ip網(wǎng)關(guān)鍵資產(chǎn)價值研究

1、ValueEnginee—ng179IP網(wǎng)關(guān)鍵資產(chǎn)價值研究StudyonValueof坤NetworkCriUc砌As鴕t王娟魂WangJuan；范九倫①FanJiulun(①西安郵電學院信息安全研究中心，西安71006l；②西安交通大學經(jīng)濟與金融學院，西安7l0061)(①Re∞眥hcenterofI梳咖tionS小ty。Unive憎ityofPost8曲dTelecommunication8，xi，蛐71006l，China②sch

2、∞lofEconomic8柏dFin蚰ce，Xi鈕Ji∞tongUnivenity，Xi，an71006l，China)摘要：由于Intemet的開放性、國際性和自由性以及IP網(wǎng)絡(luò)自身較差的網(wǎng)絡(luò)安全性，使IP網(wǎng)絡(luò)的安全面臨更多更大的威脅對于IP網(wǎng)關(guān)鍵資產(chǎn)的識別和價值研究是IP風險評估的關(guān)鍵性工作，將IP網(wǎng)的資產(chǎn)分為物理資產(chǎn)信息資產(chǎn)和服務(wù)資產(chǎn)三類，并對其進行了統(tǒng)一口徑的賦值，給出了詳細的現(xiàn)值計算賦值公式，為lP網(wǎng)的風險評估提供了基礎(chǔ)Aht

3、nId：DuetotllemtributeofIntemet，openintemational鯽df陀edom，明dtheIPnetworkit匏lfi馬po∞innetworkBecurity，IPnelworkBecurityi8f如ing咖陀肌dgreatertIrea協(xié)Theidenti6cation舳dvaIueof曲∞t8ofIPnetworkiskeyti8k嘲∞BmentofIPThisanicle神tlPnetwork

4、∞se嵋int0tIIreetyp髓，thatiBphy8icaJ聃眈協(xié)i晌mIati∞舶髓怕d髓rvi唧船∞協(xié)And“giv∞帆if0哪fbfrnllIa’蚰dp坨鴕ntsvaIueofthe鼬鴕t8Itf0舢Ib岫ndationf0rtheIPnetworkri8ka8Be88mefIL關(guān)鍵詞：IP網(wǎng)；關(guān)鍵資產(chǎn)；價值Keywords：IPnetwork；CriticalA鯧et；vaIue中圖分類號：1rf393文獻標識碼：A0引言

5、傳統(tǒng)電信網(wǎng)包含電話業(yè)務(wù)網(wǎng)、電信傳送網(wǎng)和電信數(shù)據(jù)網(wǎng)。在我國，由于管理部門的職責是明確的，確保網(wǎng)絡(luò)是安全的、是可信任的：主管部門及其網(wǎng)絡(luò)運營商負責網(wǎng)絡(luò)的安全問題。國內(nèi)安全部門等相關(guān)機構(gòu)負責信息安全問題，并監(jiān)管密碼技術(shù)不得濫用，以免危及國家安全。因此，傳統(tǒng)電信網(wǎng)總體上是一個安全的網(wǎng)絡(luò)和可信任的網(wǎng)絡(luò)。但從上世紀90年代中期以來，新業(yè)務(wù)及傳統(tǒng)電信業(yè)務(wù)的迅速IP化，終端設(shè)備的智能化，互聯(lián)網(wǎng)的迅猛發(fā)展，電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、

6、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型，網(wǎng)絡(luò)規(guī)模愈來愈大，網(wǎng)絡(luò)的安全問題也越來越突顯。隨著新技術(shù)引入、設(shè)備引進、網(wǎng)絡(luò)開放互連、自然災(zāi)害和突發(fā)事件的存在，造成了我國電信網(wǎng)的脆弱性問題日益突出?；ヂ?lián)網(wǎng)的不可控制，不可管理、只保證通達、把安全問題交給用戶等網(wǎng)絡(luò)設(shè)計理念，更進一步惡化了網(wǎng)絡(luò)的安全性。由于Intemet的開放性、國際性和自由性，以及IP網(wǎng)絡(luò)自身較差的網(wǎng)絡(luò)安全性，使lP網(wǎng)絡(luò)的安全面臨更多更大的威脅。因此，如何在新時期的電信網(wǎng)絡(luò)上采取措施保障信息服務(wù)的安全

