信息安全管理论文利用EA建模加强机构信息安全风险管理

1、信息安全管理论文：利用EA建模加强机构信息安全风险管理摘要:当前很多机构信息系统都普遍存在保护措施与其保护信息价值不匹配的情况,导致过度保护或保护不足。这种情况主要是源于安全目标与机构业务目标不完全符合、安全需求获取不规范、难以判断风险管理中是否应用了合适的安全控制以及成本是否平衡。对此,该文提出了在信息系统开发生命周期(information system develop-ment life cycle, SDLC)内利用机构体系结构(enterprise architecture, EA)这一管理工具进行安全目标分析、安全需求获取、风险管理等,开发符合机构管理目标的安全信息系统,以加强机构

2、的信息安全和风险管理。利用EA模型的方法能提供一种机构层面的整体性安全描述和分析结果,在整个SDLC内为信息系统的安全开发和管理提供指导和依据,特别是在风险管理中,为进行安全控制选择和成本平衡的决策提供了一个有效的判断机制与依据。关键词:信息安全;机构体系结构;信息系统开发生命周期;风险管理当前在信息安全领域内普遍存在着信息系统的安全目标与机构业务目标不完全符合、安全需求获取不规范和没有足够依据对风险管理中安全控制是否得到合适的应用与成本平衡进行判断等问题亟需解决,简而言之如下:1)安全目标分析偏重于技术和理论性,从业务2074清华大学学报(自然科学版) 2009,49(S2)管理角度的分析考

3、虑较少。2)在获取安全需求时,难以全面规范地获取所有利益相关者的安全需求。3)在进行信息系统安全控制实施时,较多地考虑信息安全技术的简单组合、软件漏洞分析和威胁建模等技术性问题,对于信息系统的安全程度是否符合机构的业务目标较少考虑,由此造成安全控制手段过度保护或者保护不足的情况。4)进行安全需求分类时,管理人员和系统开发人员就信息系统的安全实现进行沟通缺少规范化的模型和沟通工具,双方难以就机构真正的安全需求达成共识。5)当前仅有部分针对政府采购的信息系统安全开发过程的比较片面的指南,缺少相关的系统性标准。出现这些问题,主要是因为当前的信息安全的定义和机构安全目标之间存在一定的差异。根据国际安全

4、标准ISO/IEC 17799的定义,信息安全的基本属性被表述为CIA(保密性、完整性、可用性),大多数信息系统进行安全开发和管理时也都遵循着这三个基本安全属性。但在实际情况中,信息系统特别是机构级信息系统是用于处理各种业务,实现机构目标。因此对于机构管理者而言,机构信息系统要满足机构自身从管理、业务等角度的各种考虑,安全的信息系统要保证机构业务的正常运行,减少机构所可能面临的风险和损失,保护机构的利益。这是机构的安全目标,与机构的具体业务紧密关联,是一个涉及到管理、业务和技术等因素的综合考虑的结果。以网上银行系统为例,如果银行在系统中采取了最新最优秀的加密技术,满足了信息安全的三项基本属性。

5、但该技术占据了过多的系统资源,导致系统响应速度降低,使得银行在单位时间内处理业务的能力下降,影响了银行的利润收益。这一结果,尽管满足了信息安全基本属性,却与银行的业务目标不完全符合,则对于银行管理者而言是不可接受的。此外,随着越来越多的业务需求,机构会决定是否在信息安全方面进行投资,而整个决策判断过程会涉及到相当多的利益相关者,例如机构的管理人员、财务人员、技术人员和信息安全专家等等。很多利益相关者一般不一定是安全专家或技术专家。如何在这些具有不同专业背景、来自不同岗位和部门、有着不同需求的人员之间进行沟通,也需要有一个共同的沟通工具,使得他们能对机构所要实现的安全目标达成共识,并使每一方的需

6、求都能正确清晰地被其他人理解。正因为技术人员与管理人员之间缺少这种沟通工具,才会导致信息系统安全目标与机构业务目标不完全符合,以及在信息系统开发中设计者多是从技术视角进行分析,缺少业务角度的考虑,也缺少从机构级系统层面的总体考虑等结果。例如,通用准则(common criteria, CC)1 3就是只针对某一单一的产品或者部件所进行的安全功能需求分析和安全保障分析。NIST SP800-644中的安全考虑仅仅是一种源于经验的、只限于人员安排和角色职责描述,并非是从组织层面的考虑;对于为什么要引入这些安全考虑却并没详细说明,没有一个可依据的标准和框架。因此,在信息安全管理中,需要一个工具来进行

