java中的接口是类吗
436
2022-10-06
数据安全风险评估总结(一)——基于数据生命周期进行安全风险评估
一、前言
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,自2021年9月1日起施行。《数据安全法》的通过意味着数据安全正式上升到法律的地位,将促使各行业企业投入更多的人财物对数据安全建设进行支撑。在进行数据安全建设的同时,我们会对数据安全现状进行风险评估以更好的了解现状,并且提出建设的方向,或者对数据安全建设路线进行修正。目前大多的资料都是与数据安全建设相关,与数据安全能力相关,较少有看到针对数据安全风险评估的资料,很多评估都是将数据安全作为网络安全评估的一个部分。在这里个人根据工作中的经验,对数据安全风险评估进行总结,本文总结的内容并不全面,不是整体的数据安全能力成熟度评估、也不是数据安全建设指导,其目的是说明如何对数据安全的现状进行风险评估。
二、概述
我们都讲数据流动产生价值,如果数据是静态的,放在某个位置不动的,我们大可不必费那么多的心思去寻找新的方法进行安全控制、风险评估,按照传统的网络安全的思路进行保护评估就可以了,静态数据因为其不流动,其必然属于某个网络区域,将该区域的安全控制做好了,也就对数据的安全控制做好了。数据流动后,数据将在不同安全级别的区域间流动、在不同的系统中进行处理、在不同的场景进行使用、被不同的人员所获悉,这个过程就有多个环节不可控了,每一个环节都可能出现问题,这种情况下,我们如何去对企业中的数据安全风险进行评估呢?
个人认为数据流动的本质实际上是业务随着业务流程的流动,因此根本上讲要对数据安全进行风险评估,就一定要对业务流程进行了解评估。可是业务流程通常属于业务流,而数据安全风险评估往往是企业网络安全部门发起的,做得好的企业可能是数据安全管理委员会发起的,因此,评估发起部门要想把业务流程完全搞清楚,还是有非常大的难度的。在这种情况下,我们通常是以业务流程为中心,以公司企业的基础安全作为基础,以数据生命周期及数据应用场景两个纬度为入口进行数据安全风险评估,并且这个过程也需要业务等其他部门的参与。整体的安全评估框架如下图所示:
在数据生命周期与数据应用场景两个纬度中去关注数据安全所面临的各种威胁,包括数据合规、数据不可用(如数据异常丢失、勒索病毒)、数据未授权访问、数据泄露、数据篡改等。使用的工具一是被动的数据安全调研,之所以说是被动的,因为我们所接收的信息都是运维人员、研发人员、测试人员及业务人员基于我们问卷的一个反馈,既然是问卷当然存在着不足,比如错误反馈、遗漏反馈等等;二是由评估人员进行的主动的安全测评,比如现场检查、漏洞扫描、***测试等,评估人员会对前面的调研反馈进行验证核实并且基于调研去发现潜在的安全风险。
基础安全在这里可以参考传统的网络安全内容,比如物理安全、通信安全、网络安全、终端安全、业务安全以及开发安全等,关注这些基础设施是否有漏洞,数据库及业务系统是否存在容易引起注入、越权等的漏洞风险等等。
三、数据安全风险评估流程
数据安全风险评估流程依然参考《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015),在其它博客中有相关说明,整体流程在这里就不再赘述,这里对重点需要关注的流程及融入了数据安全核心内容的风险分析模型进行简要的说明。
(一)、准备阶段
在准备阶段有一个比较重要的内容是制订本次评估的范围及目标。数据安全因为数据在不同的系统中进行流转,牵扯的范围太广,如果不事先制定一个明确的范围及目标,可能导致评估内容不是我们所关心的,结果偏离了我们的初衷。根据具体的业务流,评估的目标可以是单纯的对数据合规性进行评估、数据生命周期安全评估、数据应用场景安全评估,也可以是同时对三者进行综合评估。以下内容为对数据生命周期安全进行评估,以信贷业务中的授信申请业务流程为例,典型的流程如下图所示。
在该授信申请业务流程中,涉及到前端进件以及后端的相关系统,在前端进件处梳理出来了相关的业务流程,以一个新的用户为例包括:查看额度-身份认证-证件上传-实名认证-活体识别-信息采集-电子签章-提交申请等环节。同时明确了该业务流程所涉及到的后端系统以及第三方系统,结合业务流程,可以清楚地看到在哪些环节涉及到数据采集、哪些环节涉及到数据传输、哪些环节会进行数据的存储,由于本业务流程只是提交申请,这里没有涉及到数据的处理(治理)、数据的使用(展示)及销毁等环节。
(二)、识别阶段
1、资产识别
资产识别需要识别到本业务流程所对应的数据流程中所有的业务系统,以及支持这些业务系统的软硬件信息,明确这些系统之间的交互关系,分析清楚数据的输入、输出以及最终的数据存储位置等。在上述流程中,明确了相关的业务系统后,自然也就明确了相关的软硬件信息。
2、威胁识别
威胁Threats:任何可能发生的,为组织或者特定资产带来所不希望的结果的事情,威胁主体Threat Agent可以有企图的利用脆弱性,威胁或者威胁主体可以认为是造成安全事件的外因。威胁源或者威胁主体我们主要考虑人为造成的威胁,非人为威胁在网络安全中去考虑。在数据生命周期的不同阶段,数据面临着不同的威胁,下图是按照数据的生命周期对威胁进行的识别及分类。