7、，將IP網(wǎng)絡(luò)建成真正安全、可靠的信息化基礎(chǔ)網(wǎng)絡(luò)，是新時期電信企業(yè)發(fā)展要解決的重要問題之一。IP網(wǎng)絡(luò)所要保護的對象是資產(chǎn)，必須針對資產(chǎn)才能產(chǎn)生威脅和影響，完成與實現(xiàn)IP網(wǎng)絡(luò)只有通過資產(chǎn)載體。因此分析評估工作必須以關(guān)鍵資產(chǎn)為核心進行，根據(jù)IP網(wǎng)絡(luò)分析的結(jié)果識別出IP網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵資產(chǎn)。1資產(chǎn)識別在IP網(wǎng)絡(luò)中，資產(chǎn)有多種表現(xiàn)形式，首先需要將IP網(wǎng)絡(luò)中相關(guān)的資產(chǎn)進行恰當?shù)姆诸?。以此為基礎(chǔ)進行下一步的風險評估。出于安全分析的目的，將IP網(wǎng)絡(luò)的資產(chǎn)

8、分為三大類：物理資產(chǎn)、信息資產(chǎn)和服務(wù)資產(chǎn)。11物理資產(chǎn)物理資產(chǎn)是最直接的。通常，安全審查著重于保護那些對持續(xù)運轉(zhuǎn)非常關(guān)鍵的設(shè)備(如，路由器、交換機，數(shù)據(jù)存儲設(shè)備和主機等)?；A(chǔ)設(shè)施支持服務(wù)資產(chǎn)和信息資產(chǎn)安全的生產(chǎn)，維護和使用。評估任何單個設(shè)備的重要性都依賴于首先確定關(guān)鍵的網(wǎng)薹金項目：中國通信標準化協(xié)會課舾I2006盯2IP)網(wǎng)絡(luò)信息安全風險評估方法研究。作者簡介：王娟(198I一)女，陜兩西安人西安交通大學博士生西安郵電學院講師研究方向

9、為金融風險范九倫(1964一)，男，河南溫縣人。西安郵電學院教授，博導(dǎo)研究方向為信息安全，模式識別。文章_編號：100643l“2011)150179—02絡(luò)構(gòu)成成分和位于它們之上的服務(wù)資產(chǎn)和信息資產(chǎn)。物理資產(chǎn)是指IP網(wǎng)絡(luò)中的各種硬件、軟件和物理設(shè)施。在IP網(wǎng)絡(luò)安全保障目標中，應(yīng)詳細列出所評估的特定lP網(wǎng)絡(luò)中的所有重要資產(chǎn)。下面僅列出在IP網(wǎng)絡(luò)中包含的部分物理資產(chǎn)示例，作為參考：111物理設(shè)施物理設(shè)施包括房屋設(shè)備和與房屋有關(guān)的任何裝備和

10、補充物，包括場地、機房、電力供給(負荷量及冗余，備份，凈化J、災(zāi)難應(yīng)急(防水，火，地震，雷擊等)、文檔及介質(zhì)存儲。112硬件資產(chǎn)①計算機包括大，中，小型計算機、個人計算機：②網(wǎng)絡(luò)設(shè)備：包括交換機、集線器、網(wǎng)關(guān)設(shè)備或路由器、中繼器、橋接設(shè)備、調(diào)制解調(diào)器，Modem池、交叉連接設(shè)備、配線架：③傳輸介質(zhì)及轉(zhuǎn)換器包括同軸電纜(粗／細)、雙絞線、光纜，光端機、衛(wèi)星信道(收／發(fā)轉(zhuǎn)換裝置)、微波信道(收／發(fā)轉(zhuǎn)換裝置)：④輸入／輸出設(shè)備：包括鍵盤、電話

11、機、傳真機、掃描儀、打印機(激光，針式，噴墨)、顯示器、終端(數(shù)據(jù)／圖象)：⑤存儲介質(zhì)：包括紙介質(zhì)、磁盤、磁光盤、光盤(只讀，一次寫～多次擦寫)、磁帶、錄音，錄像帶；⑥監(jiān)控設(shè)備：包括攝像機、監(jiān)視器、電視機、報警裝置。113軟件資產(chǎn)①計算機操作系統(tǒng)；②lP網(wǎng)絡(luò)管理軟件；③數(shù)據(jù)庫管理軟件：④業(yè)務(wù)應(yīng)用軟件等。12信息資產(chǎn)信息資產(chǎn)通常是最有價值的資產(chǎn)，在IP網(wǎng)絡(luò)運營過程中產(chǎn)生的同IP網(wǎng)絡(luò)本身相關(guān)的有價值的信息以及IP網(wǎng)絡(luò)所存儲、處理和傳輸?shù)母鞣N

