●王艷瑋，陳 恒（陜西師范大學(xué) 國際商學(xué)院，西安 710062）

1 引言

信息技術(shù)在給組織帶來益處的同時，也面臨著各種各樣的威脅，在信息安全管理不完善的情況下，頻繁發(fā)生的各種信息安全事件，將給組織和社會帶來巨大的損失。對于信息安全問題，目前業(yè)界已經(jīng)形成了一個共識：信息安全問題是一個動態(tài)的、整體的、持續(xù)性的問題。[1]因此只有通過周期性持續(xù)的信息安全管理活動才能夠有效地降低組織的信息安全風(fēng)險。

信息安全管理的首要工作是信息安全風(fēng)險評估，信息安全風(fēng)險評估是一個面對復(fù)雜系統(tǒng)的綜合評估工作，它貫穿于信息系統(tǒng)的整個生命周期。

信息安全風(fēng)險評估的基礎(chǔ)是信息資產(chǎn)識別，脆弱性及威脅識別都是以資產(chǎn)識別為基礎(chǔ)的。信息資產(chǎn)識別的主要目標是得到對組織有價值的資產(chǎn)明細，也就是得到需要首先和重點保護的資產(chǎn)。資產(chǎn)識別的過程一般經(jīng)歷4個步驟：資產(chǎn)分類—資產(chǎn)信息收集—資產(chǎn)對象識別—資產(chǎn)賦值。[2]

目前流行的資產(chǎn)識別方法有兩種：一種是吳亞非在《信息安全風(fēng)險評估》中提到國外有一種按照經(jīng)濟價值大小的資產(chǎn)識別方法。[2]第二種是傅鵬、劉嘉偉在《基于業(yè)務(wù)的信息資產(chǎn)識別方法》中提到的按照業(yè)務(wù)的資產(chǎn)識別方法。[3]

基于經(jīng)濟價值大小的資產(chǎn)識別在保護組織主觀經(jīng)濟利益方面具有一定的意義，但是該方法忽略了資產(chǎn)對安全的需求。例如有的資產(chǎn)購買經(jīng)濟價值高，但是對業(yè)務(wù)安全的價值卻非常低，如果僅僅依據(jù)經(jīng)濟價值大小來對資產(chǎn)進行識別，將會忽略該項資產(chǎn)的安全需求，因而會給組織業(yè)務(wù)留下安全隱患。所以基于經(jīng)濟價值的信息資產(chǎn)識別方式存在缺陷。

基于業(yè)務(wù)的信息資產(chǎn)識別在資產(chǎn)識別方面不失為一種好方法，但是這種方法過分強調(diào)識別核心業(yè)務(wù)資產(chǎn)的重要性，而忽視非關(guān)鍵業(yè)務(wù)資產(chǎn)。[4]這種識別方法要求我們必須承認一個假設(shè)前提，那就是只有核心業(yè)務(wù)所流經(jīng)的資產(chǎn)對組織才是有價值的。此方法的不足之處是過分看重核心業(yè)務(wù)的信息資產(chǎn)對組織的重要性，這就否認了非關(guān)鍵業(yè)務(wù)存在關(guān)鍵信息資產(chǎn)的可能性，因此會導(dǎo)致將某項信息資產(chǎn)的3個安全屬性中某一安全屬性弱化的可能。例如在國家保密單位，對每項信息資產(chǎn)的保密性要求都很高，但如果按照基于業(yè)務(wù)的資產(chǎn)識別方法，就很有可能忽略這一點，所以這種資產(chǎn)識別方法并不完善。因此，出于以上資產(chǎn)識別方法的缺陷，本文提出基于業(yè)務(wù)流程的信息資產(chǎn)識別方法。

2 基于業(yè)務(wù)流程的信息資產(chǎn)識別及其重要性確定

2.1 信息資產(chǎn)識別

基于業(yè)務(wù)流程的信息資產(chǎn)識別始終堅持業(yè)務(wù)流程—資產(chǎn)分類—資產(chǎn)識別—資產(chǎn)賦值的過程，將業(yè)務(wù)流程貫穿于整個信息資產(chǎn)識別的過程中。

