首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

基于数据安全的风险评估(一):数据资产识别、脆弱性识别

数据资产识别 现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估...本文产生的目就是希望解决如上一系列数据安全风险评估疑问,尽可能从资产识别、威胁分类、脆弱性识别风险计算、处置建议等5个环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体系化建设。...第一章为资产识别,资产是安全保护的对象,是风险评估的主体,资产的识别是理清内容、看透价值的重要手段,只有准确的资产识别,才能产生有意义的风险评估报告。...资产登记示例图 ● 脆弱性识别 数据资产识别风险评估的开始,而脆弱性是对一个或多个资产弱点的集合,脆弱性识别也可称为弱点识别,而该弱点是资产本身存在的,如果没有威胁利用,单纯的弱点不会引发安全事件。...数据脆弱性识别示例 二 识别方式 常见主要识别方法有问卷调查、工具检测、人工核查、文档查阅、渗透测试等,不同环节、不同场景下择优选择,本篇主要介绍工具检测,即数据库漏洞扫描系统。

8.4K61

基于数据安全的风险评估(二):数据资产威胁性识别

拥有多年数据治理、数据安全相关工作经验。 ?...一 威胁来源 在对威胁进行分类前,首先需要考虑威胁来源,威胁来源包括环境因素及人为因素,环境因素包括:断电、静电、温度、湿度、地震、火灾等,由于环境因素是共性因素(信息系统评估与数据安全品评估),本篇不过多做介绍...数据威胁示例图 一 脆弱性识别内容 资产脆弱性包括管理型与技术型两大类。技术脆弱性主要涉及数据库(结构化,关系型和非关系型)及网络层和主机层(非结构化,DLP检测)。...数据脆弱性识别示例 二 威胁识别与分类 威胁识别风险评估过程中至关重要,威胁识别的准确性直接影响识别风险评估及后续的安全建设方向,所以丰富的数据威胁识别内容或分类,影响整体风险评估质量。...威胁等级划分示例图 下章介绍数据资产风险分析及综合风险评估分析(结合资产识别、威胁识别、脆弱性识别风险),主要包括风险计算、风险判定及综合风险分析表。

2.5K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    数据库在资债管理和流动性风险管理以及交叉风险识别与计量中的应用

    交叉风险识别与计量中,图数据库的应用能够帮助发现以下关键信息:节点之间的关联关系:图数据库可以存储和分析节点之间的关联关系,例如人与人之间的社交关系、公司与公司之间的合作关系等。...通过分析这些关系,可以发现隐藏在数据背后的模式和趋势。关键节点的识别:图数据库可以识别出关键节点,即对整个网络结构具有重要影响力的节点。通过识别关键节点,可以发现潜在的风险点和关键决策点。...群体结构的分析:图数据库可以分析群体结构,即节点之间形成的社区或群组。通过分析群体结构,可以发现不同群体之间的联系和影响,从而识别风险传递的路径和影响的范围。...风险识别与预测:基于分析结果,识别出潜在的风险点和关键节点,并进行风险评估和预测。可以利用机器学习算法建立模型来预测风险的发生概率。...通过图数据库的应用和分析方法,可以更加全面地理解交叉风险和计量问题,从而有效地进行风险识别和管理。

    27141

    十二行代码教你搞定写表事务处理,数据管理更专业

    VFP表事务处理,表是指本地表和远程表同时加上事务,这样本地表和远程表,要么同时成功,要么同时失败。...事务是为了保证所处理数据的完整性,如n个相关表被同时修改,在保存数据时,要么全部保存,要么都不保存,这只有用事务来实现。 举例: 入库单增加了一个物料,库存表的相应也应该增加。...如果入库单保存成功,库存表没有保存成功,便会出现数据不一致。而加上事务之后,如果库存表没有保存成功,入库单的数据也会回滚,便不保存。...VFP表事务 Begin Transaction &&临时表事务 Try SQLSetprop(nDatasource,'transactions',2) &&手动事务处理

    3.3K20

    数据库修改密码风险高,如何保证业务持续,这几种密码活方案可以参考

    乍一看是个“不合理”的需求,数据库层面我们遵从安全规范来修改密码,我们照做就是了,但是显然做这个事情的成本实在太高,而且存在极高的风险,因为防御导致业务不可用带来的损失其实是很大的。...所以最严重的的情况下无非是下面几种: 1)数据库先改密码,应用层后改,已有的长连接依旧可用,但是新连接失败,数据库密码错误超过3次,数据库账号就会被锁定,导致业务不可用。...密码信息在应用层是配置形式,而且是启动自加载的模式,数据库密码是数据字典的基础信息,数据库层面是可以实时变化的,我们要保证业务的持续连接,一种方案就是建立影子账户,这个账户没有实际的数据,只有对等的权限...我们通俗些可以理解为密码,retain current password这个语法只在修改密码的场景中使用,在create user中是不能用的。...identified by 'test_pwd2' retain current password; Query OK, 0 rows affected (0.01 sec) 这个时候就达到了密码活的状态

