- 综合排序
- 最热优先
- 最新优先
- 来自专栏渗透云笔记
基于数据安全的风险评估(三):风险分析与评估
风险处置目的是以减少脆弱性或降低安全事件发生的可能性。 四 风险评估 风险处置完毕后应进行风险再评估,以判断实施安全措施后的残余风险是否已经降到了可接受水平。 一般风险评估方式分为自评估和检查评估两类。 自评估:由组织发起,以发现系统现有弱点,实施安全管理为目的。 适用于对自身进行安全风险识别和评价,并选择合适的风险处置措施,降低评估资产的安全风险,定期性的评估可纳入数据安全管理规范及管理办法中。 数据生命周期内数据审计、脱敏检查; 五 总结 数据安全风险评估与信息系统的风险评估应是子与父的关系,数据安全风险评估可融合其中也可独立与已有风险评估体系之外运转。 风险评估流程示例图 基于数据安全的风险评估分四个部分已全部介绍完毕,写该系列文章其意义是发现业界没有针对数据层面进行风险评估体系化文章,所以利用自身数据安全经验,查阅了相关标准完成了以数据为中心的风险识别框架
3.5K41发布于 2020-03-12 - 来自专栏用户8715145的专栏
主机安全风险评估的类型 评估工具
在实际使用中难免会遇到一些病毒,所以大家采购时会有一些主机安全风险评估,会选择一些相对平稳的主机,以免后期运用造成数据的丢失和工作效率低下的问题。 那么主机安全风险评估有哪些种类,和怎么控制风险的发生呢,小编给大家整理了一下相关介绍。 安全风险评估和工具 电脑的使用现在已经很普遍了,使用电脑就会有一些隐私的数据,想达到数据的安全以及防止数据的安全性,我们要对主机进行一个安全风险的评估。安全风险评估分为哪些呢? 风险评估一方面是对安全手段的评估,另一方面要对实际安全效果的评估。要想达到这种目的,我们要通过安全扫描、手工检查、渗透测试、安全审计、安全策略等方法进行安全风险评估。 企业更要有安全意识,把基础网络和重要信息的制度输入给员工,结合开展风险评估、应控等形式提高基础网络和信息系统的维护。
1.7K30编辑于 2021-12-03 - 来自专栏网络安全技术点滴分享
网络安全风险评估指南:CISO如何通过风险评估提升安全防护
安全负责人经常被问及当前最大的网络风险,但企业面临的具体风险程度究竟如何?CISO应当能够回答这个问题。通过网络安全风险评估,CISO不仅能识别企业具体风险,还能直观展示工作成果。 这种方式能早期发现风险并采取应对措施,网络安全领域同样如此:定期风险评估能帮助安全团队识别漏洞和优化潜力,但此类评估尚未全面普及。 网络安全风险评估的四大优势CISO将风险评估纳入工作后可获得以下收益:识别漏洞undefined评估帮助企业发现IT基础设施、网络和系统中的安全漏洞,从而在漏洞被利用前及时修复。 满足合规要求undefinedGDPR和PCI DSS等法规明确要求进行风险评估(如数据保护影响评估),帮助企业避免罚款和法律后果。 通过耗时仅2-4小时的数据风险评估,可获得包含可操作建议的详细报告。
35710编辑于 2025-09-28 - 来自专栏网络安全攻防
【SDL实践指南】安全风险评估实施
风险评估准备是整个风险评估过程有效性的保证,由于风险评估受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此在风险i评估实施前应充分做好评估前的各项准备工作。 制定评估方案 风险评估方案是评估工作实施活动总体计划用于管理评估工作的开展,使评估各阶段工作可控并作为评估项目验收的主要依据之一,风险评估方案应得到被评估组织的确以和认可,风险评估方案的内容应包括: 风险评估工作框架:包括评估目标、评估范围、评估依据等 风险评估团队组织:包括评估小组成员、组织结构、角色、责任,如有必要还应包括风险评估领导小组和专家组组建介绍等 风险评估工作计划:包括各阶段工作内、工作成果等 风险规避 风险评估工作自身也存在风险,一是评估结果是否准确有效,能够达到预先目标存在风险,二是评估中的某些测试操作可能给被评估组织或信息系统引入新的风险,应通过以下工作消除或降低评估工作中可能存在的风险 时间特征和环境特征的识别 a) 脆弱性的基本特征包括: 访问路径:该特征反映了脆弱性被利用的路径,包括本地访问、邻近网络访问、远程网络访问 访问复杂性:该特征反映了攻击者能访问目标系统时利用脆弱性的难易程度,可用高、2中
3.2K20编辑于 2023-03-29 - 来自专栏网络安全攻防
【SDL实践指南】安全风险评估规范