業(yè)務(wù)流程是指完成企業(yè)某一目標（或任務(wù)）而進行的一系列邏輯相關(guān)的活動或作業(yè)集合。業(yè)務(wù)流程具有如下特點：

（1）組織活動與活動的各種關(guān)系構(gòu)成了業(yè)務(wù)流程的過程。（2）過程對輸入進行整理、合并、精簡等加工處理，一般會增加輸入的價值，從而產(chǎn)生對接受者更有價值的輸出。

GB/T20984-2007中，按照表現(xiàn)形式，信息資產(chǎn)主要分為5種：數(shù)據(jù)、軟件、硬件、服務(wù)、人員。[5]進一步分析發(fā)現(xiàn)，硬件和軟件本身并不具備明確的信息價值，它們實質(zhì)上是信息傳遞和信息處理的載體，同時也是對外服務(wù)的基礎(chǔ)；而人員比較特殊，他既是信息的載體，同時也是業(yè)務(wù)的執(zhí)行者。因此，在業(yè)務(wù)活動中，硬件、軟件、人員是服務(wù)與數(shù)據(jù)的支撐者，數(shù)據(jù)和服務(wù)是信息安全保障的核心。

在業(yè)務(wù)流程中，一般而言，數(shù)據(jù)經(jīng)過多個業(yè)務(wù)過程的處理后，會更加有價值。所以數(shù)據(jù)與軟件、硬件和人員相比，明顯的特點就是數(shù)據(jù)具有流動性，其所在的物理位置會隨著相關(guān)業(yè)務(wù)過程而變動；而軟件、硬件、人員由于沒有進一步的處理過程，且其物理位置相對固定。因此，本文將信息資產(chǎn)劃分為位置固定資產(chǎn)與位置變動資產(chǎn)：

（1） 位置固定資產(chǎn)包括：計算機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、傳輸介質(zhì)、存儲設(shè)備、保障設(shè)備、安全保障設(shè)備、應(yīng)用軟件、系統(tǒng)軟件、網(wǎng)絡(luò)通信協(xié)議軟件，人員等。（2）位置變動資產(chǎn)包括：業(yè)務(wù)信息、用戶信息、各種數(shù)據(jù)資料、系統(tǒng)文檔等。

對位置變動資產(chǎn)的識別可以在業(yè)務(wù)流程的初始階段來進行，而對位置固定資產(chǎn)的識別，則需要在業(yè)務(wù)過程的每個業(yè)務(wù)節(jié)點逐一識別（一個業(yè)務(wù)過程至少包含一個業(yè)務(wù)節(jié)點），且在業(yè)務(wù)節(jié)點所屬的業(yè)務(wù)過程將形成不同的位置固定資產(chǎn)集合，如圖所示：

圖 業(yè)務(wù)流程中的位置固定資產(chǎn)和位置變動資產(chǎn)

業(yè)務(wù)流程有兩個核心活動，即業(yè)務(wù)數(shù)據(jù)的處理以及業(yè)務(wù)服務(wù)的提供，因此在資產(chǎn)保護時，數(shù)據(jù)與服務(wù)是需要保護的核心資產(chǎn)。

2.2 信息資產(chǎn)重要性確定

在業(yè)務(wù)活動中，一個完整的業(yè)務(wù)流程是由多個業(yè)務(wù)過程所構(gòu)成；一個業(yè)務(wù)過程至少包含一個業(yè)務(wù)節(jié)點，信息資產(chǎn)存在于業(yè)務(wù)節(jié)點中且是支撐業(yè)務(wù)活動的主體，因此需要對信息資產(chǎn)進行保護，而資產(chǎn)的重要性識別和確認是信息資產(chǎn)保護的基礎(chǔ)。

基于業(yè)務(wù)流程的信息資產(chǎn)重要性確定方法是在將信息資產(chǎn)劃分為位置固定資產(chǎn)與位置變動資產(chǎn)的基礎(chǔ)上，按照位置固定資產(chǎn)在業(yè)務(wù)流程中支撐的活動受到破壞后對完成業(yè)務(wù)目標的影響程度來映射位置固定資產(chǎn)的重要性；對位置變動資產(chǎn)的重要性確定則是通過位置變動資產(chǎn)（數(shù)據(jù)信息）經(jīng)過多個業(yè)務(wù)過程的流動增值后在CIA3個安全屬性被破壞后對完成業(yè)務(wù)目標的最大影響值來確定。據(jù)此就分類確定了每個信息資產(chǎn)在業(yè)務(wù)中的重要性等級。

