信息安全管理論文：利用EA建模加強機構信息安全風險管理摘要:當前很多機構信息系統都普遍存在保護措施與其保護信息價值不匹配的情況,導致過度保護或保護不足。這種情況主要是源于安全目標與機構業務目標不完全符合、安全需求獲取不規范、難以判斷風險管理中是否應用了合適的安全控制以及成本是否平衡。對此,該文提出了在信息系統開發生命周期(information system develop-ment life cycle, SDLC)內利用機構體系結構(enterprise architecture, EA)這一管理工具進行安全目標分析、安全需求獲取、風險管理等,開發符合機構管理目標的安全信息系統,以加強機構的信息安全和風險管理。利用EA模型的方法能提供一種機構層面的整體性安全描述和分析結果,在整個SDLC內為信息系統的安全開發和管理提供指導和依據,特別是在風險管理中,為進行安全控制選擇和成本平衡的決策提供了一個有效的判斷機制與依據。關鍵詞:信息安全;機構體系結構;信息系統開發生命周期;風險管理當前在信息安全領域內普遍存在著信息系統的安全目標與機構業務目標不完全符合、安全需求獲取不規范和沒有足夠依據對風險管理中安全控制是否得到合適的應用與成本平衡進行判斷等問題亟需解決,簡而言之如下:1)安全目標分析偏重于技術和理論性,從業務2074清華大學學報(自然科學版) 2009,49(S2)管理角度的分析考慮較少。2)在獲取安全需求時,難以全面規范地獲取所有利益相關者的安全需求。3)在進行信息系統安全控制實施時,較多地考慮信息安全技術的簡單組合、軟件漏洞分析和威脅建模等技術性問題,對于信息系統的安全程度是否符合機構的業務目標較少考慮,由此造成安全控制手段過度保護或者保護不足的情況。4)進行安全需求分類時,管理人員和系統開發人員就信息系統的安全實現進行溝通缺少規范化的模型和溝通工具,雙方難以就機構真正的安全需求達成共識。5)當前僅有部分針對政府采購的信息系統安全開發過程的比較片面的指南,缺少相關的系統性標準。出現這些問題,主要是因為當前的信息安全的定義和機構安全目標之間存在一定的差異。根據國際安全標準ISO/IEC 17799的定義,信息安全的基本屬性被表述為CIA(保密性、完整性、可用性),大多數信息系統進行安全開發和管理時也都遵循著這三個基本安全屬性。但在實際情況中,信息系統特別是機構級信息系統是用于處理各種業務,實現機構目標。因此對于機構管理者而言,機構信息系統要滿足機構自身從管理、業務等角度的各種考慮,安全的信息系統要保證機構業務的正常運行,減少機構所可能面臨的風險和損失,保護機構的利益。這是機構的安全目標,與機構的具體業務緊密關聯,是一個涉及到管理、業務和技術等因素的綜合考慮的結果。以網上銀行系統為例,如果銀行在系統中采取了最新最優秀的加密技術,滿足了信息安全的三項基本屬性。但該技術占據了過多的系統資源,導致系統響應速度降低,使得銀行在單位時間內處理業務的能力下降,影響了銀行的利潤收益。這一結果,盡管滿足了信息安全基本屬性,卻與銀行的業務目標不完全符合,則對于銀行管理者而言是不可接受的。此外,隨著越來越多的業務需求,機構會決定是否在信息安全方面進行投資,而整個決策判斷過程會涉及到相當多的利益相關者,例如機構的管理人員、財務人員、技術人員和信息安全專家等等。很多利益相關者一般不一定是安全專家或技術專家。如何在這些具有不同專業背景、來自不同崗位和部門、有著不同需求的人員之間進行溝通,也需要有一個共同的溝通工具,使得他們能對機構所要實現的安全目標達成共識,并使每一方的需求都能正確清晰地被其他人理解。正因為技術人員與管理人員之間缺少這種溝通工具,才會導致信息系統安全目標與機構業務目標不完全符合,以及在信息系統開發中設計者多是從技術視角進行分析,缺少業務角度的考慮,也缺少從機構級系統層面的總體考慮等結果。例如,通用準則(common criteria, CC)1 3就是只針對某一單一的產品或者部件所進行的安全功能需求分析和安全保障分析。NIST SP800-644中的安全考慮僅僅是一種源于經驗的、只限于人員安排和角色職責描述,并非是從組織層面的考慮;對于為什么要引入這些安全考慮卻并沒詳細說明,沒有一個可依據的標準和框架。因此,在信息安全管理中,需要一個工具來進行機構層面的架構和建模,通過模型來實現信息安全相關的各方面考慮,使之得以進行機構的信息安全管理。本文利用了機構體系結構(enterprise archi-tecture, EA)來解決這一系列問題。EA是一種在信息管理領域受到廣泛重視的概念,也是一種用于幫助機構理解其自身的構造及運作方式的管理工具。EA一般用于機構應對日益增長的復雜性,優化機構所擁有的技術資源。從安全角度考慮, EA的建立有助機構深入地了解和認識機構內部的每一個子系統、子系統之間乃至與其他系統的交互和安全影響5。