IP网关键资产价值研究

Study on Value of IP Network Critical Asset

Wang Juan； Fan Jiulun

（①西安邮电学院信息安全研究中心，西安 710061；②西安交通大学经济与金融学院，西安 710061）

（①Research Center of Information Safety，University of Posts and Telecommunications，Xi"an 710061，China；

②School of Economics and Finance，Xi"an Jiaotong University，Xi"an 710061，China）

摘要： 由于Internet的开放性、国际性和自由性，以及IP 网络自身较差的网络安全性，使IP 网络的安全面临更多更大的威胁。对于IP网关键资产的识别和价值研究是IP风险评估的关键性工作，将IP网的资产分为物理资产、信息资产和服务资产三类，并对其进行了统一口径的赋值，给出了详细的现值计算赋值公式，为IP网的风险评估提供了基础。

Abstract: Due to the attribute of Internet, open, international and freedom, and the IP network itself is poor in network security, IP network security is facing more and greater threats. The identification and value of assets of IP network is key to risk assessment of IP. This article set IP network assets into three types，that is physical assets, information assets, and services assets. And it gives uniform formula, and presents value of the assets. It forms foundation for the IP network risk assessment.

关键词： IP网 关键资产 价值

Key words: IP network；Critical Asset；value

中图分类号：TP393文献标识码：A文章编号：1006-4311（2011）15-0179-02

0引言

传统电信网包含电话业务网、电信传送网和电信数据网。在我国，由于管理部门的职责是明确的，确保网络是安全的、是可信任的；主管部门及其网络运营商负责网络的安全问题，国内安全部门等相关机构负责信息安全问题，并监管密码技术不得滥用，以免危及国家安全。因此，传统电信网总体上是一个安全的网络和可信任的网络。但从上世纪90年代中期以来，新业务及传统电信业务的迅速IP化，终端设备的智能化，互联网的迅猛发展，电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型，网络规模愈来愈大，网络的安全问题也越来越突显。随着新技术引入、设备引进、网络开放互连、自然灾害和突发事件的存在，造成了我国电信网的脆弱性问题日益突出。互联网的不可控制，不可管理、只保证通达、把安全问题交给用户等网络设计理念，更进一步恶化了网络的安全性。

由于Internet的开放性、国际性和自由性，以及IP网络自身较差的网络安全性，使IP网络的安全面临更多更大的威胁。因此，如何在新时期的电信网络上采取措施保障信息服务的安全，将IP网络建成真正安全、可靠的信息化基础网络，是新时期电信企业发展要解决的重要问题之一。

IP网络所要保护的对象是资产，必须针对资产才能产生威胁和影响，完成与实现IP网络只有通过资产载体。因此分析评估工作必须以关键资产为核心进行，根据IP网络分析的结果识别出IP网络系统的关键资产。

1资产识别

在IP网络中，资产有多种表现形式，首先需要将IP网络中相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。出于安全分析的目的，将IP网络的资产分为三大类：物理资产、信息资产和服务资产。

1．1 物理资产物理资产是最直接的。通常，安全审查着重于保护那些对持续运转非常关键的设备（如，路由器、交换机，数据存储设备和主机等）。基础设施支持服务资产和信息资产安全的生产，维护和使用。评估任何单个设备的重要性都依赖于首先确定关键的网络构成成分和位于它们之上的服务资产和信息资产。

物理资产是指IP网络中的各种硬件、软件和物理设施。在IP网络安全保障目标中，应详细列出所评估的特定IP网络中的所有重要资产。下面仅列出在IP网络中包含的部分物理资产示例，作为参考：

1.1.1 物理设施物理设施包括房屋设备和与房屋有关的任何装备和补充物，包括场地、机房、电力供给（负荷量及冗余/备份/净化）、灾难应急（防水/火/地震/雷击等）、文档及介质存储。

1.1.2 硬件资产①计算机：包括大/中/小型计算机、个人计算机；②网络设备：包括交换机、集线器、网关设备或路由器、中继器、桥接设备、调制解调器/Modem池、交叉连接设备、配线架；③传输介质及转换器：包括同轴电缆（粗/细）、双绞线、光缆/光端机、卫星信道（收/发转换装置）、微波信道（收/发转换装置）；④输入/输出设备：包括键盘、电话机、传真机、扫描仪、打印机（激光/针式/喷墨）、显示器、终端（数据/图象）；⑤存储介质：包括纸介质、磁盘、磁光盘、光盘（只读/一次写入/多次擦写）、磁带、录音/录像带；⑥监控设备：包括摄像机、监视器、电视机、报警装置。

