專利名稱:一種基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法
技術領域:
本發(fā)明涉及信息資產(chǎn)評估方法����,特別是基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法,屬于計算機和信息安全技術領域����。
背景技術:
信息安全風險評估過程,先是對資產(chǎn)�����、威脅�����、脆弱性��、潛在影響和現(xiàn)有安全措施進行識別���、分析和評價����,然后綜合這些風險要素的評估結果�����,得出風險的評估結果�。資產(chǎn)是風險的第一評估要素���,其它要素的評估都是以資產(chǎn)為前提的。也說就是����,威脅評估是針對所關注資產(chǎn)面臨的威脅,脆弱性評估是針對所關注資產(chǎn)自身的脆弱性���,潛在影響評估是針對所關注資產(chǎn)失效時的負面影響��,現(xiàn)有安全措施評估也是針對所關注資產(chǎn)已具備的安全措施�。因此����,資產(chǎn)評估的正確性和準確性對于后續(xù)的各風險要素及其綜合評估的導向至關重要。換一種說法就是�����,資產(chǎn)評估的偏差會導致關鍵資產(chǎn)的誤選或遺漏����,進而導致風險評估的方向性或片面性錯誤�����。
目前信息安全的資產(chǎn)評估包括資產(chǎn)識別和資產(chǎn)價值評估兩個主要過程,其操作通常是資產(chǎn)識別者利用自身掌握的知識和經(jīng)驗來識別給定范圍內(nèi)的資產(chǎn)��,并進行分類和價值評估��。這種方法受限于資產(chǎn)識別者的理解和能力��,產(chǎn)生如下問題(1)由于沒有標準的資產(chǎn)分類框架�����,不同的資產(chǎn)識別者因知識和經(jīng)驗的不同���,對給定的同樣對象范圍���,會得出不同的資產(chǎn)清單和分類。比如���,只列出了技術方面的資產(chǎn)�,卻忽略了管理方面的資產(chǎn)��,導致資產(chǎn)識別的偏頗或不完整。(2)由于沒有統(tǒng)一和全面的資產(chǎn)分類標準��,資產(chǎn)定義和分類因人而異�,導致交流和溝通上的困難。(3)由于缺乏資產(chǎn)依賴關系的系統(tǒng)分析����,通常識別的是單個資產(chǎn),沒有明確標識資產(chǎn)之間的依賴關系�。(4)在資產(chǎn)價值評估過程中,資產(chǎn)的獲取價值一般是有形的���,評估起來相對簡單容易�����,能夠得到比較準確的結果��;而資產(chǎn)的作用價值是無形的�����,評估難度較大����,資產(chǎn)識別者容易忽視或考慮不周�,進而造成資產(chǎn)價值評估的失實。上述問題均影響到資產(chǎn)評估的有效性����。
另一方面,資產(chǎn)評估數(shù)據(jù)習慣于采用關系型數(shù)據(jù)庫存取�。關系型數(shù)據(jù)庫把數(shù)據(jù)表示為簡單的兩維模型,即表示為行與列的記錄來進行存儲處理���。關系型數(shù)據(jù)庫產(chǎn)生的時間較早����,只是一種適合于對簡單數(shù)據(jù)進行存儲處理的技術��,存在很多局限性���。雖然關系型數(shù)據(jù)庫簡單���、易于理解,并被廣泛的應用�����,但是對于復雜的多維數(shù)據(jù),這種簡單兩維模型的關系型數(shù)據(jù)庫顯然已經(jīng)難以應付�����。
發(fā)明內(nèi)容
為了克服上述現(xiàn)有資產(chǎn)評估方法及其技術中的不足�,本發(fā)明的目的是提供一種基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法。它解決了信息資產(chǎn)評估中存在的局限性��,可以大大提高了信息資產(chǎn)評估的系統(tǒng)性��、科學性和有效性�。