12、相關(guān)的業(yè)務(wù)、管理和維護等信息，包括知識資產(chǎn)，客戶資料、業(yè)務(wù)信息流和管理信息等。它是安全評估中的關(guān)鍵資產(chǎn)，可以通過價值、敏感性、生命周期、可利用性、從短期到長期對持續(xù)運轉(zhuǎn)的危險程度、完整性和可依賴性來分類。下面僅列出在IP網(wǎng)絡(luò)中包含的部分信息資產(chǎn)：①IP網(wǎng)絡(luò)業(yè)務(wù)信息：客戶檔案信息、客戶操作記錄和交易業(yè)務(wù)數(shù)據(jù)等：②lP網(wǎng)絡(luò)密碼信息：私鑰、公鑰、證書等：③IP網(wǎng)絡(luò)維護管理信息：包括系統(tǒng)運行日志、系統(tǒng)審計日志、系統(tǒng)監(jiān)督日志、入侵檢測記錄、系統(tǒng)口

13、令、系統(tǒng)權(quán)限設(shè)置、數(shù)據(jù)存儲分配、內(nèi)部網(wǎng)絡(luò)地址、系統(tǒng)配置數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備的配置信息、路由信息、IP地址分配信息、設(shè)備采購信息、設(shè)備維護及升級記錄、布線圖紙、布線系統(tǒng)維護及升級記錄、通信線路參數(shù)、以及其他信息等。13服務(wù)資產(chǎn)從應(yīng)用層次說，服務(wù)資產(chǎn)包括網(wǎng)絡(luò)管理、運轉(zhuǎn)、顧客服務(wù)系統(tǒng)、服務(wù)質(zhì)量、企業(yè)形象和其它重要的功能模塊。從低層次說，服務(wù)資產(chǎn)有大量的物理設(shè)備，綜合業(yè)務(wù)系統(tǒng)和提供高級功能的網(wǎng)絡(luò)設(shè)備。IP網(wǎng)絡(luò)中傳統(tǒng)的內(nèi)部服務(wù)資產(chǎn)包括交換系統(tǒng)，運營支持

14、系統(tǒng)，網(wǎng)絡(luò)管理系統(tǒng)和輔助的支持系統(tǒng)。目前還包括了信萬方數(shù)據(jù)180價值工程息處理系統(tǒng)及其部件，數(shù)據(jù)庫服務(wù)器設(shè)備，智能網(wǎng)絡(luò)管理，支撐網(wǎng)設(shè)備等。外部服務(wù)資產(chǎn)包括遠程智能維護和測試、服務(wù)器托管或租賃、網(wǎng)絡(luò)廣告服務(wù)、各種業(yè)務(wù)的網(wǎng)絡(luò)接入和企業(yè)的一些無形資產(chǎn)等。2資產(chǎn)價值對資產(chǎn)受損而引發(fā)的潛在的商業(yè)影響或數(shù)據(jù)災(zāi)難性后果的評定，依賴于資產(chǎn)的定價和風險研究。資產(chǎn)的定價中不僅要考慮資產(chǎn)的經(jīng)濟價值，更重要的是要考慮資產(chǎn)的安全狀況對于系統(tǒng)或組織的重要性或敏感度

15、。出于安全分析的目的，我們將IP網(wǎng)絡(luò)的資產(chǎn)分為三大類：物理資產(chǎn)、信息資產(chǎn)和服務(wù)資產(chǎn)。目前，其他文獻的資產(chǎn)價值計算方法中，不同的三類資產(chǎn)價值沒有處于同一口徑下，有的是貨幣單位，有的是排列順序，有的是比例系數(shù)，在統(tǒng)一的風險計算中，這樣的價值計算無法用于風險計算和結(jié)果衡量。根據(jù)上一節(jié)的分類說明，我們對物理資產(chǎn)、信息資產(chǎn)和服務(wù)資產(chǎn)三類的價值分別計算。我們這里使用的資產(chǎn)的價值分析方法依賴于價格評估理論，也就是說，我們將不同種類、不同實體表現(xiàn)形式的

