現今資訊系統的風險評估體系已非常完善,但資料安全方面并沒有形成相關評估内容,整個體系中缺少資料安全相關的檢測與評估項,是以近期一直思考資料安全風險評估應是如何,應該從哪些方面進行檢測與評估?威脅分類有哪些?脆弱性有哪些?如何與現有評估體系融合等問題。
本文産生的目就是希望解決如上一系列資料安全風險評估疑問,盡可能從資産識别、威脅分類、脆弱性識别、風險計算、處置建議等5個環節進行完善,通過不斷持續優化完善,以期實作基于資料安全風險評估的體系化建設。
由于内容較多,是以本系列将分多章進行編寫。第一章為資産識别,資産是安全保護的對象,是風險評估的主體,資産的識别是理清内容、看透價值的重要手段,隻有準确的資産識别,才能産生有意義的風險評估報告。
一、資産識别
1.1 資産分類
資産是具有價值的資訊或資源,資産通常以多種形态存在,一般基于表現形式的資産分類包括:資料、軟體、硬體、服務、文檔、人員、其它。資料資産來講,包括:源代碼、資料庫中資料、系統文檔、使用者手冊等。
資料安全資産包括關系型及非關系,結構化(關系型和非關系型可稱為結構化資料)與非結構化。
關系型包括:Oracle、Mysql、SQL Server等;
非關系型包括:Hbase、Redis、MongodDB等;
非結構化資料包括:文本(Word、Excel、PPT等)、媒體(視訊、照片等)。
1.2 資産指派
資産指派不但需要從經濟價值還需要考慮資産安全狀況對系統或組織的重要性,是以資産指派可從機密性、完整性和可用性三個方面進行對應指派
機密性
根據資産在機密性上的不同要求,将其分為5個的等級,不同等級對應資産機密性破壞後對組織産生的影響。
資産機密性指派示例表
完整性
根據資産在完整性上的不同要求,将其分為5個的等級,不同等級對應資産完整性缺失後對組織産生的影響。
資産完整性指派示例表
可用性
根據資産在可用性上的不同要求,将其分為5個的等級,不同等級對應資産可用性異常後對組織産生的影響。
資産可用性指派示例表
1.3 重要等級分類
資産價值應依據機密性、完整性、可用性上的指派等級,經過綜合評定後最終确定。其重要等級也分為5個等級。如下圖:
資産登記示例圖
下章介紹資料資産脆弱性相關内容(資産識别+資産脆弱性=安全事件的損失),主要包括脆弱性識别内容、識别方式、脆弱性嚴重等級劃分等。