风险评估重要的三个步骤

数据安全和数据防护的潜在威胁并不会减少。技术发展非常迅速,这其中也包括带有恶意性质的技术。现在所有形式的恶意软件,包括病毒,ransomware,广告软件和劫持者比以前更加先进。他们也带来更大的风险。为了开始避免这种风险,首先需要确定和量化它。这种风险评估需要遵循以下三个步骤。

风险评估重要的三个步骤

风险评估重要的三个步骤

1. 数据资产分析

许多复杂的风险评估过程通常会将这一步骤分为三个。 然而,这三个子步骤都是为了了解哪些数据处于风险中这一单一的目标。这三个子步骤是:

识别 ——这涉及到深入了解企业收集和存储的数据类型。这将包括客户的信息,付款数据,交易记录等数据。公司需要存储,访问和使用操作的所有数据。 一旦列表完成,它应该在数据价值层面给予优先级。

位置 ——既然现在已经确定了数据资产的优先列表,那么现在是定位每个数据仓库的时候了。可能的位置可能包括云服务,内部服务器,用户桌面,移动设备等。

分类 —— 根据目前创建的列表和信息,现在是开始将实际威胁级别分类到每个数据仓库的时候了。这意味着将每个数据仓库放入一个类别,例如:公共的数据一类,内部的(但不是秘密的)数据一类,敏感的内部数据一类,区域化的内部数据一类和监管数据一类。每个种类都附有一个特定的号码。

2.因果关系 ——最糟糕的情况是什么?

既然已经确定,分类和优先考虑了潜在的易受攻击的数据仓库,现在是揭示所面临得威胁有多大的时候了。这意味着这是对最高优先级,最关键的数据运行理论上的最坏情况的攻击。

这可能听起来很复杂,但事实上,微软已经开发了一个非常简单的假设框架,用于执行风险评估的这一步骤。 它的首字母缩略词是STRIDE,这代表:

身份造假

篡改数据

驳回交易

信息披露

终止服务

特权提升

这些都是网络攻击最常见的,有害的形式。只需将列表中的每个数据仓库,根据每个STRIDE项目用1-10来表示。 1是最不可能的情况,10个是最有可能的情况。 此外,就评估数据违规的影响有多严重给每个数据仓库打分。再次给出1-10的分数。 1代表的是最小的影响,10代表这对业务连续性来说完全是灾难性。 把两个数字相乘,然后来分总体威胁等级。 注意这里提到的是威胁一词,而不是风险。

3.计算并制定风险评估计划

现在来揭示实际的风险。利用上面收集的信息,现在是时候做一些数学计算来发现哪些数据仓库具有最大的风险,哪个如果违规,可能会对企业造成最大的损害。

这又是很容易做到的。取上述步骤生成的两个数字,并乘以它们。 例如,如果我们有一个分类为5(规定)和威胁级别为100的数据仓库,则我们得出风险为1000。这跟他们的风险程度一样高。

对列表中的每个数据仓库进行此操作,然后按威胁级别从最高到最低排序。 结果是最高风险数据仓库的清单。他们应该比较低风险的数据仓库获得更高水平的保护。

推荐阅读:>>>怎样绕过windows 2008 R2身份验证?

Add Comment

Required fields are marked *. Your email address will not be published.