信息安全管理論文利用EA建模加強機構(gòu)信息安全風險管理.doc

信息安全管理論文：利用EA建模加強機構(gòu)信息安全風險管理摘要:當前很多機構(gòu)信息系統(tǒng)都普遍存在保護措施與其保護信息價值不匹配的情況,導致過度保護或保護不足。這種情況主要是源于安全目標與機構(gòu)業(yè)務目標不完全符合、安全需求獲取不規(guī)范、難以判斷風險管理中是否應用了合適的安全控制以及成本是否平衡。對此,該文提出了在信息系統(tǒng)開發(fā)生命周期(information system develop-ment life cycle, SDLC)內(nèi)利用機構(gòu)體系結(jié)構(gòu)(enterprise architecture, EA)這一管理工具進行安全目標分析、安全需求獲取、風險管理等,開發(fā)符合機構(gòu)管理目標的安全信息系統(tǒng),以加強機構(gòu)的信息安全和風險管理。利用EA模型的方法能提供一種機構(gòu)層面的整體性安全描述和分析結(jié)果,在整個SDLC內(nèi)為信息系統(tǒng)的安全開發(fā)和管理提供指導和依據(jù),特別是在風險管理中,為進行安全控制選擇和成本平衡的決策提供了一個有效的判斷機制與依據(jù)。關鍵詞:信息安全;機構(gòu)體系結(jié)構(gòu);信息系統(tǒng)開發(fā)生命周期;風險管理當前在信息安全領域內(nèi)普遍存在著信息系統(tǒng)的安全目標與機構(gòu)業(yè)務目標不完全符合、安全需求獲取不規(guī)范和沒有足夠依據(jù)對風險管理中安全控制是否得到合適的應用與成本平衡進行判斷等問題亟需解決,簡而言之如下:1)安全目標分析偏重于技術(shù)和理論性,從業(yè)務2074清華大學學報(自然科學版) 2009,49(S2)管理角度的分析考慮較少。2)在獲取安全需求時,難以全面規(guī)范地獲取所有利益相關者的安全需求。3)在進行信息系統(tǒng)安全控制實施時,較多地考慮信息安全技術(shù)的簡單組合、軟件漏洞分析和威脅建模等技術(shù)性問題,對于信息系統(tǒng)的安全程度是否符合機構(gòu)的業(yè)務目標較少考慮,由此造成安全控制手段過度保護或者保護不足的情況。4)進行安全需求分類時,管理人員和系統(tǒng)開發(fā)人員就信息系統(tǒng)的安全實現(xiàn)進行溝通缺少規(guī)范化的模型和溝通工具,雙方難以就機構(gòu)真正的安全需求達成共識。5)當前僅有部分針對政府采購的信息系統(tǒng)安全開發(fā)過程的比較片面的指南,缺少相關的系統(tǒng)性標準。出現(xiàn)這些問題,主要是因為當前的信息安全的定義和機構(gòu)安全目標之間存在一定的差異。根據(jù)國際安全標準ISO/IEC 17799的定義,信息安全的基本屬性被表述為CIA(保密性、完整性、可用性),大多數(shù)信息系統(tǒng)進行安全開發(fā)和管理時也都遵循著這三個基本安全屬性。但在實際情況中,信息系統(tǒng)特別是機構(gòu)級信息系統(tǒng)是用于處理各種業(yè)務,實現(xiàn)機構(gòu)目標。因此對于機構(gòu)管理者而言,機構(gòu)信息系統(tǒng)要滿足機構(gòu)自身從管理、業(yè)務等角度的各種考慮,安全的信息系統(tǒng)要保證機構(gòu)業(yè)務的正常運行,減少機構(gòu)所可能面臨的風險和損失,保護機構(gòu)的利益。這是機構(gòu)的安全目標,與機構(gòu)的具體業(yè)務緊密關聯(lián),是一個涉及到管理、業(yè)務和技術(shù)等因素的綜合考慮的結(jié)果。以網(wǎng)上銀行系統(tǒng)為例,如果銀行在系統(tǒng)中采取了最新最優(yōu)秀的加密技術(shù),滿足了信息安全的三項基本屬性。但該技術(shù)占據(jù)了過多的系統(tǒng)資源,導致系統(tǒng)響應速度降低,使得銀行在單位時間內(nèi)處理業(yè)務的能力下降,影響了銀行的利潤收益。