从信息安全CIA(机密性、完整性、可用性)三元组出发进行考虑,对数据的威胁几乎都囊括在这五种威胁类型中,分别是数据合规、数据泄露、数据不可用、数据篡改、数据未授权访问。
3、脆弱性识别
脆弱性Vulnerability:资产中的弱点(Weakness)或者防护措施、对策的缺乏,通常是安全事件产生的内因。在这里我们根据前面的威胁分类去进一步分析识别这种脆弱性,说明如下:
数据合规:数据的治理及数据的安全保障是否符合国家法律法规以及行业标准要求,如数据采集是否遵循了合法、正当、必要的原则,是否遵循了明示同意、最小够用原则,是否进行了数据的分类分级处理等。此类威胁可以利用的脆弱性通常为不遵守相关的法律法规标准,如过度采集数据、没有进行告知消费者的义务、没有明确授权同意、数据的保护不符合要求等。
数据泄露:几乎是在所有的环节中都可能涉及到的一种威胁类型,这也是企业面临最多的威胁类型,可能来自内部人员的恶意泄露、内部人员的无意泄露、离职人员的数据转移、外部***的攻Ji等。此类威胁可以利用的脆弱性非常的广泛,如网络防爬虫机制不够强壮、网站存在SQL注入漏洞、系统存在可以被远程控制利用的漏洞、网站存在越权访问漏洞、数据未加密在Internet传输、开发测试使用的数据未进行脱敏处理、未使用数据防泄露工具、允许用户进行批量的数据查询、允许进行批量的数据导出等等。
数据篡改:与网页篡改有一些类似,数据被篡改可以用于在前端界面展示通常用于炫耀、挂码、钓鱼,也可以篡改数据库中的数据用于达到恶意人员的其他目的,威胁主体可以是外部***也可以是企业内部的恶意人员。此类威胁可以利用的脆弱性包括特权用户、应用系统的XSS漏洞、SQL注入漏洞、系统本身的漏洞、运维人员恶意修改配置文件、恶意修改数据库文件等。
数据不可用:这里说的数据不可用比字面意义更加深入一些不仅是生产环境的数据库被破坏,并且实时备份数据也被破坏,无法再提供服务,这是一种对可用性的破坏,威胁主体利用各种方式让数据不可用达到服务中断的目的。此类威胁可以利用的脆弱性包括无离线备份数据、备份数据异常、备份数据未进行例行的验证恢复测试、勒索病毒、数据恶意删除、备份介质损坏导致数据丢失等等。
数据未授权访问:通常当访问请求者访问到了不属于其权限应该访问的数据,即认为是数据未授权访问,数据未授权访问可能导致数据泄露,区别在于恶意人员只是“访问”了数据,“知晓”了数据,但是并没有将数据拿走。此类威胁可以利用的脆弱性与数据泄露一样,只不过其利用脆弱性后只能查看到数据,不能将数据拿走,这里不再单列。
(三)、风险分析阶段
1、风险分析原理
风险分析的原理主要是通过资产识别、脆弱性识别及威胁识别分别计算出威胁造成损失的严重程度以及该安全事件发生的可能性,然后利用损失严重程度与事件发生的可能性得到风险值,最后赋予风险等级,如下图所示:
在分析中仍然要记住的是“数据生命周期”或者“数据应用场景”。安全风险评估不可笼统的进行评估,正如在《信息安全风险评估实施指南》实践与总结中提到的,风险本身也是一种可能性,风险不是独立存在的,一定是某个场景之下,某个流程之下的,因此我们最终评估的对象会被细化拆分为评估“是否存在某个威胁利用某个资产的某个脆弱性造成某种破坏,该破坏的可能性有多大,也即该种风险有多大”。
2、风险分析举例
以信贷业务中授信申请流程的数据存储面临数据泄露风险为例,通过前面的流程梳理,可以看到在身份认证、证件上传、实名认证、活体识别及后续的信息采集这几个环节都涉及到数据的存储,并且可能由不同的系统进行处理,可能数据存储在多个位置,每个环节控制措施做得不到位,都可能造成数据泄露,因此这多个数据存储位置都要进行同等程度的保护,降低数据泄露的风险。假设经过调研及核查,企业工程师中仅数据库运维人员可以通过堡垒机接触数据库,并且拥有导入导出的权限,运维工程师电脑可以访问生产网络与互联网,未进行隔离控制。威胁事件:运维人员可从数据库中导出数据后向外部发送。脆弱性:企业缺乏对外发敏感数据的控制。下面通过矩阵法的方式计算该安全事件的安全风险值,参考《信息安全技术 信息安全风险评估规范》GB/T 20984-2007标准。
1)、计算数据泄露事件发生的可能性
威胁事件发生频率及该脆弱性的值均用1-5表示,由于涉及个人金融数据,数据价值程度较高,但是人员素质较高,知晓相关法律法规,且签署了保密协议,以往未曾发生过类似的事件,经过评估该事件发生频率为1,脆弱性的严重程度为5,资产价值为4。构建安全事件发生可能性矩阵:
频率 严重性 |
脆弱性严重程度 |
|||||
1 |
2 |
3 |
4 |
5 |
||
威胁事件发生的频率 |
1 |
2 |
4 |
7 |
11 |
14 |
2 |
3 |
6 |
10 |
13 |
17 |
|
3 |
5 |
9 |
12 |
16 |
20 |
|
4 |
7 |
11 |
14 |
18 |
22 |
|
5 |
8 |
12 |
17 |
20 |
25 |
说明:企业通常可以制定一个统一的标准作为安全事件发生可能性矩阵.