16、資產(chǎn)的價值，以相同的貨幣口徑予以表示和計算，以方便對風險的計算結(jié)果有具體的大小衡量。價格計算中的我們主要使用現(xiàn)值計算法、重置成本法和機會成本法等。因為其最終結(jié)果都是貨幣單位(例如，元j，所以具有可加性。我們將整個IP網(wǎng)絡(luò)的資產(chǎn)價值以資產(chǎn)在評估時的現(xiàn)值來表示。也就是三類資產(chǎn)各自現(xiàn)值的總和。用公式表示為：IP網(wǎng)絡(luò)資產(chǎn)價值=物理資產(chǎn)價值信息資產(chǎn)價值服務(wù)資產(chǎn)價值下面，我們分別對三項資產(chǎn)的計算進行說明。21物理資產(chǎn)賦值方法物理資產(chǎn)價值是比較容易理

17、解和計算的，對于所有的物理資產(chǎn)(軟件的、硬件的)我們使用同一個公式，嚴格定義物理資產(chǎn)為IP網(wǎng)中限制的三項，不包含網(wǎng)絡(luò)服務(wù)相關(guān)資產(chǎn)。假設(shè)該項固定資產(chǎn)的原值為Tv元(購買價)，預(yù)計凈殘值為Rv元(使用終了報廢時可賣價)，預(yù)計使用年限為n年(從購買到不能服務(wù))，已使用的月份為m，采用平均年限法以個別折舊方式計其折舊。則該項固定資產(chǎn)的累計折舊MD及凈值Pv按下式計算。MD=(TV—RV)，(12n)AD=MDmPV=TV—AD根據(jù)上述公式，我們

18、對每項物理資產(chǎn)的價值都進行統(tǒng)一的含參數(shù)PV=f(，IT、r，RV，n，m)現(xiàn)值計算，然后將各現(xiàn)值加總后。即得物理資產(chǎn)的總價值，用公式表示為，物理資產(chǎn)價值=∑物理設(shè)施現(xiàn)值硬件資產(chǎn)現(xiàn)值軟件資產(chǎn)現(xiàn)值=∑PV22信息資產(chǎn)賦值方法信息資產(chǎn)的價值在組織內(nèi)部是隱性的，計算相對比較復(fù)雜。因此，在對信息資產(chǎn)定價時，需要對不同種類的信息資產(chǎn)采取不同的計算方法。數(shù)據(jù)網(wǎng)業(yè)務(wù)信息采用重置成本法，即數(shù)據(jù)網(wǎng)業(yè)務(wù)信息價值=(收集成本維護成本)(1一信息折舊率時間)其中

19、：收集成本=人力成本信息購買成本社會資源獲取成本維護成本=設(shè)備維護成本人工信息折舊率可根據(jù)同行業(yè)年報數(shù)據(jù)更新數(shù)據(jù)網(wǎng)密碼信息：采用機會成本法，即從若密鑰丟大可能帶來的損失中計算。數(shù)據(jù)網(wǎng)密碼信息價值=∑各密碼信息價值和=∑關(guān)聯(lián)損失風險概率數(shù)據(jù)網(wǎng)維護管理信息：采用市場價值法。即數(shù)據(jù)網(wǎng)維護管理信息=各項的獲取成本維護成本一累計折舊綜上，我們可以得到信息資產(chǎn)的價值計算公式，即信息資產(chǎn)價值=∑數(shù)據(jù)網(wǎng)業(yè)務(wù)信息價值數(shù)據(jù)網(wǎng)密碼信息價值數(shù)據(jù)網(wǎng)維護管理信息價

20、值23服務(wù)資產(chǎn)賦值方法從高層次說，服務(wù)資產(chǎn)包括網(wǎng)絡(luò)管理、運轉(zhuǎn)、顧客服務(wù)系統(tǒng)、服務(wù)質(zhì)量、企業(yè)形象和其它重要的功能模塊。大體上由內(nèi)部服務(wù)資產(chǎn)和外部服務(wù)資產(chǎn)兩部分構(gòu)成。231內(nèi)部服務(wù)資產(chǎn)傳統(tǒng)上主要是交換系統(tǒng)，運營支持系統(tǒng)，網(wǎng)絡(luò)管理系統(tǒng)和輔助的支持系統(tǒng)。新的內(nèi)部服務(wù)資產(chǎn)還包括了信息處理系統(tǒng)及其部件，數(shù)據(jù)庫服務(wù)器設(shè)備，智能網(wǎng)絡(luò)管理，支撐網(wǎng)設(shè)備等，屬于技術(shù)支撐的范圍，在一定的技術(shù)水平和業(yè)務(wù)開展程度下，其資產(chǎn)價值相對穩(wěn)定。這些價值的計算，也要依賴于資