2.3 位置固定資產(chǎn)重要性確定

業(yè)務(wù)流程中，位置固定資產(chǎn)參與了多項活動，包括處理位置變動資產(chǎn)（數(shù)據(jù)信息）、支撐業(yè)務(wù)的對內(nèi)及對外的服務(wù)活動和支撐業(yè)務(wù)過程的順利進行。因此對位置固定資產(chǎn)的重要性確定需要綜合三方面指標：（1）位置固定資產(chǎn)所支撐的業(yè)務(wù)過程受到破壞后對完成業(yè)務(wù)目標的影響程度；（2）位置固定資產(chǎn)在業(yè)務(wù)過程中所承載的位置變動資產(chǎn)受到破壞后對完成業(yè)務(wù)目標的影響程度；（3）位置固定資產(chǎn)所支撐的服務(wù)受到破壞后對完成業(yè)務(wù)目標的影響程度。取這3項影響程度指標最高者為位置固定資產(chǎn)的重要性等級。對完成業(yè)務(wù)目標的影響可以依據(jù)影響程度不同劃分為：可忽略、輕微、中等、嚴重、非常嚴重5個等級，并將其定量為數(shù)值（1、2、3、4、5） 數(shù)值越大代表對完成業(yè)務(wù)目標的影響程度越高。

假設(shè)某組織有多項業(yè)務(wù)其中一項業(yè)務(wù)為B1，我們在B1的業(yè)務(wù)節(jié)點識別出的位置固定資產(chǎn)為（a1a2……an）；在業(yè)務(wù)流程的初始階段識別出的位置變動資產(chǎn)為（c1c2……cn），并且該項業(yè)務(wù)有X個過程如（圖1）所示，依此就可以確定各項位置固定資產(chǎn)所屬的業(yè)務(wù)過程。假設(shè)識別出在不同的業(yè)務(wù)過程所形成的位置固定資產(chǎn)集合為（a1a2）、（a3a4a5）……（an-2an-1an）。一個業(yè)務(wù)過程的順利完成必須依靠位置固定資產(chǎn)集合中所有資產(chǎn)的共同協(xié)作才能夠?qū)崿F(xiàn)，因此在業(yè)務(wù)過程中位置固定資產(chǎn)的重要性相同，那么當(dāng)業(yè)務(wù)過程受到破壞后對完成業(yè)務(wù)目標的影響程度就可以映射到支撐業(yè)務(wù)過程的位置固定資產(chǎn)集合的重要性中，影響程度越大則資產(chǎn)的重要性越高。假設(shè)我們確定了業(yè)務(wù)B1中各項業(yè)務(wù)過程受到破壞后對實現(xiàn)業(yè)務(wù)目標的影響程度，并將其映射到位置固定資產(chǎn)集合的重要性中。見表1。

表1 位置固定資產(chǎn)集合重要性識別表

根據(jù)圖1所示的業(yè)務(wù)流程模型，將位置變動資產(chǎn)從初始階段輸入到業(yè)務(wù)過程中直到整個業(yè)務(wù)流程的結(jié)束，位置變動資產(chǎn)經(jīng)過多個業(yè)務(wù)過程的處理價值會增值到最大。按照位置變動資產(chǎn)流動增值的特點可以推導(dǎo)出在不同的業(yè)務(wù)過程，位置變動資產(chǎn)的價值是不同的，因此在各個業(yè)務(wù)過程中，位置固定資產(chǎn)承載的位置變動資產(chǎn)受到破壞后對完成業(yè)務(wù)目標的影響程度也是不同的。假設(shè)我們確定了業(yè)務(wù)B1中所有位置變動資產(chǎn)在不同業(yè)務(wù)過程受到破壞后對完成業(yè)務(wù)目標的影響程度，并將其映射到位置固定資產(chǎn)的重要性中。我們?nèi)∥恢霉潭ㄙY產(chǎn)所承載的多個位置變動資產(chǎn)在受到破壞后對完成業(yè)務(wù)目標的影響程度中最高值為其重要性等級。見表2。