7、机构层面的架构和建模,通过模型来实现信息安全相关的各方面考虑,使之得以进行机构的信息安全管理。本文利用了机构体系结构(enterprise archi-tecture, EA)来解决这一系列问题。EA是一种在信息管理领域受到广泛重视的概念,也是一种用于帮助机构理解其自身的构造及运作方式的管理工具。EA一般用于机构应对日益增长的复杂性,优化机构所拥有的技术资源。从安全角度考虑, EA的建立有助机构深入地了解和认识机构内部的每一个子系统、子系统之间乃至与其他系统的交互和安全影响5。由于EA是一种比较宏观的管理工具,因此在应用于信息安全领域时需要在一个框架中采取各种措施来具体实现。而这个框架就是信息

8、系统开发生命周期(information system development life cycle,SDLC)。信息系统开发生命周期是一个从初始阶段直至最终处理阶段对信息系统进行全面系统管理的框架6。安全目标分析、安全需求获取与分类是SDLC的第一阶段“初始阶段”的重要步骤。风险管理也是信息系统生命周期里的重要内容,风险管理过程中的各项步骤分散在SDLC的各阶段之中。风险管理在SDLC中是一个迭代反复的过程,在SDLC中每个阶段都会运行风险管理中的某一步骤。要进行有效的风险管理,也必须将其集成到SDLC之中7。本文将EA用于SDLC中,以模型驱动的方法,以税务信息系统为例,在各阶段进行安全分

9、析和考虑,特别是在前期的安全目标分析、安全需求获取和林国恩,等:利用EA建模加强机构信息安全风险管理2075贯穿于整个SDLC的风险管理过程等重要环节。利用EA这一管理工具,提供一种机构层面的整体性安全描述和分析结果,在整个SDLC内为信息系统的安全开发和管理提供指导和依据,特别是在风险管理中,为进行安全控制选择和成本平衡的决策提供了一个有效的判断机制与依据。需要说明的是, EA是关注机构层的宏观内容,并不会取代现有的SDLC和CC等方法, EA可以视为弥补安全的信息系统设计时从业务角度出发的补充。因此在SDLC中使用EA时,也需与其他方法一起配合使用。本文的主要目的是介绍EA在信息安全管理,

10、特别是SDLC前期的安全目标分析、安全需求获取和风险管理中的应用。1 背景与相关研究为解决安全目标分析和安全需求分类等问题,美国国家标准技术研究院(National Institute ofStandards and Technology, NIST)在出版的FIPS-199“联邦政府信息系统安全分类标准”和NISTSP800-60中介绍了对美国联邦政府信息系统进行安全需求分类和技术性描述的标准,即根据安全属性和安全影响来描述安全需要,通过这一方法将管理目标“转化”为可实际操作的技术性要求。在FIPS-199安全需求分类方法里,安全目标的关键就是实现安全的三大要素(CIA),通过对CIA的每种

11、安全属性进行等级划分来对安全需求进行分类8。在风险管理方面,为解决有效地评估信息安全投资问题, Lawrence D. Bodin等人在2005年提出用“Analytic Hierarchy Processing”方法解决,此后又于2008年进一步提出“已觉察综合风险(per-ceived composite risk, PCR)”的方法进行风险评估,以此来为决策者提供如何加强机构信息系统安全水平的判断依据9 10。在这两篇文献中,作者都假设是由首席信息安全官(CISO)来进行所有信息安全投资评估工作,然后获得首席财务官(CFO)的资金批准和支持。但是,仅仅是由CISO负责,很难将所有风险中所

12、涉损失完全统计并得出结果。这也就意味着,在风险管理过程中,需要成立一个由各所涉部门管理人员组成的信息安全投资委员会进行综合评估和管理,由此才能充分地将与风险管理和信息安全投资的相关因素考虑全面,并做出正确决策。信息安全管理和风险管理过程所涉因素较多,但大部分都关注于技术层面,缺少业务管理方面考虑。Chang等人于2006年提出机构中业务管理人员的信息技术水平、不确定的环境、所在行业类型、机构规模大小等因素都对信息安全管理产生重要影响,应把以上因素纳入到信息安全管理之中11。Chang等人试图从机构组织的视角进行系统性的研究,并对实施ISO/IEC 17799中信息安全管理的组织因素如何产生影响

