行业研究-敏感信息防护评估方法与应用-2010.docxVIP

敏感信息防护评估方法与应用 PAGE - PAGE \* Arabic 1 - ? DATE \@ yyyy \* MERGEFORMAT 2010 绿盟科技 密级： DOCPROPERTY 密级 \* MERGEFORMAT 公开 敏感信息防护评估方法与应用 麦志鹏、叶展均 摘要：本文针对信息系统中敏感信息 敏感信息通常是指若干敏感数据及其相互关系的总和。防护，阐述了“从信息平台分析技术数据流，从业务流程提炼业务数据流，技术、业务双保护实现敏感信息控制”的评估方法和量化 敏感信息通常是指若干敏感数据及其相互关系的总和。 关键词：敏感信息 业务安全 控制指标 概述 如何识别敏感信息泄露风险、衡量和评价敏感信息的控制水平，这是企业解决敏感信息保护问题的前提，也是安全业界面临的一个崭新课题。 数据是信息的载体，且数据在IT系统中是不断流动的，存在着产生、传递、存储、使用、销毁等过程。要实现敏感信息的防护，必须要明确数据的正常流转路径、潜在的泄露途径和位置，进而评价敏感信息泄露的可能性和影响大小，采取有针对性的控制措施。基于上述思想，绿盟科技提出“从信息平台分析技术数据流，从业务流程提炼业务数据流，技术、业务双保护实现敏感信息控制”的评估方法，从数据正常流转的申请、审批、获取、传递、保存和监管等六个环节出发，从信息平台入手分析技术数据流，从业务层面分析敏感信息的业务流程，然后对技术数据流和业务数据流进行综合分析，并对企业敏感信息的控制能力进行评价及选择相应的控制措施，以降低敏感信息泄露的风险。 敏感信息保护评估 评估模型 敏感信息保护评估采用基于业务数据流的方式进行，是建立在业务流程评估的基础上的。 业务流程是以一种或者多种输入为条件，从而为客户创造某种价值输出的活动的集合，具有业务目标、业务规则、业务活动、输入和输出、支撑资源、创造价值等特征。 基于业务流程，通过梳理归纳敏感信息的流转路径，明确业务数据流的接续、数据处理过程，识别敏感信息潜在的泄露途径、位置和控制措施。 评估内容和控制指标 基于评估模型，在对业务承载（支撑）系统深入理解的基础上，主要从数据申请、审批、获取、传递、保存和监管等六个方面来评估敏感信息保护情况。这几个方面覆盖了业务逻辑中的主要数据处理活动，以及业务目标、业务输入、业务输出、业务规则、业务支撑等活动要素。同时，这六个方面也反映了主要敏感信息控制指标。 下面是评估内容及控制指标的细化项： 敏感信息控制指标表 序号 控制流程 控制要求 1 数据申请 有明文化的申请流程 在表单中根据企业的要求明确信息的敏感性 在表单中明确数据使用范围和时间 在表单中明确数据使用者（系统、人员、部门） 数据索取每次都通过申请并记录登记 2 数据审批 有明文化的审批流程 3 数据获取 对于获取数据的类型和级别有进行明文规定 4 数据传递 有明文化的传递流程 5 数据保存 对于系统存储的电子数据的保护程度 6 监督管理 制定了敏感信息的管理和使用规定 成熟度量化和控制指标量化 敏感信息保护模型成熟度参考COBIT的成熟度模型为框架，结合了部分SSE-CMM的内容，对控制项进行控制能力的量化和赋值，具体的控制成熟度量化表如下： 成熟度量化表 量化值 成熟度 成熟度描述 0 没有级别 不存在任何过程，企业没有意识到这个问题。 1 初始级 有证据显示，企业已经意识到问题的存在并需要解决，然而不存在标准化的流程，只是存在一个针对某个具体应用或者具体操作的特定方法，并未组织整体的管理方法。 2 可重复级 不同的人执行相同的任务遵循类似的流程，未就标准化的流程进行正式培训或传达，职责赋予给个人。高度依赖于个人的知识，因此可能会发生错误。 3 定义级 流程已经成为标准化的文件，并通过培训进行传达。然而对于是否遵循该流程要依赖于个人，也不可能检查是否违规。程序本身也不成熟，仅仅是现有惯例的正式化。 4 管理级 可以监控并测量流程的符合度，当流程无法按预期运行时可以采取有效措施。流程正处于不断的改进中，并提供良好的实践作为支撑，以有限的或者零散的方法来使用自动化的解决方案和工具。 5 优化级 基于持续改进和与其他企业成熟度模型比较的结果，已经将流程优化到一个最佳实践的状态，以整合的方式来使用IT来使工作自动化，为改进质量和控制力提供有效工具，并使企业可以快速响应该类问题。 敏感信息控制指标表中一共列出了6大方面及若干个控制项，控制成熟度表中列出了打分的标准，一共分为5个级别，分别描述各个级别控制水平状况。 在量化时，针对每个系统进行逐控制项打分，最后获得平均分加上评估顾问的调节分数即是该项控制的得分。每项得分与该项所占权重经过计算之后便获得最终风险控制水平的分数。 计算公式：L=∑(Wa×La)/∑Wa,a0。 其中：L