数据安全米乐m6官网登录入口风险评估总结
2023-01-04 06:49:28
20年信息化系统建设经验,丰富的项目管理、团队管理经验,系统需求分析、业务系统架构、产品设计能力。拥有PMP资质及高级项目管理资质
内容提示:数据安全风险评估总结 一、基于场景进行安全风险评估 一、概述 数据安全风险评估总结(一)描述了数据安全风险评估的相关理论,数据安全应该关注业务流程,以基础安全为基础,以数据生命周期及数据应用场景两个维度为入口进行数据安全风险评估。最后以《信息安全技术 信息安全风险评估规范》为参考,并且以信贷业务中的授信申请为例说明了如何从数据生命周期的维度进行数据安全风险评估,本文将总结常见的数据应用场景,并且对这些场景中可能涉及到的威胁、脆弱性进行说明,同时补充说明相关的控制手段。 二、数据安全常见场景 (一)、开发测试 1、场景描述...
米乐m6官网登录入口
数据安全风险评估总结 一、基于场景进行安全风险评估 一、概述 数据安全风险评估总结(一)描述了数据安全风险评估的相关理论,数据安全应该关注业务流程,以基础安全为基础,以数据生命周期及数据应用场景两个维度为入口进行数据安全风险评估。最后以《信息安全技术 信息安全风险评估规范》为参考,并且以信贷业务中的授信申请为例说明了如何从数据生命周期的维度进行数据安全风险评估,本文将总结常见的数据应用场景,并且对这些场景中可能涉及到的威胁、脆弱性进行说明,同时补充说明相关的控制手段。 二、数据安全常见场景 (一)、开发测试 1、场景描述 在开发测试场景中,为了确保软件测试的有效性,往往需要用到与生产环境保持一致的数据(如数据正确性、完整性、表间关联性、字段关联性、数据保持原有的意义不变等),最理想的情况下当然是直接使用生产数据,但是这样必然大大增加了数据安全相关的风险,其中最核心的问题是数据泄露。所以通常需要从生产的备库中提取数据出来,经过去标识化等脱敏处理后,再将脱敏数据导入开发测试环境中。 2、风险评估说明 在这个过程中需要关注的有流程合规风险(数据提取申请)、数据泄露风险(数据提取过程的操作风险、脱敏数据传输安全、脱敏数据进入到测试环节后的泄露风险等)。 威胁类型(T) 场景(S) 脆弱性分析(V) 可用的控制措施(M) T1、流程合规 S1、数据提取申请 V1、无数据提取流程; V2、未严格遵守提取流程; V3、流程中申请人员、提取操作人员、脱敏操作人员、核实人员职责不明确,签批级别不明确,提取范围不明确等,时间节点不明确等。 M1、制定数据提取流程,明确数据提取量级与审批的级别; M2、明确流程关键节点及流程审计策略。 T2、数据泄露 S1、数据提取操作过程 V1、操作人员提取后恶意本地保存数据; V2、手工脱敏,操作人员接触原始数据; V3、数据未进行脱敏、或者数据不彻M1、手工脱敏时,全程通过堡垒机进行监控记录; M2、采用自动化脱敏工具,如数据库静态脱敏; M3、设置数据交换平台、 底; V4、操作过程无监控审计; V5、无数据防泄露措施。 文 件 共 享 平 台 、或者SFTP 共享服务器; M4、数据加密传输; M5、测评环境同样需要安全管控; M6、部署数据防泄露工具; M7、通过桌面云拒绝数据落在本地。 S2、脱敏数据传输安全 V1、数据未加密传输; V2、数据传输、接收未留下日志记录; V3、无数据防泄露措施。 S3、进入测试环境后 V1、测评环境业务存在漏洞,暴露在互联网; V2、测试环境安全区域控制不到位; V3、超过了申请日期未及时删除; V4、无数据防泄露措施。 注意:脱敏后的数据也需要注意其传播的范围,防止数据泄露。