為了達到上述的發(fā)明目的,本發(fā)明的技術方案以如下方式實現(xiàn)一種基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法���,其主要步驟為
1)選擇信息資產(chǎn)的行業(yè)���、機構性質(zhì)和規(guī)模的相關參數(shù),通過參數(shù)篩選出與評估對象相適應的資產(chǎn)分類識別框架模板���、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板����。
2)選擇一個資產(chǎn)分類識別框架模板��,輸入相關資產(chǎn)類別定義信息,得到符合需求的資產(chǎn)分類識別框架���。選擇一個資產(chǎn)關系分析模型模板,定義資產(chǎn)依賴關系的級別和程度�,得到符合需求的資產(chǎn)關系分析模型。選擇一個資產(chǎn)價值評估算法模板���,定義資產(chǎn)價值評估的等級和準則以及選擇價值的傳遞方式��,得到符合需求的資產(chǎn)價值評估算法����。
3)依照資產(chǎn)分類識別框架��,對信息資產(chǎn)分類識別和清點���,得到資產(chǎn)分類清單���。
4)依照資產(chǎn)關系分析模型,對資產(chǎn)分類清單中所列出的信息資產(chǎn)進行資產(chǎn)關系分析���,得到資產(chǎn)依賴關系��。
5)依照資產(chǎn)價值評估算法��,用資產(chǎn)依賴關系對信息資產(chǎn)價值評估����,得到資產(chǎn)價值序列。
在上述的評估方法中��,所述步驟1)中的篩選出與評估對象相適應的資產(chǎn)分類識別框架模板��、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板為一個至多個���。
在上述的評估方法中�,所述步驟2)中的資產(chǎn)分類識別框架模板�、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板的標準格式可以分別按機構實際情況和業(yè)務目標對各模板進行調(diào)整和補充。
在上述的評估方法中���,所述步驟3)中的資產(chǎn)分類識別框架采用多級分類的方法����,其高層類別是所有行業(yè)或機構的共同分類����,中層類別是行業(yè)自身的通用分類����,低層類別是機構內(nèi)部的個性分類�����。將資產(chǎn)按照選擇的資產(chǎn)分類識別框架按級分類���,直到完全窮盡該機構的所有信息安全相關的資產(chǎn)。
在上述的評估方法中����,所述步驟4)中的依賴關系分析采用從高層到低層逐層進行分析的方法,依賴關系可用“有”或“無”以及“高”��、“中”���、或“低”來描述�,得到完整的資產(chǎn)依賴關系鏈或資產(chǎn)依賴關系表�。
在上述的評估方法中,所述步驟5)中的對信息資產(chǎn)價值進行評估的方法為1)評估資產(chǎn)依賴關系鏈中高層業(yè)務目標的最直接依賴的資產(chǎn)的作用價值��。
2)沿著資產(chǎn)依賴鏈��,應用資產(chǎn)作用價值的三大傳遞原理逐一評價依賴鏈上其余資產(chǎn)的作用價值。
在上述的評估方法中�����,所述三大傳遞原理是最大原理�、累積原理和分散原理。
在上述的評估方法中����,所述最大原理和累積原理用于多個資產(chǎn)直接依賴一個資產(chǎn)的情況,分散原理用于一個資產(chǎn)直接依賴多個資產(chǎn)的情況����。對于多個資產(chǎn)直接依賴多個資產(chǎn)的情況,可將其分解成由一定順序組成的多對一和一對多�,然后按給定順序分別應用適當?shù)膫鬟f原理計算被依賴方資產(chǎn)作用價值級別。
本發(fā)明由于采用了上述的方法步驟�����,依照資產(chǎn)分類識別框架�����,對信息資產(chǎn)進行識別和清點得到資產(chǎn)分類清單���,再依照資產(chǎn)關系分析模型�,對資產(chǎn)分類清單中所列出的信息資產(chǎn)進行依賴關系分析,得到資產(chǎn)依賴關系�����,最后依照資產(chǎn)價值評估算法��,用資產(chǎn)依賴關系對信息資產(chǎn)價值進行評估�����,得到資產(chǎn)價值序列�����。同現(xiàn)有技術相比�����,使用本發(fā)明方法大大提高了信息資產(chǎn)評估的系統(tǒng)性��、科學性和有效性�����。
