数据安全评估方案典型设计

数据安全评估方案◎系统工程数据威胁模型分析数据为中心威胁建模简介

数据为中心的威胁建模基础识别和描述需要关注的系统和数据识别和选择要包含的攻击向量描述用于减轻攻击向量的威胁建模基础威胁建模概念威胁建模模型威胁建模案例分析数据威胁模型数据威胁建模分析攻击方策略防御方策略理解系统工程案例分析：基于系统化的

数据视图安全控制分析威胁模型定制建模方法为什么要威胁建模√

帮助在设计阶段充分了解各种安

全威胁，并指导选择适当的应对

措施√

对可能的风险进行管理√

可以重新验证其架构和设计

√

有助于软件的受攻击面降低什么是威胁建模威胁建模是了解系统面临的安全威胁，确定威胁风险并通过适当

的缓解措施以降低风险，提高系统安全性的过程。威胁建模基础02

·

威胁建模的参与者·

威胁建模可以由·

安全人员·

非安全人员·

威胁建模过程中起主导作用的是·

应用设计者·

开

发

人

员·

测试人员01·

威胁建模的时间

·

当应用程序发生变化时，需

要进行威胁建模

·

与程序发布运行后增加措施

相比，在设计时进行安全建

模能降低软件开发的成本。03·

威胁建模的对象·

整个应用·

安全和隐私相关的功能·功能失效会引起安全或隐私问题·跨信任边界的功能各阶段威胁建模的作用需求分析帮助理解系统中潜在的安全威胁，提出适当的安全需求安全设计明确安全威胁造成的风险的高低程度用威胁模型指导安全威胁消减机

制安全编程用威胁模型指导安全威胁消减机制的实现安全测试用威胁模型指导测试过程你在构建什么?哪些地方可能会出错是否做出完整的分析发现错误

时应该如

何解决威胁建模概述威

胁对应的安全属性威胁定义典型受害者示

例假冒可靠性假装成别人或者别的个体进程、外部实体和人假

装

称自己

是

A

c

m

e

.

c

o

m

、winsock.dll、奥巴马、警察、尼日利亚反欺诈集团等篡改完整性修改磁盘、网络或内存中的内容数据仓库、

数据流、进程改变电子数据表、重要程序的二

进制代码、磁盘上的数据库；修改、添加或移除有线或无线、本地或互

联网上的数据包；改变程序使用的

数据或者运行的程序本身否认不可否认性宣称没有做什么或者不负

有责任；否认可能是诚实的也可能是欺诈性的，对于系

统设计师来说，关键是你有

什么证据进程进程或系统“我没有按那个大的

红色按钮”或者“我没有订购法拉利”。注意，否认是有些另类的

威胁，它将威胁从技术上升到业务层面信息泄露机密性为没有权限的人提供信息进程、数据

存储、数据流最明显的例子是允许访问文件、

邮件或数据库，不过，信息泄露还

包括文件名(TerminationforJohn

Doe.docx)、网络上的数据包或者程序内存中的内容拒绝服务可用性消耗提供服务所需的资源进程

、

数据

存储、数据流程序受骗而用掉所有内存、文件受骗而占满磁盘或者太多的网络连

接使正常流量无法通过权限提升授权允许某人做他没被授权去

做的事进程允许普通用户作为管理员执行代

码、允许没有任何特权的人远程运

行代码威胁建模方法编号来源类型影响严重程度影响范围当事人1-1外部假

冒

(

S

)渠道信息泄露低本渠道信息渠道1-2内部假冒(S)渠道客户授权被篡改高渠道订单资源管理员1-3假冒(S)渠道客户授权被破坏中业务数据业务部门1-4假冒(S)渠道信息及授权极高业务数据XXX1-5假

冒

(

S

)数据库完整性破坏极高业务数据业务支撑中心2-1内部篡改(T)业务数据被篡改极高数据导入导出业务部门2-2内部篡改(T)业务数据被篡改高数据导入导出资源管理员3-1内部抵

赖(

R

)业务数据被篡改高数据导入导出业务部门3-2内部抵

赖(

R

)伪造渠道订单低订单资源管理员3-3内部抵

赖(

R

)伪造渠道订单中业务数据业务部门4-1外部信息泄露(1)渠道信息低业务数据渠道4-2内部信息泄露(1)渠道信息低业务数据业务部门4-3内部信息泄露(1)渠道信息低业务数据渠道经理4-4内部信息泄露(1)渠道信息低业务数据渠道经理4-5内部信息泄露(1)渠道信息低业务数据渠道经理5-1外部拒绝服务(D)渠道业务中断中VPN接入渠道6-1内部特权提升(E)资源管理员获得管理员权限高订单处理资源管理员6-2内部特权提升(E)业务部门获得管理员权限高数据处理业务部门STRIDE示例威胁建模方法-攻击树损害泄露

丢

失墓改信

息

服务

设备存档数据

设

备

服务

信

息运行中的数据

存档数据

信息

失真

存档数据使用中的数据

运行中的数据

子版本

运行中的数据使用中的数据锁定

破

坏存档代码使用中的代码威胁建模方法-攻击库·

对于正在创建的系统，攻击库用于寻找威胁的一种工具。·构建这样的攻击库有多种方式，可以汇集攻击工具；概念验证代码或者充分开发(“武器化”)的可利用代

码可帮助你理解攻击。

·

如果攻击库提供抽象概念，可能会很有用(比

STRIDE

更为具体)。·CAPEC

指的是非营利机构MITRE

的通用攻击模式列表和分类(Common

Attack

PatternEnumerationand

Classifcation,CAPEC)

。

·476个高度结构化的攻击模式集合，共分为15类：

·数据泄露、攻击资源枯竭、注人(通过数据平面注人控制平面内容)、假冒、时间和状态攻击、功能误用、概率技术、授权漏洞利用、特权/信任漏洞利用、数据结构攻击、资源操纵、网络侦察、

社会工程攻击、物理安全攻击、供应链攻击描述摘

要网络钓鱼攻击发生时，受害者受到欺骗而将敏感数据传输到假想可信的位置，例如在线银行网站、交易平台等。攻击者可以冒充这些网站，把受害者引向他的网站，而非受害者原本想去的网址。网络钓鱼，无须脚本注入，也无须点击恶意链接。攻击执行流1.攻击者建立起一个系统，模仿用户所信任的网站。通常是需要或处理敏感信息的网站。2.然后，攻击者可感染能将用户引向原访问网址的DNS服务器、本地主机文件，以破坏目标网站的解析器。3.当受害者请求目标网站的URL时，损坏的记录就会将用户引向攻击者的网站，而非原网站。4.由于原网站与攻击者控制的网站内容相同，而且URL未变，因此受害者信任自己打开的这个页面。此时，攻击者就可以获取凭证、账号等敏感信息了。攻