表2 位置變動資產(chǎn)映射位置固定資產(chǎn)重要性列表

在圖1中，對服務(wù)的識別可以依據(jù)業(yè)務(wù)流程的層次性，逐步分析出面向內(nèi)外的服務(wù)類別及數(shù)量，據(jù)此即可確定出支撐服務(wù)的各項位置固定資產(chǎn)。

如果我們依據(jù)服務(wù)受到破壞后對完成業(yè)務(wù)目標的影響程度判斷出業(yè)務(wù)B1中各項服務(wù)的重要性等級為：S1＞S2＞……Sn,那么支撐各項服務(wù)的位置固定資產(chǎn)的重要性依此就可以確定，且支撐同一服務(wù)的位置固定資產(chǎn)重要性是一樣的。

假設(shè)按照服務(wù)受到破壞后對完成業(yè)務(wù)目標的影響程度劃分出業(yè)務(wù)B1中位置固定資產(chǎn)的重要性為：（a1a3）＜（a2a4a5a6）＜……（an-3an-2an-1an)，為了清晰描述重要性等級，可以將識別出的位置固定資產(chǎn)集合按照對完成業(yè)務(wù)目標的不同影響程度定量為1—5之間，數(shù)量級越高代表位置固定資產(chǎn)越重要。

上文中，我們先后確定了以下3項指標：（1） 業(yè)務(wù)過程受到破壞后對完成業(yè)務(wù)目標的影響程度所映射的位置固定資產(chǎn)的重要性；（2）位置變動資產(chǎn)在業(yè)務(wù)過程中受到破壞后對完成業(yè)務(wù)目標的影響程度所映射的位置固定資產(chǎn)的重要性；（3）服務(wù)受到破壞后對完成業(yè)務(wù)目標的影響程度所映射的位置固定資產(chǎn)重要性，取這3項中重要性等級數(shù)量指標最高者作為業(yè)務(wù)中位置固定資產(chǎn)重要性識別的依據(jù)。假設(shè)我們確定了業(yè)務(wù)B1中位置固定資產(chǎn)的各項重要性指標，列表3如下：

表3 位置固定資產(chǎn)重要性列表

通過確定位置固定資產(chǎn)在該項業(yè)務(wù)中的重要性等級后，就可以明細各項位置固定資產(chǎn)在該業(yè)務(wù)中的重要性排序，可以為資產(chǎn)的保護與風(fēng)險評估建立一個優(yōu)先順序檔案。同樣也可以用該方法對其他業(yè)務(wù)的位置固定資產(chǎn)進行重要性確定。

2.4 位置變動資產(chǎn)重要性確定

業(yè)務(wù)流程中，位置變動資產(chǎn)的重要性確定需要結(jié)合業(yè)務(wù)流程的層次性，按照位置變動資產(chǎn)經(jīng)過若干業(yè)務(wù)過程的流動增值后在CIA3個安全屬性值中最大的值來確定。對 CIA 3個安全屬性值的分級，可以依據(jù)這3項安全屬性受到破壞后對完成業(yè)務(wù)目標的影響程度，劃分為可忽略、輕微、中等、嚴重、非常嚴重5個等級，并將其定量為數(shù)值（1、2、3、4、5），數(shù)值越高代表該項安全屬性越重要。我們不妨假設(shè)業(yè)務(wù)B1的各項位置變動資產(chǎn)（C1C2…Cn）在完全增值后其CIA3個安全屬性值的重要性取值如表4所示。

通過文中對信息資產(chǎn)的重要性（價值）確定，我們就獲得一個具體詳細的信息資產(chǎn)重要性排序列表。該方法為組織管理者進行資源優(yōu)化配置提供了一個可靠的依據(jù)，同時也為后續(xù)信息安全風(fēng)險評估活動提供了一個科學(xué)準確的資產(chǎn)識別及價值確定過程。