下面結合附圖和具體實施方式
對本發(fā)明做進一步說明���。
圖1為本發(fā)明的工作流程圖�;圖2為使用本發(fā)明方法的系統(tǒng)原理結構圖��;圖3為本發(fā)明實施例中資產(chǎn)依賴鏈的示意圖���;圖4為圖3的具體示例圖���;圖5為圖4引入依賴程度的資產(chǎn)依賴鏈示意圖。
具體實施例方式
參看圖2�,實現(xiàn)本發(fā)明方法的系統(tǒng)包括客戶端瀏覽器F1和由事務處理器F2、數(shù)據(jù)處理器F3���、知識庫F4和數(shù)據(jù)庫F5組成的資產(chǎn)評估服務器F0���。客戶端瀏覽器F1�����、事務處理器F2和數(shù)據(jù)處理器F3依次相互連接,知識庫F4和數(shù)據(jù)庫F5分別和數(shù)據(jù)處理器F3相互連接����。
在實現(xiàn)本發(fā)明方法的系統(tǒng)中,用戶通過客戶端瀏覽器F1向資產(chǎn)評估服務器F0發(fā)送請求����,客戶端瀏覽器F1主要完成模板選擇、瀏覽�����、查詢��、數(shù)據(jù)編輯/輸入等簡單請求功能�。資產(chǎn)評估服務器F0主要是接受來自客戶端瀏覽器F1的請求,根據(jù)請求完成相應工作并將處理結果返回給客戶端瀏覽器F1�。資產(chǎn)評估服務器F0中各模塊主要執(zhí)行的功能為●事務處理器F2針對客戶端瀏覽器F1的請求完成動態(tài)頁面生成���、語法檢查�����、導入/導出��、加密���、資產(chǎn)分類識別����、資產(chǎn)關系分析�、資產(chǎn)價值評價、知識庫F4與數(shù)據(jù)庫F5的添加和修改更新等相關功能��,并返回處理結果給客戶端瀏覽器F1�。
●數(shù)據(jù)處理器F3根據(jù)事務處理器F2的功能要求提供相應的數(shù)據(jù)存取服務。
●知識庫F4中存儲知識型的資產(chǎn)分類識別框架模板�、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板。
●數(shù)據(jù)庫F5中存儲數(shù)據(jù)型的資產(chǎn)分類識別框架模板����、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板實例及其計算結果(包括資產(chǎn)分類清單、資產(chǎn)依賴關系和資產(chǎn)價值序列)�����。
資產(chǎn)評估服務器F0主要提供的功能歸納如下●編輯器用戶根據(jù)自己的行業(yè)和機構性質(zhì)等���,選擇相關模板�。然后根據(jù)自身的實際情況,對模板進行調(diào)整和細化�����,得到滿足實際需求的實例��。實現(xiàn)對知識庫F4與數(shù)據(jù)庫F5的添加����、修改或更新。
●頁面生成頁面內(nèi)容(HTML���,XML���,式樣表(Style Sheets),圖像�����,以及其他)由事務處理器F2的應用代碼和數(shù)據(jù)處理器F3的應用代碼動態(tài)創(chuàng)建����,不需要給每個瀏覽器請求都創(chuàng)建一個處理過程��,事務處理器F2根據(jù)各種不同的請求,快速響應并按要求產(chǎn)生結果頁返回給客戶端瀏覽器F1����。
●數(shù)據(jù)存取一方面根據(jù)系統(tǒng)功能需求從知識庫F4和數(shù)據(jù)庫F5中獲取數(shù)據(jù),另一方面將系統(tǒng)處理過程中的中間結果和最后結果存儲在數(shù)據(jù)庫F5中�����。
