诸葛理绣　周　晨　叶丽君

摘 要:信息资产识别是信息安全风险评估工作的核心环节。文中提出了基于信息系统架构,涵盖信息安全相关的所有资产的一个参考分类框架,在此基础上分析信息资产之间的依存关系和依存程度,然后依据依存程度识别信息资产的安全价值。评估者以此为工具识别信息资产时,可以做到清晰、规范和全面。

关键词:信息资产 风险评估 信息系统架构 安全价值

中图分类号:TP309.08文献标识码:A 文章编号:1673-8454(2009)19-0080-03

一、引言

随着信息技术在社会各个领域的广泛应用,政府部门、金融机构、企事业单位及各经济组织等对信息系统的依赖程度日益增强,信息安全问题受到普遍关注。作为信息系统建设过程中不可或缺的技术手段,信息安全风险评估就是从风险管理角度,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生对信息资产可能造成的危害程度,提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,从而为最大限度地保障信息安全提供科学依据。

信息安全风险评估工作中,信息资产、威胁、脆弱性是三大主要风险因素。信息资产作为衍生出脆弱性的母体、威胁的作用对象,使得信息资产识别成为信息风险评估工作的核心环节,因此信息资产识别的正确性和准确性对于其他各风险要素及其综合评估至关重要。

信息资产能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。通常,信息资产识别者要么利用自身掌握的概念和知识来识别相应信息系统范围内的信息资产,并自定义其分类,如按数据、资产重要性等分类;要么采用BS7799及国家标准GB/20984基于资产表现形式的分类方法来识别评估范围内的信息资产。就前者而言,不同的资产识别者出于理解和能力的差别,对给定的对象范围会得出不同的信息资产分类及清单,如仅列出技术方面的信息资产,而忽略管理方面的信息资产,导致信息资产识别的偏颇或不完整;此外,由于没有统一的分类标准,资产定义和分类因人而异,可能会导致评审人员交流和沟通上的困难。而就后者而言,在按照上述分类方法实施信息资产分析时,由于某些资产之间联系紧密,导致这些信息资产某些安全属性上存在重叠部分,然而对这些信息资产在安全属性上分别进行价值赋值,直接导致这些信息资产安全价值重复赋值,严重影响评估结果的准确度。例如,对于应用服务器,包括服务器硬件、操作平台及针对应用的相关服务,它们之间结合十分紧密,是以一个整体为业务提供服务的,无论是硬件故障,还是操作平台或服务,因恶意代码影响都会造成信息系统运行中断或拒绝服务,使得业务数据的可用性受到影响,如果在可用性上分别为应用服务器硬件、软件和服务赋值,等于直接扩大了应用服务器在可用性的价值。所以,对于应用服务器,从安全需求和控制措施上,没有必要将它们分别考虑。

针对上述问题,本文提出一个利用信息系统架构进行信息资产分类,梳理各信息资产在机密性、完整性、可用性等安全属性之间的依存关系,然后依据信息资产依存关系对这些信息资产进行安全价值评价。

二、基于信息系统架构进行信息资产分类和关系识别

1.信息系统的基本架构

从技术角度分析,构成信息系统的要素包括:

(1)业务数据,这里包括信息系统中存储、处理传输的电子数据,存储在备份介质中的电子数据以及通过信息系统中输出的纸质数据等。

(2)应用平台,主要指的是基于业务逻辑和处理业务的应用系统。

(3)计算基础结构,主要包括网络、计算机系统、运行的基础环境等。

(4)其他数据载体,主要指备份数据的存储介质。

(5)组织和制度,主要指系统管理员及业务用户、有关业务目标的操作规程以及信息系统的安全管理制度等。

依据各要素之间的逻辑支撑关系,其架构图如图1所示。

2.信息资产分类

如表1所示,一级分类将资产分为业务数据、应用平台、存储介质、组织与制度、主机平台、网络平台、基础环境7大类别。业务数据包括电子业务数据、其他介质业务数据、操作规程3个二级分类。计算基础设施是信息系统的技术基础设施,具体包括主机平台、网络平台、基础环境等3个一级分类。其中,主机平台又包括客户机、应用服务器、数据服务器、外部设备4个二级分类。网络平台包括PDS、交换机、路由器、网络安全设备4个二级分类。基础环境包括计算场所、电力保障、空调等6个二级分类。应用平台是运营业务数据的信息系统应用软件,包括应用软件、程序代码及相关技术文档3个二级分类。存储介质指的是业务数据在应用平台外的保存方式,包括业务数据的备份介质及纸质记录2个二级分类。组织与制度指的是系统的组织和制度方面的保障,包括系统管理员、普通用户、业务合作方、管理制度4个二级分类。

在评估过程中,基于信息系统架构的信息资产分类,关键是将受评单位的各种业务识别出来,并进行边界确认,然后进行比较和决策,确定业务优先级,最后根据该分类方法区分信息资产。在评估实务中,信息资产分类框架的内容和级别数目可根据行业或机构的不同有所区别。一般而言,高层的分类内容基本是一致的,越往底层其分类内容越反映行业或机构的特点。另外,所评资产的分类级别数目有时不易过细。比如说,表1中的客户机在三级分类中可以进一步分为计算机硬件、操作系统及相关技术文档三类。在实务中,它们特别是硬件和操作系统是以整体向上面应用平台和用户提供支撑和服务的,如果分别考虑,它们在安全属性上存在重叠(如可用性),接下来对这些资产分别进行安全价值赋值,会导致安全 价值重复赋值,严重影响评估结果的准确度。基于信息系统架构的资产分类框架非常便于各受评单位自评层面上的信息资产识别与管理,表1提出的信息资产分类框架可在评估实践中产生、确定和规范化。