由于EA是一種比較宏觀的管理工具,因此在應用于信息安全領域時需要在一個框架中采取各種措施來具體實現。而這個框架就是信息系統開發生命周期(information system development life cycle,SDLC)。信息系統開發生命周期是一個從初始階段直至最終處理階段對信息系統進行全面系統管理的框架6。安全目標分析、安全需求獲取與分類是SDLC的第一階段“初始階段”的重要步驟。風險管理也是信息系統生命周期里的重要內容,風險管理過程中的各項步驟分散在SDLC的各階段之中。風險管理在SDLC中是一個迭代反復的過程,在SDLC中每個階段都會運行風險管理中的某一步驟。要進行有效的風險管理,也必須將其集成到SDLC之中7。本文將EA用于SDLC中,以模型驅動的方法,以稅務信息系統為例,在各階段進行安全分析和考慮,特別是在前期的安全目標分析、安全需求獲取和林國恩,等:利用EA建模加強機構信息安全風險管理2075貫穿于整個SDLC的風險管理過程等重要環節。利用EA這一管理工具,提供一種機構層面的整體性安全描述和分析結果,在整個SDLC內為信息系統的安全開發和管理提供指導和依據,特別是在風險管理中,為進行安全控制選擇和成本平衡的決策提供了一個有效的判斷機制與依據。需要說明的是, EA是關注機構層的宏觀內容,并不會取代現有的SDLC和CC等方法, EA可以視為彌補安全的信息系統設計時從業務角度出發的補充。因此在SDLC中使用EA時,也需與其他方法一起配合使用。本文的主要目的是介紹EA在信息安全管理,特別是SDLC前期的安全目標分析、安全需求獲取和風險管理中的應用。1 背景與相關研究為解決安全目標分析和安全需求分類等問題,美國國家標準技術研究院(National Institute ofStandards and Technology, NIST)在出版的FIPS-199“聯邦政府信息系統安全分類標準”和NISTSP800-60中介紹了對美國聯邦政府信息系統進行安全需求分類和技術性描述的標準,即根據安全屬性和安全影響來描述安全需要,通過這一方法將管理目標“轉化”為可實際操作的技術性要求。在FIPS-199安全需求分類方法里,安全目標的關鍵就是實現安全的三大要素(CIA),通過對CIA的每種安全屬性進行等級劃分來對安全需求進行分類8。在風險管理方面,為解決有效地評估信息安全投資問題, Lawrence D. Bodin等人在2005年提出用“Analytic Hierarchy Processing”方法解決,此后又于2008年進一步提出“已覺察綜合風險(per-ceived composite risk, PCR)”的方法進行風險評估,以此來為決策者提供如何加強機構信息系統安全水平的判斷依據9 10。在這兩篇文獻中,作者都假設是由首席信息安全官(CISO)來進行所有信息安全投資評估工作,然后獲得首席財務官(CFO)的資金批準和支持。但是,僅僅是由CISO負責,很難將所有風險中所涉損失完全統計并得出結果。這也就意味著,在風險管理過程中,需要成立一個由各所涉部門管理人員組成的信息安全投資委員會進行綜合評估和管理,由此才能充分地將與風險管理和信息安全投資的相關因素考慮全面,并做出正確決策。信息安全管理和風險管理過程所涉因素較多,但大部分都關注于技術層面,缺少業務管理方面考慮。Chang等人于2006年提出機構中業務管理人員的信息技術水平、不確定的環境、所在行業類型、機構規模大小等因素都對信息安全管理產生重要影響,應把以上因素納入到信息安全管理之中11。Chang等人試圖從機構組織的視角進行系統性的研究,并對實施ISO/IEC 17799中信息安全管理的組織因素如何產生影響進行建模分析。他們對業務管理人員的信息技術水平、不確定的環境、所在行業類型、機構規模大小這4個因素進行建模。然而,現有研究無法證明他們所針對的這4個因素對信息安全管理的業務管理影響是否已考慮全面。這些因素對信息系統的安全目標分析和安全需求分類也有作用,但是這些因素缺少一個系統的分類和模型。因此本文要用EA這個管理工具,將來自于各部門、各種利益相關者的業務管理性因素都納入到框架之中,同時,這個框架本身也是建立在對信息系統清晰了解的基礎之上的。目前EA作為一種在機構級信息系統管理和改進領域中應用較廣的工具,也逐步被用于信息安全管理領域。2006年Ruth Breu等人12提出了利用UML建模的方法將EA用于風險管理過程中。這種方法是基于元模型定義了風險管理過程中所有必要的基本概念和相互關系。他們將風險管理作為考慮重點,希望通過EA的不同層次來從業務視角分析風險的可能性、潛在威脅和影響等因素。2008年Ruth Breu等人繼續這方面的研究,并細化為利用EA對機構信息系統的安全性進行量化評估13,以及用于對醫療衛生信息系統進行安全分析14。