諸葛理繡　周　晨　葉麗君

摘 要:信息資產(chǎn)識別是信息安全風(fēng)險評估工作的核心環(huán)節(jié)。文中提出了基于信息系統(tǒng)架構(gòu),涵蓋信息安全相關(guān)的所有資產(chǎn)的一個參考分類框架,在此基礎(chǔ)上分析信息資產(chǎn)之間的依存關(guān)系和依存程度,然后依據(jù)依存程度識別信息資產(chǎn)的安全價值。評估者以此為工具識別信息資產(chǎn)時,可以做到清晰、規(guī)范和全面。

關(guān)鍵詞:信息資產(chǎn) 風(fēng)險評估 信息系統(tǒng)架構(gòu) 安全價值

中圖分類號:TP309.08文獻(xiàn)標(biāo)識碼:A 文章編號:1673-8454(2009)19-0080-03

一、引言

隨著信息技術(shù)在社會各個領(lǐng)域的廣泛應(yīng)用,政府部門、金融機(jī)構(gòu)、企事業(yè)單位及各經(jīng)濟(jì)組織等對信息系統(tǒng)的依賴程度日益增強(qiáng),信息安全問題受到普遍關(guān)注。作為信息系統(tǒng)建設(shè)過程中不可或缺的技術(shù)手段,信息安全風(fēng)險評估就是從風(fēng)險管理角度,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生對信息資產(chǎn)可能造成的危害程度,提出有針對性的防護(hù)對策和整改措施,將風(fēng)險控制在可接受的水平,從而為最大限度地保障信息安全提供科學(xué)依據(jù)。

信息安全風(fēng)險評估工作中,信息資產(chǎn)、威脅、脆弱性是三大主要風(fēng)險因素。信息資產(chǎn)作為衍生出脆弱性的母體、威脅的作用對象,使得信息資產(chǎn)識別成為信息風(fēng)險評估工作的核心環(huán)節(jié),因此信息資產(chǎn)識別的正確性和準(zhǔn)確性對于其他各風(fēng)險要素及其綜合評估至關(guān)重要。

信息資產(chǎn)能夠以多種形式存在,有無形的、有形的,有硬件、軟件,有文檔、代碼,也有服務(wù)、形象等。通常,信息資產(chǎn)識別者要么利用自身掌握的概念和知識來識別相應(yīng)信息系統(tǒng)范圍內(nèi)的信息資產(chǎn),并自定義其分類,如按數(shù)據(jù)、資產(chǎn)重要性等分類;要么采用BS7799及國家標(biāo)準(zhǔn)GB/20984基于資產(chǎn)表現(xiàn)形式的分類方法來識別評估范圍內(nèi)的信息資產(chǎn)。就前者而言,不同的資產(chǎn)識別者出于理解和能力的差別,對給定的對象范圍會得出不同的信息資產(chǎn)分類及清單,如僅列出技術(shù)方面的信息資產(chǎn),而忽略管理方面的信息資產(chǎn),導(dǎo)致信息資產(chǎn)識別的偏頗或不完整;此外,由于沒有統(tǒng)一的分類標(biāo)準(zhǔn),資產(chǎn)定義和分類因人而異,可能會導(dǎo)致評審人員交流和溝通上的困難。而就后者而言,在按照上述分類方法實(shí)施信息資產(chǎn)分析時,由于某些資產(chǎn)之間聯(lián)系緊密,導(dǎo)致這些信息資產(chǎn)某些安全屬性上存在重疊部分,然而對這些信息資產(chǎn)在安全屬性上分別進(jìn)行價值賦值,直接導(dǎo)致這些信息資產(chǎn)安全價值重復(fù)賦值,嚴(yán)重影響評估結(jié)果的準(zhǔn)確度。例如,對于應(yīng)用服務(wù)器,包括服務(wù)器硬件、操作平臺及針對應(yīng)用的相關(guān)服務(wù),它們之間結(jié)合十分緊密,是以一個整體為業(yè)務(wù)提供服務(wù)的,無論是硬件故障,還是操作平臺或服務(wù),因惡意代碼影響都會造成信息系統(tǒng)運(yùn)行中斷或拒絕服務(wù),使得業(yè)務(wù)數(shù)據(jù)的可用性受到影響,如果在可用性上分別為應(yīng)用服務(wù)器硬件、軟件和服務(wù)賦值,等于直接擴(kuò)大了應(yīng)用服務(wù)器在可用性的價值。所以,對于應(yīng)用服務(wù)器,從安全需求和控制措施上,沒有必要將它們分別考慮。