21、產(chǎn)列表中的相應(yīng)數(shù)據(jù)，根據(jù)現(xiàn)值計算法得到。假設(shè)該項內(nèi)部服務(wù)資產(chǎn)的原值為1’V元(購買價)，預(yù)計凈殘值為RV元(使用終了報廢時可賣價)，預(yù)計使用年限為n年(從購買到不能服務(wù))，已使用的月份為m，采用平均年限法以個別折舊方式計其折舊。則該項內(nèi)部服務(wù)資產(chǎn)的累計折舊MD及凈值SV按下式計算。MD=(TV—RV)，(12n)AD=MDmSV=TV—AD內(nèi)部服務(wù)資產(chǎn)價值=傳統(tǒng)內(nèi)部服資產(chǎn)現(xiàn)值新的內(nèi)部服務(wù)資產(chǎn)現(xiàn)值：(交換系統(tǒng)現(xiàn)值運營支持系統(tǒng)現(xiàn)值網(wǎng)絡(luò)管理系

22、統(tǒng)現(xiàn)值輔助的支持系統(tǒng)現(xiàn)值)(信息處理系統(tǒng)及其部件現(xiàn)值數(shù)據(jù)庫服務(wù)器設(shè)備現(xiàn)值智能網(wǎng)絡(luò)管理系統(tǒng)現(xiàn)值支撐網(wǎng)設(shè)備現(xiàn)值)=∑SV：232外部服務(wù)資產(chǎn)包括遠程智能維護和測試、服務(wù)器托管或租賃、網(wǎng)絡(luò)廣告服務(wù)、各種業(yè)務(wù)的網(wǎng)絡(luò)接入和企業(yè)的一些無形資產(chǎn)等。主要提供與內(nèi)部服務(wù)資產(chǎn)相關(guān)的外部業(yè)務(wù)，具有一定的變化性，會受到行業(yè)特征和行業(yè)內(nèi)其他因素的影響。因此，我們給其設(shè)定一個行業(yè)周期調(diào)節(jié)因子K，其中k0。當行業(yè)處于繁榮周期時，kl；當行業(yè)處于調(diào)整周期時，kl外部服

23、務(wù)資產(chǎn)價值=遠程智能維護和測試費用服務(wù)器托管或租賃、網(wǎng)絡(luò)廣告服務(wù)費用各種業(yè)務(wù)的網(wǎng)絡(luò)接入費用企業(yè)的無形資產(chǎn)。其中，前三項費用的計算都是勞務(wù)費用和維護費用總和：企業(yè)無形資產(chǎn)數(shù)據(jù)來源于資產(chǎn)負債表對應(yīng)項；因此，IP網(wǎng)資產(chǎn)的總價值就是三者的總和。3結(jié)語IP網(wǎng)資產(chǎn)價值的研究是服務(wù)于IP網(wǎng)風險評估的，對于IP網(wǎng)的風險評估研究，資產(chǎn)價值的確定是一項重要的基礎(chǔ)性工作。因此，在識別資產(chǎn)時一定要防止遺漏，劃入風險評估范圍和邊界內(nèi)的每一項資產(chǎn)都應(yīng)該被確認和評估

24、。本文的研究成果將IP網(wǎng)關(guān)鍵資產(chǎn)分為物理資產(chǎn)、信息資產(chǎn)和服務(wù)資產(chǎn)三種。既包括了有形資產(chǎn)，又包括了無形資產(chǎn)。每種資產(chǎn)在每次計算中都是使用現(xiàn)值，而非靜態(tài)值，體現(xiàn)了設(shè)備折舊和時間概念；在服務(wù)資產(chǎn)中，體現(xiàn)了行業(yè)周期的概念。最重要的是，這樣的研究體系克服了各種資產(chǎn)計算方法在不同資產(chǎn)中口徑不一，在風險損失評估中無法統(tǒng)一用于度量和定量計算的缺點，其最后的計算結(jié)果是貨幣單位，便于lP網(wǎng)的風險評估中給出最直接的風險評估結(jié)果。參考文獻：lll薛興華電信網(wǎng)安

25、全與立法fJl郵電商情，2004年ll期12l國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見中辦發(fā)【2003l27號，2∞3131200“2020年國家信息化發(fā)展戰(zhàn)略中辦發(fā)f2∞6lll號，20嘶1414rrUTX舳5：Security眥hiIect叭hsy吼部陷pmvidiIIgend嘲—ald哪咖nicatio|IslSl，2∞3IO【5l黃元飛信息技術(shù)安全性評估準則研究，四川大學博士論文，2∞23【6l王英梅等信息安全風險評估，