击

的

先

决

条

件易受攻击的DNS软件或者没有得到适当保护的主机文件或者易受损害的路由器。处理敏感信息的网站没有安全连接及有效证书也容易受到网络钓鱼。漏

洞

利

用

的

典

型

可

能

性网络钓鱼

(Pharming)典型的严重性：非常高

状态：草稿CAPEC示例攻击模式ID:89(标准攻击模式完整性：完整)OWASP

Top

10·A01:2021-

失效的访问控制BrokenAccess

Control:从第5位上升成为Web

应用程序安全风险最严重的类别；提供的数据表明，平均3.81%的测试应用程序具有一个或多个CWE,

且此类风险中CWE总发生漏洞应用数超过31.8万次。在应用程序中出现的34个匹配为“失效的访问控制”的CWE次数比任何其他类别都多。·A02:2021-加密机制失效CryptographicFailures

:

排名上升一位。其以前被称为

“A3:2017-

敏感信息泄漏(SensitiveDataExposure)"。敏感信息泄漏是常见的症状，而非根本原因。更新后的名称侧

重于与密码学相关的风险，即之前已经隐含的根本原因。此类风险通常会导致敏感数据泄露或系统被攻

·A03:2021-注入lnjection:

排名下滑两位。94%的应用程序进行了某种形式的注入风险测试，发生安全事件的最大率为19%,平均率为3.37%,匹配到此类别的33个CWE共发生27.4万次，是出现第二多的风险类别。原

“A07:2017-

跨站脚本(XSS)”在2021年版中被纳入此风险类别。破。

·A05:

2021-

安全配置错误

Security

Misconfiguration

:

排名上升一

位。90%的应用程序都进行了某种形式的配置错误测试，平均发生率为4.5%,超过20.8万次的CWE

匹配到此风险类别。随着可高度配置的软件越来越多，这

一

类别的风险也开始上升。

原“A04:2017-XML

External

Entities(XXE)XML外部实体”在2021年版中被纳入此风险类别。

·A06:

2021-

自带缺陷和过时的组件

Vulnerable

and

Outdated

Components:

排名上升三位。在社区调查中排名第2。同时，通过数据分析也有足够的数据进入前10名，是我们难以测试和评估风险的已知问题。它是唯——个没有发生CVE漏洞的风险类别。因此，默认此类别的利用和影响权重值为5.0。原类别命名为“A09:2017-

UsingComponentswithKnownVulnerabilities

使用含有已知漏洞的组件”。

OWASP

Top

10·A04:2021-不安全设计lnsecureDesign:2021年版的一

个新类别，其重点关注与设计缺陷相关的风险。如果我们真的想让整个行业“安全左移”,我们需要更多的威胁建模、安全设计模式和原则，以及参考架构。不安

全设计是无法通过完美的编码来修复的；因为根据定义，所需的安全控制从来没有被创建出来以抵御特定的安全攻击。

·A07:

2021-

身份识别和身份验证错误

dentification

and

Authentication

Failures:

排名下滑五位。原

标题“A02:2017-Broken

Authentication失效的身份认证”。现在包括了更多与识别错误相关的CWE。这个类别仍然是Top

10的组成部分，但随着标准化框架使用的增加，此类风险有减少的趋势。·A08:2021-软件和数据完整性故障

SoftwareandDataIntegrityFailures:2021年版的一个新类别，

其重点是：在没有验证完整性的情况下做出与软件更新、关键数据和CI/CD

管道相关的假设。此类别共

有10个匹配的CWE类别，并且拥有最高的平均加权影响值。原“A08:2017-Insecure

Deserialization不安全的反序列化”现在是本大类的一部分。

·A09:2

021-

安全日志和监控故障

Security

Logging

and

Monitoring

Failures

:排名上升一位。来源于社区调查(排名第3)。原名为“A10:2017-Insufficient

Logging&Monitoring

不足的日志记录和监控”。

此类别现扩大范围，包括了更多类型的、难以测试的故障。此类别在CVE/CVSS

数据中没有得到很好的体现。但是，此类故障会直接影响可见性、事件告警和取证。

OWASP

Top

10Top

102021A01:2021-

失效的访问控制

BrokenAccessControlA02:2021-

加密机制失效

Cryptographic

FailuresA03:2017-

敏感信息泄漏Sensitive

Data

ExposureA04:2017-XML

外部实体XML

Extemal

Entities(XXE)A05:2017-

失效的访问控制BrokenAccessControlA06:2017-

安全配置错误SecurityMisconfigurationA07:2017-

跨站脚本Cross-SiteScripting(XSS)A08:2017-

不安全的反序列化Insecure

DeserializationA09:2017-

使用含有已知漏洞的组件Using

Components

with

KnownVulnerabilitiesA10:2017-

不足的日志记录和监控·A10:2021-

服务端请求伪造

Server-Side

Request

Forgery:2021

年版的一个新类别，来源于社区调查(排名第1)。数据显示发生率相对较低，测试覆盖率高于平均水平，并且利用和影响潜力的评级高于平均水平。加入此类别风险是说明：即使目前通过数据没有体现，但是安全社区成员告诉Insecure

Design

新A05:2021-

安全配置错误Security

MisconfigurationA06:2021-

自带缺陷和过时的组件VulnerableandOutdated

ComponentsA07:2021-

身份识别和身份验证错误Identification

and

AuthenticationFaluresOWASP

Top

10我们，这也是一个很重要的风A09:2021-

安全日志和监控故障*Security

Logging

and

Monitoring

FailuresA10:2021-服条端求份

安全资新A01:2017-

注入InjectionA02:2017-

失效的身份认证

BrokenAuthenticationlA03:2021-

注入tinjectionA04:2021-

不安全设计A08:2021-

软件和数据完整性故障Softwareand

Data

Integrity

FailuresInsufficientLogging&MonitoringServer-Side

Reques.FGrgeTop

102017新从通信层面寻找数据服资口

辅一般网络视图从通信层面寻找数据公有云平台复杂化网络视图造5h从业务层面寻找数据数据字典接

口不定朋基于工程化的业务分析电信移动省移动省网

▲

联互通北

京

—

→

电信骨干子业务2DB业务运算服务

子业务用3

应用4

应用5于业务1查询服务IaaSPaaSSaas

公应用1业务前端C部B年服务机构1

服务机构2用户信息

础数fht数据安全是多层次的问题，不可能依靠某一种产品或者某一种技术能够实现数据安全问题，安全的数据架构是对抗数据攻击的一种有效手段，数据安全所追求的不应该是数据不会被攻击，而是

