信息資產(chǎn)風(fēng)險(xiǎn)控制管理

1、本文討論了信息資產(chǎn)的風(fēng)險(xiǎn)控制管理的基本內(nèi)容，提岀了實(shí)現(xiàn)信息資產(chǎn)風(fēng)險(xiǎn)控制管理的基本目標(biāo)。總結(jié) 了圍繞實(shí)現(xiàn)這一目標(biāo)需要進(jìn)行的七個(gè)方面工作，并具體討論了信息資產(chǎn)的基本信息管理與評(píng)估和事件管理的 工作內(nèi)容。 關(guān)鍵字：信息資產(chǎn) 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 概述 信息資產(chǎn)風(fēng)險(xiǎn)控制管理是當(dāng)前信息安全管理的基礎(chǔ)工作，其基本目標(biāo)是實(shí)現(xiàn)用戶的信息資產(chǎn)的全面風(fēng) 險(xiǎn)控制管理，確保用戶信息資產(chǎn)的可靠、安全、高效運(yùn)行。并通過如下方面的工作來實(shí)現(xiàn)這一基本目標(biāo)： 信息資產(chǎn)的基本信息管理與評(píng)估：信息資產(chǎn)的基本信息管理是整個(gè)系統(tǒng)最基礎(chǔ)數(shù)據(jù)源的管理；信息資產(chǎn)的評(píng) 估是對(duì)信息資產(chǎn)在用戶的整個(gè)信息化建設(shè)和用戶日常工作影響的重要性評(píng)估

2、； 事件管理：事件管理是對(duì)用戶整個(gè)信息系統(tǒng)運(yùn)行過程中，運(yùn)行狀態(tài)分析、已經(jīng)發(fā)生的安全事件的過程式管 理； 脆弱性管理：脆弱性管理是對(duì)用戶整個(gè)信息系統(tǒng)安全、可靠、高效運(yùn)行中可能存在的脆弱點(diǎn)的全面管理； 威脅性管理：威脅性管理是對(duì)用戶整個(gè)信息系統(tǒng)安全、可靠、高效運(yùn)行中可能存在的可能面臨的安全威脅的 全面管理； 風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)評(píng)估是針對(duì)用戶整個(gè)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)的綜合評(píng)定； 控制措施管理：控制措施管理是對(duì)用戶針對(duì)所有信息資產(chǎn)、信息系統(tǒng)所采取的安全保障措施的全面管理； 安全等級(jí)評(píng)定：安全等級(jí)評(píng)定是參考國家安全等級(jí)保護(hù)制度的安全等級(jí)評(píng)定標(biāo)準(zhǔn)，給岀用戶當(dāng)前實(shí)際達(dá)到的 安全等級(jí)； 風(fēng)險(xiǎn)控制報(bào)告：風(fēng)險(xiǎn)控制報(bào)

3、告是依據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告和用戶期望的安全保護(hù)等級(jí)或其他要求提岀全面的安全風(fēng) 險(xiǎn)如何控制的報(bào)告，至少包括必控措施、等級(jí)保護(hù)要求措施、建議措施等方面。 信息資產(chǎn)的基本信息管理與評(píng)估 信息資產(chǎn)的基本信息管理需要對(duì)用戶的信息資產(chǎn)進(jìn)行全面細(xì)致的管理，信息資產(chǎn)的評(píng)估需要對(duì)信息資 產(chǎn)在用戶的整個(gè)信息化建設(shè)和用戶日常工作影響的重要性作岀準(zhǔn)確的評(píng)估。 信息資產(chǎn)的基本信息管理包括：信息資產(chǎn)分類管理、信息資產(chǎn)的基本信息管理、信息資產(chǎn)活動(dòng)狀態(tài)管 理等。信息資產(chǎn)的基本評(píng)估包括：分類資產(chǎn)權(quán)重管理、信息資產(chǎn)重要度評(píng)估管理、資產(chǎn)的安全維護(hù)。 信息資產(chǎn)分類管理 信息資產(chǎn)的分類管理是系統(tǒng)管理的基本內(nèi)容之一，負(fù)責(zé)信息資產(chǎn)的標(biāo)準(zhǔn)分類，這

