基于靈敏度和綜合權衡分析的信息安全管理系統(tǒng)評估

摘要:隨著信息化程度的逐步深入，生產、存儲、處理和傳遞信息的信息系統(tǒng)和通訊網(wǎng)絡日益復雜。只有建立集中的信息安全管理系統(tǒng)，通過一個控制和操作平臺對各個信息系統(tǒng)和通訊網(wǎng)絡進行透視，充分了解信息在這些系統(tǒng)中的生產、存儲、處理、傳遞和使用等各個環(huán)節(jié)，才能很好地解決當今時代的信息安全問題。改文采用靈敏度分析和綜合權衡分析方法，研究信息安全管理系統(tǒng)的評估問題。通過該文的研究，一方面可以總結信息安全管理系統(tǒng)評估的相關理論和方法;另一方面可以有效地指導我國信息安全管理系統(tǒng)的建設工作。

關鍵詞:靈敏度分析;信息安全;性能評估;綜合權衡

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2009)33-9230-04

隨著信息化程度的逐步深入，生產、存儲、處理和傳遞信息的信息系統(tǒng)和通訊網(wǎng)絡日益復雜。依靠網(wǎng)絡管理系統(tǒng)對授權機制、訪問控制、加密和加密關鍵字進行管理及維護，應用防火墻、VPN、入侵監(jiān)測系統(tǒng)、防病毒系統(tǒng)等安全產品進行安全防御，這些都不能非常有效地解決信息時代的信息安全問題。只有建立集中的信息安全管理系統(tǒng)，通過一個控制和操作平臺對各個信息系統(tǒng)和通訊網(wǎng)絡進行透視，充分了解信息在這些系統(tǒng)中的生產、存儲、處理、傳遞和使用等各個環(huán)節(jié)，才能很好地解決當今時代的信息安全問題。隨著計算機網(wǎng)絡的復雜性愈來愈大，要求信息安全管理的性能愈來愈高，信息安全管理正朝著層次化、集成化、WEB化和智能化的方向發(fā)展。

近年來，我國信息安全技術研究開發(fā)和產業(yè)化工作已經(jīng)取得了初步進展，包括在全國啟動了863計劃信息安全特別項目，在上海組建了863國家信息安全成果產業(yè)化東部基地等。但是，關于國家或地區(qū)信息安全保障體系建設和信息安全管理模式的研究仍處于探索階段。本文采用靈敏度分析和綜合權衡分析方法，研究信息安全管理系統(tǒng)的評估問題。通過本文的研究，一方面可以總結信息安全管理系統(tǒng)評估的相關理論和方法;另一方面可以有效地指導我國信息安全管理系統(tǒng)的建設工作。

1 相關研究概述

1.1 信息安全管理系統(tǒng)

信息安全管理系統(tǒng)(Information Security Management System，ISMS)的主要用途就是保證信息資源的合法獲取途徑，即使在遭遇黑客、病毒攻擊時，還能提供一個完整的、未受干擾的信息系統(tǒng)運行環(huán)境。早在1998年，美國國家通訊安全和信息系統(tǒng)安全委員會就啟動了一些小規(guī)模的實驗計劃，開始研究ISMS的相關問題[1]。1998年5月，美國聯(lián)邦航空局(Federal Aviation Administration，F(xiàn)AA)開發(fā)了FAA通訊基礎設施(FAA Telecommunication Infrastructure，F(xiàn)TI)信息保障系統(tǒng)。2000年9月，F(xiàn)AA已經(jīng)將基礎安全服務、增強安全服務和ISO/IEC 21827 ISMS評估模型等概念集成到第一版的FTI安全指南[2]。文獻[3]給出了ISMS風險組件的流程和關系(ISO/IEC TR 13335-1)，如圖1所示。基于圖1的資產、威脅和隱患之間的關系，通用準則(Common Criteria，CC)給出了評估對象(Target of Evaluation，TOE)安全目標和安全功能需求之間的關系[4]。文獻[2]給出了ISMS的框架(圖2)和TOE規(guī)范(圖3)，該框架和規(guī)范皆側重于信息資產運作過程中的隱患管理和信息系統(tǒng)潛在威脅的結構管理等。

1.2 綜合權衡分析

在系統(tǒng)體系評價中，廣大學者提出了許多不同的綜合權衡分析方法，其中比較著名的包括體系綜合權衡分析方法(Architecture Tradeoff Analysis Method，ATAM)[5]、費效分析方法(Cost Benefit Analysis Method，CBAM)[6]、非功能需求框架(Non-Functional Requirements，NFR)下不同設計方案間的目標滿意分析方法[7]、多準則決策過程中的層次分析方法[8]等。