实施流程 风险评估的实施流程如下图所示: 风险评估 前期准备 基本概述 风险评估的准备是整个风险评估过程有效性的保证,组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求 、系统规模和结构等方面的影响,因此在风险评估实施前,应该 进行系统调研 确定风险评估的目标 确定风险评估的范围 确定评估依据和方法 组建适当的评估管理与实施团队 获得最高管理者对风险评估工作的支持 确定目标 : a) 风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等 b) 风险评估程序:明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要的 各种资产、威胁、脆弱性识别和判断依据 :对整个风险评估过程和结果进行总结并详细说明被评估对象、风险评估方法、 资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容 i) 风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全 因此每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行,有条件时应采用风险评估工具开展风险评估活动 规划阶段风险评估 规划阶段风险评估的目的是识别系统的业务战略以支撑系统安全需求及安全战略等,规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用
2.9K21编辑于 2023-03-07 - 来自专栏绿盟科技研究通讯
数据脱敏的风险量化评估方案
为了得到风险小且信息损失量小的发布数据集,需在发布脱敏数据集之前应对其进行评估,若评估后的脱敏数据集质量达到用户对数据价值要求同时攻击者很难窃取敏感信息,那么就可以发布。 本文讨论的风险评估算法也是基于匿名化处理数据的风险评估,也适用于其他脱敏算法。 安全隐患样例 图2链接攻击 图2右图是一张某医院收集的病人信息,其中已经抹去了姓名、身份证号等信息)。但是,直接发布这样简单处理的数据并不安全。 (详细描述请参照《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》)。 本文的隐私风险评估方案是基于k匿名后的数据进行评估;于此同时,k匿名技术也是一种比较科学的脱敏方式,因此也适用于其他脱敏处理的结果集。
3.3K30发布于 2021-09-06 - 来自专栏FreeBuf
解读 | 细谈新版企业风险评估模型
今年4月,国家市场监督管理总局(国家标准化管理委员会)批准245项推荐性国家标准和2项国家标准修改单,与信息安全相关标准共10项,均在2022年11月1日开始实施,其中包括《信息安全技术 信息安全风险评估方法 风险评估流程 同样的,新版风评也简化了评估流程,如下图对比可见(这里借用一下威努特推文中的图)。 接下来说一下新版风险评估风险值计算,根据国标给出的流程来推测,仅代表个人观点,供各位参考。 首先,要梳理一下新风评中涉及的要素,如下表 根据新风评标准附录F的解释,风险值计算复杂度增加,总结一下过程就是: (1)识别业务B1,并根据其重要性赋值,设B1=2,B2=3,确定B1和B2业务存在紧密关联 (10)计算业务风险值Rb=(R1,R2,…,Rn),取平均值。 看完文字可能还是有点难理解,用图片再梳理一下这个过程,可能会更清晰一些。 至此,整个风险评估计算过程结束。
5.5K20编辑于 2023-03-30 - 来自专栏FreeBuf
OpenVAS开源风险评估系统部署方案
OpenVAS,即开放式漏洞评估系统,是一个用于评估目标漏洞的杰出框架。 它的评估能力来源于数万个漏洞测试程序,这些程序都是以插件的形式存在。 2. 获取到最新的软件包: apt-get dist-upgrade ? 3. 绿骨安全助手 GSA( Greenbone Security Assistant)是开放漏洞评估系统 OpenVAS(OpenVulnerability Assessment System)的基于网页的用户图形界面 2.脚本的方式 需要三个脚本控制开启和关闭openvas, /etc/init.d/openvas-manager //管理manager服务 /etc/init.d/openvas-scanner
3.5K70发布于 2018-02-24 - 来自专栏CloudBest
Gartner发布云计算安全风险评估 列出7大风险