数据被攻击后，其影响对组织、社会、国家是可容忍的。即风险的可接受程度：数据安全架构包括的层次：网络层：隔离即安全，利用良好的网络隔离与控制实现数据的流入和流出保护服务层：知必所需，利用服务器的有限交互，通过各组件的功能分配管理数据访问授权数据流：当且仅当，数据的访问与交互应建立在业务需求的基础上，数据流的双方应是事先

协商好的对象数据建模与数据保护场景分析·

第四十一条

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收

集、使用信息的目的、方式和范围，并经被收集者同意。·

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个

人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。《网络安全法》数据保护设计理念应当融入到产品和业务开发的早期过程(PrivacybyDesign),例如，设计假名化等机制有效地落实数据保护原则，并且将必要的保障措施融入到数据处理过程之中。此外，组织可实施相应的措施以确保在

默认情形下，仅仅处理为实现目的而最少必需的个人数据。《统一数据保护条例(GDPR)》基于业务的数据建模支持业务运营业务需要的据属性可响应的数模式及授权数据属性集C

A

①数据保护政策

攻击属性业务视图数捆访问场景预设场景基于业务的数据建模最小化数据集降低聚合数据分类分级的本质不能加解密，而是通过条件语句判断输入麦量生成的HASH和原始HASH的一致性数据攻击场量攻击者视图对称加密IASH现酒固

名模糊化攻击者需要获

得的数据属性保密性

完整性可用性对抗攻击结果备份

恢

复备份ASH对策数据结构与安全分析通过拆分数据表单元降低数据聚合攻击的影响ID

User_name

passwordother

Table

1Table

1-3

ID

otherID

passwordID

User_nameTable

1-2Table

1-1Round(ID)数据流(data

stream)

是一组有序，有起点和终点的字节的数据序列。包括输入流和输出流。√数据流最初是通信领域使用的概念，代表传输中所使用的信息的数字编码信号序列。输入流与输出流√输入流只能读不能写，而输出流只能写不能读。通常程序中使用输入流读出数据，输出流写入数

据，就好像数据流入到程序并从程序中流出。采用数据流使程序的输入输出操作独立与相关设备。

输入流可从键盘或文件中获得数据，输出流可向显示器、打印机或文件中传输数据。缓冲流√

为了提高数据的传输效率，通常使用缓冲流(Buffered

Stream),即为一个流配有一个缓冲区(buffer)一个缓冲区就是专门用于传输数据的内存块。当向一个缓冲流写入数据时，系统不直接发

送到外部设备，而是将数据发送到缓冲区。缓冲区自动记录数据，当缓冲区满时，系统将数据全部发送到相应的设备。

√

当从一个缓冲流中读取数据时，系统实际是从缓冲区中读取数据。当缓冲区空时，系统就会从相关设备自动读取数据，并读取尽可能多的数据充满缓冲区。

数据流分析合规性检查中数据治理近年来，随着国家大数据发展战略加快实施，大数据技术创新与应用日趋活跃，产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据，成为数字经济发展的关键生产要素。√数据过度采集滥用√

非法交易√

用户数据泄露攻击和防御基础Attackand

Defense

Basics脆弱性/漏洞利用与攻击

攻击向量威胁防御方The

Defense

Side攻击侧TheAttack

Side风险安全控制

安全目标·

竞争条件错误，它允许攻击者使用提权执行特定操作。竞争条件是可能的，因为软件不期望发生某些实际上相信用户不会导致此类模式的活动。

·

安全配置问题漏洞涉及使用安全配置设置，如果被用户利用，会对软件的安全性产生负面影响。

·

安全配置设置是软件安全的一个元素，可以通过软件本身进行更改。设置的示例是提供访问控制列

表的操作系统，为文件设置用户权限，以及提供设置以启用或禁用应用程序存储的敏感数据加密的

应用程序。许多配置设置以减少功能为代价来提高安全性，因此使用最安全的设置可能会使软件不脆弱性和漏洞·

软件缺陷漏洞是由软件设计或编码错误引起的。

·输入验证错误，例如用户提供的输入被信任，所以没有正确评估恶意字符串和与已知攻击相关的过长

值

。可

用

。软件特性是软件提供的功能。软件功能滥用漏洞是软件中提供了危害系统安全的途径的功能的一种漏洞。这些漏洞是由软件设计者做

出允许软件提供有益功能的信任假设引起的，同时也引入了有人违反信任假设以危及安全的可能性。例如，

电子邮件客户端软件可能包含在电子邮件消息中呈现HTML内容的功能。攻击者可以制作包含超链接的欺

诈性电子邮件，当以HTML

呈现时，这些超链接在收件人看来是良性的，但实际上当收件人点击时会将其带到

恶意网站。HTML

内容呈现功能设计中的信任假设之一是用户不会收到恶意超链接并点击它们。软件功能

滥用漏洞的另一个例子是攻击者窃取用户的凭据并重用它们来冒充用户；信任假设是只有合法用户才能使

用这些凭据。误用漏洞是软件功能固有的，因为每个功能都基于信任假设——这些假设可能会被打破，尽管

在某些情况下会涉及大量成本和工作。脆弱性和漏洞攻击向量·

攻击向量是攻击用来访问漏洞的整个路径的一部分。可以将每个攻击向量视为包含恶意内容的来源、该

恶意内容的潜在易受攻击的处理者以及恶意内容本身的性质。攻击向量的例子是：·

由易受攻击的网络浏览器(处理者)从网站(源)下载的恶意网页内容(内容);·

由易受攻击的帮助应用程序(处理者)呈现的电子邮件客户端(源)中的恶意电子邮件附件(内容);·

从电子邮件服务器(源)下载到易受攻击的电子邮件客户端(处理者)的恶意电子邮件附件(内容);·

具有内在漏洞(处理者)的网络服务被外部端点(源)恶意使用(内容);·

人员攻击者(来源)通过电话进行的基于社会工程的对话(内容),以从易受攻击的用户(处理者)那里获取用户名和密码；

·

窃取由攻击者(来源)输入到企业身份验证系统(处理者)的Web

界面的用户凭据(内容);和·

从社交媒体(内容)中收集的用户个人信息(内容)被攻击者(来源)输入密码重置网站，以利用弱密码重置

过程(处理者)重置密码。

攻击向量1

.从主机(源)发送到组织的主要邮件服务器(处理者)的恶意电子邮件附件

(内容);5.由易受攻击的电子邮件客户端(来源)呈现(处理者)的恶意电子邮件附

e涉及一个漏洞的单一可

巴能攻击的示例，分解为

其攻击向量

：圈

叫

)2

.从组织的主邮件服务器(源)发送到防病毒服务器(处理者)的恶意电子邮件附件(内容);3

.从杀毒服务器(源)发送到组织内部邮件服务器(处理者)的恶意邮件附件(内容);4

.从组织内部邮件服务器(源)发送到用户邮件客户端(处理者)的恶意邮件

附件(内容);和件(内容)。风险一般定义：“实体受到潜在环境或事件威胁程度的衡量标准，通常具有以下功能：()如果情况或事件发生，将会产生的不利影响；(i)