13、进行建模分析。他们对业务管理人员的信息技术水平、不确定的环境、所在行业类型、机构规模大小这4个因素进行建模。然而,现有研究无法证明他们所针对的这4个因素对信息安全管理的业务管理影响是否已考虑全面。这些因素对信息系统的安全目标分析和安全需求分类也有作用,但是这些因素缺少一个系统的分类和模型。因此本文要用EA这个管理工具,将来自于各部门、各种利益相关者的业务管理性因素都纳入到框架之中,同时,这个框架本身也是建立在对信息系统清晰了解的基础之上的。目前EA作为一种在机构级信息系统管理和改进领域中应用较广的工具,也逐步被用于信息安全管理领域。2006年Ruth Breu等人12提出了利用UML建模的方法

14、将EA用于风险管理过程中。这种方法是基于元模型定义了风险管理过程中所有必要的基本概念和相互关系。他们将风险管理作为考虑重点,希望通过EA的不同层次来从业务视角分析风险的可能性、潜在威胁和影响等因素。2008年Ruth Breu等人继续这方面的研究,并细化为利用EA对机构信息系统的安全性进行量化评估13,以及用于对医疗卫生信息系统进行安全分析14。在研究过程中,本文在一定程度上借鉴了Ruth Breu的EA元模型,将EA用于SDLC,同时,也对RuthBreu所提出的元模型驱动的方法做出了一定改进。在风险评估和威胁分类方向, 2007年WadeH.Baker等人也提出旧有的威胁分类方式与财务损失

15、之间并不存在直接联系,很难为安全评估和安全投资做出有力的数据支持15。因此,他们提出利用事件链/业务流程将威胁和财务损失联系起来,从而进行有效的威胁分类与评估。在研究工作中,本文也参考了这一方法,在SDLC的漏洞分析、威胁建模和风险评估等环节中,以业务流程为研究对象进行安全分析和考虑。2EA视角与信息安全元模型正如第1章所述,为解决安全目标分析、安全需求分类和风险管理过程中的相关问题,目前已有多位研究者提出各种方法,但都有其优劣势所在。为了较好地解决这些问题,本文在研究中采用了将EA应用于信息系统安全开发生命周期和风险管理过程的这一研究思路。选择EA,主要基于以下几点考虑:1) EA是目前一种

16、广泛应用于机构信息系统革新和改进的方法,也是机构设计信息系统的指南,同时也是对机构内部架构进行梳理的一种工具。在很多机构,实现EA架构的过程是机构内部信息系统的重构过程,由首席信息官(chief information of-ficer, CIO)来负责,这一实际设计有助于考虑信息安全的技术与管理问题,以及业务与安全的整合。通过这一方法,能对机构所需的信息系统及改进过程有清晰的了解,有助于构建和开发出符合机构发展目标和业务要求的信息系统。EA的多重视角能从机构层面认识信息系统安全,使得对信息系统有整体性认识16。2) EA有独特的框架,具有综合了业务角度和技术角度的4种层次架构,可作为沟通工具

17、,将机构业务目标转化为在安全方面的要求,并清晰地用技术人员能够理解的框架和模型语言表达出来,从而建立起管理人员与技术人员之间沟通的桥梁,以便于管理人员和技术人员达成对机构的安全目标和安全需求的共识。3)在风险管理过程中,安全控制的应用和安全技术的选择是一个很重要的问题。而安全控制是否有效与安全需求分类有很大关联。利用EA的4个视角,就能把安全需求从另一个角度来进行分类,而不仅局限于CIA安全属性。4)目前已有很多机构采用EA进行机构级信息系统更新和改进。信息系统的安全实现,不仅仅是要符合统一的安全标准,采用规范的安全技术,还需要在安全架构设计上实现标准化。因此在进行信息系统开发时也应利用EA这

18、一管理工具,便于建立起安全规范统一的信息系统。利用EA建模的模型,还能对机构和信息系统进行持续性监控,实现信息系统安全的可持续性。EA所包括内容非常多,但在研究中,本文主要是利用EA的4种视角或者架构进行分析和建模,EA的多种框架在研究中暂未涉及。2.1EA视角EA既是大型机构进行改革的一种系统性过程,也是管理工具, EA包含4层架构,这4层体系结构也可视为对机构信息化4种视角或者层次,具体如下5:1)业务体系结构(business architecture):是对业务功能的架构性描述,定义了机构内部所有业务系统的结构和内容,包括系统处理的信息、提供的服务功能和主要的业务流程。2)信息体系结构

19、(information architecture):是对通过数据模型实现信息功能的架构性描述,定义了机构内部所需要和使用的信息结构(包括相互依赖关系),涉及到机构信息的结构和用途。机构的信息功能包括了机构内所有信息、信息流的确定、信息的分析处理、存储、传输、记录和控制等等。信息功能为业务功能的实现提供支持。根据机构的战略、战术和业务方面的要求,机构可对信息体系结构加以调整。3)解决方案体系结构(solution architecture):是对业务应用系统的解决方案和功能的架构性描述,是关于软件系统、指导机构的体系结构类型的重要决策集合。它为业务功能的具体实现提供支持。4)信息技术体系结构(

