根据资产在保密f生上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密『生缺失时对整个组织的影响;根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响;根据资产在可尉l生上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度_9]。资产的最终价值应根据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得到。综合评定方法可以根据组织自身的业务特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以由组织具体特点,根据资产在保密I生、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。我们采用第一种方法得到最终该资产的等级=max{保密性等级、完整性等级、可用性等级}。
5信息资产的脆弱性和威胁分析
在信息安全风险评估中,威胁和脆弱性是两个很重要的要素,威胁是产生风险的外因,脆弱性是产生风险的内因。组织内每项信息资产本身都存在着脆弱性,威胁总是要利用资产的脆弱性才可能对组织系统造成危害。资产的脆弱性识别是风险评估中最重要的一个环节,脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。通过对资产在组织业务中的重要程度分析,我们可以对资产进行分类并对每项资产进行重要性等级的划分,在此基础上根据资产的重要性等级及其安全需求从级别最高的资产进行脆弱性分析,逐个资产都进行脆弱性评估,重要资产重点评估,避免个别信息资产风险评估被遗漏,并且根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值。
脆弱性严重程度同样可以进行等级化处理,和资产等级对应共分为5个等级,从1~5分别代表5个级别的脆弱程度。等级越大,脆弱程度越高。
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可以分为人为因素和环境因素。根据威胁的动机,人为因素又可以分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其他物理因素。威胁的作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害。
在对威胁进行赋值时,判断威胁出现的频率是威胁赋值的重要内容,应根据经验或相关的统计数据来进行判断。与资产和脆弱性相类似,在对威胁进行赋值的时候,也是采用分级的方式(如表l所示)。把威胁等级分为5个等级,从表中可以看出,等级越大,威胁发生可能性越大。威胁的其他因素,如威胁的严重程度、威胁发生成功的可能性等因素都在受威胁资产的相对价值上体现出来,也就是说在影响的程度上反映出来。