●向?qū)е恍枰M行一些鼠標點擊����,就可以完成如資產(chǎn)分類清單、資產(chǎn)依賴關系�、資產(chǎn)價值序列等的顯示和調(diào)整,以及進行類的定義���,把數(shù)據(jù)映射成XML文檔等����。
●自動語法檢查對定義的類���、轉化的HTML和XML文檔舊語法檢查��,標記不正確的語法�����。
●導入與導出將數(shù)據(jù)庫F4��、知識庫F5中的信息進行備份和恢復��。
●加密事務處理F2模塊自動加密URL中的數(shù)據(jù)��,來幫助鑒別請求����,阻止篡改。
●完成實現(xiàn)資產(chǎn)分類識別����、資產(chǎn)關系分析和資產(chǎn)價值評價,并得到資產(chǎn)分類清單�����、資產(chǎn)依賴關系和資產(chǎn)價值序列�。
知識庫F4與數(shù)據(jù)庫F5采用面向?qū)ο蟮臄?shù)據(jù)庫,數(shù)據(jù)按照對象方式進行建模���,因此系統(tǒng)支持封裝���,多重繼承,多態(tài)性����,嵌入對象,參考�,集合和關聯(lián)等特性。對象種類和關系型表格都來自于統(tǒng)一的數(shù)據(jù)定義�。無論是輸入的對象屬性數(shù)據(jù),還是結果數(shù)據(jù)�����,都采用對象數(shù)據(jù)存取����。系統(tǒng)采用高度靈活的、動態(tài)的數(shù)據(jù)存儲��,各種數(shù)據(jù)按如下幾種方式存儲●對象屬性
●變量●稀疏的多維數(shù)組�����,允許任何類型的數(shù)據(jù)�。
●知識庫文件和數(shù)據(jù)庫文件都是稀疏的多維數(shù)組�。
除了極少數(shù)的例外�����,變量�、數(shù)組、對象屬性或者關聯(lián)的使用不太受位置的限制��,只要變量能用���,它們也能用�����。
實現(xiàn)本發(fā)明方法的系統(tǒng)中的知識庫/數(shù)據(jù)庫文件采用的是獨特的多維數(shù)據(jù)結構��,多維數(shù)據(jù)結構的本質(zhì)是多維數(shù)組�。多維數(shù)組本質(zhì)上是無類型的��,數(shù)據(jù)和下標都是無類型的���,不需要特別聲明�、定義或者存儲分配。知識庫F4和數(shù)據(jù)庫F5的數(shù)據(jù)簡單存入進去����,就像數(shù)據(jù)被插入一樣。這樣的多維數(shù)據(jù)結構能夠真實地反應和更好地描述信息資產(chǎn)的屬性數(shù)據(jù)及其之間的聯(lián)系����,同時也使數(shù)據(jù)的存取能夠更快實現(xiàn)���。
實現(xiàn)本發(fā)明方法的系統(tǒng)中的知識庫/數(shù)據(jù)庫文件采用稀疏的多維數(shù)組存儲����。由于多維數(shù)據(jù)結構的數(shù)據(jù)是變長的����,并且存儲在稀疏數(shù)組中,只需要關系數(shù)據(jù)庫一半不到的空間��。除了降低磁盤空間的要求外��,緊密的數(shù)據(jù)存儲還提高了性能�����。
實現(xiàn)本發(fā)明方法的系統(tǒng)中的資產(chǎn)評估服務器F0端的應用程序采用XML應用程序�����。系統(tǒng)采用面向?qū)ο蟮臄?shù)據(jù)庫,面向?qū)ο蟮臄?shù)據(jù)庫很容易將數(shù)據(jù)封裝成XML�。面向?qū)ο蟮臄?shù)據(jù)庫有多重繼承功能,其對象類很容易并且快速地轉化為XML文檔和模板��。XML數(shù)據(jù)結構是多層次����、多維的,其文檔結構與多維數(shù)據(jù)結構天然匹配����。因此,開發(fā)人員不需要手動編寫XML與數(shù)據(jù)之間的“映射”��,內(nèi)嵌XML應用能夠更快地開發(fā)�����,應用程序能更快地運行�。使用XML,獨立的應用程序可以通過網(wǎng)絡共享知識庫中的模板和數(shù)據(jù)庫中的數(shù)據(jù)�����,并完成對象編輯、動態(tài)頁面生成��、數(shù)據(jù)存取�、自動語法檢查、信息備份與恢復���、URL加密����、資產(chǎn)分類識別��、資產(chǎn)關系分析和資產(chǎn)價值評價等功能�����。