這一結(jié)果,盡管滿足了信息安全基本屬性,卻與銀行的業(yè)務目標不完全符合,則對于銀行管理者而言是不可接受的。此外,隨著越來越多的業(yè)務需求,機構(gòu)會決定是否在信息安全方面進行投資,而整個決策判斷過程會涉及到相當多的利益相關者,例如機構(gòu)的管理人員、財務人員、技術(shù)人員和信息安全專家等等。很多利益相關者一般不一定是安全專家或技術(shù)專家。如何在這些具有不同專業(yè)背景、來自不同崗位和部門、有著不同需求的人員之間進行溝通,也需要有一個共同的溝通工具,使得他們能對機構(gòu)所要實現(xiàn)的安全目標達成共識,并使每一方的需求都能正確清晰地被其他人理解。正因為技術(shù)人員與管理人員之間缺少這種溝通工具,才會導致信息系統(tǒng)安全目標與機構(gòu)業(yè)務目標不完全符合,以及在信息系統(tǒng)開發(fā)中設計者多是從技術(shù)視角進行分析,缺少業(yè)務角度的考慮,也缺少從機構(gòu)級系統(tǒng)層面的總體考慮等結(jié)果。例如,通用準則(common criteria, CC)1 3就是只針對某一單一的產(chǎn)品或者部件所進行的安全功能需求分析和安全保障分析。NIST SP800-644中的安全考慮僅僅是一種源于經(jīng)驗的、只限于人員安排和角色職責描述,并非是從組織層面的考慮;對于為什么要引入這些安全考慮卻并沒詳細說明,沒有一個可依據(jù)的標準和框架。因此,在信息安全管理中,需要一個工具來進行機構(gòu)層面的架構(gòu)和建模,通過模型來實現(xiàn)信息安全相關的各方面考慮,使之得以進行機構(gòu)的信息安全管理。本文利用了機構(gòu)體系結(jié)構(gòu)(enterprise archi-tecture, EA)來解決這一系列問題。EA是一種在信息管理領域受到廣泛重視的概念,也是一種用于幫助機構(gòu)理解其自身的構(gòu)造及運作方式的管理工具。EA一般用于機構(gòu)應對日益增長的復雜性,優(yōu)化機構(gòu)所擁有的技術(shù)資源。從安全角度考慮, EA的建立有助機構(gòu)深入地了解和認識機構(gòu)內(nèi)部的每一個子系統(tǒng)、子系統(tǒng)之間乃至與其他系統(tǒng)的交互和安全影響5。由于EA是一種比較宏觀的管理工具,因此在應用于信息安全領域時需要在一個框架中采取各種措施來具體實現(xiàn)。而這個框架就是信息系統(tǒng)開發(fā)生命周期(information system development life cycle,SDLC)。信息系統(tǒng)開發(fā)生命周期是一個從初始階段直至最終處理階段對信息系統(tǒng)進行全面系統(tǒng)管理的框架6。安全目標分析、安全需求獲取與分類是SDLC的第一階段“初始階段”的重要步驟。風險管理也是信息系統(tǒng)生命周期里的重要內(nèi)容,風險管理過程中的各項步驟分散在SDLC的各階段之中。風險管理在SDLC中是一個迭代反復的過程,在SDLC中每個階段都會運行風險管理中的某一步驟。要進行有效的風險管理,也必須將其集成到SDLC之中7。本文將EA用于SDLC中,以模型驅(qū)動的方法,以稅務信息系統(tǒng)為例,在各階段進行安全分析和考慮,特別是在前期的安全目標分析、安全需求獲取和林國恩,等:利用EA建模加強機構(gòu)信息安全風險管理2075貫穿于整個SDLC的風險管理過程等重要環(huán)節(jié)。利用EA這一管理工具,提供一種機構(gòu)層面的整體性安全描述和分析結(jié)果,在整個SDLC內(nèi)為信息系統(tǒng)的安全開發(fā)和管理提供指導和依據(jù),特別是在風險管理中,為進行安全控制選擇和成本平衡的決策提供了一個有效的判斷機制與依據(jù)。需要說明的是, EA是關注機構(gòu)層的宏觀內(nèi)容,并不會取代現(xiàn)有的SDLC和CC等方法, EA可以視為彌補安全的信息系統(tǒng)設計時從業(yè)務角度出發(fā)的補充。