发生的可能性和信息安全风险，特别是“由于信息或信息系统的机密性、完整性或可用性的丧失而产生的风险，反映了

对组织运营(包括使命、职能、形象或声誉)、组织的潜在不利影响的风险。资产、个人、其他组织和国家”。风险管理“管理组织运营信息安全风险的计划和支持流程……”。风险管理的一部分是风险评估，“识别、优先排序和估计组织运营(包括使命、职能、形象、声誉)、组织资产、个人、其他组织和国家的风险的过程，由信息系统的运作产生”。风险评估考虑可能的威胁和漏洞，并确定应使用哪些安全控制来缓解它们，这意味着将它们的风险降低到可接受的水平。|

风险尽管技术控制可以完全自动化，这使得它们成为阻止攻击的明显选择，但管理和操作控制也发挥着重要作用。例如，用户必须接受有关其安全责任的培训，这样他们就不太可能违反安全策略、

被网络钓鱼攻击所欺骗，以及以其他方式降低组织的安全状况。最终，组织的安全性依赖于人员、

流程和技术的组合。

“为信息系统规定的管理、操作和技术控制(即保护措施或对策),以保护系统及其信息的机密性、完整性和可用性”安全控制安全控制组织通常从保护其机密性、完整性和/或可用性的角度考虑数据的安全目标。在许多情况下，数据实例的安全目标不应该都具有同等重要性，在某些情况下，组织可能希望将其威胁建模工

作集中在一个目标上。例如，如果风险评估表明泄露机密性的风险高得无法接受，那么仅针对机密性执行威

胁建模可能最有助于将泄露机密性风险降低到可接受的水平。同样，已经向公众发布的信息可能仍需要保

护其完整性和可用性，但不需要保护其机密性。如果风险评估的结果表明泄露机密的风险高得无法接受，则可能需要额外的安全控制或对现有安全控制的更改，以将泄露机密的风险降低到可接受的水平。完整性和可用性也是如此。安全目标系统和以数据为中心的系统威胁建模简介·

威胁建模是一种风险评估形式，它对特定逻辑实体的攻击和防御方面进行建模，例如数据、应用程序、主机、系统或环境。威胁建模的基本原则是安全资源总是有限的，因此有必要确定如何有效地使用这些有限的资源。

·1.被建模的逻辑实体(数据、软件、系统等);

·2.系统生命周期的阶段(例如，软件初始设计期间的安全建模与已实现的现成软件的安全建模);

·3.威胁建模的目标(减少软件漏洞、阻止特定类别的攻击者、提高整体系统安全性、保护特定类型的数据等)。·

威胁建模的一种常见形式是软件威胁建模，它是在软件设计过程中进行的威胁建模以减少软件漏洞。

·

威胁建模的另一种常见形式称为系统威胁建模，它是为操作系统执行的威胁建模以提高其整体安全性。

与软件威胁建模相比，系统威胁建模在很大程度上往往是非正式的和临时的。

以数据为中心的系统威胁建模基础步骤1系统内数据的授权位置。识别和描述需要关注的系统和数据字储：系统边界内数据可能处于静止状态的所有位置；传输：数据在系统组件之间和跨越系统边界的网络上传输的所有方式；1.步骤2

执行环境：例如，运行时保存在本地内存中的数据，虚拟CPU

处理的数据等；2.识别并选择要

：例如，使用键盘输入的数据；

在模型中的攻击向量输出：例如，打印到物理连接的打印机的数据、笔记本电脑屏幕上显示的数据等。

法蔚本了解数据如何在系统内授权位置之间移动。根据系统的复杂程度，了解系统功能和流程、用户和使2.描述减轻跟趣局

工作流程、信任假设以及与系统相关的人员、流程和技术的其他方面。的安全控制有权以可能影响安全目标的方式访问数据的人员和流程。

1.步骤4些组织可能会选择用一个或多个安全需求来替代安全目标。安全需求比安全目标更具体、更细粒度，2

.分析感巷髓常直接来自组织的策略或组织所遵循的法规或安全合规性计划。

数

据的安全目标(例如，机密性、完整性、可用性)。

示例-场景摘要：需要关注的数据是一个电子表格，其中包含已获得工伤赔偿的员工的个人身份信息(PII)。需要关注的系统包括：●

人力资源专家的笔记本电脑(电子表格存储在笔记本电脑上并在其上使用);●

一个USB

闪存驱动器(电子表格备份到

USB

闪存驱动器上);和●

打印机(电子表格可以从笔记本电脑打印到打印机)。相关数据的授权位置如下：●存储：电子表格保存在笔记本电脑硬盘上，电子表格备份保存在USB闪存驱动器上；●传输：通过无线网络发送到打印机；●执行环境：本地笔记本内存和处理器；●输入：使用笔记本电脑键盘输入；和●输出：显示在屏幕上。描述：数据通过键盘输入到电子表格中，电子表格暂时保存在执行环境中。当用户更新电子表格时，数据会显示在屏幕上。当用户完成电子表格的编辑后，用户指示系统将电子表格保存到膝上型硬盘驱动器。用户还可以将电子表格加载到执行环境中，并通过无线网络连接将电子表格打印到附近的打印机。最后，用户偶尔会将最新版本的电子表格从笔记本电脑硬盘复制到USB

闪存驱动器作为备份。尽管机密性、完整性和可用性对于需要关注的数据都很重要，但机密性被认为更为重要，以至于组织决定仅在机密性方面执行其信任建模。在这个高度简化的示例中，人力资源专家是唯一有权访问数据的人。备你自个人身份信息(PD)笔记本电脑存储/处理量入数剧力资源专家示例-绘制威胁向量图

自中

长打印机内有无线

AP输起价压显示器输入介所鸽盘的系统和数据

攻击向量可用于对数据授权位置之一的一个或多个已识别安全目标产生负面影响。

一旦确定了攻击向量，可能需要只选择这些攻击向量的一个子集以包含在威胁模型中。

最好包括所有攻击向量，但通常有太多的攻击向量需要有限的资源来解决。要考虑的可能标准所使用的攻击向量的相对可能性以及成功攻击的最可能影响。

1.步骤22.识别并选择要包含

在模型中的攻击向量1.步骤32.描述减轻攻击向量的安全控制以数据为中心的系统威胁建模基础步骤1识别和描述需要关注1.步骤42.分析威胁模型的攻击向量，位置1:存储在本地硬盘驱动器上的电子表格中。●

