浅谈信息安全服务资产识别与估价方法.docVIP

浅谈信息安全服务资产识别与估价方法 　　摘 要：资产是企业、机构直接赋予了价值因而需要保护的东西。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的信息资产进行科学识别，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。 　　关键词：信息资产 识别 评价方法 　　中图分类号：TP393 文献标识码：A 文章编号：1003-9082（2014）04-0007-02 　　信息资产是指组织的信息系统、其提供的服务以及处理的数据。 　　一、信息资产分类 　　网络设备： 　　一台或一组互备的网络设备，包括网络设备中的硬件，IOS，配置文件数据及其提供的网络服务。包括路由器、交换机、RAS等，防火墙、IDS等安全设备除外。 　　服务器：一台或一组服务器，包括服务器硬件、运行于其上的OS、通用应用、服务，数据库、磁盘阵列等。 　　工作站：客户端用机、个人用机等。 　　安全设备：作为安全用途的硬件和软件，如：防火墙、IDS、AV等。 　　存储设备：提供存储用途的硬件和软件，如：磁盘阵列等。 　　业务系统：指组织为其应用而开发或购买的各类应用软件及其提供的业务服务。 　　二、资产识别过程 　　1.绘制拓扑图 　　资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说，拓扑图越详细，资产识别的精度也就越高。如果系统非常复杂，一张拓扑图很难描述清楚，则应采用多张拓扑图。 　　2.确定业务系统 　　绘制拓扑图以后，通过访谈等方式，确定业务系统，且识别业务系统的功能类型。 　　3.确定第一层保护对象框架 　　3.1根据业务的类型：比如是生产业务，管理支撑业务，还是办公业务等。 　　3.2根据业务的重要性：比如核心区域，非核心区域等。 　　4.确定第二层保护对象框架 　　三、信息资产估价 　　1.资产赋值概述 　　信息资产识别完成后，形成了一个信息资产的清单，但对于大型组织来说，信息资产数目十分庞大，所以需要确认资产的价值和重要性，重点保护关键的、重要的资产，并便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化，因此需要对资产进行估价。 　　2.信息资产估价方法 　　信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。在信息资产估价时，主要对资产的这三个安全属性分别赋予价值，以此反映出信息资产的价值。 　　机密性、完整性和可用性的定义如下： 　　保密性：确保只有经过授权的人才能访问信息； 　　完整性：保护信息和信息的处理方法准确而完整； 　　可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 　　3.半定量化的资产赋值 　　所有资产的机密性、完整性和可用性价值，均划分为5级。其中5代表资产安全性价值最高，1代表资产性价值最低。 　　4.资产赋值方法 　　采用5级标准，较好地反映了资产价值的差异，本文中提出了一套方法，通过将机密性、完整性和可用性的每个值分解为两个相乘的指标，而每个指标均分为三级。从而得出五级安全价值。 　　Xc（资产被暴露时与造成后果之间的关系）可分为下述三级： 　　直接产生后果：即当资产被暴露时，后果既已发生。例如，组织的商业秘密，要求密级的涉密信息，这些信息一旦被暴露，后果随之发生，无法挽回。 　　容易产生后果：当资产被暴露时，后果非常容易发生。例如当操作系统的超级用户口令失密时，如果获知者无恶意，后果可能不会发生，但是如果获知者具有恶意，那么后果非常容易发生。 　　可能产生后果：当资产被暴露时，后果有可能会发生，但离后果发生仍存在一定距离。例如某客户端软件被盗用，在没有得到服务器验证口令之前，后果仍未造成。 　　Yc（后果对组织的损害程度）包括下述三种情况：严重损害，中等损害，轻度损害. 　　4.2完整性赋值 　　整体不可用：当资产不可用时，业务系统即不可用。例如，服务器当机，主干网络瘫痪等。 　　局部不可用：当资产不可用时，业务系统局部不可用。例如局部网络瘫痪，网络阻塞等。 　　个体不可用：当资产不可用时，业务系统的某个或某几个客户不可用，例如终端故障，客户机当机等。 　　Ya（该业务系统的关键性程度）包括下述三种情况： 　　核心业务系统；关键业务系统；一般业务系统。 　　5.赋值工作操作方法指南 　　5.1首先对各资产赋值 　　通过对各资产赋值，我们可以获得在同一个区域内核心资产。 　　5.2对保护对象框架赋值 　　通过对保护对象框架进行赋值，可以同一层保护对象框架内的核心保护对象框架。保护对象框架赋值除了要考虑其所属资产的价值，还要综合考虑到其框