安全圈最被低估的10个神器：一个比一个强大，大佬都在偷偷用！零基础入门到精通，看这篇就够了！赶紧收藏！

<think>好的，我需要回答用户关于信息安全风险评估规范中资产类型的问题，以及如何识别和计算资产价值。首先，我需要回忆相关的标准和规范，比如ISO 27005或者国内的标准，比如GB/T 20984。 资产类型通常包括硬件、软件、数据、服务、人员、文档等。可能需要更详细地分类，比如物理资产、信息资产、软件资产等。然后，识别和计算资产价值需要考虑机密性、完整性和可用性（CIA）的影响，以及业务依赖性。可能还需要考虑替换成本、对业务的影响等因素。用户可能需要具体的步骤和例子，比如如何评估一个数据库的价值，或者如何量化人员资产的重要性。需要确保回答结构清晰，分点说明，并且给出实际例子帮助理解。同时要注意使用中文，避免使用Markdown格式，但保持段落和列表的清晰。最后检查是否有遗漏的资产类型或计算方法的要点。</think>在信息安全风险评估中，资产分类与价值计算是核心基础工作。根据《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》，具体操作如下： --- ### **一、资产类型划分** #### （1）实体资产 | 类型 | 示例 | 风险特征 | |-------------|-------------------------------|------------------------| | 硬件设备 | 服务器/交换机/工控PLC | 物理损坏导致服务中断 | | 存储介质 | 磁带库/SSD硬盘/备份光盘 | 数据泄露或损毁风险 | | 基础设施 | 机房/供电系统/安防监控 | 环境因素引发连锁故障 | #### （2）虚拟资产 | 类型 | 示例 | 保护重点 | |-------------|-------------------------------|------------------------| | 系统软件 | 操作系统/数据库/虚拟化平台 | 漏洞导致权限提升 | | 应用系统 | ERP/SCADA/移动APP | 业务逻辑缺陷被利用 | | 数据资产 | 客户信息/设计图纸/交易记录 | 泄露引发合规风险 | #### （3）服务资产 | 类型 | 示例 | 中断影响 | |-------------|-------------------------------|------------------------| | 网络服务 | DNS解析/VPN接入 | 业务通道阻断 | | 云服务 | SaaS应用/对象存储 | 供应商依赖性风险 | | 支撑服务 | 统一认证/日志审计 | 安全管控失效 | #### （4）无形资産 - **人员资产**：核心研发团队（如掌握加密算法的工程师） - **声誉资产**：企业品牌价值（如数据泄露导致股价下跌） - **合规资产**：行业准入资质（如因安全事件丢失医疗执业许可） --- ### **二、资产识别方法** #### （1）三维识别模型 1. **业务维度** - 绘制业务流程图（示例）： ``` 用户下单 -> 支付系统 -> 库存系统 -> 物流系统 ``` - 识别每个环节依赖的IT资产 2. **数据维度** - 数据分类分级（示例）： | 级别 | 标准 | 示例数据 | |------|-----------------------|------------------------| | L4 | 核心商业秘密 | 芯片设计图纸 | | L3 | 重要业务数据 | 用户交易记录 | | L2 | 一般运营数据 | 设备维护日志 | 3. **系统维度** - CMDB配置库关联分析： ```sql SELECT * FROM ci_relations WHERE source_system='CRM' AND dependency_type='数据交互'; ``` #### （2）自动化工具辅助 - 使用Nessus扫描网络资产拓扑 - 通过Splunk分析数据流关键节点 - 利用ServiceNow CMDB自动生成资产清单 --- ### **三、资产价值计算模型** #### （1）量化计算公式 ``` 资产价值(V) = 机密性影响(C) × 完整性影响(I) × 可用性影响(A) × 业务依赖系数(B) ``` 其中： - **C/I/A** 采用1-5级量化（5为最高） - **业务依赖系数** 计算方法： ``` B = 0.3×(服务覆盖用户比例) + 0.4×(收入贡献度) + 0.3×(不可替代性评分) ``` #### （2）实战计算示例 **案例**：电商支付系统 | 维度 | 赋值依据 | 评分 | |------------|-------------------------------|------| | 机密性(C) | 处理银行卡号/CVV2 | 5 | | 完整性(I) | 交易金额篡改影响 | 4 | | 可用性(A) | 大促期间宕机损失 | 5 | | 业务系数(B)| 支撑80%订单,占营收65% | 0.82 | ``` V = 5×4×5×0.82 = 82（满分100） ``` #### （3）动态调整机制 - **时间衰减因子**：专利技术价值每年递减15% - **事件触发更新**：发生并购时重新评估客户数据库价值 - **环境系数修正**：云迁移后物理服务器价值归零 --- ### **四、特殊资产处理** 1. **人员资产** - 使用FMEA方法评估关键岗位： ``` 风险优先数(RPN) = 技能稀缺度 × 培养周期 × 接触敏感数据等级 ``` - 示例：密码学专家RPN值可达8×9×7=504（需重点保护） 2. **供应链资产** - 采用软件物料清单(SBOM)分析： ```json { "component": "openssl", "version": "3.0.7", "dependencies": [ {"libcrypto": "1.1.1q"}, {"libssl": "1.1.1q"} ] } ``` - 通过EPSS评分评估组件风险 --- ### **五、资产价值可视化** 使用热力图呈现资产分布（示例数据）： ``` 机密性 ￣￣￣￣￣￣￣￣￣ 可用性 5 │ ██████████ ← 核心数据库 3 │ ▒▒▒██████ ← 文件服务器 1 │ ░░▒▒▒██ ← 办公电脑 1 3 5 → 完整性 ``` 通过该方法，某金融机构在风险评估中成功识别出： - 被低估资产：视频会议系统（疫情期间业务依赖度上升至0.91） - 冗余资产：老旧邮件服务器（B值从0.4降为0.15） 实际应用中需每季度更新资产台账，结合威胁情报动态调整价值权重。