根据对照查询得出安全事件发生的可能性为14,由于安全事件发生可能性将参与风险事件值的计算,为了构建风险矩阵,进一步进行安全风险等级划分,如下表所示,得出安全事件发生的可能性等级为:3
安全事件发生可能性 |
1-5 |
6-11 |
12-16 |
17-21 |
22-25 |
发生可能性等级 |
1 |
2 |
3 |
4 |
5 |
说明:企业通常可以制定一个统一的标准作为安全事件发生可能性等级矩阵
2)、计算发生安全事件的损失
脆弱性的严重程度为5,资产价值为4,构建安全事件损失矩阵,如下表所示,得出损失值为22.
价值 严重性 |
脆弱性严重程度 |
|||||
1 |
2 |
3 |
4 |
5 |
||
资产价值 |
1 |
2 |
4 |
6 |
10 |
13 |
2 |
3 |
5 |
9 |
12 |
16 |
|
3 |
4 |
7 |
11 |
15 |
20 |
|
4 |
5 |
8 |
14 |
19 |
22 |
|
5 |
6 |
10 |
16 |
21 |
25 |
说明:企业通常可以制定一个统一的标准作为安全事件发生造成的损失矩阵
继续构建安全事件发生后造成损失的等级矩阵,查询得到损失等级为:5,如下表所示:
安全事件损失值 |
1-5 |
6-10 |
11-15 |
16-20 |
21-25 |
安全事件损失等级 |
1 |
2 |
3 |
4 |
5 |
说明:企业通常可以制定一个统一的标准作为安全事件发生造成的损失等级矩阵
3)、计算风险值
通过前面的计算可以得出安全事件发生的可能性等级为3,损失等级为5,通过查询风险矩阵得出风险值为20,构建风险矩阵如下表所示:
损失 可能性 |
可能性 |
|||||
1 |
2 |
3 |
4 |
5 |
||
损失 |
1 |
3 |
6 |
9 |
12 |
16 |
2 |
5 |
8 |
11 |
15 |
18 |
|
3 |
6 |
9 |
13 |
17 |
21 |
|
4 |
7 |
11 |
16 |
20 |
23 |
|
5 |
9 |
14 |
20 |
23 |
25 |
说明:企业通常可以制定一个统一的标准作为风险矩阵
根据得出的风险值查询风险等级表,得出风险等级值为4,如下表所示:
风险值 |
1-6 |
7-12 |
13-18 |
19-23 |
24-25 |
风险等级 |
1 |
2 |
3 |
4 |
5 |
说明:企业通常可以制定一个统一的标准作为风险等级矩阵
4)、根据上述的方法计算在该业务流程中所有的威胁事件的风险值及其风险等级,如下表所示:
数据生命周期 |
威胁 |
脆弱性 |
风险值 |
风险等级 |
数据采集 |
数据合规 |
过渡采集数据 |
XX |
YY |
数据传输 |
数据泄露 |
数据未加密通过传输 |
XX |
YY |
数据存储 |
数据泄露 |
缺乏敏感数据外发控制措施 |
20 |
4 |
数据泄露 |
业务系统存在SQL注入漏洞 |
XX |
YY |
|
数据不可用 |
未进行数据离线备份 |
XX |
YY |
|
数据使用 |
数据泄露 |
业务系统存在SQL注入 |
XX |
YY |
数据未授权访问 |
业务系统存在越权访问漏洞 |
XX |
YY |
|
数据销毁 |
数据泄露 |
无介质销毁规程 |
XX |
YY |
(四)、风险处理阶段
经过前面的工作,我们可以得出数据生命周期各种不同阶段所面临的不同的威胁的风险值及风险等级,将风险等级与企业的风险容忍度进行比较,根据不同的风险容忍度可以采取不同的策略,如接受风险、规避风险或者是降低风险。根据不同的策略企业可以制定不同的整改措施,或者可以调整当前企业的数据安全建设路线,这部分的内容在本文中就不再做多说明。
四、总结
本文说明了如何进行数据安全专项风险评估,在个人的实际工作中经验中认为,应当以业务流程为中心,以公司企业的基础安全作为基础,以数据生命周期及数据应用场景两个纬度为入口进行数据安全风险评估。同时本文以信贷业务中授信申请为例说明了如何以数据生命周期的纬度进行安全风险评估。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~