本文是国外有关数据安全风险评估的一些讯息,转载过来只是为后期开展数据安全风险评估提供一个思路,毕竟现在我们对数据安全风险评估的工作都在摸索阶段,所有的资料都可以我们参考或借鉴,为我们的数据安全风险评估提供思路与探讨。 定期进行数据安全风险评估对于确定当前的安全漏洞并推荐补救措施以预防违规行为至关重要。许多合规性法规要求将风险评估作为综合安全策略的一部分。什么是数据安全风险评估?数据风险评估可以分为三个基本步骤。首先,确定敏感数据和安全状态的风险。其次,根据与数据相关的风险权重来识别和组织数据。三是采取行动化解风险。如果想更全面地了解什么是数据安全风险评估以及如何取得成功,请阅读我们的博客。那会从哪里开始?可以寻找许多关键指标来确定当前的风险水平。其中一些将比其他更容易确定。为确保成功进行数据风险评估,建议在分析中至少包含以下所有关键指标(尽管还有许多其他指标)。 数据安全风险评估清单清单可以分为三个关键阶段:管理数据访问、分析用户行为和审核安全状态。 管理对数据的访问数据安全风险评估的这一阶段应处理用户对敏感数据的权限。第一步将是确定敏感数据的位置、它是什么以及谁可以访问它。一旦你知道了这一点,应该能够确定以下几点: 拥有管理员权限的用户:这些用户需要受到密切监控,因为他们有效地掌握着王国的钥匙并可以自由支配敏感数据。它们是最大的内部威胁。尽量减少拥有管理员权限的用户数量。 权限更改:权限更改时间的可见性是确保可以维护最低权限策略并且不会创建权限过高的用户的关键。 对安全组/配置的更改:对安全组、配置和 OU 所做的任何更改都可能导致特权过高的用户。需要审核这些更改并对其进行调查。
分析用户行为确定谁是高风险用户后,需要分析其的行为,以便发现可能面临风险的异常情况。这里的关键风险指标是: 审计安全状态最后一个难题是确保安全状态不会让数据不必要地暴露。可以在这里注意很多事情,下面列出了一些关键的事情: 非活动/禁用用户:这些账户创建了一个更大的潜在攻击面,可被攻击者利用,应尽可能清理。 陈旧数据:此数据创建了一个更大的潜在攻击面,可被攻击者利用,应在可能的情况下进行清理。 密码永不过期的用户:这些账户存在安全风险。如果攻击者获得对此类帐户的访问权限,他们可能会无限期地拥有该访问权限。严格的密码策略应包括定期更改密码作为标准。 公开股票:公开股票使数据对所有人开放,这带来了不必要的风险。建议移除未公开股份。 空安全组:这些组创建了更大的潜在攻击面,应尽可能清理。 LDAPS:如果未启用安全轻量级目录访问协议,可能会将自己置于不必要的风险之中。
如何执行自己的数据安全风险评估?在没有帮助的情况下收集这些信息实际上是不可能的。事实上,一些公司以高昂的成本提供数据风险评估服务。在云智信安可为客户提供完整的交钥匙数据安全风险评估,将获得有关潜在漏洞的完整报告以及如何解决这些漏洞的建议。在风险评估过程之后,没有义务继续解决方案。网络安全等级保护实施指南培训PPT
|