大量脱敏后的数据累积后,仍然存在安全风险,即使数据已经全部脱敏,失去了意义,被泄露后由于真假难辨,势必会给企业带来负面的影响。 (二)、数据运维 1、场景描述 在企业的运维团队中,通常设置了专门的数据库管理人员,数据库管理员会设置多个不同级别的普通管理员,并且授权给不同的业务组,这里的数据运维场景即适用于企业中对数据库、数据进行运维管理的场景。 2、风险评估说明 在该场景中主要关注的是内部的运维人员及其操作带来的威胁,比如数据不可用、数据篡改、数据泄露等。 威胁类型(T) 场景(S) 脆弱性分析(V) 可用的控制措施(M) T1、数据不可用 S1、数据库被恶意删除 V1、数据库管理员拥有系统管理员超级权限,可以操作数据库文件; V2、数据库管理员可以执行高危命令。 M1、实现职责分离,数据库管理员与系统管理员权限分离; M2、通过堡垒机、数据库防火墙等措施对高危命令进行阻断; M3、通过数据库审计系统对SQL语句进行审计。 S2、数据库被勒索病毒加密 V1、系统存在高危端口,生产区域向运维区域暴露了过多的端口资产; V2、运维区域可以直接连接到生产区域的数据库服务器。 M1、从运维区域到生产区域进行严格的隔离,如果运维的终端从办公区发起访问,还需要严格控制运维区域到办公区域的访问; M2、严禁直接从办公终端、运维终端连接到服务器; M3、禁止上传无关的文 件到数据库服务器。 S3、未进行数据库备份或者有备份但恢复验证失败 V1、未进行数据库备份及离线米乐m6官网登录入口、有备份,但是未周期性的进行恢复验证测试; V3、备份介质损坏或者被盗。 M1、通过流程制度进行数据备份机制的约束,实时在线、对备份数据进行周期性的恢复验证测试,并且记录结果; M3、建立备份介质管理流程,明确保留的份数及保护措施。 T2、数据篡改 S1、运维人员恶意修改数据 V1、数据库管理员可以执行高危命令。 M1、通过堡垒机、数据库防火墙等措施对高危命令进行阻断; M2、通过数据库审计系统对SQL语句进行审计。 T3、数据泄露 S1、运维人员可以批量查询、导出、下载数据。 V1、未限制批量查询数据的数量; V2、未限制运维人员从服务器下载数据; V3、无数据防泄露措施。 M1、根据业务情况限制批量数据查询; M2、严格限制数据下载,必须有相应的申请流程及审批层级授权; M3、部署数据防泄露措施及屏幕水印等。 S2、运维人员查询敏感的统计信息,如月度营业额、通过使用聚合函数查询公司总的收入等。 V1、未严格限制给予运维人员的查询权限。 M1、严格限制聚合函数的使用; M2、对数据库进行分区米乐m6官网登录入口,防止聚合、推理等导致的敏感信息泄露。 (三)、应用访问 1、场景描述 应用访问在宏观的角度是用户对应用程序的访问,从数据流转来讲,是用户从各种应用作为入口对数据进行访问的行为,即用户通过应用程序对数据进行增、删、改、查等相关的操作过程。本质上讲,用户对应用的访问实际上就是数据流的流转过程。 2、风险评估说明 应用访问主要的威胁通常来自用户的访问输入,包括正常用户的错误请求及恶意用户的请求。因此,这一类的场景主要从传统的网络安全进行分析,主要的威胁类型有数据泄露、数据未授权访问、数据篡改、数据不可用等,具体分析如下: 威胁类型(T) 场景(S) 脆弱性分析(V) 可用的控制措施(M) T1、数据泄露 S1、应用程序存在注入 类的漏洞; V1、程序存在如 SQL 注入漏洞; M1、引入安全开发流程,控制程序在后端进行校验; M2、部署 WAF、IPS、网页防篡改等工具; M3、制定系统及程序安全配置基线、对服务器进行安全加固。 