因此在SDLC中使用EA時,也需與其他方法一起配合使用。本文的主要目的是介紹EA在信息安全管理,特別是SDLC前期的安全目標分析、安全需求獲取和風險管理中的應用。1 背景與相關研究為解決安全目標分析和安全需求分類等問題,美國國家標準技術(shù)研究院(National Institute ofStandards and Technology, NIST)在出版的FIPS-199“聯(lián)邦政府信息系統(tǒng)安全分類標準”和NISTSP800-60中介紹了對美國聯(lián)邦政府信息系統(tǒng)進行安全需求分類和技術(shù)性描述的標準,即根據(jù)安全屬性和安全影響來描述安全需要,通過這一方法將管理目標“轉(zhuǎn)化”為可實際操作的技術(shù)性要求。在FIPS-199安全需求分類方法里,安全目標的關鍵就是實現(xiàn)安全的三大要素(CIA),通過對CIA的每種安全屬性進行等級劃分來對安全需求進行分類8。在風險管理方面,為解決有效地評估信息安全投資問題, Lawrence D. Bodin等人在2005年提出用“Analytic Hierarchy Processing”方法解決,此后又于2008年進一步提出“已覺察綜合風險(per-ceived composite risk, PCR)”的方法進行風險評估,以此來為決策者提供如何加強機構(gòu)信息系統(tǒng)安全水平的判斷依據(jù)9 10。在這兩篇文獻中,作者都假設是由首席信息安全官(CISO)來進行所有信息安全投資評估工作,然后獲得首席財務官(CFO)的資金批準和支持。但是,僅僅是由CISO負責,很難將所有風險中所涉損失完全統(tǒng)計并得出結(jié)果。這也就意味著,在風險管理過程中,需要成立一個由各所涉部門管理人員組成的信息安全投資委員會進行綜合評估和管理,由此才能充分地將與風險管理和信息安全投資的相關因素考慮全面,并做出正確決策。信息安全管理和風險管理過程所涉因素較多,但大部分都關注于技術(shù)層面,缺少業(yè)務管理方面考慮。Chang等人于2006年提出機構(gòu)中業(yè)務管理人員的信息技術(shù)水平、不確定的環(huán)境、所在行業(yè)類型、機構(gòu)規(guī)模大小等因素都對信息安全管理產(chǎn)生重要影響,應把以上因素納入到信息安全管理之中11。Chang等人試圖從機構(gòu)組織的視角進行系統(tǒng)性的研究,并對實施ISO/IEC 17799中信息安全管理的組織因素如何產(chǎn)生影響進行建模分析。他們對業(yè)務管理人員的信息技術(shù)水平、不確定的環(huán)境、所在行業(yè)類型、機構(gòu)規(guī)模大小這4個因素進行建模。然而,現(xiàn)有研究無法證明他們所針對的這4個因素對信息安全管理的業(yè)務管理影響是否已考慮全面。這些因素對信息系統(tǒng)的安全目標分析和安全需求分類也有作用,但是這些因素缺少一個系統(tǒng)的分類和模型。因此本文要用EA這個管理工具,將來自于各部門、各種利益相關者的業(yè)務管理性因素都納入到框架之中,同時,這個框架本身也是建立在對信息系統(tǒng)清晰了解的基礎之上的。目前EA作為一種在機構(gòu)級信息系統(tǒng)管理和改進領域中應用較廣的工具,也逐步被用于信息安全管理領域。2006年Ruth Breu等人12提出了利用UML建模的方法將EA用于風險管理過程中。這種方法是基于元模型定義了風險管理過程中所有必要的基本概念和相互關系。他們將風險管理作為考慮重點,希望通過EA的不同層次來從業(yè)務視角分析風險的可能性、潛在威脅和影響等因素。2008年Ruth Breu等人繼續(xù)這方面的研究,并細化為利用EA對機構(gòu)信息系統(tǒng)的安全性進行量化評估13,以及用于對醫(yī)療衛(wèi)生信息系統(tǒng)進行安全分析14。