1.1.3 软件资产①计算机操作系统；②IP网络管理软件；③数据库管理软件；④业务应用软件等。

1.2 信息资产信息资产通常是最有价值的资产，在IP网络运营过程中产生的同IP网络本身相关的有价值的信息以及IP网络所存储、处理和传输的各种相关的业务、管理和维护等信息，包括知识资产，客户资料、业务信息流和管理信息等。它是安全评估中的关键资产，可以通过价值、敏感性、生命周期、可利用性、从短期到长期对持续运转的危险程度、完整性和可依赖性来分类。下面仅列出在IP网络中包含的部分信息资产：①IP网络业务信息：客户档案信息、客户操作记录和交易业务数据等；②IP网络密码信息：私钥、公钥、证书等；③IP网络维护管理信息：包括系统运行日志、系统审计日志、系统监督日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、内部网络地址、系统配置数据、网络设备的配置信息、路由信息、IP地址分配信息、设备采购信息、设备维护及升级记录、布线图纸、布线系统维护及升级记录、通信线路参数、以及其他信息等。

1.3 服务资产从应用层次说，服务资产包括网络管理、运转、顾客服务系统、服务质量、企业形象和其它重要的功能模块。从低层次说，服务资产有大量的物理设备，综合业务系统和提供高级功能的网络设备。IP网络中传统的内部服务资产包括交换系统，运营支持系统，网络管理系统和辅助的支持系统。目前还包括了信息处理系统及其部件，数据库服务器设备，智能网络管理，支撑网设备等。外部服务资产包括远程智能维护和测试、服务器托管或租赁、网络广告服务、各种业务的网络接入和企业的一些无形资产等。

2资产价值

对资产受损而引发的潜在的商业影响或数据灾难性后果的评定，依赖于资产的定价和风险研究。资产的定价中不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或组织的重要性或敏感度。出于安全分析的目的，我们将IP网络的资产分为三大类：物理资产、信息资产和服务资产。

目前，其他文献的资产价值计算方法中，不同的三类资产价值没有处于同一口径下，有的是货币单位，有的是排列顺序，有的是比例系数，在统一的风险计算中，这样的价值计算无法用于风险计算和结果衡量。

根据上一节的分类说明，我们对物理资产、信息资产和服务资产三类的价值分别计算。我们这里使用的资产的价值分析方法依赖于价格评估理论，也就是说，我们将不同种类、不同实体表现形式的资产的价值，以相同的货币口径予以表示和计算，以方便对风险的计算结果有具体的大小衡量。价格计算中的我们主要使用现值计算法、重置成本法和机会成本法等。

因为其最终结果都是货币单位（例如，元），所以具有可加性。我们将整个IP网络的资产价值以资产在评估时的现值来表示。也就是三类资产各自现值的总和。用公式表示为：

IP网络资产价值=物理资产价值+信息资产价值+服务资产价值

下面，我们分别对三项资产的计算进行说明。

2.1 物理资产赋值方法物理资产价值是比较容易理解和计算的,对于所有的物理资产（软件的、硬件的）我们使用同一个公式，严格定义物理资产为IP网中限制的三项，不包含网络服务相关资产。

假设该项固定资产的原值为TV元（购买价），预计净残值为RV元（使用终了报废时可卖价），预计使用年限为n年（从购买到不能服务），已使用的月份为m，采用平均年限法以个别折旧方式计其折旧。则该项固定资产的累计折旧MD及净值PV按下式计算。