M5、定期进行安全测试、风险评估、WEBSHELL 检查等。 S2、应用程序存在配置错误 V1、系统配置随意,无规范基线、程序存在越权漏洞; V1、权限设计不合理,角色之间出现权限的覆盖,角色权限范围过大,未遵守“最小授权”; V2、权限控制存在漏洞,如越权漏洞; S2、程序系统存在未授权访问漏洞 V1、系统存在未授权访问漏洞,如redis 未授权访问。 T3、数据篡改 S1、网页、用户信息等被恶意篡改; V1、系统存在应用漏洞,如注入漏洞; V2、系统被安装 WEBSHELL T4、数据不可用 S1、系统中了勒索病毒 V1、程序被种马,下载了勒索软件; M1、加强恶意软件防范,部署防病毒、主机安全等软件; M2、对系统程序等进行安全检查、安全测试; M3、使用 IPS 工具; M4、对数据进行备份。 (四)、特权访问 1、场景描述 特权访问严格上来讲不能算作是一个场景,因为权限一定是和某个系统相关联,但是我们可以抽象地说明一下当系统存在特权账号,当管理员使用这种账号时,可能会存在的数据安全问题。 2、风险评估说明 系统存在特权账号,通常该账号的权限即为系统的最高权限,但是并不是代表着这使用这个账号做任何事情,比如查询任何数据都是合规的,因为可能会违背“知其所需”的原则。在特权账号下,主要的数据安全风险是数据泄露、数据篡改及数据未授权访问相关的问题。 威胁类型(T) 场景(S) 脆弱性分析(V) 可用的控制措施(M) T1、数据泄露 S1、特权账号可以对数据进行批量查询、导出 V1、系统未对查询的时间跨度、数据的条数进行限制; V2、系统未对可导出数据的条数进行限制; V3、特权账号本身存在脆弱性,如密码复杂度不够、未定期修改密码、登录M1、加强特权账号的管理,如减少使用、双人管理、多因素认证等; M2、加强对特权账号使用、操作行为的记录及审计; 方式单一、未对特权账号的操作行为进行记录审计等。 M3、限制特权账号的批量查询、条数查询等; M4、严格限制特权账号的高危操作指令,比如删除时,可以进行二次认证确认; M5、对账号的密码策略、密码强度进行限制要求。 T2、数据篡改 S1、特权账号可以对敏感数据进行修改 V1、系统未对修改、删除权限进行限制; V2、特权账号本身存在脆弱性,如密码复杂度不够、未定期修改密码、登录方式单一、未对特权账号的操作行为进行记录审计等。 T3、数据未授权访问 S1、特权账号可以对指定的数据进行查询、可以遍历数据等。 V1、系统未对查询的时间跨度、数据的条数进行限制,查询无限制条件等; V2、特权账号本身存在脆弱性,如密码复杂度不够、未定期修改密码、登录方式单一、未对特权账号的操作行为进行记录审计等。 (五)、数据修复 1、场景描述 数据修复主要是当生产中的部分数据发生了异常时进行修复,这里说的并不是使用备份数据进行数据恢复。可能需要从生产库中取出数据,然后在测试环境中执行语句进行修复测试,最后再将新的数据导入生产库中,或者将测试好的 SQL 语句在生产库中执行。 2、风险评估说明 从上面的描述可以看出数据修复可以认为是一个高风险操作,不管是上述的哪一种方式,都可能产生数据安全相关的问题,如数据合规、数据泄露、数据篡改等等。 威胁类型(T) 场景(S) 脆弱性分析(V) 可用的控制措施(M) T1、数据合规 S1、流程不合规,操作未遵循相关的流程。 V1、未制定数据修复的审批流程; V2、流程中未明确申请、审批、核实等环节的责任人等。 M1、制定明确的数据修复流程,明确各环节责任人 T2、数据泄露 S1、数据提取环节数据泄露 V1、操作人员提取后恶意本地保存数据; V2、操作过程无监控审计; V3、无数据防泄露措施。 