1、1浅谈信息安全服务资产识别与估价方法摘 要:资产是企业、机构直接赋予了价值因而需要保护的东西。它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的信息资产进行科学识别,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。 关键词:信息资产 识别 评价方法 中图分类号:TP393 文献标识码:A 文章编号:1003-9082(2014)04-0007-02 信息资产是指组织的信息系统、其提供的服务以及处理的数据。 一、信息资产分类 网络设备: 一台或一组互备的网络设备,包括网络设备中的硬件,IOS,配置
2、文件数据及其提供的网络服务。包括路由器、交换机、RAS 等,防火墙、IDS 等安全设备除外。 服务器:一台或一组服务器,包括服务器硬件、运行于其上的 OS、通用应用、服务,数据库、磁盘阵列等。 工作站:客户端用机、个人用机等。 安全设备:作为安全用途的硬件和软件,如:防火墙、IDS、AV 等。 存储设备:提供存储用途的硬件和软件,如:磁盘阵列等。 2业务系统:指组织为其应用而开发或购买的各类应用软件及其提供的业务服务。 二、资产识别过程 1.绘制拓扑图 资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说,拓扑图越详细,资产识别的精度也就越高。如果系统非常复杂,一张拓扑图
3、很难描述清楚,则应采用多张拓扑图。 2.确定业务系统 绘制拓扑图以后,通过访谈等方式,确定业务系统,且识别业务系统的功能类型。 3.确定第一层保护对象框架 3.1 根据业务的类型:比如是生产业务,管理支撑业务,还是办公业务等。 3.2 根据业务的重要性:比如核心区域,非核心区域等。 4.确定第二层保护对象框架 三、信息资产估价 1.资产赋值概述 信息资产识别完成后,形成了一个信息资产的清单,但对于大型组织来说,信息资产数目十分庞大,所以需要确认资产的价值和重要性,重点保护关键的、重要的资产,并便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化,因此需要对资产进行估价。 2.信息资产估价方
4、法 3信息资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。在信息资产估价时,主要对资产的这三个安全属性分别赋予价值,以此反映出信息资产的价值。 机密性、完整性和可用性的定义如下: 保密性:确保只有经过授权的人才能访问信息; 完整性:保护信息和信息的处理方法准确而完整; 可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 3.半定量化的资产赋值 所有资产的机密性、完整性和可用性价值,均划分为 5 级。其中 5代表资产安全性价值最高,1 代表资产性价值最低。 4.资产赋值方法 采用 5 级标准,较好地反映了资产价值的差异,本文中提出了一套方法,
5、通过将机密性、完整性和可用性的每个值分解为两个相乘的指标,而每个指标均分为三级。从而得出五级安全价值。 Xc(资产被暴露时与造成后果之间的关系)可分为下述三级: 直接产生后果:即当资产被暴露时,后果既已发生。例如,组织的商业秘密,要求密级的涉密信息,这些信息一旦被暴露,后果随之发生,无法挽回。 容易产生后果:当资产被暴露时,后果非常容易发生。例如当操作系统的超级用户口令失密时,如果获知者无恶意,后果可能不会发生,但是如果获知者具有恶意,那么后果非常容易发生。 4可能产生后果:当资产被暴露时,后果有可能会发生,但离后果发生仍存在一定距离。例如某客户端软件被盗用,在没有得到服务器验证口令之前,后果
6、仍未造成。 Yc(后果对组织的损害程度)包括下述三种情况:严重损害,中等损害,轻度损害. 4.2 完整性赋值 整体不可用:当资产不可用时,业务系统即不可用。例如,服务器当机,主干网络瘫痪等。 局部不可用:当资产不可用时,业务系统局部不可用。例如局部网络瘫痪,网络阻塞等。 个体不可用:当资产不可用时,业务系统的某个或某几个客户不可用,例如终端故障,客户机当机等。 Ya(该业务系统的关键性程度)包括下述三种情况: 核心业务系统;关键业务系统;一般业务系统。 5.赋值工作操作方法指南 5.1 首先对各资产赋值 通过对各资产赋值,我们可以获得在同一个区域内核心资产。 5.2 对保护对象框架赋值 通过对保护对象框架进行赋值,可以同一层保护对象框架内的核心保护对象框架。保护对象框架赋值除了要考虑其所属资产的价值,还要综合考虑到其框架内业务系统、数据及文档、组织和人员、物理环境等因素。 5业务系统的资产赋值与其映射的保护对象一致。
