基于信息系统架构的信息资产识别技术.docx

?

?

基于信息系统架构的信息资产识别技术

?

?

诸葛理绣周晨叶丽君

摘要:信息资产识别是信息安全风险评估工作的核心环节。文中提出了基于信息系统架构,涵盖信息安全相关的所有资产的一个参考分类框架,在此基础上分析信息资产之间的依存关系和依存程度,然后依据依存程度识别信息资产的安全价值。评估者以此为工具识别信息资产时,可以做到清晰、规范和全面。

关键词:信息资产风险评估信息系统架构安全价值

:TP309.08:A:1673-8454(2009)19-0080-03

一、引言

随着信息技术在社会各个领域的广泛应用,政府部门、金融机构、企事业单位及各经济组织等对信息系统的依赖程度日益增强,信息安全问题受到普遍关注。作为信息系统建设过程中不可或缺的技术手段,信息安全风险评估就是从风险管理角度,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生对信息资产可能造成的危害程度,提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,从而为最大限度地保障信息安全提供科学依据。

信息安全风险评估工作中,信息资产、威胁、脆弱性是三大主要风险因素。信息资产作为衍生出脆弱性的母体、威胁的作用对象,使得信息资产识别成为信息风险评估工作的核心环节,因此信息资产识别的正确性和准确性对于其他各风险要素及其综合评估至关重要。

信息资产能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。通常,信息资产识别者要么利用自身掌握的概念和知识来识别相应信息系统范围内的信息资产,并自定义其分类,如按数据、资产重要性等分类;要么采用BS7799及国家标准GB/20984基于资产表现形式的分类方法来识别评估范围内的信息资产。就前者而言,不同的资产识别者出于理解和能力的差别,对给定的对象范围会得出不同的信息资产分类及清单,如仅列出技术方面的信息资产,而忽略管理方面的信息资产,导致信息资产识别的偏颇或不完整;此外,由于没有统一的分类标准,资产定义和分类因人而异,可能会导致评审人员交流和沟通上的困难。而就后者而言,在按照上述分类方法实施信息资产分析时,由于某些资产之间联系紧密,导致这些信息资产某些安全属性上存在重叠部分,然而对这些信息资产在安全属性上分别进行价值赋值,直接导致这些信息资产安全价值重复赋值,严重影响评估结果的准确度。例如,对于应用服务器,包括服务器硬件、操作平台及针对应用的相关服务,它们之间结合十分紧密,是以一个整体为业务提供服务的,无论是硬件故障,还是操作平台或服务,因恶意代码影响都会造成信息系统运行中断或拒绝服务,使得业务数据的可用性受到影响,如果在可用性上分别为应用服务器硬件、软件和服务赋值,等于直接扩大了应用服务器在可用性的价值。所以,对于应用服务器,从安全需求和控制措施上,没有必要将它们分别考虑。

针对上述问题,本文提出一个利用信息系统架构进行信息资产分类,梳理各信息资产在机密性、完整性、可用性等安全属性之间的依存关系,然后依据信息资产依存关系对这些信息资产进行安全价值评价。

二、基于信息系统架构进行信息资产分类和关系识别

1.信息系统的基本架构

从技术角度分析,构成信息系统的要素包括:

(1)业务数据,这里包括信息系统中存储、处理传输的电子数据,存储在备份介质中的电子数据以及通过信息系统中输出的纸质数据等。

(2)应用平台,主要指的是基于业务逻辑和处理业务的应用系统。

(3)计算基础结构,主要包括网络、计算机系统、运行的基础环境等。

(4)其他数据载体,主要指备份数据的存储介质。

(5)组织和制度,主要指系统管理员及业务用户、有关业务目标的操作规程以及信息系统的安全管理制度等。

依据各要素之间的逻辑支撑关系,其架构图如图1所示。

2.信息资产分类

如表1所示,一级分类将资产分为业务数据、应用平台、存储介质、组织与制度、主机平台、网络平台、基础环境7大类别。业务数据包括电子业务数据、其他介质业务数据、操作规程3个二级分类。计算基础设施是信息系统的技术基础设施,具体包括主机平台、网络平台、基础环境等3个一级分类。其中,主机平台又包括客户机、应用服务器、数据服务器、外部设备4个二级分类。网络平台包括PDS、交换机、路由器、网络安全设备4个二级分类。基础环境包括计算场所、电力保障、空调等6个二级分类。应用平台是运营业务数据的信息系统应用软件,包括应用软件、程序代码及相关技术文档3个二级分类。存储介质指的是业务数据在应用平台外的保存方式,包括业务数据的备份介质及纸质记录2个二级分类。组织与制度指的是系统的组织和制度方面的保障,包括系统管理员、普通用户、业务合作方、管理制度4个二级分类。

在评估过程中,基于信息系统架构的信息资产分类,关键是将受评单位的各种业务识别出来,并进行边界确认,然后进