信息資產(chǎn)風(fēng)險(xiǎn)控制管理

1、信息資產(chǎn)風(fēng)險(xiǎn)控制管理張劍摘要本文討論了信息資產(chǎn)的風(fēng)險(xiǎn)控制管理的基本內(nèi)容，提出了實(shí)現(xiàn)信息資產(chǎn)風(fēng)險(xiǎn) 控制管理的基本目標(biāo)。 總結(jié)了圍繞實(shí)現(xiàn)這一目標(biāo)需要進(jìn)行的七個(gè)方面工作， 并具 體討論了信息資產(chǎn)的基本信息管理與評(píng)估和事件管理的工作內(nèi)容。關(guān)鍵字： 信息資產(chǎn) 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制概述信息資產(chǎn)風(fēng)險(xiǎn)控制管理是當(dāng)前信息安全管理的基礎(chǔ)工作， 其基本目標(biāo)是實(shí)現(xiàn) 用戶的信息資產(chǎn)的全面風(fēng)險(xiǎn)控制管理， 確保用戶信息資產(chǎn)的可靠、 安全、高效運(yùn) 行。并通過(guò)如下方面的工作來(lái)實(shí)現(xiàn)這一基本目標(biāo)： 信息資產(chǎn)的基本信息管理與評(píng)估 ：信息資產(chǎn)的基本信息管理是整個(gè)系統(tǒng)最基礎(chǔ)數(shù) 據(jù)源的管理；信息資產(chǎn)的評(píng)估是對(duì)信息資產(chǎn)在用戶的整個(gè)信

2、息化建設(shè)和用戶日常 工作影響的重要性評(píng)估；事件管理 ：事件管理是對(duì)用戶整個(gè)信息系統(tǒng)運(yùn)行過(guò)程中， 運(yùn)行狀態(tài)分析、 已經(jīng)發(fā) 生的安全事件的過(guò)程式管理；脆弱性管理 ：脆弱性管理是對(duì)用戶整個(gè)信息系統(tǒng)安全、 可靠、 高效運(yùn)行中可能存 在的脆弱點(diǎn)的全面管理；威脅性管理 ：威脅性管理是對(duì)用戶整個(gè)信息系統(tǒng)安全、 可靠、 高效運(yùn)行中可能存 在的可能面臨的安全威脅的全面管理； 風(fēng)險(xiǎn)評(píng)估 ：風(fēng)險(xiǎn)評(píng)估是針對(duì)用戶整個(gè)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)的綜合評(píng)定； 控制措施管理： 控制措施管理是對(duì)用戶針對(duì)所有信息資產(chǎn)、 信息系統(tǒng)所采取的安 全保障措施的全面管理；安全等級(jí)評(píng)定 ：安全等級(jí)評(píng)定是參考國(guó)家安全等級(jí)保護(hù)制度的安全等級(jí)評(píng)定標(biāo)

3、準(zhǔn)，給出用戶當(dāng)前實(shí)際達(dá)到的安全等級(jí)；風(fēng)險(xiǎn)控制報(bào)告 ：風(fēng)險(xiǎn)控制報(bào)告是依據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告和用戶期望的安全保護(hù)等級(jí)或 其他要求提出全面的安全風(fēng)險(xiǎn)如何控制的報(bào)告， 至少包括必控措施、 等級(jí)保護(hù)要 求措施、建議措施等方面。信息資產(chǎn)的基本信息管理與評(píng)估信息資產(chǎn)的基本信息管理需要對(duì)用戶的信息資產(chǎn)進(jìn)行全面細(xì)致的管理， 信息 資產(chǎn)的評(píng)估需要對(duì)信息資產(chǎn)在用戶的整個(gè)信息化建設(shè)和用戶日常工作影響的重 要性作出準(zhǔn)確的評(píng)估。信息資產(chǎn)的基本信息管理包括：信息資產(chǎn)分類管理、信息資產(chǎn)的基本信息管 理、信息資產(chǎn)活動(dòng)狀態(tài)管理等。信息資產(chǎn)的基本評(píng)估包括：分類資產(chǎn)權(quán)重管理、 信息資產(chǎn)重要度評(píng)估管理、資產(chǎn)的安全維護(hù)。信息資產(chǎn)分類管理信息資

