在一个组织中,资产有多种表现形式,同样的资产也会因属于不同的信息系统造成重要性方面的差异。对于数字图书馆这种提供多种业务的组织,其支持业务持续运行的系统数量可能更多,需要对各信息系统中的资产进行恰当的分类,才能在此基础上进行下一步的风险评估工作。资产的分类并没有严格的标准,方法多种多样,在很多评估标准中都给出了相应的示例。在众多分类方法中,很难有一种标准的分类方法能够完全适用于所有组织和机构,每种分类示例都存在不能规划或者规划歧义性的问题。因此,在实际的评估过程中,评估者应该在参考各种标准的基础上,依据组织开展业务的实际情况,开发自己的资产分类标准。

ISO27001给出了一个资产分类的示例,将资产分为信息资产、软件资产、实物资产、服务、人员和无形资产^{[ 1]}。数字图书馆的资产分类可以以ISO27001提出的分类示例为基本依据,并结合对国内30家数字图书馆资产调查的结果,将数字图书馆的资产分为电子资源、数据文档、实物资产、软件资产、服务、人员等6个大类,在每个大类下再分别设置相应的二级类目。具体的分类方法如表1所示:

表1

表1

表1 数字图书馆资产分类表 资产大类 资产二级类目 电子资源类 电子书刊论文 电子资源数据库 数据文档类 用户信息数据 软件相关数据 电子/纸质报告和合同 管理和培训资料 实物资产类 基础设施 网络设备 PC计算机 服务器类 存储设备 安全保障设备 其他电子设备 软件资产类 应用软件 系统服务平台 安全防护软件 服务类 办公服务 网络连接服务 第三方服务 人员类 管理人员 维护人员 研发人员

表1 数字图书馆资产分类表

为了明确被保护的资产,在进行资产识别时应列出与信息安全有关的资产清单,对每一样资产进行确认和适当的评估。为了防止某项资产被忽略或遗漏,在识别资产时应该严格按照之前确定的风险评估范围,所有在评估范围内的资产都应该被识别,因此要列出对组织或组织的特定部门的业务过程有价值的任何事物,以便根据组织的业务流程来识别资产^{[ 2]}。数字图书馆也应如此。另外,在资产识别时还要注意识别的细化程度。识别资产过于粗略会使某些重要资产不能体现在资产列表中,也就失去了评估的意义。识别资产过细会使评估结果的数量过大,评估的过程会变得极其复杂。

数字图书馆是一个以计算机技术、网络技术为依托的大型数字化文献资源信息系统,对其进行资产识别时,文献信息资源是一个相当重要的部分,如电子期刊、电子图书、文摘数据库等文献资源都是其独有的资产。另外,除了识别硬件资产、可见资产,也不能忽视“软”资产,尤其是人员资源和服务资源。例如,对于数据文档资源不能只认为外购电子资源是资产,对方所提供的服务也是资源。

综合考虑以上各要素,结合对数字图书馆资产识别调查获得的数据,得到数字图书馆的资产列表,如表2所示:

表2

表2

表2 数字图书馆资产列表 资产大类 二级类目 详细资产列表 电子 资源类 电子书刊论文 电子图书、电子期刊、学位论文 电子资源数据库 多媒体资源库、书目数据库、文摘数据库等数据库资源 数据 文档类 用户信息数据 用户的相关信息、数据 软件相关数据 源代码、系统文档等各种与软件相关的数据 电子/纸质报告 和合同 查新报告、查新合同及其他合同(电子/纸质) 管理和培训资料 用户手册、培训资料、规章制度等 实物 资产类 基础设施 供电设施(包括外部电源、内部电源和UPS)、空调系统(包括空气过滤系统)、消防设施、防雷设施等 网络设备 交换机、路由器、集线器、调制解调器、无线设备等 PC计算机 台式计算机、移动笔记本 服务器 PC服务器、小型机、大型机、工作站等 存储设备 光盘塔、磁盘阵列、U盘、光盘、移动硬盘等 安全保障设备 数据备份设备、系统备份(镜像,克隆,容灾)、硬件防火墙、监控设备等 其他电子设备 扫描仪、复印机、打印机、传真机、投影仪、录音设备、影像设备、条形码阅读器(CCD)等 软件 资产类 应用软件 图书管理系统(业务管理系统)、一卡通系统、学科导航系统、门户网站系统、门禁系统、电子资源服务平台、馆内自行开发的应用系统等 系统服务平台 操作系统平台、数据库平台 安全防护软件 入侵检测系统、身份验证系统、防病毒软件、漏洞扫描系统 服务类 办公服务 电力支持、物业管理(卫生,安全) 网络服务 提供的网络连接服务(校园网、电信) 第三方服务 外购产品享受的服务、软硬件维保 人员类 管理人员 馆长、书记等 维护人员 硬件维护人员、网络维护人员、系统维护人员 研发人员 软件研发人员、数据库研发人员

