数据治理-数据安全-基本概念

脆弱性

脆弱性是系统中容易遭受攻击的弱点或缺陷,本质上是组织防御中的漏洞。某些脆弱性称为漏洞敞口。例如:存在过期安全不定的网络计算机、不受可靠密码保护的网页,来自未知发件人的电子邮件附件的用户,不受技术命令保护的公司软件。

在许多情况下,非生产环境比生产环境更容易受到威胁。因此,将生产数据控制在生产环境之内至关重要。

威胁

威胁是一种可能对组织采取的潜在进攻行动。威胁包括发送到组织感染病毒的电子邮件附件,使网络服务器不堪重负以致无法执行业务的进程,以及对已知漏洞的利用等。

威胁可以是内部的,也可以是外部的。他们并不总是恶意的。威胁可能与特定的漏洞有关,因此可以优先考虑对这些漏洞进行补救,对每种威胁,都应该有一种相应的抵御能力,以防止或限制威胁可能造成的损害,存在威胁的地方也称为攻击面。

风险

风险既指损失的可能性,也指构成潜在损失的事物或条件,对于每个可能的威胁,可以从以下几个方面计算风险:

  1. 威胁发生的概率及其可能的频率;
  2. 每次威胁事件可能造成的损害类型和规模,包括声誉损害;
  3. 损害对收入或业务运营的影响;
  4. 发生损害后的修复成本;
  5. 预防威胁的成本,包括漏洞修复手段;
  6. 攻击者可能的目标或意图。

风险分类

风险分类描述了数据的敏感性以及出于恶意目的对数据访问的可能性。分类用于确定谁可以访问数据,用户权限内所有数据中的最高安全分类决定了整体的安全分类。风险分类包括如下几个方面:

  1. 关键风险数据,由于个人信息具有很高的直接财务价值,因此内部和外部各方可能会费尽心思寻求未经授权使用这些信息。
  2. 高风险数,高风险数据为公司提供竞争优势,具有潜在的直接财务价值,往往被主动寻求未经授权使用。
  3. 中等风险数据。对几乎没有实际价值的公司非公开信息。
相关推荐
Flynt4 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab9 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31112 天前
VPN 与内网穿透
安全
Mr_愚人派13 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao14 天前
【无标题】
人工智能·安全
Alsn8614 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院14 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
零零信安14 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
开发小能手-roy14 天前
StringBuilder vs StringBuffer:2024年还需要线程安全字符串吗?
开发语言·python·安全