2008年7月3日消息,据国外媒体报道,研究机构Gartner近日发布一份名为《云计算安全风险评估》的报告,列出了云计算技术存在的7大风险。 亚马逊的EC2和Google的App Engine是典型的云计算平台。Gartner将这种类型的计算定义为“可大规模扩展的IT能力,通过互联网技术向外部客户提供服务”。 Gartner表示,云计算需要进行安全风险评估的领域包括数据完整性、数据恢复及隐私等。此外,还需对电子检索、可监管性及审计问题进行法律方面的评价。以下是Gartner列出的云计算7大风险: ? 1.特权用户的接入 在公司外的场所处理敏感信息可能会带来风险,因为这将绕过企业IT部门对这些信息“物理、逻辑和人工的控制”。 2.可审查性 用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。面对这样的提供商,用户只能用他们的服务做一些琐碎的工作。
2.1K30发布于 2019-08-02 - 来自专栏高防
如何评估数据库的安全风险
2.标准安全和最低权限 等级2适用于数据库和操作系统均按照行业标准和最佳实践进行配置的数据库。 这个等级还要求所有数据库帐户的权限最低,这意味着授予帐户的权限是履行其职责所需的最低权限。 作为等级2要求的一部分,应该努力消除共享帐户。如果存在共享帐户,则不应经常使用它们,并且它们的凭据应保密。 对于内置于数据库中的特权共享帐户,限制使用尤其如此。 监控登录可以降低这种风险。 大多数数据库允许以最小的开销审计登录和失败的登录。实施挑战是通过报告提供对信息的有效审查。 5.基本的SQL审计(DDL&DML) 等级5适用于定期记录、报告和审查高风险SQL活动的数据库。 该要求的目的是对不频繁和高风险的活动实施控制。审核罕见的活动通常不会产生性能开销,并且需要最少的时间投入。实施方面的挑战是允许对活动进行及时有效的审查。
2.5K00编辑于 2022-05-15 - 来自专栏FreeBuf
如何规范有效的进行风险评估?
2.5评估方案 前面都说到了风险评估非常复杂繁琐,评估方案肯定是必须要有的,方案中应包括一下内容: 1)风险评估工作框架:风险评估目标、评估范围、评估依据等; 2)评估团队组织:包括评估小组成员、组织结构 风险评估模型: ? 3.2系统调研 系统调研是确定被评估对象的过程,自评估工作小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。 等级值划分为很高(5)、高(4)、中等(3)、低(2)、很低(1)五个等级。 可以参考如下表格制定《重要资产赋值表》: ? 可以参考以下步骤实施: 1、记录并确认已有的安全措施; 2、现场测试安全措施是否有效; 3、记录查验结果,形成《已有安全措施确认表》 3.7风险分析方法 风险分析小组采用矩阵法计算出风险系数,然后按照《 威胁风险系数计算矩阵: ? 注: 1.本矩阵用来确定威胁的风险系数。 2.矩阵横轴为威胁的影响程度,纵轴为威胁发生的可能性,横纵交点为威胁风险系数。 针对威胁风险系数判断准则: ?
3.3K72发布于 2020-02-20 - 来自专栏云基础安全
Web风险评估:腾讯云Web漏洞扫描
Web漏洞扫描以黑客视角,通过定期扫描,监测、发现Web应用漏洞,并提供修复建议,帮助加强业务系统安全性,大幅减少Web应用漏洞暴露给网站及Web业务带来的风险问题。
6.9K00发布于 2018-09-09 - 来自专栏FreeBuf
以红色警戒2游戏为例:如何开展信息安全风险评估工作
“第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。……”均提到了风险评估的相关工作。 开展网络安全检测和风险评估是关键信息基础设施运营者落实法规要求的重要职责。 GB/T20984-2007中相关的内容相对概念化,本文尝试用直观的方式给大家做一个信息安全风险评估的科普。 ——如果我们把自己管理的系统,当做红警2的一个前进基地的话,我们应该如何做好信息安全风险评估工作? GB/T 20984-2007 中给出了信息安全风险评估工作实施的全流程(如下图)。 信息安全风险评估工作的最重要的目的在于整改和加固现有的系统,那么准确识别现有系统的脆弱性,进一步的查漏补缺是安全评估工作的核心环节。我们来看下面这张图。 结语 以上,就是关于信息安全风险评估的一些基本概念,更详细的实施内容和方法建议大家参考GB/T31509-2015 信息安全技术 信息安全风险评估实施指南。
1.4K20发布于 2021-09-16 如何评估YashanDB的实施风险与挑战?
