资产到底是啥？它的安全价值如何度量？

关注“锐安全”公众号，后台回复：安全架构，你将获得《安全建设参考架构体系全景图》的PPT版本，里面每个模块都可以编辑修改，欢迎你来构建自己的“架构全景图”！

风险管理必须围绕着“资产”展开，所以 “风险”是一个被大家忽略了30年的概念，同样“资产”也是。因为“无资产、不风险”，可以脱离资产谈威胁，但是却不能脱离资产来谈风险。

所谓风险就是威胁作用于资产而产生的安全事件，所谓安全就是安全措施作用于资产而消除的安全事件。

所谓风险管理就是对威胁与安全措施共同作用于资产而产生的“剩余风险”的度量与控制。

那安全行业里讲的“资产”到底是啥，它的价值又该如何衡量？这一直也是个问题。

【1】《资产攻击向量》

最近重视资产的，是莫雷·哈伯（Morey Haber），他是BeyondTrust公司的首席技术官兼首席信息安全官，他写了重要但不流行的攻击向量三部曲，其中一本是《资产攻击向量（Asset Attack Vectors）》。

图：攻击向量三部曲

该图书于2018年出版，中文版于2023年8月由奇安信身份安全实验室翻译出版。

【2】攻击面管理

世界著名的科技领域咨询公司Gartner，于2022年首次发布《2022年中国安全技术成熟度曲线》报告，提出攻击面管理（Attack Surface Management,ASM）概念。

于2023年10月发布《2023年中国安全技术成熟度曲线》报告，把“攻击面管理”升级为了“暴露面管理（Exposure Management）”。

同月发布的《2024年十大战略技术趋势》报告，又升级为“持续威胁暴露管理（Continuous Threat Exposure Management，CTEM）”。

其中攻击面管理就包括了三部分内容：外部攻击面管理（EASM），就是我们经常说的网络空间资产测绘，网络资产攻击面管理（CAASM），就是我们常说的内网资产管理，还有数字风险保护服务（DRPS），就是我们常说的暗网监测和开源情报体系。

虽然Gartner把这三个概念归成了一个概念，但是国内能提供相应产品的，却是三类公司。

这时候，我们才把“资产”这件事儿重视起来，但是资产到底是什么？资产有什么？一直也没有定论，因为我们一提到资产，好像印象中就是 IP、端口和 URL。

【3】表现形式维度下的“资产”

根据资产的表现形式，可以将资产分为数据、软件、硬件、服务、人员、其它等六种类型。

表：一种基于表现形式的资产分类方法

数据就是我们正常理解的数据，保存在信息媒介上的各种数据资料如源代码、数据库等。

软件包括系统软件、应用软件、源程序等。

硬件包括网络设备、计算机设备、计算机设备、传输线路、保障设备、安全保障设备、其他哑终端等。

服务包括信息服务、网络服务、办公服务等。

人员是指掌握重要信息和核心业务的人员。

其它包括企业形象、客户关系等。

知道了什么是资产，接下来就是资产价值的度量了。

【4】如何衡量“资产”的安全价值?

保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）俗称CIA，是信息安全的三个核心要素，也是评价资产“安全价值”的三个重要属性。

这里有一个重要概念，就是资产的安全价值不是由资产的经济价值决定的，而是由资产在这三个安全属性上的达成程度来决定的。

表：资产赋值表

分别对资产的这三个维度进行赋值，就能得到资产的安全价值。

资产的安全价值越高，就表示其安全属性破坏后可能对组织造成的损失越严重。

欢迎来到安全的大航海时代！

如果对我描述的安全世界感兴趣，可以翻翻我为你写的一本书，悄悄超过80%的人：

如果你对本文有任何建议,

欢迎联系我改进；

如果本文对你有任何帮助，

欢迎分享、点赞和在看

如果心生欢喜，不如做个长期朋友：）

参考资料：

[1]GB∕T 20984-2007 信息安全技术  信息安全风险评估规范

[2]锐安全.可惜我文笔平平，写不尽安全这一年,2023年12月31日.https://mp.weixin.qq.com/s/asEKYFt-oqPHuQgDOjQkSQ

原文始发于微信公众号（锐安全）：资产到底是啥？它的“安全价值”如何度量？