向

量

1a:

攻击者未经授权对笔记本电脑进行物理访问，使用取证工具或其他实用程序复制文件(无需向操作系统进行身份验证)●向

量

1b:

攻击者获得对笔记本电脑的未经授权的物理访问，利用漏洞获得操作系统访问权限(冒充用户/管理员)。●向

量

1c:攻击者窃取并重用用户/管理员/服务凭据。●向

量

1d:攻击者可以访问/控制用户的会话/设备。●向量1e:

用户将文件转发给未经授权的接收者(用户被社会工程欺骗、用户是恶意的、用户犯了错误等)。●向

量1f:攻击者访问不安全的网络服务(例如，连接到不安全的文件共享)并获得对文件的访问权限。位置2:存储在闪存驱动器备份上的电子表格中。●

向量2a:

攻击者获得对闪存驱动器的未经授权的物理访问，安装驱动器并复制文件。●

向量2b:攻击者在安装闪存驱动器时窃取并重用笔记本电脑的用户/管理员/服务凭据。●

向量2c:攻击者在安装闪存驱动器时获得对用户会话/设备的访问/控制权。●

向量2d:用户将文件转发给未经授权的收件人。示例-位置&攻击向量示例-攻击向量位置3:通过无线网络连接打印到附近的打印机。●向

量

3a:

攻击者监控未加密或弱加密的无线网络通信并捕获发送到打印机的数据。●向

量

3b:攻击者查看电子表格的打印输出。位置4:在本地处理。●向

量

4a:攻击者可以访问/控制用户的会话/设备。位置5:本地输入。●

向

量

5a:攻击者观察输入到膝上型电脑的信息。●

向量5b:攻击者使用笔记本电脑上的击键记录器来监视击键。

位置6:本地输出。●

向

量

6a:

攻击者查看笔记本电脑屏幕上的信息。●向

量

6b:攻击者在笔记本电脑上使用恶意软件来截取屏幕截图。选定的攻击向量(基于每个攻击向量被用来完全破坏机密性的可能性和可能性):向

量

1c:

数据存储在本地硬盘上的电子表格中；攻击者窃取并重用用户/管理员/服务凭据。>

向

量

1d:

数据存储在本地硬盘上的电子表格中；攻击者可以访问/控制用户的会话/设备。>向量2b:数据存储在闪存驱动器备份上的电子表格中；安装闪存驱动器时，攻击者窃取并重用笔记本电脑的用户/管理员/服务凭据。>

向量2c:数据存储在闪存驱动器备份上的电子表格中；安装闪存驱动器时，攻击者可以访问/控制用户的会话/设备。>向量4a:数据在本地处理；攻击者可以访问/控制用户的会话/设备。示例-攻击向量得凭据2c.利用USB获

击者

得访问控

权

误利用现以12,1

大探校物理历问示例-描述攻击向量1.

发文件给术学授权的接取者社会工程学攻击c.窃取用户/管理员能据d.

访间/控制用户会话、设备府用深南极

户管山员飞地T

不交全的

芬攻市置2闪本备份攻击位置4

笔记本电脑人身价信息

(PII)2b.利用USB获个人身份信息

(PII人力资源专家攻击者24.

物

所面本地攻击名在

价

上

0

预直

个人身份信息

(PI1)收击者

记本电脑动河阴记录落攻击位置5:本地输入政击者

笔记本电脑偿后政击位置6:本地输出改击位置3通过无线网络链按打印机笔记本电脑

打印示例-描述攻击向量5

.

置

所扣

凯

报安打执改每个选定的安全控制，估计它将如何有效地解决每个适用的攻击向量的利用。这可以简单到将有效1.步骤2

低、中或高，也可以复杂到评价针对此缓解措施将阻止的攻击向量的攻击百分比。无论选择哪2.识别并选择要包含

它都应该在缓解措施和攻击向量之间具有可比性。

在模型中的攻击向量丁平价每个安全控制更改的有效性相对应的是评价负面影响。要考虑的因素可能包括成本(可能是采购和实施成太的数量级或范围，以及年度管理/维护)以及功能、可用性和性能的减少。这些对于未来的缓录有助于降低与攻击相关风险的安全控制更改(现有安全控制的添加、现有安全控制的重新配且向量是合理可行的。的安全控制

评价。1.步骤4以数据为中心的系统威胁建模基础能特别难以准确确定，因此可能有必要使用组织特有的简单的低/中/高类型尺度对它们进行非步骤1识别和描述需要关注的系统和数据1.步骤32.描述减轻攻击向量2.分析威胁模型3.使用杀毒软件、垃圾邮件过滤、实时黑名单、用户感知、网络

信誉软件等(向量1c、1d、2b、2c

和4a)●有效性：中等●采购和实施成本：中等●年度管理/维护成本：中等●对功能的影响：中等●对可用性的影响：中等●

对性能的影响：中等4.补丁漏洞(向量1c、1d、2b、2c和4a)●

有效性：低●

采购和实施成本：中等●

年度管理/维护成本：中等●

对功能的影响：中等●对可用性的影响：低1.需要具有强加密密码哈希的强密码(向量1c

和

2b)。●

有效性：低●

采购和实施成本：低●

年度管理/维护成本：低●

对功能的影响：低●对可用性的影响：低●对性能的影响：低2.需要多因素身份验证(向量1c

和

2b)●

有效性：高●

采购和实施成本：中等●

年度管理/维护成本：中等●

对功能的影响：低●

对可用性的影响：中等的

响

，

低示例-分析消减措施示例-分析威胁模型经过多次辩论，该组织决定为这些特征设定以下分数并平均权衡：●

无安全控制有效性=0●

安全控制有效性低=1●

安全控制效果中等=2●安全控制有效性高=3●负面值高=1●

中等的负面含义=2●

低的负面含义=3组织计算每个安全控制的负面影响分数的总和(参见下面的第一个表),然后将这些总和乘以每个攻击向量的安全控制有效性的

分数(参见下面的第二个表)以获得每个攻击向量的分数/security(安全)控制对(请参阅下面第二个表的阴影区域)。分数越高，安全控制针对相应攻击向量提供的“资金回报”就越多。这些信息现在可以用于决策。每T待征分配分数和权重。

Z每个特征的可能值或取值范围分配分数外，组织还需要考虑每个特征的相对权重。1.步骤32.描述减轻攻击向量的的另一种评分方法是

为

某

些标

准

设

置

阈

值

或

规

则

，

并

从

进

一

步

考

虑

中

排

除

任

何

不

满

足

这

些

的

攻安全控制安全控

制

对。1.步骤42.分析威胁模型市步骤中记录的所有特征，这些特征共同构成威胁模型，以帮助评估针对所选攻击向量的每个安项的有效性和效率。对安全控制的任何评估都应包括对所有重要相关因素的考虑。以数据为中心的系统威胁建模基础·