參看圖1�,本發(fā)明方法使用時的步驟為1)選擇信息資產(chǎn)的行業(yè)�、機構性質(zhì)和規(guī)模的相關參數(shù),通過參數(shù)篩選出與評估對象相適應的一個至多個資產(chǎn)分類識別框架模板����、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板。
2)選擇一個資產(chǎn)分類識別框架模板,輸入相關資產(chǎn)類別定義信息�����,得到符合需求的資產(chǎn)分類識別框架�。選擇一個資產(chǎn)關系分析模型模板,定義資產(chǎn)依賴關系的級別和程度�����,得到符合需求的資產(chǎn)關系分析模型��。選擇一個資產(chǎn)價值評估算法模板�,定義資產(chǎn)價值評估的等級和準則以及選擇價值的傳遞方式,得到符合需求的資產(chǎn)價值評估算法����。上述選擇的分別為資產(chǎn)分類識別框架模板、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板的標準格式�,應用中可根據(jù)機構實際情況和業(yè)務目標對各模板進行調(diào)整和補充。
3)依照資產(chǎn)分類識別框架���,對信息資產(chǎn)分類識別和清點���,得到資產(chǎn)分類清單�。所述資產(chǎn)分類識別框架采用多級分類的方法�,其高層類別是所有行業(yè)或機構的共同分類,中層類別是行業(yè)自身的通用分類���,低層類別是機構內(nèi)部的個性分類���。將資產(chǎn)按照選擇的資產(chǎn)分類識別框架按級分類,直到完全窮盡該機構的所有信息安全相關的資產(chǎn)�����。
按照上述方法對資產(chǎn)進行4級分類�����。1級分類將資產(chǎn)分為基礎環(huán)境����、物理平臺�����、邏輯空間和管理行為四大類別����?���;A環(huán)境類和物理平臺類資產(chǎn)主要以看得見�����、摸得著的實體的形式存在����,而邏輯空間類和管理行為類資產(chǎn)主要以文件、軟件���、過程�、人的思維和行為等抽象的形式存在���?����;A環(huán)境是其它類別資產(chǎn)所處的環(huán)境��,物理平臺是邏輯空間類資產(chǎn)賴以存在的硬件設施�,邏輯空間是實現(xiàn)業(yè)務邏輯的軟設施,管理行為是為了達到業(yè)務目標統(tǒng)籌和協(xié)調(diào)各種資源����。表1給出了資產(chǎn)1級和2級的分類編號和內(nèi)容,表2至表5分別進一步給出了基礎環(huán)境��、物理平臺�����、邏輯空間和管理行為的3級和4級分類編號和內(nèi)容(其中4級分類只給出了部分內(nèi)容)�。
表1信息資產(chǎn)的1級和2級分類編號和內(nèi)容
表2基礎環(huán)境的3級和4級分類編號和內(nèi)容
表3物理平臺的3級和4級分類編號和內(nèi)容
表4邏輯空間的3級和4級分類編號和內(nèi)容
表5管理行為的3級和4級分類編號和內(nèi)容
4)依照資產(chǎn)關系分析模型,對資產(chǎn)分類清單中所列出的信息資產(chǎn)進行資產(chǎn)關系分析�,得到資產(chǎn)依賴關系。依賴關系分析采用從高層到低層逐層進行分析的方法��,依賴關系可用“有”或“無”以及“高”���、“中”、或“低”來描述����,得到完整的資產(chǎn)依賴關系鏈或資產(chǎn)依賴關系表,如圖3和表6所示����。
表6資產(chǎn)依賴鏈示意表