    1.7K20

    字节跳动安全Ai挑战赛-基于文本和多模态数据风险识别总结

    本次比赛是最近比较火热的多模态比赛,业务和数据比较接近真实场景,任务比较有趣。...1 初赛方案 1.1 赛题描述 抖音APP中的抖音号水印是识别视频搬运的重要依据,很多黑灰产、搬运用户等会给搬运的视频进行低分辨率处理,以逃避搬运审核。根据低分辨率图像识别出该视频中包含的抖音号。...目标检测:用YoloX训练目标检测模型,将检测出来的框用于第三阶段的OCR识别。 OCR:采用CRNN+CTC进行OCR识别。...初赛总结是我们采用常规的思路先定位后识别,由于时间太紧,其他方法没时间尝试 开销太大,应该有不用定位的方法。...赛题指标 得分为百分制,分数越高成绩越好: 2.2 解决方案与思路 数据预处理 (1) 将文本数据中的emoji替换成还有特定含义的字符串,这里“含义”可以通过以下两种方式获取: 基于训练语料,构建每个

    1.7K21

    全链路压测(12):生产压测必不可少的环节

    前言 全链路压测系列到这里,已经是第十二篇文章了,整个系列大概有14篇的样子,预计这个月会更新完毕。...在生产环境开展全链路压测,相对于测试环境来说风险和成本都是比较大的。因此需要一套严格的流程管控和响应机制,以及高效的团队协同体系。...生产压测会暴露很多问题,下面列举一些常见问题: 数据准备不足和数据预热问题; 各团队资源投入度和信息同步问题; 基础的技术平台支撑问题(快速发布、紧急扩容、监控告警); 前期的技术准备和梳理不足(如链路依赖及限流降级熔断措施...发布上线和封版值班 在类似11大促这种大型业务营销活动的稳定性保障时,需要注意如下几个方面: 原则上除了和大促相关的变更,其他需求变更或者配置变更都需要顺延; 活动开始前和业务产品明确封版时间,避免版本发布导致链路依赖的变化...类似11这种大型的业务营销活动,预案也会分前置预案和活动预案以及紧急预案。

    1.9K20

    1秒内审核3万条SQL:如何用规范识别与解决数据风险

    二、如何设定规范,识别并解决变更SQL和业务SQL的风险?...为了确保这些活动的合规与安全,我们构建了一个细粒度的权限体系,这个体系能够精确控制不同用户对不同数据对象的访问权限。...2.3.4 图1 - 表结构变更的风险与挑战 具体操作案例: 例如,当检测到某 SQL 任务意图修改列类型,系统会识别出 MySQL 原生 OnlineDDL 功能无法处理,需借助 NineData OnlineDDL...在提交任务,即安全审核阶段,我们将动态识别出 SQL 可能影响的数据行数。...3、SQL 审核过程中,是如何识别出潜在的性能问题或安全风险的? 4、请问,大批量的数据变更,是否考虑了分批处理和负载均衡? 5、有没有机制来预防或延迟高峰期执行的 DDL 操作?

    35310

    信息系统项目管理案例3

    十二、项目配置管理包含的活动。 1、制定项目配置管理计划; 2、配置标识; 3、配置控制; 4、配置状态报告; 5、配置审计; 6、发布管理和交付。 三十三、项目配置管理流程。...; 11、建立沟通; 12、收集项目或阶段性数据; 13、收集和记录项目经验教训; 14、配备人员,管理已分配到项目中的团队成员; 15、获取、管理、使用分配到项目中的资源; 16、创建、验证、确认项目或阶段性可交付成果...1、分析和识别项目成本的构成科目; 2、为每一个构成科目,估算其成本大小; 3、分析成本估算结果,找出各种替代成本,并协调各成本之间的比例关系。 三十七、项目成本预算的步骤。...1、将项目的总成本按WBS层次,分解到工作包; 2、将工作包成本进一步分解到其所包含的活动上; 3、确定各项活动成本支出时间计划和项目成本预算计划。 三十八、项目风险识别的原则。...1、由粗到细,由细到粗; 2、先怀疑,后排除; 3、排除和确认并重; 4、必要时,进行实验论证; 5、严格界定风险内涵,并考虑各风险因素之间的相关性。 三十九、项目变更控制流程或管理流程。