角定如何一起考虑所有这些特征。将一个攻击向量的整个特征集与另一个攻击向量的整个特征集进行比个组织需要确定如何比较每个攻击向量/安全控制对的特征，作为比较攻击向量特征和安全控制步骤1识别和描述需要关注的

系统和数据2.识别并选择要包含在模型中的攻击向量据

。1.步骤2经过多次辩论，该组织决定为这些特征设定以下分数并平均权衡：●无安全控制有效性=0●安全控制有效性低=1●安全控制效果中等=2●安全控制有效性高=3●

负面值高=1●中等的负面含义=2●低的负面含义=3组织计算每个安全控制的负面影响分数的总和，然后将这些总和乘以每个攻击向量的安全控制有效性的分数以获得每个攻击向量

的分数/security(安全)控制对。分数越高，安全控制针对相应攻击向量提供的“资金回报”就越多。这些信息现在可以用于决

策。示例可能的安全控制采购和实

施成本年度管理/维

护成本对功能

的影响对可用性

的影响对性能

的影响安全控制总计需要强密码和强加密

密码散列3333315需要多因素身份验证2232312使用杀毒软件、垃圾

邮件过滤、实时黑名单、用户感知、网络

信誉软件等2222210补丁漏洞2223211示例-控制分析可能的安全控制每个攻击向量的安全控制有效性负面影响总计安全控制有效性每个攻击向量的负面影响总次数1c1d2b2c4a1c1d2b2c4a需要具有强加密密码哈希的强密码10100151501500需要多因素身份验证30300123603600使用杀毒软件、垃圾

邮件过滤、实时黑名

单、用户感知、网络信誉软件等22222102020202020修补漏洞11111111111111111示例-控制分析数据安全评估数据安全风险评估概述·

数据安全风险评估原则·风险评估各要素之间的关系·

风险评估原理·

数据安全风险评估流程数据安全风险评估实施·

评估准备工作·

数据资产识别·

数据应用场景识别·

数据威胁识别·

脆弱性识别·

已有安全措施识别·

数据安全威胁与脆弱性利用关系·风险分析与评价风险处置残余风险评估关键

数据原则可控性风险评估服务可控性人员与信息可控性过程可控性工具可控性对业务影响可控性数据安全风险评估概述场景

依赖数据安全风险评估概述·a)业务战略的实现对数据资产具有依赖性，

依赖程度越高，要求其风险越小；

·b)

数据资产重要程度不同，数据资产重要

程度级别越高，面临的威胁就可能越大；

·c)

数据资产流转于业务各应用场景，在实

际应用场景中可能产生安全风险；

·d)

脆弱性可能暴露于应用场景中数据在各

主体及主体间的活动中，应用场景中存在脆

弱性越多则数据安全风险越大；

业务战略依赖数据资产流转于应用场景增加安全风险抵

御残余风险具有数据资产重要程度

增加未被满足脆弱性利用数据威胁演变安全事件暴露于增如增加可能

诱发安全需求被满足安全措施导出降低未控制数据安全风险评估概述·e)

脆弱性包括未被满足的安全需求，数据威胁利用脆弱性危害数据资产；

业务战略依赖越多则安全风险可能越大，并脆弱性·g)

安全措施可削弱脆弱性，

利用据威胁具有数据资产重要程度未被满足数据资产流转于应用场景增加抵

御残余风险·f)

数据安全风险是由数据威肋·h)

安全措施可抵御数据威胁安全需求被满足安全措施数据威胁演变安全事件导出降低未控制暴露于增如增加可能

诱发考虑实施成本：

·j)风险的存在及对风险的认识·k)残余风险有些是风险控制

险；而有些则是在综合考虑了

·

1)残余风险应受到密切监视数据安全风险评估概述·

i)安全需求可通过安全措施得以满足，需要结合数据资产重要程度业务战略依赖数据资产流转于应用场景增加抵

御残余风险脆弱性利用数据威胁演变安全事件具有数据资产重要程度暴露于增加可能

诱发被满足安全措施制的风的风险；降低未控制未被满足安全需求导出威胁识别数据资产识别

数据应用场景识别

脆弱性识别已有安全措施识别脆弱性的可利用性脆弱性影响严重程度数据重要程度安全事件

可能性安全事件

影响风险评估原理数据威胁出现可

能

性数据威胁动机、

能力、频率风险值风险评估原理

·a

)凤

险识别阶段：

·

1)识别数据资产并分析其重要程度；

·2)对数据应用场景进行识别；

·

3)识别数据应用场景中数据威胁，并判断数据威胁发生可能性；

·

4)识别数据应用场景中脆弱性，与具休安全措施关联分析后，判断脆弱

性可利用程度和脆弱性对数据资产影

响的严重程度。b)

风险分析阶段：▶1)根据数据威胁与脆弱性利用关系，结合数据威胁发生可能性与脆弱性可利用性判断安全事件发生的可能性；▶

2)根据脆弱性影响严重程度及数据重要程度计算安全事什影响

严重程度；▶

3)根据安全事件发生的可能性以及安全事件影响严重程度，判▶c)风险评价阶段：根据风险接受准则判定风险是否可以接断风险值。受。数据资产识别否

数据调研数据资产清单脆弱性识别已有安全措施识别风险分析与评价是否接受风险是风险管理评估准备有组织数据清单是确定评估的数据对

象范围风险处置并评估残余风险否是否接受残余风险数据威胁报告

脆弱性报告

风险评估报告数据应用场景

分析报告系统资产清单否是数据应用场景识别威胁识别92数据威胁识别脆弱性识别数据安全风险评估实施C

e

e数据资产识别数据安全威胁与脆弱性利用关系数据应用场景

识别已有安全措施

识别评估工作准备风险分析与评

价评估工作准备C

e

C确定评估目标

确定评估范围■数据资产■关键数据原则■面临威胁■脆弱性■已有安全措施299淹檐星管部门、国家网信■

零标概件备像标准组建评估团队■安全■技术和管理人员涛程估业务有关的信息系域划分数据资产识别数据调研

数据重要程度分析与赋值

确定待评估的数据资产范围识别业务逻辑、业务功能、业务流程步骤■识别各业务功能、流程相关信息系统调查信息系统收集

存储，使用了哪些业三

1

后务数据选择关键数据根据待评估数据的重要程度，确定评估范围国家安全与社会公共利益企业利益个人利益识别业务数据类型、数据所在位置数据量、

保存方式(信息系统、终端、文档服务器)应用场景分类应用场景举例业务流程或使用流程示例业务a)数据分析业务：向客户提供数据分析服务，涉及数据

分析系统、数据基础平台、数据基础

设施管理系统等流程示例：公共数据平台需求中请一而求审批一访问平台→数据

调取一数据加工→结果存储→结果展示或b)广告推送业务：向用户提供广告推送.涉及信息系统包

括广告系统，用户行为分析系统流程示例：广告获取一推送方案设计一用户行为分析人员访同内部系统数

据的场景a)本业务人员调取数据的场景流程示例：业务人员进组一开通账号权限一系统与数据访问一账号注销一业务人员离组b)非本业务员工调取数据的场景流程示例：非本业务员工提出数据访问需求中请一需求审批一开