20、information technologyarchitecture):是对信息技术的基础设施和功能的架构性描述,定义了整个信息系统中的技术环境和基础结构的平台,包括了网络、操作系统、数据库、存储器、处理器、安全基础建设、系统运维等技术模块,也定义了用于支持解决方案架构和信息架构的所有技术环境。EA的总体体系框架把这4个结构系统、有序地关联在一起。通过这个体系框架,可以更清晰地把一个视角的考虑确定为另一个视角的需求。EA应用于信息安全领域时,本文着重从EA体系框架的多层架构/视角进行分析和探讨。2.2EA层次模型为更好地理解并应用EA的4个层次以及之间的关联,对EA层次进行建模。图1显示了EA

21、元模型。在EA元模型中,对于每一层的相关概念及相互关系都做了说明。EA元模型是根据EA理论所建立的对于机构4个层次不同视角的抽象架构模型,分为业务、信息、解决方案和信息技术4个层次,4个层次彼此相互关联12。利用EA元模型,可以提供给各种利益相关者不同的观察认识机构的视角,对于机构信息系统改进有积极作用。例如,从业务视角,将从业务目标、组织单元、人员角色、业务流程以及业务活动等概念解决方案对同一种技术的复用,对信息系统安全开发过程产生影响。模块安全性测试的重要性将大为提高,后期集成后的安全性测试比重降低,新业务的安全性能也可提高。同时,每一个技术模块的安全问题可能放大,变成很多业务的安全问题,

22、即从技术安全转变为业务安全。2)安全范围与等级保护的重新定义与管理。在EA中,仍存在特定信息或解决方案等非共享组件。从安全角度考虑,管理者需要对共享组件和非共享组件进行严格区分,制定不同的安全策略和管理方法。对于共享组件,管理者根据其共享的范围要确定其安全保护等级和访问控制策略。EA由业务驱动,若某一信息或技术被越多的解决方案采用,其业务价值量就越重要,安全保护等级就越高。在具体安全措施上,就应根据不同业务的需要和重要性,对同一项信息或技术实行不同的访问控制和数据利用跟踪记录。5 结论本文将EA这一管理工具通过建模的方式,应用于SDLC中,特别是安全目标分析、安全需求获取与分类以及风险管理过程

23、等关键步骤。在应用过程中,以业务流程为核心进行分析,并以税务系统为事例,利用EA的4个视角,初步讨论了EA的应用方法和思路。这一应用过程有助于信息系统安全的管理人员和技术人员对信息系统安全进行全面规范的分析和理解,通过在SDLC前期对安全目标和安全需求的整体性分析,能使信息系统更有效地为机构业务目标服务,使机构管理人员做出适当的风险控制的相关决策,降低SDLC后期的安全投资成本,提高机构的安全程度。此外,EA模型并不能用于SDLC或信息系统安全管理的所有方面,主要是宏观方面的应用,而目前信息系统整体宏观方面的安全设计较少,因此EA作为一种很及时的补充,能有利于设计更安全的信息系统和进行安全管理

24、。参考文献1 ISO/IEC 15408-1: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securityIntroductionand general model R. 2005.2 ISO/IEC 15408-2: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityfunctional requirements R. 2005.3 ISO/IEC 15408-3

25、: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityassurance requirements R. 2005.4 NIST Special Publications 800-64, Security Considerations inthe System Development Life Cycle Z. June 2004.5 Minoli D. Enterprise Architecture A to Z: Frameworks,Business Proce

26、ss Modeling, SOA, and InfrastructureTechnology M. Auerbach Publications, 1 edition, 2008.6 NIST Special Publications 800-18, Guide for DevelopingSecurity Plans for Information Technology SystemsZ. 2006.7 NIST Special Publications 800-30, Risk Management Guidefor Information Technology Systems Z. Jan

27、uary 2004.8 NIST FIPS-199, Standards for Security Categorization ofFederal Information and Information Systems Z. December2003.9 Bodin L D, Gordon L A, Loeb M P. Information security andrisk management J.Communications of the ACM,2008,51(4): 64 68.10 Bodin L D, Gordon L A, Loeb M P. Evaluating informationsecurity investments using the analytic hierarchy process J.Communication of the ACM,2005,48(2): 79 83.11 Chang S E, Ho C B. Organizational factors to theeffectiveness of impleme