MD＝（TV－RV）/（12n）

AD=MD*m

PV=TV－AD

根据上述公式，我们对每项物理资产的价值都进行统一的含参数PV■=fTV■，RV■，n■，m■现值计算，然后将各现值加总后，即得物理资产的总价值，用公式表示为，

物理资产价值=∑物理设施现值+硬件资产现值+软件资产现值

=■PV■

2.2 信息资产赋值方法信息资产的价值在组织内部是隐性的，计算相对比较复杂。因此，在对信息资产定价时，需要对不同种类的信息资产采取不同的计算方法。

数据网业务信息：采用重置成本法，即

数据网业务信息价值=（收集成本+维护成本）*（1-信息折旧率*时间）

其中：收集成本=人力成本+信息购买成本+社会资源获取成本

维护成本=设备维护成本+人工

信息折旧率可根据同行业年报数据更新

数据网密码信息：采用机会成本法，即从若密钥丢失可能带来的损失中计算。

数据网密码信息价值=∑各密码信息价值和=∑关联损失*风险概率

数据网维护管理信息：采用市场价值法，即

数据网维护管理信息=各项的获取成本+维护成本-累计折旧

综上，我们可以得到信息资产的价值计算公式，即

信息资产价值=∑数据网业务信息价值+数据网密码信息价值+数据网维护管理信息价值

2.3 服务资产赋值方法从高层次说，服务资产包括网络管理、运转、顾客服务系统、服务质量、企业形象和其它重要的功能模块。大体上由内部服务资产和外部服务资产两部分构成。

2.3.1 内部服务资产传统上主要是交换系统，运营支持系统，网络管理系统和辅助的支持系统。新的内部服务资产还包括了信息处理系统及其部件，数据库服务器设备，智能网络管理，支撑网设备等，属于技术支撑的范围，在一定的技术水平和业务开展程度下，其资产价值相对稳定。这些价值的计算，也要依赖于资产列表中的相应数据，根据现值计算法得到。

假设该项内部服务资产的原值为TV元（购买价），预计净残值为RV元（使用终了报废时可卖价），预计使用年限为n年（从购买到不能服务），已使用的月份为m，采用平均年限法以个别折旧方式计其折旧。则该项内部服务资产的累计折旧MD及净值SV按下式计算。

MD＝（TV－RV）/（12n）

AD=MD*m

SV=TV－AD

内部服务资产价值=传统内部服资产现值+新的内部服务资产现值=（交换系统现值+运营支持系统现值+网络管理系统现值+辅助的支持系统现值）+（信息处理系统及其部件现值+数据库服务器设备现值+智能网络管理系统现值+支撑网设备现值）

=■SV■

2.3.2 外部服务资产包括远程智能维护和测试、服务器托管或租赁、网络广告服务、各种业务的网络接入和企业的一些无形资产等。主要提供与内部服务资产相关的外部业务，具有一定的变化性，会受到行业特征和行业内其他因素的影响。因此，我们给其设定一个行业周期调节因子K，其中k>0。当行业处于繁荣周期时，k>1；当行业处于调整周期时，k<1

外部服务资产价值=远程智能维护和测试费用+服务器托管或租赁、网络广告服务费用+各种业务的网络接入费用+企业的无形资产。

其中，前三项费用的计算都是劳务费用和维护费用总和；企业无形资产数据来源于资产负债表对应项；

因此，IP网资产的总价值就是三者的总和。

3结语

IP网资产价值的研究是服务于IP网风险评估的，对于IP网的风险评估研究，资产价值的确定是一项重要的基础性工作。因此，在识别资产时一定要防止遗漏，划入风险评估范围和边界内的每一项资产都应该被确认和评估。本文的研究成果将IP网关键资产分为物理资产、信息资产和服务资产三种。既包括了有形资产，又包括了无形资产。每种资产在每次计算中都是使用现值，而非静态值，体现了设备折旧和时间概念；在服务资产中，体现了行业周期的概念。最重要的是，这样的研究体系克服了各种资产计算方法在不同资产中口径不一，在风险损失评估中无法统一用于度量和定量计算的缺点，其最后的计算结果是货币单位，便于IP网的风险评估中给出最直接的风险评估结果。

参考文献：

[1]薛兴华.电信网安全与立法[J].邮电商情，2004年11期.

[2]国家信息化领导小组关于加强信息安全保障工作的意见.中办发[2003]27号，2003.

[3]2006-2020年国家信息化发展战略.中办发[2006]11号，2006.

[4]4ITU-T X.805:Security architecture for systems providing end-to-end communications[S]，2003.10.

[5]黄元飞.信息技术安全性评估准则研究，四川大学博士论文，2002.3.

[6]王英梅等.信息安全风险评估，北京：电子工业出版社，2007.