    1.3K30

    《中华人民共和国网络安全法》分类目录文章标签友情链接联系我们

    第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。...第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序...第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。...第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的...(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

    99050

    云服务市场硝烟起 三雄争霸

    11”带来的购物狂潮余温尚存,“12”又火热来袭,而面对愈演愈烈的促销大战,云市场显然已按耐不住云服务商的热情,各家动作频频,其中以阿里云、天翼云、腾讯云为主要代表,借助岁末年关纷纷推出大幅度优惠促销活动...促销活动包括:全新行业云、续费优惠、1亿元扶持计划,以及重量级神秘大礼; 18日当天8:00-20:00购买云服务器(ECS)/关系型数据库(RDS)还有机会免单等,根据目前官方的消息看,阿里云的本次活动主要以存量客户为主...早在双十一期间,阿里在论坛上就发布公告其双十二活动预告,这次活动还是给阿里云的粉丝不少期待的。...据小编侧面了解,双十二天翼云也会针对四川池推出较为优惠的主机促销活动,预估活动力度在5折左右,另外还有Iphone 、mini的抽奖活动,可谓力度空间。...如果开发者们是将自己的服务迁移到腾讯云上,那么不仅能够降低流量暴增带来的风险,同时也更方便于将自己产品的底层数据在微信、WeChat、QQ、空间、游戏大厅和应用宝上打通,也更利于接入Push功能、支付服务

    37.8K50

    腾讯安全天御获“零售风向标”《2020中国零售品牌数字化转型白皮书》推荐

    然而随着数字化技术在零售行业的渗透,在实现业务采集智能化、信息共享化和支付通用化,升级“人、货、场”三要素互动场景的同时,数字化场景的安全风险延伸至零售业务场景中。...尤其是在节庆、双十一、双十二大促等重要节点,企业面临的安全挑战更为突出。...,帮助业务方在营销风控、金融风控、内容安全等领域预防欺诈识别风险,让品牌把钱花在刀刃上,使每一分优惠都能触达真正的消费者。...在黑灰产防御方面,天御系统以人工智能为核心,以腾讯海量黑灰产数据为基础,利用跨平台数据优势,基于“优码”帮助平台监测、识别各类营销欺诈行为,打造天御活动防刷模型,深入业务场景,识别羊毛党、黄牛党、网赚团伙...从2016年开始,腾讯安全天御与东鹏特饮展开合作,在“开盖赢红包”活动中,基于黑产大数据分析和超强计算能力,实现了盗刷预警、异常访问判断、黑产洗码识别等行为的智能营销风控,既保证了正常消费者权益,又高效打击了大批羊毛党

    1.4K53

    第十一期 | 你抢不到的优惠券

    整个11电商大促活动会持续将近一个月,这也给了互联网黑灰产充分的时间去针对各个电商平台的活动规则和活动流程做深入研究,为后续的营销欺诈活动做好充分准备。...将终端采集的设备指纹信息、用户行为数据等传输给风控系统,通过在风控系统配置相应的安全防控策略,有效地对风险进行识别和拦截。风控维度建议 以下是常见的风控维度:1)设备终端环境检测。...考虑对接手机号风险评分、IP风险库、代理邮箱检测等数据服务,对于风险进行有效识别和拦截。5)算法模型。...处置建议1)静默数据监测识别风险后不即刻实时反馈结果给到用户,由后台统一收集沉淀,并进行用户的标签标注。在后续营销活动中对此类账户进行活动限制。...2)线上实时反馈对识别风险的请求进行实时拦截,直接反馈注册失败等。

    12K30

    央行罚单!金融机构被罚原因揭秘

    《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》有明确的定义:金融机构应当勤勉尽责,建立健全和执行客户身份识别制度,遵循“了解你的客户”的原则,针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易...客户身份识别是反洗钱系列工作的基础,而客户风险评级则为客户身份识别提供指导,只有迈出识别客户有效信息的第一步,才能在后续跟进过程中真正地防范客户的洗钱行为。...根据《反洗钱法》第三十二条规定,金融机构未按照规定履行客户身份识别义务的,由国务院反洗钱行政主管部门或者其授权的设区的市一级以上派出机构责令限期改正;情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事...包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。...顶象从数据、行为、模型、分析多方面,帮助金融核验身份和信息的真伪。