本文旨在从技术层面系统分析YashanDB实施过程中可能遇到的风险和挑战,为具有一定数据库基础的开发人员和数据库管理员提供专业的评估框架和实践建议。 风险评估应聚焦于以下技术点:网络环境和硬件兼容性:各部署形态间实例通信依赖低延迟、高带宽网络,网络异常或硬件故障可能导致节点不可用甚至数据丢失。 评估时应考量:隔离级别与业务需求匹配:选择不当可能导致幻读、脏读或写冲突,影响数据准确性和业务一致性。 建议的风险评估与实施策略选择适合业务需求的部署架构,充分评估硬件兼容性与网络条件,优先采用标准测试环境验证。 建议企业在部署时结合自身业务特性和技术实力,严密评估各项因素,科学制定实施方案,确保YashanDB数据库在实际项目中的高效、稳定运行。
19110编辑于 2025-10-13- 来自专栏FreeBuf
CARTA:持续自适应风险与信任评估
强调对风险和信任的评估分析,这个分析的过程就是一个权衡的过程,告别传统安全门式允许/阻断的处置方式,旨在通过动态智能分析来评估用户行为,放弃追求完美的安全,不能要求零风险,不要求100%信任,寻求一种0 完美的攻击预防、认证和无懈可击的应用程序是无法实现的,在追求完美的过程中,安全基础设施和流程变得繁琐并受到各种约束,因此降低组织创新的速度 2. 随着新服务/功能的请求、创建、投入运行、修改和最终下线(如图2),这些功能的风险和信任评估应该是连续的、相互交织的。 ? CARTA风险/信任评估应该是主动的(在生产之前,图2的左侧)和被动的(在生产中,图2的右侧)。 如果对DevSecOps有了解,那么对于这里也很容易理解,就是敏捷化的自适应风险和信任评估。 当制定安全决策时,应不断地对其评估,以确保风险/信任在业务所认为不合适的风险级别中得到平衡。
3.2K30发布于 2019-07-30 - 来自专栏绿盟科技研究通讯
绿盟安全风险评估算法体系
在我们看来,想要预防,必须先要有安全风险的评估体系,基于整个网络系统提供的各类基础数据,构建风险评估体系,从这个风险评估体系中,我们可以知道整个系统中,哪个部分是由于自身的脆弱性而容易导致被攻破;哪个部分是由于对外暴露而容易被攻击 本文就是基于国标对安全风险评估的定义,绿盟科技提出如何从定性到定量实现单资产风险评估算法,并在此基础之上,如何构建安全风险分层量化体系,实现不同层级安全域风险的聚合及计算。 一、单资产风险评估算法介绍 国标GB/T 20984-2007中定义的信息安全风险评估规范中只给出了风险评估计算的原理和基础模型,即风险值由威胁值、脆弱性值和资产价值组成并计算,但存在以下问题没有做清晰的定义 2风险量化评估体系 按照木桶权重算法,逐级计算出安全域风险值(包括安全域的脆弱性值及威胁值)和总风险值(包括总脆弱性值及威胁值),体现资产域整体安全风险的最薄弱环节,体系如上图所示: 基于木桶权重算法 基于这个评估体系为我们整个系统带来如下优势: 优势 1. 根据客户定义的不同类型安全域(资产组、地域、组织架构、业务域),可以方便快捷的逐层计算出风险值、威胁值、脆弱性值; 2.