M1、操作过程全程进行记录; M2、设置数据交换平台、文 件 共 享 平 台 、或者SFTP 共享服务器; M3、数据加密传输; M4、测试环境同样需要安全管控; M5、部署数据防泄露工具; M6、通过桌面云拒绝数据落在本地。 S1、数据传输环节数据泄露 V1、数据未加密传输; V2、数据传输、接收未留下日志记录; V3、无数据防泄露措施。 T3、数据篡改 S1、操作人员 V1、未对执行的 SQL 语句进行审核 M1、对修数的 SQL 语句 修复数据时,“顺便”篡改数据 进行审核; M2、对修数的行为进行记录审计。 (六)、年结审计 1、场景描述 年结审计其实是两个不同的事情,包括年终结算以及外部审计,虽然是两个不同的事情,但是有一个共同的特点,都需要向外部第三方提供数据,而且通常包括比较多的敏感信息,因此在这里作为一个场景进行描述。通常是外部与公司企业某个部门进行对接,该部门因为需要使用数据而发起相关的申请,相关的部门提取数据后再转交给该接口人,该接口人再将数据提供给第三方。 2、风险评估说明 通常上面的场景描述,可以看到这里有一个数据的流转过程,而伴随数据流转过程一定有一个流程制度在运转,即该过程需要关心合规性,也需要我们关心数据在流转过程中的安全风险,如数据泄露风险、数据篡改风险。 威胁类型(T) 场景(S) 脆弱性分析(V) 可用的控制措施(M) T1、数据合规 S1、数据获取及发送流程不合规 V1、无数据提取流程; V2、未严格遵守提取流程; V3、流程中申请人员、提取操作人员、脱敏操作人员、核实人员职责不明确,签批级别不明确,提取范围不明确等,时间节点不明确等。 M1、制定数据提取流程,明确数据提取量级与审批的级别; M2、明确流程关键节点及流程审计策略。 S2、与第三方保密责任界定 V1、与第三方未签署明确的保密协议,未对双方的职责进行明确界定; V2、数据的交接未履行交接协议,明确签收过程。 M1、制定并签署保密协议; M2、明确交接手续,签字确认。 T2、数据泄露 S1、数据提取操作过程 V1米乐m6官网登录入口、操作人员提取后恶意本地保存数据; V2、手工脱敏,操作人员接触原始数据; V3、数据未进行脱敏、或者数据不彻底; V4米乐m6官网登录入口、操作过程无监控审计; V5、无数据防泄露措施。 M1、手工脱敏时,全程通过堡垒机进行监控记录; M2、采用自动化脱敏工具,如数据库静态脱敏; M3、设置数据交换平台、文 件 共 享 平 台 、或者SFTP 共享服务器; M4、数据加密传输; M5、测评环境同样需要安全管控; M6、部署数据防泄露工具; M7、通过桌面云拒绝数据落在本地。 S2、脱敏数据传输安全 V1、数据未加密传输; V2、数据传输、接收未留下日志记录; V3、无数据防泄露措施。 (七)、数据治理 1、场景描述 数据治理是一个非常复杂的过程,包括了对数据的整个生命周期的管理,覆盖了业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,监管数据等等。在 GBT 37973-2019《信息安全技术 大数据安全管理指南》中对大数据安全管理基本原则进行了说明,规定了大数据安全需求、数据分类分级、大数据活动的安全要求、评估大数据安全风险等环节,但是总体上讲这个标准比较粗略。本部分关于数据治理的安全风险评估也会从数据安全威胁的角度进行抽象说明,不同的企业会面临着不同的场景,因此会有不同的问题。数据治理的结果可用于经营分析改进产品、可用于形成统一的分析报表,包括监...
