(中国铁路呼和浩特局集团有限公司信息技术所 内蒙古呼和浩特市 010050)
摘要:信息资产识别是信息安全风险评佑工作的核心环节。文中提出了基于信息系统架构,涵盖信息安全相关的所有资产的一个参考分类框架,并在此基础上分析资产之间的依存关系。评佑者以该框架为工具识别资产时,可以做到清晰、规范和全面。
关键词:信息安全风险评佑信息系统架构资产分类资产关系
一、基于信息系统架构进行信息资产分类和关系识别
1.1信息系统的基本架构
从技术角度分析。构成信息系统的要素包括:
(1)业务数据,这里包括信息系统中存储、处理传输的电子数据,存储在备份介质中的电子数据以及通过信息系统中输出的纸质数据等。
(2)应用平台,主要指的是基于业务逻辑和处理业务的应用系统。
(3)计算基础结构,主要包括网络、计算机系统、运行的基础环境等。
(4)其他数据载体,主要指备份数据的存储介质。
(5)组织和制度,主要指系统管理员及业务用户、有关业务目标的操作规程以及信息系统的安全管理制度等。
1.2信息资产分类
一级分类将资产分为业务数据、应用平台、存储介质、组织与制度、主机平台、网络平台、基础环境7大类别。业务数据包括电子业务数据、其他介质业务数据’、操作规程3个二级分类。计算基础设施是信息系统的技术基础设施,具体包括主机平台、网络平台、基础环境等3个一级分类。其中,主机平台又包括客户机、应用服务器、数据服务器、外部设备4个二级分类。网络平台包括PDS、交换机、路由器、网络安全设备4个二级分类。基础环境包括计算场所、电力保障、空调等6个二级分类。应用平台是运营业务数据的信息系统应用软件,包括应用软件、程序代码及相关技术文档3个二级分类。存储介质指的是业务数据在应用平台外的保存方式,包括业务数据的备份介质及纸质记录2个二级分类。组织与制度指的是系统的组织和制度方面的保障,包括系统管理员、普通用户、业务合作方、管理制度4个二级分类。在评估过程中,基于信息系统架构的信息资产分类,关键是将受评单位的各种业务识别出来,并进行边界确认,然后进行比较和决策,确定业务优先级.最后根据该分类方法区分信息资产。在评估实务中,信息资产分类框架的内容和级别数目可根据行业或机构的不同有所区别。一般而言,高层的分类内容基本是一致的,越往底层其分类内容越反映行业或机构的特点。另外,所评资产的分类级别数目有时不易过细。比如说,客户机在三级分类中可以进一步分为计算机硬件、操作系统及相关技术文档三类。在实务中,它们特别是硬件和操作系统是以整体向上面应用平台和用户提供支撑和服务的。如果分别考虑,它们在安全属性上存在重叠(如可用性),接下来对这些资产分别进行安全价值赋值,会导致安全价值重复赋值,严重影响评估结果的准确度。
1.3信息资产关系分析
事实上,信息资产是有机结合和协同工作的.是以整体方式来实现受评单位业务目标的。因此,信息资产之间必然存在着依存关系。这种“依存”关系有三层含义:(1)被依赖方“承载”依赖方,如计算基础设施各类资产承载上层的应用平台资产,应用平台及存储介质类资产承载上层的业务数据资产,而在计算基础设施中,基础环境类资产承载上面的网络平台类资产等;(2)被依赖方对业务目标的贡献通过上面的依赖方来实现;(3)依赖方资产的安全属性价值通过这条链传递给被依赖方。
为此,我们可以从业务目标出发,根据信息系统架构,依托信息资产之间的依存关系,形成业务目标为根节点的资产关系。结合信息系统架构的各信息资产基本依存关系。当然,在评估实务中,可以以更高的资产分类级别和具体的信息资产进行细划。
二、信息资产价值评价
通常,信息资产的机密性、完整性和可用性是公认的能够反映信息资产安全属性的三个要素。信息资产安全属性的不同也决定了其信息价值的不同。信息资产不仅要考虑资产的经济价值,更要考虑资产的安全状况对系统或组织的重要性。信息系统的安全价值可以用信息系统及其信息资产安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害甚至危及信息系统,也可能导致经济利益、市场份额、组织形象的损失。实务上,各信息资产在各安全属性上的安全价值可以参考信息资产的依存关系来评估,具体过程可以分为:(1)根据信息资产关系图,评估各信息资产在各安全属性上的依存程度:(2)沿着信息资产依存关系图及依存程度,按照一定的原则决定链上的每一信息资产在各安全属性上的安全价值。
2.1依存程度界定
事实上,信息资产安全属性缺失时造成的影响主要通过信息资产的依存关系由下向上得到体现的;反之,信息系统所承载业务的价值通过依存关系由上向下传递给相应的资产。当然,在具体实务中,可以针对具体的信息系统及其承载的业务目标,选择合适的资产分类级别,画出各安全属性(机密性、完整性和可用性)更为详实的体现依存程度的信息资产关系。
2.2信息资产赋值
虽然依赖方资产(上层)的安全属性价值是通过依存关系这条链传递给被依赖方(下层),但是处于上层的依赖方资产的安全价值不一定等价传递给被依赖方。这取决于针对各安全属性,它们上下层资产之间的依存程度:更取决于下层对最上层的业务目标的贡献程度。
首先评价业务目标最直接依赖资产在各安全属性上的安全价值。在安全属性为可用性时,电子业务数据、业务操作规程和非电子业务数据的可用性方面的安全价值可以直接用上下层的依存程度来表示,分别为高(数值取3)、中(数值取2)、低(数值取1)。
评价业务目标最直接依赖资产的安全价值后,就可沿着资产依存链,根据在各安全属性上的依存程度,按照取小原则和双低为零原则逐一评价该资产在该条链上的安全价值。电子业务数据在可用性方面的安全价值为高(数值为3),而电子业务数据、管理人员及制度之间在可用性方面的依存程度为中(数值为2)。则管理人员及制度在可用性方面的安全价值为2,即取3和2的最小值。另外,对于纸质记录而言,上层的非电子业务数据在可用性方面的安全价值为l。而纸质记录和非电子业务数据之间在可用性方面的依存程度为低(数值为1),按照双低为零原则,纸质记录在可用性方面的安全价值为0。
另外,对于某一信息资产上层存在多个依赖方时,可以按照最大原则给该资产赋值。如图3所示,对于应用平台而言。在上层中有依存关系的资产包括电子业务数据和业务操作规程,电子业务数据在可用性方面的安全价值是3,业务操作规程在可用性方面的安全价值是2,按照最大原则,应用平台在可用性方面的安全价值取MAX(3,2),即为3。
结语
随着信息技术在社会各个领域的广泛应用,政府部门、金融机构、企事业单位及各经济组织等对信息系统的依赖程度日益增强,信息安全问题受到普遍关注。作为信息系统建设过程中不可或缺的技术手段,信息安全风险评估就是从风险管理角度,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生对信息资产可能造成的危害程度,提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,从而为最大限度地保障信息安全提供科学依据。
参考文献
[1]范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2017:34—38.
[2]陈伟.信息资产分类与控制[J].中国计算机用户,2018(18).
[3]傅鹂,刘嘉伟,周贤林.基于业务的信息资产识别方法[J].通信技术,2017,40(12).
[4]闵京华,信息安全的资产评估方法[J].信息网络安全,2016(1).