表2 数字图书馆资产列表

将表2的各项资产与数字图书馆业务流程关联起来,便可得到数字图书馆业务流程与资产关联表(由于该表篇幅过大,本文从略)。在实际的数字图书馆信息

安全管理工作中,通过查阅数字图书馆业务流程与资产关联表,可以循着业务流程找出数字图书馆的各项资产,防止重复,避免遗漏。

资产价值估值是一个相对主观的过程。为确保估值的一致性和准确性,首先需对安全要素进行估值,在安全要素估值的基础上,利用数字图书馆资产价值计算模型计算资产的价值。安全要素与资产价值都采用定性赋值法。参照各种信息安全管理标准,将每个需要赋值的信息安全要素由高到低划分为5个等级,每个等级对应不同的值^{[ 3]}。

其中,资产的保密性的5个等级分别对应于资产在保密性上应达到的不同程度或者保密性缺失时对整个数字图书馆的影响;资产的完整性的5个等级分别对应于资产在完整性上缺失时对整个数字图书馆的影响;资产的可用性的5个等级则分别对应于资产在可用性上应达到的不同程度。

与上述安全属性的赋值相对应,资产的价值也划分为5级,级别越高表示资产越重要。评估者可根据资产赋值的结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。

资产面临的威胁可以通过其属性的不同方面来描述,例如威胁源、威胁的能力、资源、动机、途径和后果等。

所谓威胁源是指任何可能危害信息系统的环境或者事件^{[ 4]}。在NIST SP800-30中定义了两类威胁源^{[ 2]}:故意利用脆弱性的企图和方法;可以偶然触发一个脆弱性的情形和方法。

动机和能力是威胁的重要属性。如果威胁源的动机是故意的,显然要比非故意的威胁更有潜在的危害。如果威胁源的能力较强或者拥有大量的资源也是同样的道理。而途径则是威胁实现其目的的方法,也可以称为威胁行为。

资产面临的威胁多种多样,为了便于风险分析,应对其进行适当的分类。在各种风险评估标准和实际风险评估过程中,关于威胁的分类方法主要有两种:基于威胁源的分类方法和基于威胁表现形式的分类方法。

在GB/T 20984-2007《信息安全技术信息安全风险评估规范》中,分别给出了基于威胁源与基于表现形式的两个威胁分类表。综合这两种威胁分类表中的所有威胁,结合数字图书馆资产的实际情况,可以得到用于调查的数字图书馆威胁列表,共58项。结合调查数据和咨询专家的意见,最后确定了其中的52项为数字图书馆实际面临的各种威胁。潮汐、污染、诈骗、勒索、恐怖袭击、流量分析6项数字图书馆不会发生或较少发生的威胁被剔除。调查数据显示,数字图书馆作为一个服务性机构,其资产面临的威胁可分为系统、环境、自然和人员4个大类。具体的威胁如表3所示:

表3

表3

表3 数字图书馆威胁列表 类别 威胁 系统 (10项) 软件的非法输入输出、外包操作失败、软件运行错误、软件设计错误、提供给操作人员错误的指南信息、存储介质的故障、网络部件的技术故障、通信服务故障、流量过载、供应故障 环境 (8项) 电子干扰、电磁辐射、温度过度、湿度过度、电力供应故障、空调设备故障、电力波动、静电 自然(4项) 地震、暴风雨、火灾、水灾 人员 (30项) 偷盗、抵赖、窃听、窃取信息、破坏性攻击、拒绝服务攻击、恶意代码、通信渗透、系统入侵、系统渗透、系统篡改、资源滥用、对软件的非法更改、未授权的数据访问、未授权的拨号访问、未授权使用存储介质、Web站点入侵、内部员工蓄意破坏、未授权人员引用或带出数据、内部人员身份假冒、内部人员出卖个人信息、软件的操作失误、错误信息输入、内部人员信息丢失、管理运营员工失误、人员匮乏、用户失误、软件维护失误、硬件维护失误、保养不当

表3 数字图书馆威胁列表

对威胁估值就是判断威胁发生的可能性。为了给日后的实际风险评估工作提供可资借鉴的模板,笔者对上述威胁列表的合理估值进行了调查,调查采用直接赋值法,即由被调查对象对威胁赋等级值,再取该威胁等级得分的均值作为该项威胁的估值。

在设置数字图书馆威胁等级时,参考了GB/T 20984-2007《信息安全技术信息安全风险评估规范》中的威胁等级划分方式,将威胁发生的可能性进行了5级划分,分别代表威胁发生可能性的大小。等级数值越大,该威胁就越有可能会发生^{[ 3]}。为了避免在划分级别时产生分歧,每个级别的具体标准都给出了明确的定义,具体的划分方法如表4所示:

表4

表4

表4 数字图书馆威胁赋值表 等级 赋值 定义 很高 5 出现的频率很高(或≥1次/周);在大多数情况下几乎不可避免;可以证实经常发生过 高 4 出现的频率较高(或≥1次/月);在大多数情况下很有可能发生;可以证实多次发生过 中 3 出现的频率中等(或>1次/半年);在某种情况下可能会发生;被证实曾经发生过 低 2 出现的频率较小;一般不太可能发生;没有被证实发生过 很低 1 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生

表4 数字图书馆威胁赋值表

在对数字图书馆威胁进行调查的过程中,被调查对象可根据经验和相关的统计数据,结合威胁等级的定义,综合考虑威胁发生的可能性,填写该项威胁的等级值。被调查对象为各个被调查馆熟悉本馆业务流程和信息安全现状的管理人员与技术人员,各项威胁的等级值取调查数据的均值。

脆弱性可能来自于组织结构、人员、管理、程序和资产本身的缺陷,可以分为以下三种类型^{[ 2]}:

(1)技术脆弱性:系统、程序和设备中存在的漏洞或缺陷,如结构设计问题和编程漏洞等;

(2)操作脆弱性:软件和系统在配置、操作及使用中的缺陷,包括人员日常工作中的不良习惯、审计或备份的缺乏等;

(3)管理脆弱性:策略、程序和规章制度等方面的弱点。

将数字图书馆的52项威胁按脆弱性展开,结合调查数据和专家咨询意见,得到数字图书馆的脆弱性列表。组织的威胁与脆弱性可组合在一起形成威胁与脆弱性对照表^{[ 4]} (限于篇幅,对照表从略)。在数字图书馆的风险评估过程中应随时查阅该表。

数字图书馆的脆弱性估值就是判断脆弱性一旦被威胁利用对数字图书馆会造成多大的损害,即脆弱性的严重性。

在设置数字图书馆的脆弱性等级时,同样引用了GB/T 20984-2007《信息安全技术信息安全风险评估规范》中的脆弱性严重性等级划分方式,定性地将脆弱性的严重性划分为5个等级,等级数值越大,脆弱性就越严重,被威胁利用后造成的损害就越大。数字图书馆脆弱性等级值的具体含义如表5所示:

表5

表5

表5 脆弱性严重性赋值表[ 5] 等级 赋值 定义 很高 5 如果被威胁利用,将对资产造成完全损害 高 4 如果被威胁利用,将对资产造成重大损害 中 3 如果被威胁利用,将对资产造成一般损害 低 2 如果被威胁利用,将对资产造成较小损害 很低 1 如果被威胁利用,将对资产造成的损害可以忽略