針對上述問題,本文提出一個利用信息系統(tǒng)架構(gòu)進(jìn)行信息資產(chǎn)分類,梳理各信息資產(chǎn)在機(jī)密性、完整性、可用性等安全屬性之間的依存關(guān)系,然后依據(jù)信息資產(chǎn)依存關(guān)系對這些信息資產(chǎn)進(jìn)行安全價值評價。

二、基于信息系統(tǒng)架構(gòu)進(jìn)行信息資產(chǎn)分類和關(guān)系識別

1.信息系統(tǒng)的基本架構(gòu)

從技術(shù)角度分析,構(gòu)成信息系統(tǒng)的要素包括:

(1)業(yè)務(wù)數(shù)據(jù),這里包括信息系統(tǒng)中存儲、處理傳輸?shù)碾娮訑?shù)據(jù),存儲在備份介質(zhì)中的電子數(shù)據(jù)以及通過信息系統(tǒng)中輸出的紙質(zhì)數(shù)據(jù)等。

(2)應(yīng)用平臺,主要指的是基于業(yè)務(wù)邏輯和處理業(yè)務(wù)的應(yīng)用系統(tǒng)。

(3)計(jì)算基礎(chǔ)結(jié)構(gòu),主要包括網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)、運(yùn)行的基礎(chǔ)環(huán)境等。

(4)其他數(shù)據(jù)載體,主要指備份數(shù)據(jù)的存儲介質(zhì)。

(5)組織和制度,主要指系統(tǒng)管理員及業(yè)務(wù)用戶、有關(guān)業(yè)務(wù)目標(biāo)的操作規(guī)程以及信息系統(tǒng)的安全管理制度等。

依據(jù)各要素之間的邏輯支撐關(guān)系,其架構(gòu)圖如圖1所示。

2.信息資產(chǎn)分類

如表1所示,一級分類將資產(chǎn)分為業(yè)務(wù)數(shù)據(jù)、應(yīng)用平臺、存儲介質(zhì)、組織與制度、主機(jī)平臺、網(wǎng)絡(luò)平臺、基礎(chǔ)環(huán)境7大類別。業(yè)務(wù)數(shù)據(jù)包括電子業(yè)務(wù)數(shù)據(jù)、其他介質(zhì)業(yè)務(wù)數(shù)據(jù)、操作規(guī)程3個二級分類。計(jì)算基礎(chǔ)設(shè)施是信息系統(tǒng)的技術(shù)基礎(chǔ)設(shè)施,具體包括主機(jī)平臺、網(wǎng)絡(luò)平臺、基礎(chǔ)環(huán)境等3個一級分類。其中,主機(jī)平臺又包括客戶機(jī)、應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器、外部設(shè)備4個二級分類。網(wǎng)絡(luò)平臺包括PDS、交換機(jī)、路由器、網(wǎng)絡(luò)安全設(shè)備4個二級分類?；A(chǔ)環(huán)境包括計(jì)算場所、電力保障、空調(diào)等6個二級分類。應(yīng)用平臺是運(yùn)營業(yè)務(wù)數(shù)據(jù)的信息系統(tǒng)應(yīng)用軟件,包括應(yīng)用軟件、程序代碼及相關(guān)技術(shù)文檔3個二級分類。存儲介質(zhì)指的是業(yè)務(wù)數(shù)據(jù)在應(yīng)用平臺外的保存方式,包括業(yè)務(wù)數(shù)據(jù)的備份介質(zhì)及紙質(zhì)記錄2個二級分類。組織與制度指的是系統(tǒng)的組織和制度方面的保障,包括系統(tǒng)管理員、普通用戶、業(yè)務(wù)合作方、管理制度4個二級分類。