表4 位置變動資產(chǎn)重要性列表

3 實例研究

依據(jù)文中基于業(yè)務(wù)流程的信息資產(chǎn)識別及其價值確定方法，我們對某銀行的信息系統(tǒng)所涉及的資產(chǎn)范圍進行了劃分，并確定出支撐該銀行各項業(yè)務(wù)的信息資產(chǎn)。我們以其中一項業(yè)務(wù)用以說明，并把這項業(yè)務(wù)命名為業(yè)務(wù)A且該業(yè)務(wù)有3個業(yè)務(wù)過程。

在該業(yè)務(wù)的業(yè)務(wù)流程初始階段識別的位置變動資產(chǎn)有：用戶信息和業(yè)務(wù)數(shù)據(jù)；識別出面向內(nèi)外部服務(wù)有：內(nèi)部文件流轉(zhuǎn)服務(wù)、操作系統(tǒng)服務(wù)和客戶呼叫服務(wù)，并確定服務(wù)受到破壞后對完成業(yè)務(wù)目標的影響程度的量化值為（1、3、4）。同時，通過位置變動資產(chǎn)（數(shù)據(jù)）與服務(wù)在業(yè)務(wù)節(jié)點識別出的位置固定資產(chǎn)有：PC-1、PC-2、掃描儀、服務(wù)器1、財務(wù)軟件、移動硬盤、服務(wù)人員、語音服務(wù)器、錄音服務(wù)器和人工坐席3臺。識別資產(chǎn)后，我們通過對該銀行的業(yè)務(wù)領(lǐng)導(dǎo)與信息安全專家進行咨詢，確定了位置變動資產(chǎn)在完全增值后的CIA取值以及各項位置固定資產(chǎn)在業(yè)務(wù)流程中所支撐的服務(wù)、承載位置變動資產(chǎn)、支撐的業(yè)務(wù)過程受到破壞后對業(yè)務(wù)目標的影響程度。

綜合以上信息我們確定了某銀行的業(yè)務(wù)A所屬的位置固定資產(chǎn)與位置變動資產(chǎn)的重要性等級及重要性排序，列表5、表6如下：

表5 業(yè)務(wù)A的位置固定資產(chǎn)重要性列表

表6 業(yè)務(wù)A的位置變動資產(chǎn)重要性列表

在完成了對業(yè)務(wù)A的信息資產(chǎn)重要性確定后，我們就明確了該項業(yè)務(wù)的所有資產(chǎn)的重要等級及排序。同樣，按照此方法可以對其他3項業(yè)務(wù)的信息資產(chǎn)進行識別并確定其重要性。這樣可以為銀行的業(yè)務(wù)系統(tǒng)涉及的所有信息資產(chǎn)建立資產(chǎn)及其重要性檔案，為組織進行資產(chǎn)管理和風(fēng)險評估提供全面可靠的資產(chǎn)數(shù)據(jù)。

4 結(jié)束語

目前對信息資產(chǎn)的價值還沒有統(tǒng)一的量化標準。文中提出基于業(yè)務(wù)流程的信息資產(chǎn)識別及重要性（價值）的確定方法，為資產(chǎn)識別和價值確定提供了一套完整準確的方法。該方法在實際工作中具有良好的系統(tǒng)性和實用性，為后續(xù)的風(fēng)險評估和信息安全防護的實施提供準確的基礎(chǔ)數(shù)據(jù)。

[1] MichaelE Whitman,Herbert J Mattord Principles of in for mation Security[M].Thom Leaming，2003.

[2] 吳亞非.信息安全風(fēng)險評估[M].北京：清華大學(xué)出版社，2007：58互59.

[3] 傅鵬，劉嘉偉.基于業(yè)務(wù)的信息資產(chǎn)識別方法[J].通信技術(shù)，2007（12）：238互240.

[4] 范建華，薛巖龍.基于層面劃分的信息資產(chǎn)識別方法 [J/OL].標準科學(xué)，2009（9）：48互64.[2010互07互12].http://dlib.edu.cnkinet/kns50/scdbsea-rch/cdbindexaspx.

[5] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T20984互2007.信息安全技術(shù)信息安全風(fēng)險評估規(guī)范[S].2007互06互14發(fā)布，2007互11互01實施。