4、產(chǎn)的分類管理是系統(tǒng)管理的基本內(nèi)容之一，負(fù)責(zé)信息資產(chǎn)的標(biāo)準(zhǔn)分 類，這里需要考慮的是國(guó)際標(biāo)準(zhǔn)分類、國(guó)家標(biāo)準(zhǔn)分類（或開(kāi)發(fā)者標(biāo)準(zhǔn)分類） 、行 業(yè)標(biāo)準(zhǔn)分類、 用戶自主分類四種基本情況， 其中國(guó)際、 國(guó)家標(biāo)準(zhǔn)分類是系統(tǒng)開(kāi)發(fā) 建設(shè)者提供，并可以不斷更新； 行業(yè)標(biāo)準(zhǔn)分類這里我們建議不要采用， 如一定需 要采用，由用戶自行維護(hù)； 用戶自主分類由用戶自主維護(hù)， 但需要建立與國(guó)際標(biāo) 準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的一一對(duì)應(yīng)關(guān)系， 擴(kuò)展部分依據(jù)合理的原則 （預(yù)先系統(tǒng)確定的原則） 進(jìn)行維護(hù)。信息資產(chǎn)分類采取目錄樹(shù)方式進(jìn)行，樹(shù)葉的粒度可以到資產(chǎn)的部件（如服務(wù) 器可以硬盤(pán)、顯示器，軟件可以到功能模塊，人到其擁有的各種角色，文件到關(guān) 鍵數(shù)據(jù)，

5、數(shù)據(jù)庫(kù)可以到表的字段等） 。系統(tǒng)提供的國(guó)際標(biāo)準(zhǔn)與國(guó)家標(biāo)準(zhǔn)往往是作為參考標(biāo)準(zhǔn)， 通常系統(tǒng)在進(jìn)行信息 資產(chǎn)的基本信息管理、 信息資產(chǎn)的活動(dòng)狀態(tài)管理都是采取用戶自主分類進(jìn)行。 無(wú) 論采取什么分類，在系統(tǒng)中需要由用戶指定所采用的信息資產(chǎn)分類標(biāo)準(zhǔn)。任何一種資產(chǎn)分類的基本描述至少包括：父編碼、編碼、名稱、說(shuō)明， （如 用戶自主分類，添加對(duì)應(yīng)國(guó)標(biāo)編碼） 。系統(tǒng)要求能夠?qū)?guó)際、國(guó)家標(biāo)準(zhǔn)進(jìn)行自動(dòng)更新，用戶自主分類管理需要提供 用戶系統(tǒng)管理員或?qū)Ｂ毞诸惥S護(hù)人員進(jìn)行維護(hù)的手段。信息資產(chǎn)的基本信息管理信息資產(chǎn)的基本信息管理是系統(tǒng)的基礎(chǔ)資產(chǎn)信息， 需要全面記錄資產(chǎn)的情況 包括、資產(chǎn)所有權(quán)、資產(chǎn)生產(chǎn)者、資產(chǎn)使用者、資產(chǎn)獲

6、得者、資產(chǎn)功能、性能、 資產(chǎn)部署地、多種時(shí)間因素、價(jià)值、量級(jí)、密級(jí)等，這些信息能夠?qū)崿F(xiàn)分布式、 流程式錄入或?qū)彾ù_認(rèn)等。信息資產(chǎn)的基本信息管理應(yīng)該與資產(chǎn)分類掛鉤， 如為資產(chǎn)分類中沒(méi)有的應(yīng)該 先進(jìn)行資產(chǎn)分類登記（要充分考慮維護(hù)者的方便性）所有信息資產(chǎn)應(yīng)該針對(duì)各種屬性提供靈活的查詢與基本統(tǒng)計(jì) （除固定格式的 輸出外，應(yīng)該能夠提供全面的基礎(chǔ)統(tǒng)計(jì)， 選擇性的輸出），供各類管理人員使用。信息資產(chǎn)活動(dòng)狀態(tài)管理信息資產(chǎn)活動(dòng)狀態(tài)管理是風(fēng)險(xiǎn)評(píng)估中的重要環(huán)節(jié)， 是實(shí)現(xiàn)動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估 和采取防范措施的對(duì)象基礎(chǔ)和信息基礎(chǔ)。信息資產(chǎn)活動(dòng)狀態(tài)管理首先需要針對(duì)用戶所有信息資產(chǎn)的實(shí)際狀態(tài)進(jìn)行真 實(shí)的記錄， 再就是要對(duì)信息資