在評估過程中,基于信息系統(tǒng)架構(gòu)的信息資產(chǎn)分類,關(guān)鍵是將受評單位的各種業(yè)務(wù)識別出來,并進(jìn)行邊界確認(rèn),然后進(jìn)行比較和決策,確定業(yè)務(wù)優(yōu)先級,最后根據(jù)該分類方法區(qū)分信息資產(chǎn)。在評估實(shí)務(wù)中,信息資產(chǎn)分類框架的內(nèi)容和級別數(shù)目可根據(jù)行業(yè)或機(jī)構(gòu)的不同有所區(qū)別。一般而言,高層的分類內(nèi)容基本是一致的,越往底層其分類內(nèi)容越反映行業(yè)或機(jī)構(gòu)的特點(diǎn)。另外,所評資產(chǎn)的分類級別數(shù)目有時不易過細(xì)。比如說,表1中的客戶機(jī)在三級分類中可以進(jìn)一步分為計(jì)算機(jī)硬件、操作系統(tǒng)及相關(guān)技術(shù)文檔三類。在實(shí)務(wù)中,它們特別是硬件和操作系統(tǒng)是以整體向上面應(yīng)用平臺和用戶提供支撐和服務(wù)的,如果分別考慮,它們在安全屬性上存在重疊(如可用性),接下來對這些資產(chǎn)分別進(jìn)行安全價值賦值,會導(dǎo)致安全 價值重復(fù)賦值,嚴(yán)重影響評估結(jié)果的準(zhǔn)確度?；谛畔⑾到y(tǒng)架構(gòu)的資產(chǎn)分類框架非常便于各受評單位自評層面上的信息資產(chǎn)識別與管理,表1提出的信息資產(chǎn)分類框架可在評估實(shí)踐中產(chǎn)生、確定和規(guī)范化。

3.信息資產(chǎn)關(guān)系分析

事實(shí)上,信息資產(chǎn)是有機(jī)結(jié)合和協(xié)同工作的,是以整體方式來實(shí)現(xiàn)受評單位業(yè)務(wù)目標(biāo)的。因此,信息資產(chǎn)之間必然存在著依存關(guān)系。這種“依存”關(guān)系有三層含義:(1)被依賴方“承載”依賴方,如計(jì)算基礎(chǔ)設(shè)施各類資產(chǎn)承載上層的應(yīng)用平臺資產(chǎn),應(yīng)用平臺及存儲介質(zhì)類資產(chǎn)承載上層的業(yè)務(wù)數(shù)據(jù)資產(chǎn),而在計(jì)算基礎(chǔ)設(shè)施中,基礎(chǔ)環(huán)境類資產(chǎn)承載上面的網(wǎng)絡(luò)平臺類資產(chǎn)等;(2)被依賴方對業(yè)務(wù)目標(biāo)的貢獻(xiàn)通過上面的依賴方來實(shí)現(xiàn);(3)依賴方資產(chǎn)的安全屬性價值通過這條鏈傳遞給被依賴方。

為此,我們可以從業(yè)務(wù)目標(biāo)出發(fā),根據(jù)信息系統(tǒng)架構(gòu),依托信息資產(chǎn)之間的依存關(guān)系,形成業(yè)務(wù)目標(biāo)為根節(jié)點(diǎn)的資產(chǎn)關(guān)系圖。圖2給出了結(jié)合信息系統(tǒng)架構(gòu)的各信息資產(chǎn)基本依存關(guān)系圖。當(dāng)然,在評估實(shí)務(wù)中,可以以更高的資產(chǎn)分類級別和具體的信息資產(chǎn)進(jìn)行細(xì)劃。

三、信息資產(chǎn)價值評價

通常,信息資產(chǎn)的機(jī)密性、完整性和可用性是公認(rèn)的能夠反映信息資產(chǎn)安全屬性的三個要素。信息資產(chǎn)安全屬性的不同也決定了其信息價值的不同。信息資產(chǎn)不僅要考慮資產(chǎn)的經(jīng)濟(jì)價值,更要考慮資產(chǎn)的安全狀況對系統(tǒng)或組織的重要性。信息系統(tǒng)的安全價值可以用信息系統(tǒng)及其信息資產(chǎn)安全屬性缺失時造成的影響來表示,這種影響可能造成某些資產(chǎn)的損害甚至危及信息系統(tǒng),也可能導(dǎo)致經(jīng)濟(jì)利益、市場份額、組織形象的損失。實(shí)務(wù)上,各信息資產(chǎn)在各安全屬性上的安全價值可以參考信息資產(chǎn)的依存關(guān)系來評估,具體過程可以分為:(1)根據(jù)信息資產(chǎn)關(guān)系圖,評估各信息資產(chǎn)在各安全屬性上的依存程度;(2)沿著信息資產(chǎn)依存關(guān)系圖及依存程度,按照一定的原則決定鏈上的每一信息資產(chǎn)在各安全屬性上的安全價值。