在研究過程中,本文在一定程度上借鑒了Ruth Breu的EA元模型,將EA用于SDLC,同時,也對RuthBreu所提出的元模型驅動的方法做出了一定改進。在風險評估和威脅分類方向, 2007年WadeH.Baker等人也提出舊有的威脅分類方式與財務損失之間并不存在直接聯系,很難為安全評估和安全投資做出有力的數據支持15。因此,他們提出利用事件鏈/業務流程將威脅和財務損失聯系起來,從而進行有效的威脅分類與評估。在研究工作中,本文也參考了這一方法,在SDLC的漏洞分析、威脅建模和風險評估等環節中,以業務流程為研究對象進行安全分析和考慮。2EA視角與信息安全元模型正如第1章所述,為解決安全目標分析、安全需求分類和風險管理過程中的相關問題,目前已有多位研究者提出各種方法,但都有其優劣勢所在。為了較好地解決這些問題,本文在研究中采用了將EA應用于信息系統安全開發生命周期和風險管理過程的這一研究思路。選擇EA,主要基于以下幾點考慮:1) EA是目前一種廣泛應用于機構信息系統革新和改進的方法,也是機構設計信息系統的指南,同時也是對機構內部架構進行梳理的一種工具。在很多機構,實現EA架構的過程是機構內部信息系統的重構過程,由首席信息官(chief information of-ficer, CIO)來負責,這一實際設計有助于考慮信息安全的技術與管理問題,以及業務與安全的整合。通過這一方法,能對機構所需的信息系統及改進過程有清晰的了解,有助于構建和開發出符合機構發展目標和業務要求的信息系統。EA的多重視角能從機構層面認識信息系統安全,使得對信息系統有整體性認識16。2) EA有獨特的框架,具有綜合了業務角度和技術角度的4種層次架構,可作為溝通工具,將機構業務目標轉化為在安全方面的要求,并清晰地用技術人員能夠理解的框架和模型語言表達出來,從而建立起管理人員與技術人員之間溝通的橋梁,以便于管理人員和技術人員達成對機構的安全目標和安全需求的共識。3)在風險管理過程中,安全控制的應用和安全技術的選擇是一個很重要的問題。而安全控制是否有效與安全需求分類有很大關聯。利用EA的4個視角,就能把安全需求從另一個角度來進行分類,而不僅局限于CIA安全屬性。4)目前已有很多機構采用EA進行機構級信息系統更新和改進。信息系統的安全實現,不僅僅是要符合統一的安全標準,采用規范的安全技術,還需要在安全架構設計上實現標準化。因此在進行信息系統開發時也應利用EA這一管理工具,便于建立起安全規范統一的信息系統。利用EA建模的模型,還能對機構和信息系統進行持續性監控,實現信息系統安全的可持續性。EA所包括內容非常多,但在研究中,本文主要是利用EA的4種視角或者架構進行分析和建模,EA的多種框架在研究中暫未涉及。2.1EA視角EA既是大型機構進行改革的一種系統性過程,也是管理工具, EA包含4層架構,這4層體系結構也可視為對機構信息化4種視角或者層次,具體如下5:1)業務體系結構(business architecture):是對業務功能的架構性描述,定義了機構內部所有業務系統的結構和內容,包括系統處理的信息、提供的服務功能和主要的業務流程。2)信息體系結構(information architecture):是對通過數據模型實現信息功能的架構性描述,定義了機構內部所需要和使用的信息結構(包括相互依賴關系),涉及到機構信息的結構和用途。機構的信息功能包括了機構內所有信息、信息流的確定、信息的分析處理、存儲、傳輸、記錄和控制等等。信息功能為業務功能的實現提供支持。根據機構的戰略、戰術和業務方面的要求,機構可對信息體系結構加以調整。3)解決方案體系結構(solution architecture):是對業務應用系統的解決方案和功能的架構性描述,是關于軟件系統、指導機構的體系結構類型的重要決策集合。它為業務功能的具體實現提供支持。4)信息技術體系結構(information technologyarchitecture):是對信息技術的基礎設施和功能的架構性描述,定義了整個信息系統中的技術環境和基礎結構的平臺,包括了網絡、操作系統、數據庫、存儲器、處理器、安全基礎建設、系統運維等技術模塊,也定義了用于支持解決方案架構和信息架構的所有技術環境。EA的總體體系框架把這4個結構系統、有序地關聯在一起。通過這個體系框架,可以更清晰地把一個視角的考慮確定為另一個視角的需求。EA應用于信息安全領域時,本文著重從EA體系框架的多層架構/視角進行分析和探討。2.2EA層次模型為更好地理解并應用EA的4個層次以及之間的關聯,對EA層次進行建模。圖1顯示了EA元模型。在EA元模型中,對于每一層的相關概念及相互關系都做了說明。EA元模型是根據EA理論所建立的對于機構4個層次不同視角的抽象架構模型,分為業務、信息、解決方案和信息技術4個層次,4個層次彼此相互關聯12。利用EA元模型,可以提供給各種利益相關者不同的觀察認識機構的視角,對于機構信息系統改進有積極作用。