資產(chǎn)1和資產(chǎn)2是實現(xiàn)業(yè)務目標的最直接資產(chǎn)�����,如資產(chǎn)1是業(yè)務數(shù)據(jù)�����,資產(chǎn)2是業(yè)務操作規(guī)程��。資產(chǎn)3和資產(chǎn)4是資產(chǎn)1賴以存在的資產(chǎn)���,如資產(chǎn)3是業(yè)務數(shù)據(jù)的紙制記錄,資產(chǎn)4是業(yè)務數(shù)據(jù)的管理軟件��。資產(chǎn)5是資產(chǎn)2賴以存在的資產(chǎn)��,如資產(chǎn)5是業(yè)務操作軟件���。資產(chǎn)6��、資產(chǎn)7和資產(chǎn)8是資產(chǎn)4和資產(chǎn)5賴以存在的資產(chǎn)�����,如資產(chǎn)6是計算平臺�����,資產(chǎn)7是網(wǎng)絡平臺���,資產(chǎn)8是外圍設備���。資產(chǎn)9是資產(chǎn)6、資產(chǎn)7和資產(chǎn)8賴以存在的資產(chǎn)����,如資產(chǎn)9是機房。得到圖3和表6的具體的資產(chǎn)依賴關系鏈或資產(chǎn)依賴關系表��,如圖4和表7所示���。
表7資產(chǎn)依賴鏈示例表
5)依照資產(chǎn)價值評估算法����,用資產(chǎn)依賴關系對信息資產(chǎn)價值評估��,得到資產(chǎn)價值序列�。資產(chǎn)價值包括資產(chǎn)的獲取價值(即購置和維護資產(chǎn)的成本)和資產(chǎn)的作用價值(即資產(chǎn)對業(yè)務的重要程度)。資產(chǎn)的相對價值以等級劃分的形式來表示��,等級數(shù)目根據(jù)實際需要來選擇��,可以是三個等級(高�、中、低)���,也可以是五個等級(很高�����、較高�����、一般�、較低�����、很低)����,甚至更多���。資產(chǎn)的獲取價值取決于購置和維護資產(chǎn)自身的成本,而資產(chǎn)的作用價值取決于資產(chǎn)對實現(xiàn)業(yè)務目標的貢獻�。
資產(chǎn)最終價值取資產(chǎn)獲取價值和資產(chǎn)作用價值的最大者。當獲取價值以絕對的量化價錢表示而作用價值以相對的價值等級表示時����,需根據(jù)實際情況先將獲取價值轉換為相對的價值等級表示,方可進行比較���。通常情況下��,資產(chǎn)的作用價值往往大于其獲取價值���,特別是關鍵資產(chǎn)的作用價值會遠遠大于其獲取價值,甚至可以忽略獲取價值�����。
資產(chǎn)依賴鏈是資產(chǎn)對業(yè)務目標的貢獻途徑�。由于資產(chǎn)的作用價值體現(xiàn)在對業(yè)務目標的貢獻,那么資產(chǎn)依賴鏈起著資產(chǎn)作用價值的傳遞作用�����。因此�����,資產(chǎn)依賴鏈也是資產(chǎn)作用價值傳遞鏈����。如圖4和表7的示例所示,業(yè)務數(shù)據(jù)和操作規(guī)程對業(yè)務目標直接產(chǎn)生貢獻�,管理軟件和操作軟件分別通過承載業(yè)務數(shù)據(jù)和操作規(guī)程間接產(chǎn)生貢獻,計算平臺�����、網(wǎng)絡平臺和外圍設備通過承載管理軟件和操作軟件也間接產(chǎn)生貢獻����。
依賴方資產(chǎn)作用價值不一定等價傳遞給被依賴方,要取決于依賴關系和依賴程度�。如果多個依賴方只有一個被依賴方,那么���,可能多個依賴方中資產(chǎn)作用價值最高的傳遞到被依賴方(即最大原理)�����,也可能多個依賴方資產(chǎn)作用價值之和傳遞到被依賴方(即累積原理)���。如果一個依賴方有多個被依賴方�,那么�,可能依賴方資產(chǎn)作用價值被分散后傳遞到被依賴方(即分散原理),價值傳遞程度取決于依賴方對被依賴方的依賴程度����。在分析資產(chǎn)依賴關系時,可以用依賴程度來進一步描述依賴關系���,如采用高�����、中��、低三個等級����。圖5和表8分別是圖4和表7引入依賴程度后的資產(chǎn)依賴鏈示例�����。
表8引入依賴程度后的資產(chǎn)依賴鏈示例表
