如何開展數(shù)據(jù)安全風險評估

如何開展數(shù)據(jù)安全風險評估：在數(shù)字化時代，各行業(yè)企業(yè)機構目前正在從“信息化”轉型到“數(shù)字化”中，數(shù)據(jù)成為生產要素推動企業(yè)業(yè)務發(fā)展變革，數(shù)據(jù)的重要性受到前所未有的重視。與此同時，數(shù)據(jù)所面臨的安全風險也急劇增加，如何精準識別基于數(shù)據(jù)自身的風險，成為數(shù)據(jù)安全治理與防護的前提條件。數(shù)據(jù)具有多樣性、復雜性等特征，如果沒有合適的數(shù)據(jù)安全風險評估方法和體系，就無法針對性地摸清所有面臨的安全風險，也無法評估與法律合規(guī)要求的差距。同時，根據(jù)《數(shù)據(jù)安全法》以及各行業(yè)相關標準要求，數(shù)據(jù)安全風險評估是開展數(shù)據(jù)安全治理工作的基礎，是各行業(yè)機構必要的數(shù)據(jù)安全保護義務。傳統(tǒng)安全防護采用邊界防護的策略，只是保證靜態(tài)數(shù)據(jù)安全，而現(xiàn)實中企業(yè)一旦開展業(yè)務，必然涉及數(shù)據(jù)流動過程中的安全風險評估和監(jiān)測。而數(shù)據(jù)安全風險評估不僅是一套簡單的評估流程或一系列的評估工具，其核心是如何平衡企業(yè)數(shù)據(jù)價值和數(shù)據(jù)風險之間的沖突。2.數(shù)據(jù)安全風險評估難點●隨著數(shù)據(jù)量爆炸式增長與數(shù)據(jù)應用的范圍不斷擴大，出現(xiàn)數(shù)據(jù)訪問賬號和用戶權限管理不清晰、數(shù)據(jù)在使用過程中審批流程不明確、數(shù)據(jù)共享交換時的控制措施不可靠等等一些數(shù)據(jù)問題?！駭?shù)據(jù)一旦生產出來后就會進入傳輸、存儲、處理、分析、訪問與服務應用等各環(huán)節(jié)且循環(huán)往復，重要數(shù)據(jù)在流動過程中，會產生大量的接觸和交互。如內部的研發(fā)和運營管理角色，服務器、云平臺、大數(shù)據(jù)處理與分析系統(tǒng)中的流動，與眾多伙伴、客戶等進行互動和推送，涉及面異常廣泛?；谠诮鹑?、政府、國企等行業(yè)的數(shù)據(jù)安全風險研究和評估方面積累的豐富實戰(zhàn)經驗，關于數(shù)據(jù)安全風險評估開展工作，將采取以下7步走的動作進行開展：數(shù)據(jù)安全風險評估咨詢服務過程實踐▲依據(jù)敏感數(shù)據(jù)資產及對應的承載體，分析業(yè)務邏輯架構及數(shù)據(jù)資產，整合梳理出數(shù)據(jù)流轉走向。從數(shù)據(jù)、場景、用戶、環(huán)境多個維度分析數(shù)據(jù)流現(xiàn)狀，基于業(yè)務場景梳理敏感數(shù)據(jù)流走向，識別數(shù)據(jù)流轉過程中的關鍵節(jié)點要素，輸出數(shù)據(jù)流走向分析圖。如何開展數(shù)據(jù)安全風險評估在數(shù)字化時代，各行業(yè)企業(yè)機構目前正在從“信息化”如何開展數(shù)據(jù)安全風險評估在數(shù)字化時代，各行業(yè)企業(yè)機構目前正在從“信息化”轉型到“數(shù)字化”中，數(shù)據(jù)成為生產要素推動企業(yè)業(yè)務發(fā)展變革，數(shù)據(jù)的重要性受到前所未有的重視。