例如,從業務視角,將從業務目標、組織單元、人員角色、業務流程以及業務活動等概念解決方案對同一種技術的復用,對信息系統安全開發過程產生影響。模塊安全性測試的重要性將大為提高,后期集成后的安全性測試比重降低,新業務的安全性能也可提高。同時,每一個技術模塊的安全問題可能放大,變成很多業務的安全問題,即從技術安全轉變為業務安全。2)安全范圍與等級保護的重新定義與管理。在EA中,仍存在特定信息或解決方案等非共享組件。從安全角度考慮,管理者需要對共享組件和非共享組件進行嚴格區分,制定不同的安全策略和管理方法。對于共享組件,管理者根據其共享的范圍要確定其安全保護等級和訪問控制策略。EA由業務驅動,若某一信息或技術被越多的解決方案采用,其業務價值量就越重要,安全保護等級就越高。在具體安全措施上,就應根據不同業務的需要和重要性,對同一項信息或技術實行不同的訪問控制和數據利用跟蹤記錄。5 結論本文將EA這一管理工具通過建模的方式,應用于SDLC中,特別是安全目標分析、安全需求獲取與分類以及風險管理過程等關鍵步驟。在應用過程中,以業務流程為核心進行分析,并以稅務系統為事例,利用EA的4個視角,初步討論了EA的應用方法和思路。這一應用過程有助于信息系統安全的管理人員和技術人員對信息系統安全進行全面規范的分析和理解,通過在SDLC前期對安全目標和安全需求的整體性分析,能使信息系統更有效地為機構業務目標服務,使機構管理人員做出適當的風險控制的相關決策,降低SDLC后期的安全投資成本,提高機構的安全程度。此外,EA模型并不能用于SDLC或信息系統安全管理的所有方面,主要是宏觀方面的應用,而目前信息系統整體宏觀方面的安全設計較少,因此EA作為一種很及時的補充,能有利于設計更安全的信息系統和進行安全管理。參考文獻1 ISO/IEC 15408-1: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securityIntroductionand general model R. 2005.2 ISO/IEC 15408-2: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityfunctional requirements R. 2005.3 ISO/IEC 15408-3: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityassurance requirements R. 2005.4 NIST Special Publications 800-64, Security Considerations inthe System Development Life Cycle Z. June 2004.5 Minoli D. Enterprise Architecture A to Z: Frameworks,Business Process Modeling, SOA, and InfrastructureTechnology M. Auerbach Publications, 1 edition, 2008.6 NIST Special Publications 800-18, Guide for DevelopingSecurity Plans for Information Technology SystemsZ. 2006.7 NIST Special Publications 800-30, Risk Management Guidefor Information Technology Systems Z. January 2004.8 NIST FIPS-199, Standards for Security Categorization ofFederal Information and Information Systems Z. December2003.9 Bodin L D, Gordon L A, Loeb M P. Information security andrisk management J.Communications of the ACM,2008,51(4): 64 68.10 Bodin L D, Gordon L A, Loeb M P. Evaluating informationsecurity investments using the analytic hierarchy process J.Communication of the ACM,2005,48(2): 79 83.11 Chang S E, Ho C B. Organizational factors to theeffectiveness of imp