资产价值
在《小白学安全之安全之心》一章中,我们提到了一个十分重要的概念:
风险= 资产 * 威胁 * 脆弱性
这里的资产指的是资产价值(Value),资产的实际价值是由它对整个组织的重要性来决定的。价值不是价格(Price),价格只是在为资产确定价值时的一个维度。
这个概念应该比较好理解,举例来说,一张写着可口可乐配方的草纸的价值,要远大于北京一栋别墅的价值。
在进行风险评估的时候,通常要先明白我们要保护的是什么,以及它的价值是什么。一般性的原则是:
当资产的价值是1元的时候,企业最大的损失就是1元,是不应该花2元去保护这个资产的。
资产识别与赋值
资产包括有型资产(计算机硬件、办公楼、钱财等)和无形资产(声誉、数据、知识产权等)。
在资产赋值的时候,有型的资产可能识别不全,而无形的资产的价值又会随着时间而变化。所以,很难有一个定量的分析,更多的时候是掺有一点主观意识的定性分析。
目前一般采用对资产的CIA(机密性、完整性、可用性)三性进行打分的方法,安全属性等级包括:很高、高、中等、低、很低五种级别,通常会有这一个一个表格:
| 资产赋值 | 标识 | 机密性 | 完整性 | 可用性 |
|---|---|---|---|---|
| 5 | 很高 | |||
| 4 | 高 | |||
| 3 | 中等 | |||
| 2 | 低 | |||
| 1 | 很低 |
可以看到,赋值是可以很主观的,所以要尽量做到客观与统一标准,更多的时候是形成资产间的价值对比。
计算资产价值也没有固定的公式,一般使用算数平均法或对数平均法。算数平均法综合考虑CIA,简单易用。对数平均法对CIA分配不同的权重,更容易突出某一特定因素的影响。
总而言之
做信息安全,要先知道我们保护的是什么(资产),为什么要保护它(价值),投入多少去保护它(保护成本)。一般情况下我们也不做赔本的生意(保护成本< 资产价值)。
来源:freebuf.com 2018-06-14 14:49:38 by: 360网络安全学院
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册