返回
信息安全风险评估之资产评估案例实施

信息安全风险评估之资产评估案例实施

ID:12050061

大小:131.50 KB

页数:8页

时间:2018-07-15

信息安全风险评估之资产评估案例实施_第1页
信息安全风险评估之资产评估案例实施_第2页
信息安全风险评估之资产评估案例实施_第3页
信息安全风险评估之资产评估案例实施_第4页
信息安全风险评估之资产评估案例实施_第5页
资源描述:

《信息安全风险评估之资产评估案例实施》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估之资产评估案例实施//.paper.edu1信息安全风险评估之资产评估案例实施石丹北京邮电大学计算机科学与技术系,北京(100<876)E-mail:shidan2006@hotmail4>>摘要:本文给出了在信息安全风险评估中,如何进行资产评估的方法概述,并着重列举了一个针对电子邮件系统进行资产评估的实例,通过这个案例清晰直观的解析了信息安全风险评估中资产评估的步骤和方法。关键词:信息安全,风险评估,资产识别,资产评估中图分类号:TP3931.引言信息安全风险评估过程过程,是对资产、威胁、脆弱性、潜在影响和现有安全措施进行识别、分析

2、和评价,然后综合这些风险要素的评估结果,得出风险的评估结果。资产是风险的第一评估要素,其他要素的评估都是以资产为前提的。也说就是,威胁评估是针对所关注资产面临的威胁,脆弱性评估是针对所关注资产自身的脆弱性,潜在影响评估是针对所关注资产失效时的负面影响,现有安全措施评估也是针对所关注资产已具备的安全措施。因此,资产评估的正确性和准确性对于后续的各风险要素及其综合评估的导向至关重要。信息安全的资产评估目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。下文将给出一个具体的示例,阐述在信息安全风险评估中,如何进行资产评估。2.资产识别方法

3、研究信息资产作为信息系统的构成元素,分布十分广泛;不同信息资产的功能、重要程度也互不相同。因此需要对信息资产进行合理分类,分析安全需求,确定资产的重要程度。本部分的主要工作是在评估实施方案确定的范围之内,按照评估方案约定的方式,进行如下四项[1]工作。1.回顾评估范围之内的业务回顾这些信息的主要目的是:帮助资产识别小组对其所评估的业务和应用系统有一个大致了解,为后续的资产识别活动准备。2.识别信息资产,进行合理分类针对前一个活动中识别出来的每个主要业务或系统,识别完成业务或保证系统正常运转所必需的资产,并注明资产的类别。资产分类的目的是降低后续分析和

4、赋值活动的工作量。3.确定每类信息资产的安全需求在对资产进行合理分类之后,便可对每个资产类别进行安全需求分析(从性、完整性、可用性三个方面进行),而不是对每个资产进行安全需求分析。4.为每类资产的重要性赋值在上述安全需求分析的基础上,按照一定方法,确定资产的价值或重要程度等级。本课题得到国家高技术研究发展计划(<863计划)项目“面向下一代电信网的安全测试评估技术”(课题编号:2006AA01Z44<8)的资助。-1-//.paper.edu3.资产赋值方法研究对资产进行赋值不仅需要考虑它本身的财物价值,还需要考虑他的损失可能会对业务造成的影响(如导

5、致营业收入的减少或竞争对手得益等)[4]。更重要的是要考虑资产的安全状况,即资产的性、完整性、可用性等安全属性,对组织信息安全性的影响程度。资产赋值的过程也就是对资产在性、完整性和可用性上的要求进行分析,并在此基础上得出综合结果的过程。资产对性、完整性和可用性上的要求可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。3.1性赋值根据资产在性上的不同要求,将其分为5个不同的等级,分别对应资产在性缺失时对整个组织的影响。表4提供了一种性赋值的参考。[4]表1资产性赋值表赋值标

6、识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息、公用的信息处理设备和系统资源等3.2完整性赋值根据资产在完整性上的不同要求,将其分为5个不同的等级,分别对应资产在完整性缺失时对整个组织的影响。表5提供了一种完整性赋值的参考。[4]表2资产完整性赋值表赋值

7、标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,损失难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,损失较难弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但损失可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,损失容易弥补1很低完整性价值非常低,未经授权的修改或破坏会对组织造成影响可以忽略,对业务冲击可以忽略3.3可用性赋值根据资产在可用性上的不同要求,将其分为

8、5个不同的等级,分别对应资产在可用性缺失时对整个组织的影响。表5提供了一种可用性赋值的参考。-2-//.pa

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。