在研究過程中,本文在一定程度上借鑒了Ruth Breu的EA元模型,將EA用于SDLC,同時,也對RuthBreu所提出的元模型驅(qū)動的方法做出了一定改進。在風險評估和威脅分類方向, 2007年WadeH.Baker等人也提出舊有的威脅分類方式與財務損失之間并不存在直接聯(lián)系,很難為安全評估和安全投資做出有力的數(shù)據(jù)支持15。因此,他們提出利用事件鏈/業(yè)務流程將威脅和財務損失聯(lián)系起來,從而進行有效的威脅分類與評估。在研究工作中,本文也參考了這一方法,在SDLC的漏洞分析、威脅建模和風險評估等環(huán)節(jié)中,以業(yè)務流程為研究對象進行安全分析和考慮。2EA視角與信息安全元模型正如第1章所述,為解決安全目標分析、安全需求分類和風險管理過程中的相關問題,目前已有多位研究者提出各種方法,但都有其優(yōu)劣勢所在。為了較好地解決這些問題,本文在研究中采用了將EA應用于信息系統(tǒng)安全開發(fā)生命周期和風險管理過程的這一研究思路。選擇EA,主要基于以下幾點考慮:1) EA是目前一種廣泛應用于機構(gòu)信息系統(tǒng)革新和改進的方法,也是機構(gòu)設計信息系統(tǒng)的指南,同時也是對機構(gòu)內(nèi)部架構(gòu)進行梳理的一種工具。在很多機構(gòu),實現(xiàn)EA架構(gòu)的過程是機構(gòu)內(nèi)部信息系統(tǒng)的重構(gòu)過程,由首席信息官(chief information of-ficer, CIO)來負責,這一實際設計有助于考慮信息安全的技術(shù)與管理問題,以及業(yè)務與安全的整合。通過這一方法,能對機構(gòu)所需的信息系統(tǒng)及改進過程有清晰的了解,有助于構(gòu)建和開發(fā)出符合機構(gòu)發(fā)展目標和業(yè)務要求的信息系統(tǒng)。EA的多重視角能從機構(gòu)層面認識信息系統(tǒng)安全,使得對信息系統(tǒng)有整體性認識16。2) EA有獨特的框架,具有綜合了業(yè)務角度和技術(shù)角度的4種層次架構(gòu),可作為溝通工具,將機構(gòu)業(yè)務目標轉(zhuǎn)化為在安全方面的要求,并清晰地用技術(shù)人員能夠理解的框架和模型語言表達出來,從而建立起管理人員與技術(shù)人員之間溝通的橋梁,以便于管理人員和技術(shù)人員達成對機構(gòu)的安全目標和安全需求的共識。3)在風險管理過程中,安全控制的應用和安全技術(shù)的選擇是一個很重要的問題。而安全控制是否有效與安全需求分類有很大關聯(lián)。利用EA的4個視角,就能把安全需求從另一個角度來進行分類,而不僅局限于CIA安全屬性。4)目前已有很多機構(gòu)采用EA進行機構(gòu)級信息系統(tǒng)更新和改進。信息系統(tǒng)的安全實現(xiàn),不僅僅是要符合統(tǒng)一的安全標準,采用規(guī)范的安全技術(shù),還需要在安全架構(gòu)設計上實現(xiàn)標準化。因此在進行信息系統(tǒng)開發(fā)時也應利用EA這一管理工具,便于建立起安全規(guī)范統(tǒng)一的信息系統(tǒng)。利用EA建模的模型,還能對機構(gòu)和信息系統(tǒng)進行持續(xù)性監(jiān)控,實現(xiàn)信息系統(tǒng)安全的可持續(xù)性。EA所包括內(nèi)容非常多,但在研究中,本文主要是利用EA的4種視角或者架構(gòu)進行分析和建模,EA的多種框架在研究中暫未涉及。2.1EA視角EA既是大型機構(gòu)進行改革的一種系統(tǒng)性過程,也是管理工具, EA包含4層架構(gòu),這4層體系結(jié)構(gòu)也可視為對機構(gòu)信息化4種視角或者層次,具體如下5:1)業(yè)務體系結(jié)構(gòu)(business architecture):是對業(yè)務功能的架構(gòu)性描述,定義了機構(gòu)內(nèi)部所有業(yè)務系統(tǒng)的結(jié)構(gòu)和內(nèi)容,包括系統(tǒng)處理的信息、提供的服務功能和主要的業(yè)務流程。