7、產(chǎn)的配置信息 （如服務(wù)器的各種配置參數(shù)， 尤其是 長(zhǎng)時(shí)間不變化的參數(shù)，數(shù)據(jù)文件的存儲(chǔ)、安全控制、格式信息，人員的角色、授 權(quán)、身份、密碼、密鑰等）進(jìn)行有效管理。結(jié)合信息資產(chǎn)的基本信息與活動(dòng)狀態(tài)信息信息提供動(dòng)態(tài)的資產(chǎn)報(bào)告， 和資產(chǎn) 使用狀態(tài)預(yù)警（這里不是系統(tǒng)的安全預(yù)警，如過(guò)期、閑置、不受控等） 。所有信息資產(chǎn)的活動(dòng)狀態(tài)都可以提供靈活的查詢與基本統(tǒng)計(jì) （除固定格式的 輸出外，應(yīng)該能夠提供全面的基礎(chǔ)統(tǒng)計(jì)， 選擇性的輸出），供各類管理人員使用。 分類資產(chǎn)權(quán)重管理分類資產(chǎn)權(quán)重管理是對(duì)各類信息資產(chǎn)在信息系統(tǒng)中對(duì)安全影響的重要程度 的一種描述，采取開(kāi)發(fā)者集中維護(hù)維護(hù)依據(jù)國(guó)家標(biāo)準(zhǔn)分類 （或稱開(kāi)發(fā)者標(biāo)準(zhǔn)分類）

8、進(jìn)行的通用權(quán)重原則，用戶可以采取自動(dòng)更新的方法更新此庫(kù)。用戶（或服務(wù)提供商）需要依據(jù)應(yīng)用環(huán)境的實(shí)際情況，確定最終的系統(tǒng)應(yīng)用權(quán)重標(biāo)準(zhǔn)， 用戶在維護(hù)自主分類的標(biāo)準(zhǔn)時(shí)， 針對(duì)每一分類可以選擇分類資產(chǎn)權(quán)重 產(chǎn)生依據(jù)（如等同國(guó)標(biāo)分類權(quán)重、自主維護(hù)權(quán)重） ，如為等同權(quán)重則在系統(tǒng)自動(dòng) 更新時(shí)一并更新，否則，系統(tǒng)的自動(dòng)更新不影響用戶自維護(hù)的權(quán)重部分。信息資產(chǎn)重要度評(píng)估管理信息資產(chǎn)重要度評(píng)估的目的是產(chǎn)生信息資產(chǎn)基礎(chǔ)狀態(tài)評(píng)估報(bào)告中的最重要 指標(biāo)，其評(píng)估方式采取多因素評(píng)估方式進(jìn)行， 因素應(yīng)從信息資產(chǎn)的基本信息管理 中選擇（并考慮活動(dòng)狀態(tài)的影響） ，各類因素在重要度評(píng)估中所占的權(quán)重在給定 參考范圍的基礎(chǔ)上，由用戶進(jìn)行

