数据安全风险评估清单

admin 2022年11月2日10:35:31评论148 views字数 2003阅读6分40秒阅读模式
本文是国外有关数据安全风险评估的一些讯息,转载过来只是为后期开展数据安全风险评估提供一个思路,毕竟现在我们对数据安全风险评估的工作都在摸索阶段,所有的资料都可以我们参考或借鉴,为我们的数据安全风险评估提供思路与探讨。

数据安全风险评估清单

定期进行数据安全风险评估对于确定当前的安全漏洞并推荐补救措施以预防违规行为至关重要。许多合规性法规要求将风险评估作为综合安全策略的一部分。

什么是数据安全风险评估?

数据风险评估可以分为三个基本步骤。首先,确定敏感数据和安全状态的风险。其次,根据与数据相关的风险权重来识别和组织数据。采取行动化解风险。如果想更全面地了解什么是数据安全风险评估以及如何取得成功,请阅读我们的博客。那会从哪里开始?
可以寻找许多关键指标来确定当前的风险水平。其中一些将比其他更容易确定。为确保成功进行数据风险评估,建议在分析中至少包含以下所有关键指标(尽管还有许多其他指标)。 

数据安全风险评估清单

清单可以分为三个关键阶段:管理数据访问、分析用户行为和审核安全状态。 

管理对数据的访问

数据安全风险评估的这一阶段应处理用户对敏感数据的权限。第一步将是确定敏感数据的位置、它是什么以及谁可以访问它。一旦你知道了这一点,应该能够确定以下几点:

  • 拥有管理员权限的用户:这些用户需要受到密切监控,因为他们有效地掌握着王国的钥匙并可以自由支配敏感数据。它们是最大的内部威胁。尽量减少拥有管理员权限的用户数量。

  • 权限更改:权限更改时间的可见性是确保可以维护最低权限策略并且不会创建权限过高的用户的关键。

  • 对安全组/配置的更改:对安全组、配置和 OU 所做的任何更改都可能导致特权过高的用户。需要审核这些更改并对其进行调查。 

分析用户行为

确定谁是高风险用户后,需要分析其的行为,以便发现可能面临风险的异常情况。这里的关键风险指标是:

  • 对数据的修改:无论何时复制、移动、修改、重命名、创建或删除敏感数据,都可能影响数据安全状况。需要主动审计以确保对数据进行的更改是经过授权的并且在“正常”用户行为范围内。有时,在短时间内进行大量文件修改可能表明数据泄露正在进行中。

  • 登录失败:登录失败是确定是否受到攻击的关键指标。许多网络攻击会在短时间内导致大量登录失败,例如暴力攻击。应该分析失败的登录,如果它们看起来不正常,应该彻底调查。 

审计安全状态

最后一个难题是确保安全状态不会让数据不必要地暴露。可以在这里注意很多事情,下面列出了一些关键的事情:

  • 非活动/禁用用户:这些账户创建了一个更大的潜在攻击面,可被攻击者利用,应尽可能清理。

  • 陈旧数据:此数据创建了一个更大的潜在攻击面,可被攻击者利用,应在可能的情况下进行清理。

  • 密码永不过期的用户:这些账户存在安全风险。如果攻击者获得对此类帐户的访问权限,他们可能会无限期地拥有该访问权限。严格的密码策略应包括定期更改密码作为标准。

  • 公开股票:公开股票使数据对所有人开放,这带来了不必要的风险。建议移除未公开股份。

  • 空安全组:这些组创建了更大的潜在攻击面,应尽可能清理。

  • LDAPS:如果未启用安全轻量级目录访问协议,可能会将自己置于不必要的风险之中。 

如何执行自己的数据安全风险评估?

在没有帮助的情况下收集这些信息实际上是不可能的。事实上,一些公司以高昂的成本提供数据风险评估服务。
在云智信安可为客户提供完整的交钥匙数据安全风险评估,将获得有关潜在漏洞的完整报告以及如何解决这些漏洞的建议。在风险评估过程之后,没有义务继续解决方案。
网络安全等级保护安全物理环境测评培训PPT

网络安全等级保护实施指南培训PPT

  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
  17. 工业控制系统安全:信息安全防护指南
  18. 工业控制系统安全:工控系统信息安全分级规范思维导图
  19. 工业控制系统安全:DCS防护要求思维导图
  20. 工业控制系统安全:DCS管理要求思维导图
  21. 工业控制系统安全:DCS评估指南思维导图
  22. 工业控制安全:工业控制系统风险评估实施指南思维导图
  23. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  24. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号(祺印说信安):数据安全风险评估清单

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月2日10:35:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数据安全风险评估清单http://cn-sec.com/archives/1381887.html

发表评论

匿名网友 填写信息