    1.6K20

    腾讯安全天御获“零售风向标”《2020中国零售品牌数字化转型白皮书》推荐

    然而随着数字化技术在零售行业的渗透,在实现业务采集智能化、信息共享化和支付通用化,升级“人、货、场”三要素互动场景的同时,数字化场景的安全风险延伸至零售业务场景中。...尤其是在节庆、双十一、双十二大促等重要节点,企业面临的安全挑战更为突出。...,帮助业务方在营销风控、金融风控、内容安全等领域预防欺诈识别风险,让品牌把钱花在刀刃上,使每一分优惠都能触达真正的消费者。...在黑灰产防御方面,天御系统以人工智能为核心,以腾讯海量黑灰产数据为基础,利用跨平台数据优势,基于“优码”帮助平台监测、识别各类营销欺诈行为,打造天御活动防刷模型,深入业务场景,识别羊毛党、黄牛党、网赚团伙...从2016年开始,腾讯安全天御与东鹏特饮展开合作,在“开盖赢红包”活动中,基于黑产大数据分析和超强计算能力,实现了盗刷预警、异常访问判断、黑产洗码识别等行为的智能营销风控,既保证了正常消费者权益,又高效打击了大批羊毛党

    1K31

    网信办修改《网络安全法》的决定(征求意见稿)公布

    第六十二条  违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的...第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序...第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。...第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的...(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

    1K30

    中国银保监会发布《银行保险机构信息科技外包风险监管办法》

    第八条 银行保险机构应指定信息科技外包风险主管部门,该部门主要职责包括: (一)根据机构总体风险政策和外包战略,制定信息科技外包风险管理策略、制度和流程; (二)统筹信息科技外包风险识别、评估、监测、...第十二条 银行保险机构应当建立信息科技外包活动分类管理机制,针对不同类型的外包活动建立相应的管理和风控策略。信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。...第五章 信息科技外包风险管理 第三十条 银行保险机构应建立并持续完善风险管理制度和流程,充分识别并评估信息科技外包可能产生的风险,包括但不限于: (一)科技能力丧失。...第三十三条 银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段,减少对个别外包服务提供商的依赖...第四十二条 对于经监管评估、监督检查或现场核查风险较高的信息科技外包服务,银保监会及其派出机构可以对银行保险机构采取风险提示、约见谈话、监管质询、要求暂缓和停止相关外包活动等措施。

    1.1K30

    购物节火热大促,零售电商如何做好安全防护?

    ▼ 视频内容 高危网络攻击倍增 在618、双十一、双十二等年度促销节点,电商平台都在开市的“零点时刻”迎来买家的“蹲点抢购”,往往也是黑灰产集中薅取低折扣商品、大额优惠券的流量巅峰。...应对手段:通过渗透测试、资产核查、风险评估、修复指导以及7x24小时安全专家驻场值守与应急响应,帮助客户提升抵御流量巅峰时期密集型网络攻击的能力,确保业务流畅进行和核心数据防护。...应对手段:腾讯安全提供渠道推广保护服务,为广告主提升真假流量甄别能力和效率,通过智能AI+大数据,有效评估各渠道流量质量,精准识别由刷量产生的欺诈流量,最大限度地保障广告投入效率和安全。...应对手段:在以直播为代表的营销场景中,针对可能隐藏在视频直播、图片、音频、文本等多种营销形式中的违规内容风险,运用腾讯安全内容安全风控能力,可实时识别涉黄、违法违规、暴力、垃圾广告等内容,以高达99%的准确识别率确保内容合规...应对手段:在用户互动率最高的福利营销场景,腾讯提供活动防刷、注册保护、登录保护、验证码、作弊器识别等五大能力,利用腾讯安全天御独有的智能风控系统和能力,在180毫秒内精准识别羊毛党伪装,并协助零售电商企业根据预先设定的营销策略进行差异化处理

    4.2K51

    解读:“金融数据治理指引”

    区别于一般经营和管控活动数据治理强调的是从企业的高级管理层架构与职责入职,建立企业级的数据治理体系。...强调包括对内、外部数据、监管数据及分支机构数据的包含。 匹配性原则 强调与企业的管理模式、业务规模、风险状况相适应的数据治理架构。 持续性原则 建立长效机制,持续开展数据治理活动。...第二十二条,谈到“应当建立适应监管数据报送工作需要的信息系统,实现流程控制的程序化,提高监管数据加工的自动化程度”。以上均从实施层面,细化了对监管报送工作的要求。...解读6 明确部门、职责、岗位、问责 指引第十二至十四条,指出需设置管理部门并授权来负责数据治理体系建设,同时设置专职岗位落实工作。...同时对极端情况下,对数据的保障提出了明确要求(完整、准确、连续)。 解读10 质量源头抓起,业务数据控制 指引第四章,专门谈及了数据质量问题。

    3K10
    领券