3.3K30发布于 2019-12-11 - 来自专栏Chasays
音频质量评估-2
音频质量评估-1:之前主要学习了音视频的编码和解码原理,和测试音频质量的方法。接下来继续学习下当前 短视频 领域的 视频质量测试方法。 Convert the images to grayscale grayA = cv2.cvtColor(imageA, cv2.COLOR_BGR2GRAY) grayB = cv2.cvtColor (imageB, cv2.COLOR_BGR2GRAY) # 5. 延时 网络因子 --- 带宽, 网络拥塞 除此之外呢,就是对视频画面也就是视频帧观感的评估, 业界有主观和客观的。 这种评估标准适合与线上无原始参考视频序列的无线和IP视频业务,或者输入和输出差异化的模型,比如说视频增强,视频合并等场景 测试框架 目前知晓的有2个,一个 QoSTestFramework,一个是Netflix
1.5K10编辑于 2021-12-06 - 来自专栏AI SPPECH
020_风险评估框架:系统化评估与防范Web3.0环境中的数字资产安全风险
风险识别 → 风险分析 → 风险评估 → 风险应对 → 持续监控 思考问题:您是否曾经评估过自己在Web3.0环境中的资产安全风险?面对众多安全威胁,您如何判断哪些风险需要优先处理? 2. :量子计算威胁、哈希碰撞 扩展性解决方案风险:Layer2、侧链安全隐患 智能合约风险: 代码缺陷:重入攻击、整数溢出 逻辑漏洞:权限控制不当、业务逻辑缺陷 升级机制风险:代理合约漏洞、初始化缺陷 交互风险 , null, 2)); return report; } 5.3 组织风险评估流程 企业和组织在Web3环境中的风险评估需要更加系统化的方法: 准备阶段: 确定评估范围(资产、系统、流程) total_score += normalized_score * weight return round(total_score, 2) 'reentrancy_guards': False, 'role_based_access': True, 'access_control_flaws': 2,
56210编辑于 2025-11-16 - 来自专栏机器学习/数据可视化
模型评估方法-2
评估方法 在实际中,通常需要通过实现对学习器的泛化误差进行评估并进而做出选择。需要使用一个测试集来测试学习器对新样本的判别能力,然后以测试误差近似作为“泛化误差”。 在S上进行训练模型,在T上进行测试和评估误差,作为对泛化误差的估计。注意点: 训练/测试集合的划分应该尽量保持数据分布的一致性,避免因为数据划分过程而引入额外的偏差。 比如S中350个正例,350个反例;T中150个正例,150个反例 即使确定了划分比例之后,不同的划分方法仍然对模型的评估造成缺别。 交叉验证法 现将数据集合D划分成k个大小相似的互斥子集D_1,D_2,…,D_k。每个子集尽量保持数据分布的一致性,即从D中分层采样得到。 交叉验证法评估结果的稳定性和保真性在很大程度上是取决于k值,其最常用的是10,称之为10折交叉验证法。 交叉验证也需要随机使用不同的划分重复p次,最终的评估结果是p次k折验证的平均值。
74810发布于 2021-03-02 - 来自专栏数据科学和人工智能
iDataCoding个人信用风险评估项目正式发布
数据实验楼iDataCoding已发布2周,感谢各位伙伴的喜爱与支持!现在迎来第二个项目上线,欢迎大家体验! http://idatacoding.cn/project_main? project_id=2 个人信用风险评估项目 实训目标 本实训首先读取德国信用数据集,并查看数据的基本统计信息。 然后对数据进行预处理,构建模型并评估。最后对数据进行特征工程,再次构建模型进行训练并评估,查看模型提升后的效果。 通过实训,学生将进一步夯实Python语言的编程能力,掌握Panda库的基本使用,理解基本的数据预处理方法,掌握通过Sklearn库进行分类模型构建以及评估的操作。 由于信贷供应受到了限制,所以银行正日益紧缩其贷款体系,转向机器学习来更准确地识别高风险贷款。通过构建自动化的信用评分模型,以在线方式进行即时的信贷审批能够为银行节约很多人工成本。
2.2K20编辑于 2022-04-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号