4、里需要考慮的是國際 標(biāo)準(zhǔn)分類、國家標(biāo)準(zhǔn)分類（或開發(fā)者標(biāo)準(zhǔn)分類）、行業(yè)標(biāo)準(zhǔn)分類、用戶自主分類四種基本情況，其中國際、 國家標(biāo)準(zhǔn)分類是系統(tǒng)開發(fā)建設(shè)者提供，并可以不斷更新；行業(yè)標(biāo)準(zhǔn)分類這里我們建議不要采用，如一定需要 采用，由用戶自行維護(hù)；用戶自主分類由用戶自主維護(hù)，但需要建立與國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的一一對(duì)應(yīng)關(guān) 系，擴(kuò)展部分依據(jù)合理的原則（預(yù)先系統(tǒng)確定的原則）進(jìn)行維護(hù)。 信息資產(chǎn)分類采取目錄樹方式進(jìn)行，樹葉的粒度可以到資產(chǎn)的部件（如服務(wù)器可以硬盤、顯示器，軟件 可以到功能模塊，人到其擁有的各種角色，文件到關(guān)鍵數(shù)據(jù)，數(shù)據(jù)庫可以到表的字段等）。 系統(tǒng)提供的國際標(biāo)準(zhǔn)與國家標(biāo)準(zhǔn)往往是作為參考標(biāo)準(zhǔn)，通常系統(tǒng)在進(jìn)

5、行信息資產(chǎn)的基本信息管理、信 息資產(chǎn)的活動(dòng)狀態(tài)管理都是采取用戶自主分類進(jìn)行。無論采取什么分類，在系統(tǒng)中需要由用戶指定所采用的 信息資產(chǎn)分類標(biāo)準(zhǔn)。 任何一種資產(chǎn)分類的基本描述至少包括：父編碼、編碼、名稱、說明，（如用戶自主分類，添加對(duì)應(yīng)國 標(biāo)編碼）。 系統(tǒng)要求能夠?qū)H、國家標(biāo)準(zhǔn)進(jìn)行自動(dòng)更新，用戶自主分類管理需要提供用戶系統(tǒng)管理員或?qū)Ｂ毞?類維護(hù)人員進(jìn)行維護(hù)的手段。 信息資產(chǎn)的基本信息管理 信息資產(chǎn)的基本信息管理是系統(tǒng)的基礎(chǔ)資產(chǎn)信息，需要全面記錄資產(chǎn)的情況包括、資產(chǎn)所有權(quán)、資產(chǎn) 生產(chǎn)者、資產(chǎn)使用者、資產(chǎn)獲得者、資產(chǎn)功能、性能、資產(chǎn)部署地、多種時(shí)間因素、價(jià)值、量級(jí)、密級(jí)等， 這些信息能夠?qū)崿F(xiàn)分布式

6、、流程式錄入或?qū)彾ù_認(rèn)等。 信息資產(chǎn)的基本信息管理應(yīng)該與資產(chǎn)分類掛鉤，如為資產(chǎn)分類中沒有的應(yīng)該先進(jìn)行資產(chǎn)分類登記（要充 分考慮維護(hù)者的方便性）。 所有信息資產(chǎn)應(yīng)該針對(duì)各種屬性提供靈活的查詢與基本統(tǒng)計(jì)（除固定格式的輸岀外，應(yīng)該能夠提供全面 的基礎(chǔ)統(tǒng)計(jì)，選擇性的輸岀），供各類管理人員使用。 信息資產(chǎn)活動(dòng)狀態(tài)管理 信息資產(chǎn)活動(dòng)狀態(tài)管理是風(fēng)險(xiǎn)評(píng)估中的重要環(huán)節(jié)，是實(shí)現(xiàn)動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估和采取防范措施的對(duì)象基 礎(chǔ)和信息基礎(chǔ)。 信息資產(chǎn)活動(dòng)狀態(tài)管理首先需要針對(duì)用戶所有信息資產(chǎn)的實(shí)際狀態(tài)進(jìn)行真實(shí)的記錄，再就是要對(duì)信息 資產(chǎn)的配置信息（如服務(wù)器的各種配置參數(shù)，尤其是長時(shí)間不變化的參數(shù)，數(shù)據(jù)文件的存儲(chǔ)、安全控制、格

7、 式信息，人員的角色、授權(quán)、身份、密碼、密鑰等）進(jìn)行有效管理。 結(jié)合信息資產(chǎn)的基本信息與活動(dòng)狀態(tài)信息信息提供動(dòng)態(tài)的資產(chǎn)報(bào)告，和資產(chǎn)使用狀態(tài)預(yù)警（這里不是系 統(tǒng)的安全預(yù)警，如過期、閑置、不受控等）。 所有信息資產(chǎn)的活動(dòng)狀態(tài)都可以提供靈活的查詢與基本統(tǒng)計(jì)（除固定格式的輸岀外，應(yīng)該能夠提供全面 的基礎(chǔ)統(tǒng)計(jì)，選擇性的輸岀），供各類管理人員使用。 分類資產(chǎn)權(quán)重管理 分類資產(chǎn)權(quán)重管理是對(duì)各類信息資產(chǎn)在信息系統(tǒng)中對(duì)安全影響的重要程度的一種描述，采取開發(fā)者集 中維護(hù)維護(hù)依據(jù)國家標(biāo)準(zhǔn)分類（或稱開發(fā)者標(biāo)準(zhǔn)分類）進(jìn)行的通用權(quán)重原則，用戶可以采取自動(dòng)更新的方法 更新此庫。 用戶（或服務(wù)提供商）需要依據(jù)應(yīng)用環(huán)境的實(shí)際情

