小白学安全第九篇之资产价值 – 作者:360网络安全学院

资产价值

在《小白学安全之安全之心》一章中,我们提到了一个十分重要的概念:

风险= 资产 * 威胁 * 脆弱性

这里的资产指的是资产价值(Value),资产的实际价值是由它对整个组织的重要性来决定的。价值不是价格(Price),价格只是在为资产确定价值时的一个维度。

1.jpg

这个概念应该比较好理解,举例来说,一张写着可口可乐配方的草纸的价值,要远大于北京一栋别墅的价值。

在进行风险评估的时候,通常要先明白我们要保护的是什么,以及它的价值是什么。一般性的原则是:

保护成本 < 资产价值

当资产的价值是1元的时候,企业最大的损失就是1元,是不应该花2元去保护这个资产的。

资产识别与赋值

资产包括有型资产(计算机硬件、办公楼、钱财等)和无形资产(声誉、数据、知识产权等)。

在资产赋值的时候,有型的资产可能识别不全,而无形的资产的价值又会随着时间而变化。所以,很难有一个定量的分析,更多的时候是掺有一点主观意识的定性分析。

目前一般采用对资产的CIA(机密性、完整性、可用性)三性进行打分的方法,安全属性等级包括:很高、高、中等、低、很低五种级别,通常会有这一个一个表格:

资产赋值 标识 机密性 完整性 可用性
5 很高      
4      
3 中等      
2      
1 很低      

可以看到,赋值是可以很主观的,所以要尽量做到客观与统一标准,更多的时候是形成资产间的价值对比。

计算资产价值也没有固定的公式,一般使用算数平均法或对数平均法。算数平均法综合考虑CIA,简单易用。对数平均法对CIA分配不同的权重,更容易突出某一特定因素的影响。

总而言之

做信息安全,要先知道我们保护的是什么(资产),为什么要保护它(价值),投入多少去保护它(保护成本)。一般情况下我们也不做赔本的生意(保护成本< 资产价值)。

来源:freebuf.com 2018-06-14 14:49:38 by: 360网络安全学院

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论