价值的信息或资源,资产通常以多种形态存在,一般基于表现形式的资产分类包括:数据、软件、硬件、服务、文档、人员、其它。数据资产来讲,包括:源代码、数据库中数据、系统文档、用户手册等。
数据安全资产包括关系型及非关系,结构化(关系型和非关系型可称为结构化数据)与非结构化。
关系型包括:Oracle、Mysql、SQL Server等;
非关系型包括:Hbase、Redis、MongodDB等;
非结构化数据包括:文本(Word、Excel、PPT等)、媒体(视频、照片等)。
1.2 资产赋值
资产赋值不但需要从经济价值还需要考虑资产安全状况对系统或组织的重要性,所以资产赋值可从机密性、完整性和可用性三个方面进行对应赋值
机密性
根据资产在机密性上的不同要求,将其分为5个的等级,不同等级对应资产机密性破坏后对组织产生的影响。
资产机密性赋值示例表
完整性
根据资产在完整性上的不同要求,将其分为5个的等级,不同等级对应资产完整性缺失后对组织产生的影响。
资产完整性赋值示例表
可用性
根据资产在可用性上的不同要求,将其分为5个的等级,不同等级对应资产可用性异常后对组织产生的影响。
资产可用性赋值示例表
1.3 重要等级分类
资产价值应依据机密性、完整性、可用性上的赋值等级,经过综合评定后最终确定。其重要等级也分为5个等级。如下图:
资产登记示例图
● 脆弱性识别
数据资产识别是风险评估的开始,而脆弱性是对一个或多个资产弱点的集合,脆弱性识别也可称为弱点识别,而该弱点是资产本身存在的,如果没有威胁利用,单纯的弱点不会引发安全事件。威胁总是利用资产脆弱点才能造成破坏,这也是弱点和威胁的区别。
本篇文章将从脆弱性识别内容、识别方式、脆弱性定级,三个部分进行介绍。
一
脆弱性识别内容
资产脆弱性包括管理型与技术型两大类。技术脆弱性主要涉及数据库(结构化,关系型和非关系型)及网络层和主机层(非结构化,DLP检测)。具体脆弱性识别示例内容如下表:
数据脆弱性识别示例
二
识别方式
常见主要识别方法有问卷调查、工具检测、人工核查、文档查阅、渗透测试等,不同环节、不同场景下择优选择,本篇主要介绍工具检测,即数据库漏洞扫描系统。数据库漏洞扫描系统一般是通过读取数据库的信息与安全策略进行综合分析,在查出数据库中存在的漏洞后自动给出详细的漏洞描述、漏洞来源及修复建议、并提供完整的数据库漏洞报告、数据库安全评估报告。我们据此报告对数据库进行漏洞修复,大限度地保护数据库的安全。
数据库漏扫功能架构图示例图(中安威士-漏洞扫描系统)
端口扫描:系统提供自动搜索数据库的功能,可以直接给出数据库的各项信息
漏洞检测:(授权检测、非授权检测、渗透检测、木马检测)
授权检测:具有DBA权限的数据库用户,执行选定的安全策略实现对目标数据库的检测。
非授权检测:用户在无权限的情况下,依据数据库版本号并根据选定的安全策略对目标数据库进行的检测的方法。
渗透检测:利用数据库本身存在的漏洞,攻击数据库。
木马检测:检查数据库所在服务器是否感染木马,可检测出被占用的端口和木马种类。
三
脆弱性定级
可以根据资产的损害程度、技术实现的难易程度,以及弱点的流行程度等多个维度,采用等级方式对已识别的脆弱性严重程度进行赋值。对某个资产脆弱性赋值还应参考管理脆弱性的严重程度。具体定级如下示例表:
脆弱性定级
此外还可以参考CVE、CNNVD等提供的漏洞分级作为脆弱性赋值参考。
下章介绍数据资产威胁性相关内容(威胁识别+脆弱性识别=安全事件的可能性),主要包括威胁来源、威胁识别内容、威胁等级划分等。