1.依存程度界定

事實(shí)上,信息資產(chǎn)安全屬性缺失時造成的影響主要通過信息資產(chǎn)的依存關(guān)系由下向上得到體現(xiàn)的;反之,信息系統(tǒng)所承載業(yè)務(wù)的價值通過依存關(guān)系由上向下傳遞給相應(yīng)的資產(chǎn)。為此,在分析信息資產(chǎn)依存關(guān)系時,我們可以如圖3所示,分別以機(jī)密性、完整性和可用性及依存程度(如采用高、中、低三個等級)來進(jìn)一步描述依存關(guān)系。

當(dāng)然,在具體實(shí)務(wù)中,可以針對具體的信息系統(tǒng)及其承載的業(yè)務(wù)目標(biāo),選擇合適的資產(chǎn)分類級別,畫出各安全屬性(機(jī)密性、完整性和可用性)更為詳實(shí)的體現(xiàn)依存程度的信息資產(chǎn)關(guān)系圖。

2.信息資產(chǎn)賦值

雖然依賴方資產(chǎn)(上層)的安全屬性價值是通過依存關(guān)系這條鏈傳遞給被依賴方(下層),但是處于上層的依賴方資產(chǎn)的安全價值不一定等價傳遞給被依賴方。這取決于針對各安全屬性,它們上下層資產(chǎn)之間的依存程度;更取決于下層對最上層的業(yè)務(wù)目標(biāo)的貢獻(xiàn)程度。

首先評價業(yè)務(wù)目標(biāo)最直接依賴資產(chǎn)在各安全屬性上的安全價值。如圖3所示,在安全屬性為可用性時,電子業(yè)務(wù)數(shù)據(jù)、業(yè)務(wù)操作規(guī)程和非電子業(yè)務(wù)數(shù)據(jù)的可用性方面的安全價值可以直接用上下層的依存程度來表示,分別為高(數(shù)值取3)、中(數(shù)值取2)、低(數(shù)值取1)。

評價業(yè)務(wù)目標(biāo)最直接依賴資產(chǎn)的安全價值后,就可沿著資產(chǎn)依存鏈,根據(jù)在各安全屬性上的依存程度,按照取小原則和雙低為零原則逐一評價該資產(chǎn)在該條鏈上的安全價值。如圖3所示,電子業(yè)務(wù)數(shù)據(jù)在可用性方面的安全價值為高(數(shù)值為3),而電子業(yè)務(wù)數(shù)據(jù)、管理人員及制度之間在可用性方面的依存程度為中(數(shù)值為2),則管理人員及制度在可用性方面的安全價值為2,即取3和2的最小值。另外,對于紙質(zhì)記錄而言,上層的非電子業(yè)務(wù)數(shù)據(jù)在可用性方面的安全價值為1,而紙質(zhì)記錄和非電子業(yè)務(wù)數(shù)據(jù)之間在可用性方面的依存程度為低(數(shù)值為1),按照雙低為零原則,紙質(zhì)記錄在可用性方面的安全價值為0。

另外,對于某一信息資產(chǎn)上層存在多個依賴方時,可以按照最大原則給該資產(chǎn)賦值。如圖3所示,對于應(yīng)用平臺而言,在上層中有依存關(guān)系的資產(chǎn)包括電子業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)操作規(guī)程,電子業(yè)務(wù)數(shù)據(jù)在可用性方面的安全價值是3,業(yè)務(wù)操作規(guī)程在可用性方面的安全價值是2,按照最大原則,應(yīng)用平臺在可用性方面的安全價值取MAX(3,2),即為3。

實(shí)際上,某些信息資產(chǎn)可能承載多個信息系統(tǒng)。這時,我們只需分別將它置于所承載的信息系統(tǒng)中,按照上述方法將其各安全屬性的安全價值進(jìn)行賦值,然后按照最大原則或累加原則綜合即可,這里就不贅述了。

參考文獻(xiàn):

[1]GB/20984.信息安全風(fēng)險評估規(guī)范[S].

[2]范紅,馮登國,吳亞非.信息安全風(fēng)險評估方法與應(yīng)用[M].北京:清華大學(xué)出版社,2006:34-38.

[3]陳偉.信息資產(chǎn)分類與控制[J].中國計(jì)算機(jī)用戶,2004(18).

[4]傅鸝,劉嘉偉,周賢林.基于業(yè)務(wù)的信息資產(chǎn)識別方法[J].通信技術(shù),2007,40(12).

[5]閔京華.信息安全的資產(chǎn)評估方法[J].信息網(wǎng)絡(luò)安全,2006(1).

(編輯:金冉)