8、況，確定最終的系統(tǒng)應(yīng)用權(quán)重標(biāo)準(zhǔn)，用戶在維護(hù)自主 分類的標(biāo)準(zhǔn)時(shí)，針對(duì)每一分類可以選擇分類資產(chǎn)權(quán)重產(chǎn)生依據(jù)（如等同國標(biāo)分類權(quán)重、自主維護(hù)權(quán)重），如 為等同權(quán)重則在系統(tǒng)自動(dòng)更新時(shí)一并更新，否則，系統(tǒng)的自動(dòng)更新不影響用戶自維護(hù)的權(quán)重部分。 信息資產(chǎn)重要度評(píng)估管理 信息資產(chǎn)重要度評(píng)估的目的是產(chǎn)生信息資產(chǎn)基礎(chǔ)狀態(tài)評(píng)估報(bào)告中的最重要指標(biāo)，其評(píng)估方式采取多因 素評(píng)估方式進(jìn)行，因素應(yīng)從信息資產(chǎn)的基本信息管理中選擇（并考慮活動(dòng)狀態(tài)的影響），各類因素在重要度 評(píng)估中所占的權(quán)重在給定參考范圍的基礎(chǔ)上，由用戶進(jìn)行維護(hù)。 在所有基礎(chǔ)管理系統(tǒng)都完整的基礎(chǔ)上，系統(tǒng)自動(dòng)產(chǎn)生信息資產(chǎn)重要度結(jié)果=分類資產(chǎn)權(quán)重 * （多（因素量 化

9、值 *因素權(quán)重）之和） /MAX （分類資產(chǎn)權(quán)重 * （多（因素量化值 *因素權(quán)重）之和） *10 ，即重要度最大 為 10 ，非整數(shù)采取四舍 5 入制。 信息安全維護(hù) 信息資產(chǎn)的安全維護(hù)是整個(gè)安全管理十分重要的環(huán)節(jié)，更是實(shí)現(xiàn)整個(gè)安全保障體系運(yùn)行成功的關(guān)鍵， 在信息資產(chǎn)活動(dòng)狀態(tài)管理和下面事件管理的基礎(chǔ)上實(shí)現(xiàn)信息資產(chǎn)安全維護(hù)提示（如依據(jù)風(fēng)險(xiǎn)分析情況及時(shí)給 出維護(hù)提示、依據(jù)動(dòng)態(tài)發(fā)生的情況所關(guān)聯(lián)的資產(chǎn)關(guān)系，提示維護(hù)），安全管理員依據(jù)提示，結(jié)合自身的經(jīng)驗(yàn) 進(jìn)行信息資產(chǎn)維護(hù)。 由于信息資產(chǎn)維護(hù)是整個(gè)系統(tǒng)中的一個(gè)重要環(huán)節(jié)，要建立動(dòng)態(tài)的安全防護(hù)體系，維護(hù)過程本身的管理 是不可缺少的內(nèi)容。也就是說需要將信息資

10、產(chǎn)的配置管理與控制措施管理動(dòng)態(tài)化。 這里還需要對(duì)維護(hù)過程描述進(jìn)行更準(zhǔn)確的描述。 事件管理 事件管理需要對(duì)用戶整個(gè)信息系統(tǒng)運(yùn)行過程中，所有與安全相關(guān)的可進(jìn)行管理的事項(xiàng)進(jìn)行全方位的過程式管 理，包括事件的模式管理、事件的發(fā)現(xiàn)、事件的報(bào)告、事件的處理、事件的影響評(píng)估、事件對(duì)系統(tǒng)知識(shí)庫的 影響（分類資產(chǎn)權(quán)重庫、因素權(quán)重庫、分類資產(chǎn)威脅庫、分類資產(chǎn)脆弱性庫、分類資產(chǎn)控制措施庫、安全等 級(jí)評(píng)定參考庫等）。 事件的模式管理 事件的模式管理是事件的描述管理，系統(tǒng)提供標(biāo)準(zhǔn)的事件模式庫，包括事件編號(hào)、事件名稱、事件性 質(zhì)、事件效用、事件對(duì)安全影響的重要程度、事件描述的多種要素等。用戶可以維護(hù)自主的事件模式庫，如