3.信息资产关系分析

事实上,信息资产是有机结合和协同工作的,是以整体方式来实现受评单位业务目标的。因此,信息资产之间必然存在着依存关系。这种“依存”关系有三层含义:(1)被依赖方“承载”依赖方,如计算基础设施各类资产承载上层的应用平台资产,应用平台及存储介质类资产承载上层的业务数据资产,而在计算基础设施中,基础环境类资产承载上面的网络平台类资产等;(2)被依赖方对业务目标的贡献通过上面的依赖方来实现;(3)依赖方资产的安全属性价值通过这条链传递给被依赖方。

为此,我们可以从业务目标出发,根据信息系统架构,依托信息资产之间的依存关系,形成业务目标为根节点的资产关系图。图2给出了结合信息系统架构的各信息资产基本依存关系图。当然,在评估实务中,可以以更高的资产分类级别和具体的信息资产进行细划。

三、信息资产价值评价

通常,信息资产的机密性、完整性和可用性是公认的能够反映信息资产安全属性的三个要素。信息资产安全属性的不同也决定了其信息价值的不同。信息资产不仅要考虑资产的经济价值,更要考虑资产的安全状况对系统或组织的重要性。信息系统的安全价值可以用信息系统及其信息资产安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害甚至危及信息系统,也可能导致经济利益、市场份额、组织形象的损失。实务上,各信息资产在各安全属性上的安全价值可以参考信息资产的依存关系来评估,具体过程可以分为:(1)根据信息资产关系图,评估各信息资产在各安全属性上的依存程度;(2)沿着信息资产依存关系图及依存程度,按照一定的原则决定链上的每一信息资产在各安全属性上的安全价值。

1.依存程度界定

事实上,信息资产安全属性缺失时造成的影响主要通过信息资产的依存关系由下向上得到体现的;反之,信息系统所承载业务的价值通过依存关系由上向下传递给相应的资产。为此,在分析信息资产依存关系时,我们可以如图3所示,分别以机密性、完整性和可用性及依存程度(如采用高、中、低三个等级)来进一步描述依存关系。

当然,在具体实务中,可以针对具体的信息系统及其承载的业务目标,选择合适的资产分类级别,画出各安全属性(机密性、完整性和可用性)更为详实的体现依存程度的信息资产关系图。

2.信息资产赋值

虽然依赖方资产(上层)的安全属性价值是通过依存关系这条链传递给被依赖方(下层),但是处于上层的依赖方资产的安全价值不一定等价传递给被依赖方。这取决于针对各安全属性,它们上下层资产之间的依存程度;更取决于下层对最上层的业务目标的贡献程度。

首先评价业务目标最直接依赖资产在各安全属性上的安全价值。如图3所示,在安全属性为可用性时,电子业务数据、业务操作规程和非电子业务数据的可用性方面的安全价值可以直接用上下层的依存程度来表示,分别为高(数值取3)、中(数值取2)、低(数值取1)。

评价业务目标最直接依赖资产的安全价值后,就可沿着资产依存链,根据在各安全属性上的依存程度,按照取小原则和双低为零原则逐一评价该资产在该条链上的安全价值。如图3所示,电子业务数据在可用性方面的安全价值为高(数值为3),而电子业务数据、管理人员及制度之间在可用性方面的依存程度为中(数值为2),则管理人员及制度在可用性方面的安全价值为2,即取3和2的最小值。另外,对于纸质记录而言,上层的非电子业务数据在可用性方面的安全价值为1,而纸质记录和非电子业务数据之间在可用性方面的依存程度为低(数值为1),按照双低为零原则,纸质记录在可用性方面的安全价值为0。

另外,对于某一信息资产上层存在多个依赖方时,可以按照最大原则给该资产赋值。如图3所示,对于应用平台而言,在上层中有依存关系的资产包括电子业务数据和业务操作规程,电子业务数据在可用性方面的安全价值是3,业务操作规程在可用性方面的安全价值是2,按照最大原则,应用平台在可用性方面的安全价值取MAX(3,2),即为3。

实际上,某些信息资产可能承载多个信息系统。这时,我们只需分别将它置于所承载的信息系统中,按照上述方法将其各安全属性的安全价值进行赋值,然后按照最大原则或累加原则综合即可,这里就不赘述了。

参考文献:

[1]GB/20984.信息安全风险评估规范[S].

[2]范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006:34-38.

[3]陈伟.信息资产分类与控制[J].中国计算机用户,2004(18).

[4]傅鹂,刘嘉伟,周贤林.基于业务的信息资产识别方法[J].通信技术,2007,40(12).

[5]闵京华.信息安全的资产评估方法[J].信息网络安全,2006(1).

(编辑:金冉)