2)信息體系結(jié)構(gòu)(information architecture):是對通過數(shù)據(jù)模型實現(xiàn)信息功能的架構(gòu)性描述,定義了機構(gòu)內(nèi)部所需要和使用的信息結(jié)構(gòu)(包括相互依賴關系),涉及到機構(gòu)信息的結(jié)構(gòu)和用途。機構(gòu)的信息功能包括了機構(gòu)內(nèi)所有信息、信息流的確定、信息的分析處理、存儲、傳輸、記錄和控制等等。信息功能為業(yè)務功能的實現(xiàn)提供支持。根據(jù)機構(gòu)的戰(zhàn)略、戰(zhàn)術(shù)和業(yè)務方面的要求,機構(gòu)可對信息體系結(jié)構(gòu)加以調(diào)整。3)解決方案體系結(jié)構(gòu)(solution architecture):是對業(yè)務應用系統(tǒng)的解決方案和功能的架構(gòu)性描述,是關于軟件系統(tǒng)、指導機構(gòu)的體系結(jié)構(gòu)類型的重要決策集合。它為業(yè)務功能的具體實現(xiàn)提供支持。4)信息技術(shù)體系結(jié)構(gòu)(information technologyarchitecture):是對信息技術(shù)的基礎設施和功能的架構(gòu)性描述,定義了整個信息系統(tǒng)中的技術(shù)環(huán)境和基礎結(jié)構(gòu)的平臺,包括了網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、存儲器、處理器、安全基礎建設、系統(tǒng)運維等技術(shù)模塊,也定義了用于支持解決方案架構(gòu)和信息架構(gòu)的所有技術(shù)環(huán)境。EA的總體體系框架把這4個結(jié)構(gòu)系統(tǒng)、有序地關聯(lián)在一起。通過這個體系框架,可以更清晰地把一個視角的考慮確定為另一個視角的需求。EA應用于信息安全領域時,本文著重從EA體系框架的多層架構(gòu)/視角進行分析和探討。2.2EA層次模型為更好地理解并應用EA的4個層次以及之間的關聯(lián),對EA層次進行建模。圖1顯示了EA元模型。在EA元模型中,對于每一層的相關概念及相互關系都做了說明。EA元模型是根據(jù)EA理論所建立的對于機構(gòu)4個層次不同視角的抽象架構(gòu)模型,分為業(yè)務、信息、解決方案和信息技術(shù)4個層次,4個層次彼此相互關聯(lián)12。利用EA元模型,可以提供給各種利益相關者不同的觀察認識機構(gòu)的視角,對于機構(gòu)信息系統(tǒng)改進有積極作用。例如,從業(yè)務視角,將從業(yè)務目標、組織單元、人員角色、業(yè)務流程以及業(yè)務活動等概念解決方案對同一種技術(shù)的復用,對信息系統(tǒng)安全開發(fā)過程產(chǎn)生影響。模塊安全性測試的重要性將大為提高,后期集成后的安全性測試比重降低,新業(yè)務的安全性能也可提高。同時,每一個技術(shù)模塊的安全問題可能放大,變成很多業(yè)務的安全問題,即從技術(shù)安全轉(zhuǎn)變?yōu)闃I(yè)務安全。2)安全范圍與等級保護的重新定義與管理。在EA中,仍存在特定信息或解決方案等非共享組件。從安全角度考慮,管理者需要對共享組件和非共享組件進行嚴格區(qū)分,制定不同的安全策略和管理方法。對于共享組件,管理者根據(jù)其共享的范圍要確定其安全保護等級和訪問控制策略。EA由業(yè)務驅(qū)動,若某一信息或技術(shù)被越多的解決方案采用,其業(yè)務價值量就越重要,安全保護等級就越高。在具體安全措施上,就應根據(jù)不同業(yè)務的需要和重要性,對同一項信息或技術(shù)實行不同的訪問控制和數(shù)據(jù)利用跟蹤記錄。