表5 脆弱性严重性赋值表[ 5]

为了给日后的实际风险评估工作提供可资借鉴的模板,笔者对数字图书馆的脆弱性估值也进行了调查,由被调查对象直接对脆弱性赋等级值,再取等级得分的均值作为该项脆弱性的估值。在对脆弱性的调查过程中,被调查对象可根据经验和相关的统计数据,结合表5对脆弱性等级定义的描述,综合考虑脆弱性被威胁利用对数字图书馆可能造成的损害,选择填写该项脆弱性的等级值。

安全风险是由于资产所面临的威胁被脆弱性利用而产生的,因此,风险值的大小应该与资产、威胁、脆弱性三个要素的取值直接相关。按照ISO27000的理论,在不考虑已有控制措施的情况下,量化的信息安全风险值可以表示为威胁、脆弱性以及资产价值的一个函数,常用的计算公式如下:

R=R(A,T,V)=A×T×V (1)

其中,R是风险值,A是资产价值,T是资产面临的威胁等级,V是资产存在的脆弱性等级。

数字图书馆各项资产的风险计算过程分为以下两个阶段:

(1)计算资产价值

资产价值A是由资产的各项安全属性赋值计算得出的。假设资产价值为V(A),完整性、保密性和可用性分别赋值为V(Ai)、V(Ac)、V(Aa),三者对于资产价值的重要性对应的权重分别为w_Ai、w_Ac以及w_Aa并且w_Ai+w_Ac+w_Aa=1,则资产价值的计算公式如下:

V(A)=(w_Ai w_Ac w_Aa){Invalid MML}(2)

计算时,保密性权重取值X,完整性权重取值Y,可用性权重取值Z。X、Y、Z的值是通过调查并咨询专家意见得到的。

在计算数字图书馆资产价值时,应先对调研数据进行统计,得到每项资产的保密性、完整性、可用性的平均值,作为该项资产的各项安全属性值;然后按照综合评判模型计算出各项资产的风险价值。

(2)计算风险值

在得出资产价值后就可以对资产的风险值进行计算。在计算资产价值和风险值时,计算的结果均按照四舍五入的方式保留整数位,这样既减少了计算的难度,又便于后期的统计和分析。风险值R等于资产价值与威胁等级、脆弱性等级的乘积。

为了便于在后续工作中对风险进行控制和管理,在计算出各项风险的风险值后,可以将风险按照其值的大小划分为不同的等级,等级越高,风险就越高。

数字图书馆的资产、威胁与脆弱性均采用5级评分方法,并以资产、威胁、脆弱性值的乘积作为风险值的计算结果。因此,数字图书馆的风险值将在1至125之间变化,最小为1,最大为125。参照GB/T 20984-2007的规定,数字图书馆的信息安全风险可以划分为4个等级,分别为等级1至等级4,风险值依次升高,其中等级4的风险值最高,该类风险最容易发生,也最需要尽快对其进行风险控制^{[ 5]}。数字图书馆的风险等级划分方式如表6所示:

表6

表6

表6 数字图书馆安全风险等级表 等级 标识 风险值范围 描述 4 很高 64以上 一旦发生将产生非常严重的经济或社会影响,如信誉严重破坏、严重影响正常业务、经济损失重大、社会影响恶劣 3 高 28-64 一旦发生将产生较大的经济或社会影响,在一定范围内给数字图书馆的业务和信誉造成损害 2 中 9-27 一旦发生会造成一定的经济、社会影响,但影响面和影响程度不大 1 低 1-8 一旦发生造成的影响程度很低,一般仅限于数字图书馆内部,通过简单的措施就能弥补

表6 数字图书馆安全风险等级表

数字图书馆风险等级划分对于数字图书馆今后的风险控制以及安全策略的制定都有相当重要的作用。风险等级可以帮助数字图书馆明确哪些风险比较容易引发安全问题,从而在第一时间对那些风险值较大、风险等级较高的安全风险进行优先处理,使数字图书馆面临的最大风险能够在最短的时间内得到解决。