與此同時，數(shù)據(jù)所面臨的安全風險也急劇增加，如何精準識別基于數(shù)據(jù)自身的風險，成為數(shù)據(jù)安全治理與防護的前提條件。基于在金融、政府、國企等行業(yè)的數(shù)據(jù)安全風險研究和評估方面積累的豐富實戰(zhàn)經驗，關于數(shù)據(jù)安全風險評估開展工作，將采取以下7步走的動作進行開展：數(shù)據(jù)安全風險評估咨詢服務過程實踐▲依據(jù)敏感數(shù)據(jù)資產及對應的承載體，分析業(yè)務邏輯架構及數(shù)據(jù)資產，整合梳理出數(shù)據(jù)流轉走向。從數(shù)據(jù)、場景、用戶、環(huán)境多個維度分析數(shù)據(jù)流現(xiàn)狀，基于業(yè)務場景梳理敏感數(shù)據(jù)流走向，識別數(shù)據(jù)流轉過程中的關鍵節(jié)點要素，輸出數(shù)據(jù)流走向分析圖。：業(yè)務數(shù)據(jù)流調研建議內容業(yè)務數(shù)據(jù)流調研建議內容▲基于原有數(shù)據(jù)安全威脅庫積累，結合實際業(yè)務及數(shù)據(jù)流分析結果、敏感數(shù)據(jù)識別結果等咨詢調研材料，以數(shù)據(jù)為中心，重點關注數(shù)據(jù)流轉中的動態(tài)安全風險，從數(shù)據(jù)泄露、數(shù)據(jù)篡改以及數(shù)據(jù)不可用等層面分析數(shù)據(jù)流轉各要素的安全威脅。業(yè)務數(shù)據(jù)流調研建議內容▲基于原有數(shù)據(jù)安全威脅庫積累，結合實際業(yè)務及數(shù)據(jù)流分析結果、敏感數(shù)據(jù)識別結果等咨詢調研材料，以數(shù)據(jù)為中心，重點關注數(shù)據(jù)流轉中的動態(tài)安全風險，從數(shù)據(jù)泄露、數(shù)據(jù)篡改以及數(shù)據(jù)不可用等層面分析數(shù)據(jù)流轉各要素的安全威脅?；诨跀?shù)據(jù)生命周期的數(shù)據(jù)安全威脅分析簡圖▲基于數(shù)據(jù)生命周期的數(shù)據(jù)安全威脅分析簡圖▲最后以數(shù)據(jù)安全咨詢以及攻擊模擬的結果，分析基于業(yè)務場景的數(shù)據(jù)全生命周期過程中存在的風險，通過定性分析展現(xiàn)風險嚴重程度以及分析可能性，通過定量計算輸出風險分值，綜合得出數(shù)據(jù)安全風險評估結果。結合業(yè)內成熟的攻防框架，例如MIRTE推出的ATT&CK，并基于數(shù)據(jù)安全威脅場景以及勒索攻擊威脅場景，劃分攻擊模擬戰(zhàn)術，具體從數(shù)據(jù)使用時的初始訪問、數(shù)據(jù)的收集、數(shù)據(jù)的滲出及數(shù)據(jù)處理、銷毀等造成的影響等威脅場景處出發(fā)，針對每一威脅場景，確定所需戰(zhàn)術對應的技術手段，進行數(shù)據(jù)安全攻擊突破模擬。結合業(yè)內成熟的攻防框架，例如MIRTE推出的ATT&CK，并基于數(shù)據(jù)安全威脅場景以及勒索攻擊威脅場景，劃分攻擊模擬戰(zhàn)術，具體從數(shù)據(jù)使用時的初始訪問、數(shù)據(jù)的收集、數(shù)據(jù)的滲出及數(shù)據(jù)處理、銷毀等造成的影響等威脅場景處出發(fā)，針對每一威脅場景，確定所需戰(zhàn)術對應的技術手段，進行數(shù)據(jù)安全攻擊突破模擬。最后以數(shù)據(jù)安全咨詢以及攻擊模擬的結果，分析基于業(yè)務場景的數(shù)據(jù)全生命周期