企业信息安全整体方案设计 1 . 需求分析 资产分析 安全方案总是以保护一定价值的资产为目的。因此资产的价值决定了方案设计时考虑的投入强度。一般情况下,不可能用大于资产价值的保护代价去保护资产。目前普遍接受的看法认为,安全投入占资产价值的10-20%是比较合理的。问题是,资产的价值如何确定,尤其是信息资产的价值量化就更模糊。 目前,资产价值的分析有两种指标,一种价格指标,一种是价值指标。前者可以量化,后者可以分级。在信息网络中,网络资源(硬件、软件)的投入是有价格的,但信息资源却很难用价格来衡量,如,很难说一份绝密文件值多少钱。因此,在资产分析阶段,应该将网络资源和信息资源分别估算。网络资源的价格可以初略地认为等同于合同价格,容易确定。关键是信息资源的价值需要探讨。 在美国的信息安全保障框架( IATF)中,将信息资产分为V 1-V 5 五个级别,起分级的依据是信息遭受破坏后的影响程度。V 1-V 5 定义如表 1 所示。 表.1 IATF 信息资产分级 信息级别 分级依据 V1 对信息保护策略的违反造成的负面影响和结果可以忽略。 V2 对信息保护策略的违反会对安全、保险、金融状况、组织的基础设施造成 不良影响/或小的破坏 V3 :对信息保护策略的违反回造成一定的破坏 V4 对信息保护策略的违反会严重破坏安全、保险、金融状况、组织的基础设施 V5 :对信息保护策略的违反回造成异常严重的破坏 我国将涉密信息分为绝密、机密、秘密、内部和公开五个级别,对各级别的重要程度和扩散范围做出了详细规定。 虽然对商业信息没有明确的分级依据,但资产拥有者可以根据信息的重要程度和信息被攻击后可能引发的损失程度将信息进行分级。基于这样的认识,我们可以将信息价值划分为五级(其他分级数也可以,但太细的分级可操作性较差),不凡称之为分别成为不重要、一般重要、重要、很重要、特别重要。并分别赋值1-5。这样可以将资产价值分析总结为表 2。 表 2 资产价值分析表 资产类别 资产价值 价值评估依据 网络资产 价格 建设合同价(采购、开发、实施、服务、维护等) 信息资产 1 不重要 2 一般重要 3 重要 4 很重要 5 特别重要 根据以上资产分析依据,就可以给资产赋值。从而成为方案设计的一个量化依据。 1 .2 漏洞分析 在分析了资产价值之后,就要对信息网络的脆弱性进行分析评估。如果信息网络没有漏洞可供攻击者利用,则认为信息网络是安全的。然而,实际的...