11、等同采用標(biāo)準(zhǔn)事件庫，需要在模式庫設(shè)置時(shí)選擇對(duì)應(yīng)的項(xiàng)目，以保證在系統(tǒng)自動(dòng)更新時(shí)事件模式庫可以自動(dòng) 更新。 事件的發(fā)現(xiàn) 事件的發(fā)現(xiàn)在系統(tǒng)中將采取多渠道方式，不同的方式發(fā)現(xiàn)途徑不同，采取插件方式實(shí)現(xiàn)，系統(tǒng)目前主 要支持，關(guān)鍵系統(tǒng)日志、入侵檢測、漏洞掃描、網(wǎng)管日志、人工發(fā)現(xiàn)等方式。 事件發(fā)現(xiàn)的方式不同對(duì)應(yīng)的事件模式不同，尤其是事件的要素不同，由于同一類的發(fā)現(xiàn)方式不同用戶 其采取的系統(tǒng)可能是不同的，因此，事件要素就不同，為了便于采集需要維護(hù)好事件模式。 事件的發(fā)現(xiàn)負(fù)責(zé)解決事件的采集問題，這需要解決好事件的集中接收、事件的描述與傳輸協(xié)議問題、 事件的過濾問題。 這里特別需要提出的目前有大量的內(nèi)網(wǎng)安全審計(jì)系

12、統(tǒng)已經(jīng)成為企業(yè)選擇的一個(gè)熱點(diǎn)，如果本系統(tǒng)與內(nèi) 網(wǎng)安全審計(jì)系統(tǒng)建立緊密的聯(lián)系，或直接引入一個(gè)內(nèi)網(wǎng)安全審計(jì)系統(tǒng)將極大完善本系統(tǒng)的功能，尤其是事件 發(fā)現(xiàn)的能力，這一點(diǎn)需要進(jìn)一步研究。 事件的報(bào)告 事件的報(bào)告是正式啟動(dòng)事件處理流程的起點(diǎn)，是指事件管理者接收到事件報(bào)告，事件發(fā)現(xiàn)者（自動(dòng)發(fā) 現(xiàn)、人工發(fā)現(xiàn)）向系統(tǒng)提交正式的事件報(bào)告。 事件管理者可以實(shí)時(shí)監(jiān)控所有報(bào)告的事件，自動(dòng)發(fā)現(xiàn)的事件通過集中接收并過濾后自動(dòng)提交給系統(tǒng)， 人工發(fā)現(xiàn)者通過填寫事件報(bào)告單的方式將事件提交給系統(tǒng)，管理者將分類獲得監(jiān)控信息，監(jiān)控信息以分類列 表方式展示，逐條信息可以展示詳細(xì)信息。所有展示的信息可以依據(jù)要素進(jìn)行分類排序統(tǒng)計(jì)（可以自定義

13、時(shí) 間段），有綜合的事件分析統(tǒng)計(jì)報(bào)告。 事件的處理 事件的處理是流程處理方式，依據(jù)事件的分類不同、等級(jí)不同采取不同的流程進(jìn)行處理，所有處理節(jié) 點(diǎn)的處理情況均記錄在案，（特別：流程可以采取圖視化訂制或配制文件方式的訂制進(jìn)行改變；處理情況應(yīng) 該有標(biāo)準(zhǔn)方式與非標(biāo)準(zhǔn)描述相結(jié)合，為今后的事件的影響評(píng)估提供基礎(chǔ)）。 事件的影響評(píng)估 事件的影響評(píng)估是依據(jù)預(yù)先確定的影響因素與影響評(píng)估模型來進(jìn)行。事件影響評(píng)估影響因素與信息資 產(chǎn)分類、信息資產(chǎn)活動(dòng)狀態(tài)、分類資產(chǎn)權(quán)重、信息資產(chǎn)重要度評(píng)估等有關(guān)。這里需要研究對(duì)應(yīng)的評(píng)估模型 （系統(tǒng)最終提供標(biāo)準(zhǔn)模型），建立相關(guān)因素的標(biāo)準(zhǔn)庫，此庫同樣需要保證用戶的自主維護(hù)與系統(tǒng)更新的相融 合問題。 事件對(duì)系統(tǒng)知識(shí)庫的影響 事件對(duì)系統(tǒng)的分類資產(chǎn)權(quán)重庫、因素權(quán)重庫、分類資產(chǎn)威脅庫、分類資產(chǎn)脆弱性庫、分類資產(chǎn)控制措 施庫、安全等級(jí)評(píng)定參考庫等知識(shí)是有直接影響的，它將動(dòng)態(tài)調(diào)節(jié)系統(tǒng)的這些知識(shí)庫用戶維護(hù)庫部分，并將 形成影響報(bào)告單傳送給我們?cè)O(shè)立的知識(shí)庫維護(hù)中心，以便中心對(duì)標(biāo)準(zhǔn)知識(shí)庫進(jìn)行適當(dāng)?shù)恼{(diào)整。 對(duì)這些知識(shí)庫的動(dòng)態(tài)影響與庫的調(diào)整需要