通帐号与权限一数据访问一需求结来一审计一账号注销业务系统访问内部系

统数据的场景a)织织内其他业务系统调取数据的场

景流程示例：业务需求申请一雷求受理审批一开放访问接口一分配

影号、配置权限→访问系统一调取数据一需求完成一删除账号权

限一关闭接口数据应用场景识别数据采集数据传输数据存储数据共享数据处理数据销毁□恶意代码注入■数据无效写入■数据污染■数据分类分级或标记错误■数据窃取■网络监听■数据篡改数据破坏■数据篡改■数据分类或标记错误

数据窃取■恶意代码执行■数据不可控■共享数据未脱敏■共享权限混乱■数据过度获取■数据不可控注入攻击■数据抵赖■使用权混乱■数据过度获取■数据不可控国敏感元数据未脱敏使用■数据到期末销毁■数据未正确销毁数据威胁识别数据威胁源类型、动机和能力示例分类类型描述主要动机能力非人为自然灾难非人为不可抗的自然灾难具有一定预测性自然灾难的威胁程度不等，可能会对信息系统造成毁灭性的破坏环境因素断电、静电、灰尘、潮湿、鼠蚁虫害、电磁干扰、

意外事故无动机，具有一定预测性威胁程度不等技术局限性由于设备自身的软硬件故障、系统本身设计缺陷或

软件缺陷等无动机无预测性、或能力不足威胁程度不等人为非恶意行为粗心或未受到良好培训的管理员和用户无动机无预测性，或能力不足掌握内部情况，具有数据访问权限或掌握可利用的账户信息……内部恶意员工对机构不满或具有某种恶意目的的内部员工对机构不满而有意破坏数据

……掌握内部情况，具有数据合法访问权限或掌握可利用的账户信息……独立黑客个体黑客满足好奇心、检验技术能力以及获取、恶意破坏占有少量资源

……有组织的攻击者国内外竞争对

手具有竞争关系的国内外工业和商业机构获取商业情报、窃取、破坏，目的性

极强具有一定资金、人力和技术资源

……犯罪团伙黑灰产犯罪团伙偷窃、诈骗、窃取、贩卖具有一定资金、人力和技术资源

……恐怖组织国内外恐怖组织通过强迫或恐吓政府或社会组织严密、具有充足的资金、人力和技术资源，可能获得敌对国家的支持外国政客其他国家或地区设立的从事军事、情报等窃取机构目的性极强组织严密、具有充足的资金、人力和技术资源，具有战争手段等级标识定义5很高出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生；或可以证实多次发生过3中等出现的频率中等(或>1次/半年);或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生威胁频率类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、

通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安

全配置等方面进行识别系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、

新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别技术脆弱性应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护

等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等

方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别·

问卷调查、工具检测、人工核查、文档查阅、渗透性测试脆弱性识别脆弱性可利用性访问路径，该特征反映了脆弱性被利用的路径，包括：物理访问，本地访问，邻近网络访问，远程网络访问；访问复杂性，该特征反映了攻击者能访问目标系统时利用脆弱性的难易程度，可用高、中、低

3个值进行度量；权限要求，该特征反映了攻击者为了利用脆弱性需要通过目标系统鉴别的要求，可用无、低、高进行度量；用户交互，该特征从攻击行为利用脆弱性时是否需要用户交互的条件反映了脆弱性利用的难易

程度，可用不需要和需要2个值进行度量。脆弱性影响严重程度01

机密性影响，该特征反映了脆弱性被成功利用时对数据机密性的影响，可用完全泄密、部分泄密、不泄密3个值进行度量：02

完整性影响，该特征反映了脆弱性被成功利用时对数据完整性的影响，可用完全修改、部分修改、不能修改3个值进行度量：可用性影响，该特征反映了脆弱性被成功利用时对数据可用性的影响，可用完全不可用、部分可用、可用性不受影响3个值进行度量；

可控性影响，该特征反映了脆弱性被成功利用时对数据可控性的影响，可用完全不可控、部分可控、可控性不受影响3个值进行度量。已有安全措施识别·

安全措施可以分为预防性安全措施和保护性安全措施两种。

·

预防性安全措施可以降低数据威胁利用脆弱性导致安全事件发生的可能性，如威胁情报系统、

入侵检测系统：

·保护性安全措施可以减少因安全事件发生后对数据、业务或组织造成的影响。·

以数据威胁为核心识别组织已有安全措施，

·在数据威胁识别的同时，评估人员应对已采取的安全措施进行识别。

·在识别脆弱性的同时，评估人员应对已有安全措施的有效性进行确认。

·

安全措施的确认应评估其有效性，即是否真正地抵御了数据威胁，降低了应用场景的·

本阶段应输出已有安全措施分析报告。

脆弱性

。数据安全威胁与脆弱性利用关系脆弱性能被威胁成功利用，才能形成风险，并

不是所有的脆弱性都能

被威胁成功利用。数据安全威胁脆弱性恶意代码注入采集/处理/存储组件存在漏洞数据无效写入/数据污染数据入库时无校验机制传输信道被监听/遭到中间

人攻击数据以明文传输；敏感元数据未加密或脱敏物理环境变化/自然灾害/硬

件故障无数据备份/恢复机制：云计算等第三方平台缺乏安全保障机制越权访问与数据资源滥用内部员工、合作方员工安全管理存在漏洞；内部员工、合作方员工违规操作；人员或其他业务系统访问权限粒度太粗、访问授权有误；系统或组件存在漏洞数据分类分级、标记错误数据分类分级无标准；系统错误数据篡改采集/处理/存储组件存在漏洞：缺乏操作指导，有权限员工操作错误或配置错误；内部员工或第三方合作人员越权操作数据窃取数据以明文传输；在数据库服务器、文件服务器、员工终端等存储系统上执行后门、病毒、木马、蠕虫、窃听软件、间谍软件等恶意工具或代码：数据失效或业务关闭后，遗留了敏感数据仍然可以被访问或数据销毁不彻底，可被技术性恢复：内部员工或第三方合作人员越权获取：关键岗位员工被收买窃取数据，安全意识培训机制、考核机制、数据行为审核手段、审计监控措施存在漏洞数据不可控内部员工与第三方合作人员的数据安全管理机制存在漏洞：办公终端缺乏技术监控手段：对第三方合作机构缺少协议或数据安全相关条款约束；对第三方合作机构与人员部署技术监控措施数据应用