評估資產(chǎn)作用價值往往從資產(chǎn)失效時產(chǎn)生的負面影響的角度來進行,即評價資產(chǎn)的保密性����、完整性或可用性的喪失對機構業(yè)務產(chǎn)生負面影響的程度����。通常,為了全面地評估負面影響��,先要在不同的損失場景下對負面影響進行評估���,然后再匯總取各損失場景中最大負面影響為資產(chǎn)作用價值���。表9至表11分別給出了資產(chǎn)作用價值的評估準則、資產(chǎn)失效導致負面影響的評估準則和損失場景下負面影響的評估準則�����,評估等級分為高��、中�����、低三個等級。
表9資產(chǎn)作用價值的評估準則
表10資產(chǎn)失效導致負面影響的評估準則
表11損失場景下負面影響的評估準則
對信息資產(chǎn)價值進行評估的方法為①評估資產(chǎn)依賴關系鏈中首層業(yè)務目標的最直接依賴的資產(chǎn)的作用價值��。
②沿著資產(chǎn)依賴鏈����,根據(jù)實際情況應用資產(chǎn)作用價值的三大傳遞原理,即最大原理���、累積原理和分散原理逐一評價依賴鏈上其余資產(chǎn)的作用價值���。
表12給出了資產(chǎn)作用價值的三大傳遞原理的計算方法。為簡便起見��,此處給出的是三個等級(高��、中���、低)的情況����。對于更多等級��,如五個等級(很高、較高����、一般、較低����、很低),其計算原理是一樣的�����。其中最大原理和累積原理用于多個資產(chǎn)直接依賴一個資產(chǎn)的情況���,分散原理用于一個資產(chǎn)直接依賴多個資產(chǎn)的情況。對于多個資產(chǎn)直接依賴多個資產(chǎn)的情況���,可將其分解成由一定順序組成的多對一和一對多��,然后按給定順序分別應用適當?shù)膫鬟f原理計算被依賴方資產(chǎn)作用價值級別��。
表12資產(chǎn)作用價值傳遞原理的計算方法
將上述資產(chǎn)作用價值評價方法應用于圖5和表8的示例����,可得出表13的結果。
表13資產(chǎn)作用價值評價示例
權利要求
1.一種基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法�����,其主要步驟為1)選擇信息資產(chǎn)的行業(yè)�、機構性質(zhì)和規(guī)模的相關參數(shù),通過參數(shù)篩選出與評估對象相適應的資產(chǎn)分類識別框架模板�、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板;2)選擇一個資產(chǎn)分類識別框架模板�,輸入相關資產(chǎn)類別定義信息,得到符合需求的資產(chǎn)分類識別框架�;選擇一個資產(chǎn)關系分析模型模板,定義資產(chǎn)依賴關系的級別和程度�����,得到符合需求的資產(chǎn)關系分析模型����;選擇一個資產(chǎn)價值評估算法模板,定義資產(chǎn)價值評估的等級和準則以及選擇價值的傳遞方式���,得到符合需求的資產(chǎn)價值評估算法�;3)依照資產(chǎn)分類識別框架����,對信息資產(chǎn)分類識別和清點���,得到資產(chǎn)分類清單;4)依照資產(chǎn)關系分析模型�,對資產(chǎn)分類清單中所列出的信息資產(chǎn)進行資產(chǎn)關系分析,得到資產(chǎn)依賴關系����;5)依照資產(chǎn)價值評估算法,用資產(chǎn)依賴關系對信息資產(chǎn)價值評估��,得到資產(chǎn)價值序列�����。
2.根據(jù)權利要求1所述的基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法�����,其特征在于�����,所述步驟1)中的篩選出與評估對象相適應的資產(chǎn)分類識別框架模板����、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板為一個至多個。
