评估中对于信息资产的划分,常见的划分方法如下表:
|
赋值 |
简称 |
解释或示例 |
|
数据 |
Data |
存在电子媒介的各种数据资料,包括源代码,数据库数据,各种数据资料、系统文档、运行管理规程、计划、报告、用户手册 |
|
软件 |
Software |
应用软件、系统软件、开放工具、和资源库 |
|
服务 |
Service |
操作系统、WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控及各种业务生产应用 |
|
硬件 |
Document |
计算机硬件、路由器、交换机、硬件防火墙、成功交换机、布线、备份存储系统 |
|
文档 |
Document |
纸质的各种文件、传真、电报、财务报告、发展计划 |
|
设备 |
Faclity |
电源、空调、保险柜、文件柜、门禁、消防设施等 |
|
人员 |
HR |
各级雇员和雇主、合同方雇员 |
|
其他 |
Other |
企业形象,客户关系 |
但在实际客户环境中,信息系统将会非常复杂,划分了大量的子系统、应用以及模块包括各种元素,仅仅对资产进行如此笼统的划分,对于真正评估没有任何意义,而最终评估结果往往会成为单台设备的漏洞的检查和分析,或是单条制度的修改,不能从整体意义或是不同客户群体关心的问题出发,得到相应的安全等级划分,以及进一步的安全建议或技术方案。
四元资产划分法
从上面的分析,我们可以知道目前缺乏实际可操作的资产划分方法。为了解决这个问题,应把评估标准和现有的客户系统结合,总结了现在用于系统的资产划分的四元法,即资产是(业务,应用,模块,元素)的一个四元组。
在项目中,按照四元法对系统资产进行划分:
第一阶段,划分整体系统成为多个业务系统,这次划分主要考虑的是客户的主要业务系统,其划分标准在于由不同的部门或是组织机构来负责业务的建设和运维。
第二阶段,对第一阶段划分后的业务资产再进行应用划分,这次划分更多考虑某个业务系统中较为复杂的应用,其标准主要是依赖于业务系统中的应用技术。
第三阶段,针对第二阶段划分后的各应用再进行模块核分,这次划分更多考虑某个复杂应用中为了完成不同功能的模块,其标准更加主要依赖于应用的实现逻辑。值得注意的是该部分中还需要考虑应用的管理部分,无论是规章制度还是系统人员;
第四阶段,通过第三阶段的模块划分,一般的系统已经能够比较具体的用(业务,应用,模块)的三元组来表示了,但是对于复杂系统,往往三元法无法表示资产,所以,经常我们需要对模块资产进行更进一步细分,划分元素集合,比如对于(办公系统,邮件应用,人员)这个已经划分了三元组的模块,我们还需要进一步进行人员元素的划分={使用人员,开发人员,维护人员},通过这样的划分,才能更好的对资产进行评估,否则很难从真正意义上,对资产进行有针对性的评估。该部分的划分标准偏重完成模块功能的设备集合、制度集合以及人员集合等,每个集合都从技术上或是管理上有着自己的特色。
图1.四元资产划分法
这种资产划分方法很好的结合了BS7799中对于资产的定义,BS7799作为高层面的指导标准对于资产划分有着较好的指导意义,而四元法是BS7799中关于资产划分的一种具体实现。
值得注意的是在资产划分中一般不涉及对具体设备的描述,比如Solaris系统或是Cisco 6509交换机的描述,资产划分更加偏重逻辑层面的理解,而不是具体技术层面,在资产的最小元素中可能包含多个设备,但一般不属于资产划分的范畴。
在资产划分的基础上,再进行资产的统计、汇总,形成完备的资产清单。