场景1数据资产识别数据应用

场景2风险分析与评价·

风险分析模型风险值RI安全事件影响数据资产

风险值Rd数据威胁出现的可能性安全事件

可能性脆弱性影响的

严重程度数据的重要程度脆弱性识别

脆弱性可利用性数据威胁动机、能力、频率己有的安全措施识别数据应用场景n数据威胁

识别风

险

值Rn风险值R2计算安全事件发生的可能性根据待评估数据威胁、脆弱性可利用性情况计算威胁利用脆弱性导致安全事件发生的可能性，即安全事件发生的可能性=L(数据威胁发生可能性，脆弱性可利用性)=L(t,Va)

。其中，L表示安全事件发生可能性计算函数t表示数据威胁发生可能性，根据数据威胁的动机、能力和颊率综合赋值：Va

表示脆弱性可利用性，由脆弱性和已有安全措施综合分析计算确定。计算安全事件一旦发生的影响根据数据重要程度及脆弱性影响严重程度计算安全事件一旦发生后的对数据、业务及组织造成的影响，即安全事件的损失F

(数据重要程度，脆弱性影响严重

程度)=F(d,Vb)

。

其

中

，F表示安全事件影响程度计算函数：Vb

表示脆弱性影响严重程度，由脆弱性和已有安全措施综合分析计算确定：d

表示数据资产重

要程度。部分安全事件的发生造成的损失不仅仅是针对该数据资产本身还可能影响业务连续性、组织声誉，造成经济损失等不同安全事件的发生对业务与

组织造成的影响也是不一样的。在计算某个安全事件的影响时，应将对组织的影响也考虑在内。计算风险值根据计算出的安全事件发生的可能性以及安全事件的影响程度计算风险值即：风险值=R(安全事件发生可能性安全事件影响)=RL(t,Va),F(d,Vb))=

R(D,T,V,C)

。其中，R

表示安全风险计算函数；D

表示数据资产；T

表示数据威胁；V表示脆弱性；C

表示己采用的安全措施。风险计算等级标识描

述5很高一旦发生将对业务或组织产生非常严重而深远的影响，对组织信誉严重破坏，严重影响业务或组织的正

常运行，产生非常严重的经济损失或社会影响4高一旦发生将对业务、其他业务或组织产生较大的影响，在一定范围内给业务或组织的经营、组织信誉造

成损害，产生较大的经济损失或社会影响3中等一旦发生将对业务或组织运行、组织信誉造成一定的影响，但对经济或社会的影响不大，不影响其他业

务或对其他业务影响程度不大2低一旦发生造成的影响程度较低，一般仅限于业务、组织内部或数据资产本身，通过一定手段很快能解决1很低一旦发生造成的影响低微风险结果评价第

一

章简介第一节风险评估报告的目的第二节风险评估的范围第三节风险评估的数据主体第二章风险评估方法第一节风险评估方法；第二节风险评估成员第三节风险评估工具第四节风险测量准则4

第三章风险评估数据资产第一节风险评估的数据资产范围及数据样例。4

第四章数据应用场景描述第一节系统情况第二节系统之间的图表4

第五章识别数据威胁列表第一节数据威胁评价4

第六章识别脆弱性列表第一节安全措施列表，

第二节脆弱性可利用性第三节脆到性影响严重程度△第七章风险评估结果4

第一节风险列表(威胁源/脆弱点成对出现)

…

风险数量及描述威胁源及对应脆弱点第二节可能性及评价影响第三节可降低风险的推荐的控制措施。4

第八章总结第一节风险的总和第二节风险概述及风险等级第三节风险控制措风险评估报告03组织建设组织的建设是保证数据安全的必要手段，应考虑是否设立数据安全保护组织，以完成数据安全保护目标。01合规要求组织制定的风险处置措施应符合相关法律法规需求。业务需求数据风险评估的目的是保证组织业务的完整运行，风险处置措施应也和业务需求制定。风险处置制度流箱必要的制度和规范的流程是保障人员执行数据安全要求

的兼素之一其中包括数据安全方针和目标、数据安全管理策

略数据安全管理力法、数据安全操作指引和相关模板等工具数据安全不仅仅需要考虑管理手段，配套的技术和工具也是需要考量的其中包括信息系

统、加密算法、工具等。人员人员是执行以正手段的必要要素之一，可以通过招聘或培训的方式提升人员数据安全保障能力

。风险处置措施控制风险实施有效控制降低威胁发生的现实可能性和造成的影响将风险降低到可以接受的等级包括减少威胁，即通过有效实施风险控制措施避免威胁发生，从而保

护信息资产减少脆弱点即通过有效实施风险控制措施减少脆弱点。如采取适当的技术措施对员工实施安全教育培训强化员工的安全意识和安全操作能

力；降低影响，即通过预防性措施降低威胁发生后可能造成的损失。如对重要信息的备份、制定业务连续性计划等。转嫁风险将风险全部或部分地转移到其他责任方，如通过购买保险或外包等方式将风险转移给他方。避免风险远离风险环境或采取与风险环境相隔离的措施。如将有高安全要求的设备或业务活动设置在高安全区中，增加特殊防护手段防止设备或业务活动遭受威胁

的影响。接受风险接受风险的决策风险处置残余风险评估·残余风险评估的目的是对数据安全仍存在的残余风险进行识别、控制和管理。如某些风险在完成了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应

考虑进一步增强相应的安全措施。对于已完成安全加固措施的数据，为确保安全措施的有效性，可进行残余风险评估，评估流程及内容应做有针对性的剪裁。

·

残余风险评估实施应遵循：

·a)依据组织的风险评估准则进行残余风险评估，判断是否已经降至可接受水平，为风险管理·b)残余风险仍处于不可接受的风险范围内，则应由管理层依据风险接受原则考虑是否接受此类风险或增加更多的风险控制措施；应定期开展残余风险再评估，评估结果应作为风险管理重提供输入；要输入。卡业务数据流程简图服务器据分外网业务数据库前台网报平台在线预约请求短信码短信验证平台响应短

信码核心业务数据人证服务器前台险证

核心业务数据库水久保存构建数据地图运程能护Internet运维服务杰她摆玄运维服务

业务流水报平台厂份式脚备器露左短信验证平台

即时数据认证服务器临时数据外网业务数据库去标识化数据物钾边界本地缓存(

人即时数据永久保存投诉处理

分类分级基础评估要点应急响应

合规评估解读《工业和信息化领域数据安全管理办法》合作方管理安全审计机构人员教