确定信息系统资产范围又称资产识别,其主要目的是识别现有资产,同时确认资产的价值。在安全防护范围和边界内的每项资产都应被识别和评价,资产识别是风险评估的必要环节,其主要任务是对确定评估对象所涉及或包含的资产进行详细标识。资产识别通过资产调查和现场访谈等方式,对信息系统的相关资产进行调查,形成资产列表。由于资产以无形和有形的方式存在,所以在资产识别过程中,要特别注意无形资产的统计,同时还应注意不同资产之间的相互依赖关系。采集工作在前期调研的基础上开展,以调研所得的设备列表为依据,将所有与信息系统有关的信息资产进行核查。资产管理工作如图3-1所示。
图3-1 资产管理工作
资产管理工作主要通过自动及手工等方式在识别多种类型资产的基础上评估资产安全因素,并分析资产受攻击的可能性、危害程度、攻击范围及防护难度。针对易受攻击的资产进行报警分析和报表分析等,如操作系统版本漏洞危害程度、网络浏览器客户端漏洞危害程度等,通过绘制网络中的脆弱全景图,让用户实时了解当前网络资产资源的脆弱程度,并有针对性地实施漏洞修护、补丁升级、防火墙策略、流量监控等安全措施,从而防范潜在入侵。
资产识别首先根据业务流程建立资产清单,然后标识每项资产的所有者、负责人和使用者。信息资产的存在形式有多种,主要包括以下几种。
(1)数据资产:存储于电子介质中的各种数据和资料,包括源代码、数据文件和系统文件等,也包括政策、合同和商业报告等各类文档。
(2)软件资产:应用软件、系统软件、开发工具和公共程序等。
(3)实物资产:计算机和通信设备、磁介质、电源、空调、家具、机房和办公楼等物理实体。
(4)服务资产:计算服务、存储服务、通信服务,以及制冷、照明、水电、UPS等基础设施服务。
信息资产的划分是指确定信息系统资产范围中每项资产的具体保护要求、优先级和保护程度。不同信息有不同的敏感性和重要性,有的信息资产可能需要进行额外保护或特殊处理,因此,需要制定信息划分制度来定义适当的安全保护等级范围,确保信息资产得到适度的保护。信息资产的划分有利于明确系统防护重点,控制和降低风险,简化运维工作。
1.信息分类要求
信息分类需要遵循以下几点要求。
(1)信息的分类等级要合理。信息和处理分类数据的系统输出应当按照其对组织的价值和敏感性加以标示。《中华人民共和国保守国家秘密法》第九条对国家秘密分为“绝密”“机密”“秘密”三级做了描述。“绝密”是最重要的国家机密,泄露会使国家的安全和利益遭受特别严重的损害;“机密”是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害;“秘密”是一般的国家秘密,泄露会使国家的安全和利益遭受损害。
(2)合理设置信息的保密期限。敏感信息的保密期限设置应合理,如安全保护的分类划定过高会导致不必要的业务开支。对任何信息的分类不一定自始至终固定不变,可能按照一些预定的策略发生改变,当组织编制信息分类指南时应考虑这些情况。
(3)确定信息的分类负责人。信息的始发人或指定的所有权人应当承担确定信息类别的责任,如对一份文件、数据记录、数据文件或磁盘进行分类的责任,以及定期检查这些分类的责任。
根据信息安全管理要求ISO 27001,信息资产可以分为以下几类。
· 信息资产:数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息。
· 软件资产:应用程序软件、系统软件、开发工具及实用程序。
· 实体资产:计算机设备(计算机、显示器、服务器、笔记本电脑)、通信设备(路由器、交换机)、磁介质(磁带和磁盘)、其他技术设备(电源、空调器)、机房。
· 书面文件:系统文件、使用手册、各种程序及指引办法、合约书等。
2.信息资产安全等级划分
在信息安全管理要求ISO 27001中,信息资产安全等级的划分应围绕保密性、完整性和可用性3个方面展开,分别进行等级赋值,为风险评估提供量化基础。
(1)保密性(C):确保只有被授权的人才能访问信息。如果信息或服务被无关或有恶意的人获取,则表明该资产的保密性受到了损害。
根据资产在保密性上的不同要求,将信息资产分为5个不同的等级,分别对应资产在保密性上应达成的不同程度或保密性缺失时对整个组织的影响。表3-1提供了一种保密性赋值的参考。
表3-1 一种保密性赋值的参考
(2)完整性(I):保护信息和信息的处理方法准确且完整;如果信息在传递过程中因为系统故障或恶意的方法被修改,并引起错误,则表明该资产的完整性受到了损害。根据资产在完整性上的不同要求,将其分为5个不同的等级,分别对应资产在完整性上的缺失对整个组织的影响。表3-2提供了一种完整性赋值的参考。
表3-2 一种完整性赋值的参考
(续表)
(3)可用性(A):确保只有经过授权的用户在需要时才可以访问信息并使用相关信息资产。如果信息非正常丢失或服务非正常中断,则表明该资产的可用性受到了损害。根据资产在可用性上的不同要求,将其分为5个不同的等级,分别对应资产在可用性上应达成的不同程度。表3-3提供了一种可用性赋值的参考。
表3-3 一种可用性赋值的参考
综合以上各种因素,资产的安全特性综合评定一般分为5个级别,分别为很高、高、中等、低和很低。资产安全综合评定如表3-4所示。
表3-4 资产安全综合评定