9、維護(hù)。在所有基礎(chǔ)管理系統(tǒng)都完整的基礎(chǔ)上，系統(tǒng)自動(dòng)產(chǎn)生信息資產(chǎn)重要度結(jié)果 = 分類資產(chǎn)權(quán)重 *（多（因素量化值 *因素權(quán)重）之和） /MAX （分類資產(chǎn)權(quán)重 *（多 （因素量化值 * 因素權(quán)重）之和）*10，即重要度最大為 10 ，非整數(shù)采取四舍 5 入制。信息安全維護(hù)信息資產(chǎn)的安全維護(hù)是整個(gè)安全管理十分重要的環(huán)節(jié)， 更是實(shí)現(xiàn)整個(gè)安全保 障體系運(yùn)行成功的關(guān)鍵， 在信息資產(chǎn)活動(dòng)狀態(tài)管理和下面事件管理的基礎(chǔ)上實(shí)現(xiàn) 信息資產(chǎn)安全維護(hù)提示 （如依據(jù)風(fēng)險(xiǎn)分析情況及時(shí)給出維護(hù)提示、 依據(jù)動(dòng)態(tài)發(fā)生 的情況所關(guān)聯(lián)的資產(chǎn)關(guān)系，提示維護(hù)） ，安全管理員依據(jù)提示，結(jié)合自身的經(jīng)驗(yàn) 進(jìn)行信息資產(chǎn)維護(hù)。由于信息資產(chǎn)維護(hù)是整

10、個(gè)系統(tǒng)中的一個(gè)重要環(huán)節(jié)， 要建立動(dòng)態(tài)的安全防護(hù)體 系，維護(hù)過(guò)程本身的管理是不可缺少的內(nèi)容。 也就是說(shuō)需要將信息資產(chǎn)的配置管 理與控制措施管理動(dòng)態(tài)化。這里還需要對(duì)維護(hù)過(guò)程描述進(jìn)行更準(zhǔn)確的描述。事件管理事件管理需要對(duì)用戶整個(gè)信息系統(tǒng)運(yùn)行過(guò)程中， 所有與安全相關(guān)的可進(jìn)行管理的 事項(xiàng)進(jìn)行全方位的過(guò)程式管理， 包括事件的模式管理、 事件的發(fā)現(xiàn)、 事件的報(bào)告、 事件的處理、事件的影響評(píng)估、事件對(duì)系統(tǒng)知識(shí)庫(kù)的影響（分類資產(chǎn)權(quán)重庫(kù)、因 素權(quán)重庫(kù)、分類資產(chǎn)威脅庫(kù)、分類資產(chǎn)脆弱性庫(kù)、分類資產(chǎn)控制措施庫(kù)、安全等 級(jí)評(píng)定參考庫(kù)等）。事件的模式管理事件的模式管理是事件的描述管理，系統(tǒng)提供標(biāo)準(zhǔn)的事件模式庫(kù)，包括事件 編號(hào)

11、、事件名稱、事件性質(zhì)、事件效用、事件對(duì)安全影響的重要程度、事件描述 的多種要素等。 用戶可以維護(hù)自主的事件模式庫(kù)， 如等同采用標(biāo)準(zhǔn)事件庫(kù)， 需要 在模式庫(kù)設(shè)置時(shí)選擇對(duì)應(yīng)的項(xiàng)目， 以保證在系統(tǒng)自動(dòng)更新時(shí)事件模式庫(kù)可以自動(dòng) 更新。事件的發(fā)現(xiàn)事件的發(fā)現(xiàn)在系統(tǒng)中將采取多渠道方式，不同的方式發(fā)現(xiàn)途徑不同，采取插 件方式實(shí)現(xiàn)，系統(tǒng)目前主要支持，關(guān)鍵系統(tǒng)日志、入侵檢測(cè)、漏洞掃描、網(wǎng)管日 志、人工發(fā)現(xiàn)等方式。事件發(fā)現(xiàn)的方式不同對(duì)應(yīng)的事件模式不同，尤其是事件的要素不同，由于同 一類的發(fā)現(xiàn)方式不同用戶其采取的系統(tǒng)可能是不同的，因此，事件要素就不同， 為了便于采集需要維護(hù)好事件模式。事件的發(fā)現(xiàn)負(fù)責(zé)解決事件的采集問(wèn)題