3.根據(jù)權利要求1或2所述的基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法�����,其特征在于�,所述步驟2)中的資產(chǎn)分類識別框架模板、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板的標準格式可以分別按機構實際情況和業(yè)務目標對各模板進行調(diào)整和補充���。
4.據(jù)權利要求3所述的基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法���,其特征在于,所述步驟3)中的資產(chǎn)分類識別框架采用多級分類的方法��,其高層類別是所有行業(yè)或機構的共同分類����,中層類別是行業(yè)自身的通用分類,低層類別是機構內(nèi)部的個性分類�,將資產(chǎn)按照選擇的資產(chǎn)分類識別框架按級分類,直到完全窮盡該機構的所有信息安全相關的資產(chǎn)�。
5.據(jù)權利要求4所述的基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法,其特征在于,所述步驟4)中的依賴關系分析采用從高層到低層逐層進行分析的方法��,依賴關系可用“有”或“無”以及“高”�、“中”、或“低”來描述�,得到完整的資產(chǎn)依賴關系鏈或資產(chǎn)依賴關系表。
6.據(jù)權利要求5所述的基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法����,其特征在于,所述步驟5)中的對信息資產(chǎn)價值評估的方法為1)評估資產(chǎn)依賴關系鏈中高層業(yè)務目標的最直接依賴的資產(chǎn)的作用價值��;2)沿著資產(chǎn)依賴鏈��,應用資產(chǎn)作用價值的三大傳遞原理逐一評價依賴鏈上其余資產(chǎn)的作用價值���。
7.據(jù)權利要求6所述的基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法��,其特征在于��,所述三大傳遞原理是最大原理、累積原理和分散原理�。
8.據(jù)權利要求7所述的基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法,其特征在于����,所述最大原理和累積原理用于多個資產(chǎn)直接依賴一個資產(chǎn)的情況���,分散原理用于一個資產(chǎn)直接依賴多個資產(chǎn)的情況,對于多個資產(chǎn)直接依賴多個資產(chǎn)的情況�����,可將其分解成由一定順序組成的多對一和一對多��,然后按給定順序分別應用適當?shù)膫鬟f原理計算被依賴方資產(chǎn)作用價值級別�。
全文摘要
一種基于面向?qū)ο髷?shù)據(jù)庫的信息資產(chǎn)評估方法,屬于計算機和信息安全技術領域����。本發(fā)明方法的主要步驟為1)通過參數(shù)篩選出與評估對象相適應的資產(chǎn)分類識別框架模板、資產(chǎn)關系分析模型模板和資產(chǎn)價值評估算法模板�����。2)選擇符合需求的資產(chǎn)分類識別框架�、資產(chǎn)關系分析模型和資產(chǎn)價值評估算法��。3)依照資產(chǎn)分類識別框架����,對信息資產(chǎn)分類識別和清點����,得到資產(chǎn)分類清單��。4)依照資產(chǎn)關系分析模型����,對資產(chǎn)分類清單中所列出的信息資產(chǎn)進行資產(chǎn)關系分析,得到資產(chǎn)依賴關系���。5)依照資產(chǎn)價值評估算法�,用資產(chǎn)依賴關系對信息資產(chǎn)價值評估���,得到資產(chǎn)價值序列�����。同現(xiàn)有技術相比�,使用本發(fā)明方法大大提高了信息資產(chǎn)評估的系統(tǒng)性���、科學性和有效性。
文檔編號G06F17/30GK1737837SQ20051008705
公開日2006年2月22日 申請日期2005年7月26日 優(yōu)先權日2005年7月26日
發(fā)明者閔京華, 沈仲軍 申請人:北京同方信息安全技術股份有限公司