信息安全风险评估资产评估案例.pdf
《信息安全风险评估资产评估案例.pdf》由会员分享,可在线阅读,更多相关《信息安全风险评估资产评估案例.pdf(8页珍藏版)》请在冰点文库上搜索。
http:
/-1-信息安全风险评估之资产评估案例实施信息安全风险评估之资产评估案例实施1石丹北京邮电大学计算机科学与技术系,北京(100876)E-mail:
摘摘要:
要:
本文给出了在信息安全风险评估中,如何进行资产评估的方法概述,并着重列举了一个针对电子邮件系统进行资产评估的实例,通过这个案例清晰直观的解析了信息安全风险评估中资产评估的步骤和方法。
关键词:
关键词:
信息安全,风险评估,资产识别,资产评估中图分类号:
中图分类号:
TP3931.引言引言信息安全风险评估过程过程,是对资产、威胁、脆弱性、潜在影响和现有安全措施进行识别、分析和评价,然后综合这些风险要素的评估结果,得出风险的评估结果。
资产是风险的第一评估要素,其他要素的评估都是以资产为前提的。
也说就是,威胁评估是针对所关注资产面临的威胁,脆弱性评估是针对所关注资产自身的脆弱性,潜在影响评估是针对所关注资产失效时的负面影响,现有安全措施评估也是针对所关注资产已具备的安全措施。
因此,资产评估的正确性和准确性对于后续的各风险要素及其综合评估的导向至关重要。
信息安全的资产评估目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。
下文将给出一个具体的示例,阐述在信息安全风险评估中,如何进行资产评估。
2.资产识别方法研究资产识别方法研究信息资产作为信息系统的构成元素,分布十分广泛;不同信息资产的功能、重要程度也互不相同。
因此需要对信息资产进行合理分类,分析安全需求,确定资产的重要程度。
本部分的主要工作是在评估实施方案确定的范围之内,按照评估方案约定的方式,进行如下四项工作1。
1.回顾评估范围之内的业务回顾这些信息的主要目的是:
帮助资产识别小组对其所评估的业务和应用系统有一个大致了解,为后续的资产识别活动准备。
2.识别信息资产,进行合理分类针对前一个活动中识别出来的每个主要业务或系统,识别完成业务或保证系统正常运转所必需的资产,并注明资产的类别。
资产分类的目的是降低后续分析和赋值活动的工作量。
3.确定每类信息资产的安全需求在对资产进行合理分类之后,便可对每个资产类别进行安全需求分析(从机密性、完整性、可用性三个方面进行),而不是对每个资产进行安全需求分析。
4.为每类资产的重要性赋值在上述安全需求分析的基础上,按照一定方法,确定资产的价值或重要程度等级。
本课题得到国家高技术研究发展计划(863计划)项目“面向下一代电信网的安全测试评估技术”(课题编号:
2006AA01Z448)的资助。
http:
/-2-3.资产赋值方法研究资产赋值方法研究对资产进行赋值不仅需要考虑它本身的财物价值,还需要考虑他的损失可能会对业务造成的影响(如导致营业收入的减少或竞争对手得益等)4。
更重要的是要考虑资产的安全状况,即资产的机密性、完整性、可用性等安全属性,对组织信息安全性的影响程度。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的要求进行分析,并在此基础上得出综合结果的过程。
资产对机密性、完整性和可用性上的要求可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。
3.1机密性赋值机密性赋值根据资产在机密性上的不同要求,将其分为5个不同的等级,分别对应资产在机密性缺失时对整个组织的影响。
表4提供了一种机密性赋值的参考。
表1资产机密性赋值表4赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息、公用的信息处理设备和系统资源等3.2完整性赋值完整性赋值根据资产在完整性上的不同要求,将其分为5个不同的等级,分别对应资产在完整性缺失时对整个组织的影响。
表5提供了一种完整性赋值的参考。
表2资产完整性赋值表4赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,损失难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,损失较难弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但损失可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,损失容易弥补1很低完整性价值非常低,未经授权的修改或破坏会对组织造成影响可以忽略,对业务冲击可以忽略3.3可用性赋值可用性赋值根据资产在可用性上的不同要求,将其分为5个不同的等级,分别对应资产在可用性缺失时对整个组织的影响。
表5提供了一种可用性赋值的参考。
http:
/-3-表3资产可用性赋值表4赋值标识定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4高可用性价值非常高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟3中等可用性价值较高,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟。
2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟1很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%3.4资产重要性等级资产重要性等级资产价值应依据资产在机密性、完整性、可用性上的赋值等级,经过综合评定得出。
综合评定方法有两种:
1)选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果。
2)根据资产的机密性、完整性、可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。
加权方法根据组织的业务特点决定1。
因此,通常资产赋值也可以划分为5个等级。
评估者可以根据资产赋值的结果,确定重要资产的范围,并围绕重要资产,进行下一步的风险评估。
表4资产等级及含意描述4等级标识描述5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失4高重要,其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失2低不太重要,其安全属性破坏后可能对组织造成较低的损失1很低不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计4.应用举例应用举例本章将按照上面的方法和步骤,对一个电子邮件系统进行资产评估,完成从业务识别到资产识别,最后对资产识别的整个过程。
4.1网络拓扑结构网络拓扑结构该系统为一个电子邮件系统,服务器软件版本为SendMail8.9.3,该系统使用电子邮件系统作为信息传递与共享的工具和手段,网络拓扑结构如下图所示http:
/-4-SendMail服务器交换机-01PC_01PC_02防火墙图1Mail系统网络拓扑结构示意图4.2业务识别业务识别该系统采用以电子邮件作为统一入口的设计思想,电子邮件信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一“门户”。
因此电子邮件系统作为本系统的通信基础设施,为各种业务提供通用的通信平台。
4.3资产识别与分类资产识别与分类对该电子邮件系统风险评估中进行的资产识别的资产,主要分为硬件资产、文档和数据、人员、管理制度等,其中着重针对硬件资产进行风险评估,人员主要分析其安全职责,IT网络服务和软件结合其设计的硬件资产进行综合评估。
下面列出具体各类清单。
硬件资产清表:
表5硬件资产清单资产编号资产名称责任人资产描述ASSET_01MailServerAMail服务器,软件版本为SendMailv8.9.3ASSET_02FireWall_01B防火墙,软件版本为IPTablesv1.2.11ASSET_03Switch_01B骨干交换机ASSET_04PC_01C用户终端ASSET_05PC_02D用户终端文档和数据资产表:
表6文档和数据资产清单资产编号资产名称责任人资产描述ASSET_06人员档案E机构人员档案数据ASSET_07电子文档数据EOA系统中的电子文件http:
/-5-制度资产清单表:
表7制度资产清单资产编号资产名称责任人资产描述ASSET_08安全管理制度E机房安全管理制度等ASSET_09备份制度E系统备份制度人员资产清单表:
表8人员资产清单资产编号资产名称责任人资产描述ASSET_10杨肖A系统管理员ASSET_11石丹B网络管理员ASSET_12孙悦B普通用户ASSET_13万黎D普通用户ASSET_14王玉龙E档案和数据管理员,制度实施者4.4安全需求分析安全需求分析对已经识别和分类的资产,按照不同的安全属性,逐一分析资产在机密性、完整性、可用性三个属性上的重要性和保护要求,为对资产CIA三性赋值提供基础。
评估方和被评估方都要参与进来,采用座谈会或调查问卷的方式,双方一同分析各个资产类别在其业务或应用系统中的位置以及所发挥的作用,分析每个资产类别在机密性、完整性、可用性等方面的要求。
下面以ASSET_01MailServer为例,列举出它的人工访谈表格:
表9资产识别记录表格资产识别活动信息日期2007-7-2起止时间2007-7-4访谈者A地点说明640访谈对象及说明系统管理员记录信息所属类别硬件资产资产名称MailServer资产编号ASSET_01IP地址59.64.156.193物理位置机房功能描述接收和发送电子邮件机密性要求很高完整性要求很高可用性要求很高重要程度很高安全控制措施防火墙http:
/-6-负责人A备注4.5资产赋值资产赋值三个属性赋值分为5个等级,分别对应了该项信息资产的机密性,完整性和可用性的不同程度的影响,根据资产赋值一节中对三个属性赋值的依据和标准,得到的CIA三性等级表如下:
表10资产CIA三性等级表资产编号资产名称机密性完整性可用性ASSET_01MailServer555ASSET_02FairWall_01555ASSET_03Switch_01555ASSET_04PC_01222ASSET_05PC_02222ASSET_06人员档案552ASSET_07电子文档数据553ASSET_08安全管理制度144ASSET_09备份制度144ASSET_10A532ASSET_11B532ASSET_12C132ASSET_13D132ASSET_14E132资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出,根据本系统的业务特点,采取相乘法决定资产的价值,计算公式如下,其中:
v表示资产价值,x表示机密性,y表示完整性,z表示可用性。
v=yxz*根据给计算公式可以计算出资产的价值,得到本系统资产的价值清单如下。
表11资产价值表资产编号资产名称机密性完整性可用性资产价值ASSET_01MailServer5555ASSET_02FairWall_015555ASSET_03Switch_015555ASSET_04PC_012222ASSET_05PC_022222ASSET_06人员档案5523.2ASSET_07电子文档数据5533.9ASSET_08安全管理制度1442.8http:
/-7-ASSET_09备份制度1442.8ASSET_10A5322.8ASSET_10B5322.8ASSET_12C1322.4ASSET_13D1322.4ASSET_14E1322.8为与上述安全属性的赋值相对应,根据最终赋值将资产划分为5级。
表12资产重要性程度判断准则资产价值资产等级资产等级值描述4.2x5很高5非常重要,其安全属性破坏后可能对组织造成非常严重的损失3.4x4.2高4重要,其安全属性破坏后可能对组织造成比较严重的损失2.6x3.4中等3比较重要,其安全属性破坏后可能对组织造成中等程度的损失1.8x2.6低2不太重要,其安全属性破坏后可能对组织造成较低的损失1x1.8很低1不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计根据表8中对资产等级的规定,可以通过资产价值得到资产的等级。
本系统的资产等级如表9所示。
表13资产价值表资产编号资产名称资产价值资产等级资产等级值ASSET_01MailServer5很高5ASSET_02FairWall_015很高5ASSET_03Switch_015很高5ASSET_04PC_012低2ASSET_05PC_022低2ASSET_06人员档案3.2中3ASSET_07电子文档数据3.9高4ASSET_08安全管理制度2.8中3ASSET_19备份制度2.8中3ASSET_10A2.8中3ASSET_11B2.8中3ASSET_12C2.4低2ASSET_13D2.4低2ASSET_14E2.8中3http:
/-8-5.结论结论在风险评估中需要对资产的价值进行识别,因为价值不同将导致风险值不同。
风险评估中资产的价值不是以资产的经济价值来衡量,而是以资产的机密性、完整性和可用性等安全属性为基础进行衡量。
资产在机密性、完整性、可用性三个属性上的要求不同则资产的最终价值也不同。
在资产赋值的过程中,需要解决的关键的问题是对资产的赋值,本文档中采取分别对资产的三个维度进行的赋值方法,最后算出权值。
资产识别范围的划定以及资产赋值的准确与否直接影响着风险评估最终结果的准确程度,在信息安全风险评估中起着举足轻重的作用。
参考文献参考文献1吴亚非,李新友,禄凯,信息安全风险评估M,清华大学出版社2007年42范红冯登国,信息安全风险评估实施教程M,清华大学出版社,2006年5月3中华人民共和国国家标准,计算机信息系统安全保护等级划分准则(GB17859-1999)S,1999年4国务院信息化工作办公室,信息安全风险评估规范S,20069号文ResearchofValuationofAssetsinAnalysisofInformationSystemDanShiComputerScience&TechnologyBeijingUniversityofPosts&Telecommunications,Beijing(100876)AbstractThispapersimplyintroducedthenormalmethodsofidentifyingtheassetsandvaluationofassets.Itishelpfultoriskanalysisofinformationsystem.Therearetwopartsinthebodyofthepaper:
thecommonintroduceofhowtodotheassetsanalysis.Thesecondpartuseacasetofollowthemethodthatwehavementionedinthefirstpart.Keywords:
InformationSystem,RiskAnalysis,IdentificationofAssets,ValuationofAssets
升级会员 