12、，這需要解決好事件的集中接收、事件的描述與傳輸協(xié)議問(wèn)題、事件的過(guò)濾問(wèn)題這里特別需要提出的目前有大量的內(nèi)網(wǎng)安全審計(jì)系統(tǒng)已經(jīng)成為企業(yè)選擇的 一個(gè)熱點(diǎn)， 如果本系統(tǒng)與內(nèi)網(wǎng)安全審計(jì)系統(tǒng)建立緊密的聯(lián)系， 或直接引入一個(gè)內(nèi) 網(wǎng)安全審計(jì)系統(tǒng)將極大完善本系統(tǒng)的功能， 尤其是事件發(fā)現(xiàn)的能力， 這一點(diǎn)需要 進(jìn)一步研究。事件的報(bào)告事件的報(bào)告是正式啟動(dòng)事件處理流程的起點(diǎn)， 是指事件管理者接收到事件報(bào) 告，事件發(fā)現(xiàn)者（自動(dòng)發(fā)現(xiàn)、人工發(fā)現(xiàn)）向系統(tǒng)提交正式的事件報(bào)告。事件管理者可以實(shí)時(shí)監(jiān)控所有報(bào)告的事件， 自動(dòng)發(fā)現(xiàn)的事件通過(guò)集中接收并 過(guò)濾后自動(dòng)提交給系統(tǒng)， 人工發(fā)現(xiàn)者通過(guò)填寫(xiě)事件報(bào)告單的方式將事件提交給系 統(tǒng)，管理者將分

13、類獲得監(jiān)控信息， 監(jiān)控信息以分類列表方式展示， 逐條信息可以 展示詳細(xì)信息。 所有展示的信息可以依據(jù)要素進(jìn)行分類排序統(tǒng)計(jì) （可以自定義時(shí) 間段），有綜合的事件分析統(tǒng)計(jì)報(bào)告。事件的處理事件的處理是流程處理方式，依據(jù)事件的分類不同、等級(jí)不同采取不同的流 程進(jìn)行處理，所有處理節(jié)點(diǎn)的處理情況均記錄在案， （特別：流程可以采取圖視 化訂制或配制文件方式的訂制進(jìn)行改變； 處理情況應(yīng)該有標(biāo)準(zhǔn)方式與非標(biāo)準(zhǔn)描述 相結(jié)合，為今后的事件的影響評(píng)估提供基礎(chǔ)） 。事件的影響評(píng)估事件影事件的影響評(píng)估是依據(jù)預(yù)先確定的影響因素與影響評(píng)估模型來(lái)進(jìn)行 響評(píng)估影響因素與信息資產(chǎn)分類、 信息資產(chǎn)活動(dòng)狀態(tài)、 分類資產(chǎn)權(quán)重、 信息資產(chǎn) 重要度評(píng)估等有關(guān)。這里需要研究對(duì)應(yīng)的評(píng)估模型（系統(tǒng)最終提供標(biāo)準(zhǔn)模型） ， 建立相關(guān)因素的標(biāo)準(zhǔn)庫(kù)， 此庫(kù)同樣需要保證用戶的自主維護(hù)與系統(tǒng)更新的相融合 問(wèn)題。事件對(duì)系統(tǒng)知識(shí)庫(kù)的影響事件對(duì)系統(tǒng)的分類資產(chǎn)權(quán)重庫(kù)、因素權(quán)重庫(kù)、分類資產(chǎn)威脅庫(kù)、分類資產(chǎn)脆 弱性庫(kù)、分類資產(chǎn)控制措施庫(kù)、 安全等級(jí)評(píng)定參考庫(kù)等知識(shí)是有直接影響的， 它 將動(dòng)態(tài)調(diào)節(jié)系統(tǒng)的這些知識(shí)庫(kù)用戶維護(hù)庫(kù)部分， 并將形成影響報(bào)告單傳送給我們 設(shè)立的知識(shí)庫(kù)維護(hù)中心，以便中心對(duì)標(biāo)準(zhǔn)知識(shí)庫(kù)進(jìn)行適當(dāng)?shù)恼{(diào)整。對(duì)這些知識(shí)庫(kù)的動(dòng)態(tài)影響與庫(kù)