基于数据安全的风险评估（二）：数据资产威胁性识别

王峰。曾就职于北京拓尔思，任山东区技术总监，山东米迦勒联合创始人，现就职于中安威士。拥有多年数据治理、数据安全相关工作经验。

免责声明：本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安全+的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

● 威胁性识别

上篇是从脆弱性识别内容、识别方式、脆弱性定级，三个部分进行介绍。与脆弱密切相关的是威胁，威胁是一种对组织及资产构成潜在破坏的可能性因素，威胁需要利用资产脆弱性才能产生危害。造成威胁的因素可分为人为因素（恶意和非恶意）和环境因素（不可抗力和其它）。本篇威胁性识别将从威胁来源、威胁识别与分类、威胁等级划分三个部分进行介绍。

一

威胁来源

在对威胁进行分类前，首先需要考虑威胁来源，威胁来源包括环境因素及人为因素，环境因素包括：断电、静电、温度、湿度、地震、火灾等，由于环境因素是共性因素（信息系统评估与数据安全品评估），本篇不过多做介绍。而认为因素可参考如下示例图。

数据威胁示例图

一

脆弱性识别内容

资产脆弱性包括管理型与技术型两大类。技术脆弱性主要涉及数据库（结构化，关系型和非关系型）及网络层和主机层（非结构化，DLP检测）。具体脆弱性识别示例内容如下表：

数据脆弱性识别示例

二

威胁识别与分类

威胁识别在风险评估过程中至关重要，威胁识别的准确性直接影响识别风险评估及后续的安全建设方向，所以丰富的数据威胁识别内容或分类，影响整体风险评估质量。 威胁识别可分为管理和技术两大类，具体如下示例图：

威胁识别示例图

三

威胁等级划分

判断威胁出现的频率是威胁识别的重要内容，在威胁等级评估中，需要从三个方面考虑：

1. 发生在自身安全事件中出现过的威胁及频率；
2. 通过检测工具及各种日志主动发现的威胁及其频率；
3. 社会或特定行业威胁及其频率。（如前几年的携程事件）。

通过对威胁频率进行等级处理，不同等级分别代表威胁出现的频率高低，等级数值越大，其威胁出现频率越高，具体如下示例图。

威胁等级划分示例图

下章介绍数据资产风险分析及综合风险评估分析（结合资产识别、威胁识别、脆弱性识别、风险），主要包括风险计算、风险判定及综合风险分析表。