5 結(jié)論本文將EA這一管理工具通過建模的方式,應用于SDLC中,特別是安全目標分析、安全需求獲取與分類以及風險管理過程等關鍵步驟。在應用過程中,以業(yè)務流程為核心進行分析,并以稅務系統(tǒng)為事例,利用EA的4個視角,初步討論了EA的應用方法和思路。這一應用過程有助于信息系統(tǒng)安全的管理人員和技術(shù)人員對信息系統(tǒng)安全進行全面規(guī)范的分析和理解,通過在SDLC前期對安全目標和安全需求的整體性分析,能使信息系統(tǒng)更有效地為機構(gòu)業(yè)務目標服務,使機構(gòu)管理人員做出適當?shù)娘L險控制的相關決策,降低SDLC后期的安全投資成本,提高機構(gòu)的安全程度。此外,EA模型并不能用于SDLC或信息系統(tǒng)安全管理的所有方面,主要是宏觀方面的應用,而目前信息系統(tǒng)整體宏觀方面的安全設計較少,因此EA作為一種很及時的補充,能有利于設計更安全的信息系統(tǒng)和進行安全管理。參考文獻1 ISO/IEC 15408-1: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securityIntroductionand general model R. 2005.2 ISO/IEC 15408-2: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityfunctional requirements R. 2005.3 ISO/IEC 15408-3: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityassurance requirements R. 2005.4 NIST Special Publications 800-64, Security Considerations inthe System Development Life Cycle Z. June 2004.5 Minoli D. Enterprise Architecture A to Z: Frameworks,Business Process Modeling, SOA, and InfrastructureTechnology M. Auerbach Publications, 1 edition, 2008.6 NIST Special Publications 800-18, Guide for DevelopingSecurity Plans for Information Technology SystemsZ. 2006.7 NIST Special Publications 800-30, Risk Management Guidefor Information Technology Systems Z. January 2004.8 NIST FIPS-199, Standards for Security Categorization ofFederal Information and Information Systems Z. December2003.9 Bodin L D, Gordon L A, Loeb M P. Information security andrisk management J.Communications of the ACM,2008,51(4): 64 68.10 Bodin L D, Gordon L A, Loeb M P. Evaluating informationsecurity investments using the analytic hierarchy process J.Communication of the ACM,2005,48(2): 79 83.11 Chang S E, Ho C B. Organizational factors to theeffectiveness of imp