欢迎来到天天文库
浏览记录
ID:34133004
大小:221.34 KB
页数:3页
时间:2019-03-03
《基于业务的信息资产识别方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、2007年第12期,第40卷通信技术Vol.40,No.12,2007总第192期CommunicationsTechnologyNo.192,Totally基于业务的信息资产识别方法傅鹂,刘嘉伟,周贤林(重庆大学软件学院信息安全实验室,重庆400030)【摘要】资产识别是信息安全风险评估过程中的一个重要环节,文中提出基于业务的资产识别方法,并结合层次分析法AHP,对信息资产进行合理赋值。【关键词】风险评估;资产识别;资产赋值;层次分析法【中图分类号】TP309【文献标识码】A【文章编号】1002-0802(2007)12-0238-03
2、InformationPropertyRecognitionBasedonAppliedSystemsFULi,LIUJia-wei,ZHOUXian-lin(CollegeofSoftwareEngineering,ChongqingUniversityChongqing400030,China)【Abstract】Informationpropertyrecognitionisanimportantlinksofinformationsecurityriskassessmentprocess.Thisarticleoffersapro
3、posaloninformationpropertyrecognitionmethodbasedonappliedsystems.Andincombinationwithanalytichierarchyprocesstheinformationpropertyisassignedproperly.【Keywords】riskassessment;propertyrecognition;propertyevaluation;analytichierarchyprocess0引言生安全事件后对组织业务的影响(也称为资产的重要程[1]信息安全
4、风险评估对信息系统风险进行辨识和分析度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的过程,是对威胁、影响、脆弱性及三者发生的可能性的的脆弱性造成安全事件发生的可能性。评估。目的就是了解目前与未来的风险所在,评估这些风要进行风险计算,必须对每个要素进行量化。而资产险可能带来的安全威胁与影响程度,为安全策略的确定、则是风险的第一评估要素,其他要素的评估都是以资产为[2]信息系统的建立及安全运行提供依据。资产是风险的第前提的。其目的是为了明晰风险评估范围内与信息安全相一评估要素,其他要素的评估都是以资产为前提的,资产关的资产清单、资产关
5、系和资产价值。列出评估范围内关识别的正确性和准确性对于后续的各风险要素及其综合评系到信息安全的所有资产,针对资产的性质进行分类,针估至关重要。资产识别,就是对信息资产进行科学识别,对资产的关系进行梳理,针对资产的价值进行赋值。并进行赋值,以分别其重要性。资产赋值可以采取绝对量[3]1资产识别化方法,也可以采取相对量化方法。层次分析法是一种相对量化方法。资产是企业、机构直接赋予了价值因而需要保护的东信息安全风险评估涉及4个主要因素:资产,威胁,弱西。它可能是以多种形式存在,无形的、有形的,硬件、点,风险。资产是对组织具有价值的信息资源,是安
6、全策软件,文档、代码,也有服务、企业形象等。通常信息资略保护的对象,资产的属性是资产价值。显然风险与资产的保密性、完整性和可用性是公认的能够反映资产安全产、威胁、脆弱性有关,风险是关于资产,威胁与脆弱性特性的三个要素。而资产的识别就是一个资产分类->资产的函数。可用f(A,V,T)=f(Ia,L(Va,T))表示。其中R表示风信息收集->资产对象识别->资产项赋值的一个过程。目险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发前在风险评估中,对信息资产还没有一个公认的分类标收稿日期:2007-09-04。作者简介:傅鹂(1962-)
7、,男,教授,主要研究方向为信息与网络安全、网络应用与分布式应用、多媒体与智能信息系统;刘嘉伟(1977-),男,硕士研究生,主要研究方向为软件工程、信息安全;周贤林(1982-),女,硕士研究生,主要研究方向为软件工程、信息安全。238准,多是一些指导意见,并且资产的赋值多采用定性的方类:①目标类。这是要进行评估的对象。②准则类。这是式,主观性较强。具体实施时如何对资产分类?如何定义衡量目标能否实现的标准。③措施类。指实现目标的方资产类别?如何描述资产?如何给资产赋值?都需要建立案、方法、手段等。从目标到准则、到措施自上而下地将统一标准,
8、为整个识别过程建立基线环境。各类因素之间的直接影响关系排列于不同的层次,即可构1.1基于业务进行资产分类成一个层次结构图。在BS7799及国标草案《信息安全风险评估指南》中,(2)构造两两比较
此文档下载收益归作者所有