體系綜合權衡分析方法。體系綜合權衡分析方法是一種基于想定的體系評估方法。它通過對諸如性能、可修改性、可靠性、安全性等多個品質屬性的分析來確定體系結構設計中的折衷點，從而降低設計的風險。該方法提供了一種方式來理解系統(tǒng)體系結構對多個競爭的品質屬性的適合程度。ATAM是關于系統(tǒng)體系結構品質屬性的分析技術。ATAM能夠檢測系統(tǒng)體系結構潛在的危險，它反映出體系結構滿足實際系統(tǒng)目標的程度。ATAM是一種體系結構設計的螺旋模型。ATAM的每次迭代都使評價人員對系統(tǒng)有了更深入的理解，并相應地提出修改建議，以降低風險。

非功能需求框架。非功能需求也就是通常所說的品質屬性需求。多倫多大學的學者曾應用目標建模技術獲取非功能需求并進行決策[9]。在目標模型中，設計變量可以被看作是一個任務，不同層次的非功能需求可以被看作是一個目標或子目標。設計變量與非功能需求之間成正相關或負相關關系。為了將NFR目標建模成功地應用到?jīng)Q策過程中，評價者需要對單個品質屬性的影響程度有一個比較可靠的理解。在同時考慮多個品質屬性的情況下，NFR提供了一個鞏固和平衡這些理解的有效方式。為了找到最滿意的目標，設計變量與非功能需求之間的相關關系可以通過目標圖(goal graph)進行計算和傳遞[10]。

層次分析法。很多學者曾嘗試將AHP方法應用到體系評估中[11-12]。文獻[11]給出了將AHP方法應用于體系評估中的標準形式。該文獻不但提出了一種獲取體系排序(根據(jù)它們滿足特定品質屬性的程度)的品質屬性框架(Framework for Quality Attribute，F(xiàn)QA)，而且給出了得到每個體系品質屬性排序的體系結構框架(Framework for Architecture Structures，F(xiàn)AS)。類同于普通AHP方法中用于檢查成對比較結果的一致性檢查，F(xiàn)AS提供了對體系品質屬性的一致性檢查和進一步判斷。該方法還提供了一種靈敏度計算框架(Framework for Variance Calculation，F(xiàn)VC)，用來計算最終排序結果的置信度水平。在文獻[12]中，研究者提出了一個用于評價分布式應用軟件的基于AHP方法的品質驅動體系評估方法。

2 信息安全管理系統(tǒng)評估

2.1 評估原理

為了解ISMS的安全保障能力，通常需要對數(shù)百個指標進行評估或測試。在這些指標中，每個指標都從一定的側面反映了系統(tǒng)的安全特征或對系統(tǒng)特征的影響，但任何一個指標都無法完全反映系統(tǒng)的整體安全保障特性。對于一個實際存在的待評估系統(tǒng)來說，必須將全體評估指標的評估結果進行綜合，從而得到關于整個系統(tǒng)的安全保障特性的最終評價。為達到這一目的，除需要準確地評估每個指標外，還必須仔細考察指標間的關系，從而確定綜合評估結果。綜合評價必須盡可能客觀，盡可能減少主觀判斷造成的影響。

2.2 評估過程

通常的評估過程及其相互關系如圖4所示。這里的評估對象是指需要進行評估的物體;評估標準是指待評估對象的主要特征(評估者關注的主要性能);理想方案是指用來和真實評估對象進行比較的一個理想物體;數(shù)據(jù)收集是指獲取相關數(shù)據(jù)來分析每個評估標準;綜合集成是指綜合考慮每個評估標準，最后得到評估對象的最終評估結果。正如圖4所示，所有的評估過程是緊密相連的。

為完成綜合評估，首先要從最低層的指標入手，確定每個評估項的狀況;然后由低到高，確定出每個層次指標的評估結果;最后將第一層指標的評估結果綜合在一起，得出系統(tǒng)的綜合評估結果。為進行每個層次的評估，評估員在評估活動中可能采用現(xiàn)場測試、實驗室測試、資料審核、管理審核、交流與提問等多種方式，但無論采用什么樣的方式，最終都將以定性或定量的兩種形式給出對具體評估項的評價。

2.3 評估標準

圖5給出了一個比較完善的ISMS評估的指標體系[13]。從完整的評估角度來看，該指標體系未必全面，并且指標的細分大部分還停留在比較粗的層次上。對于實際的系統(tǒng)評估來說，指標的劃分將還有更多的層次。但是，圖5的目的在于說明問題，盡可能包括有代表性的一級指標，以簡化后續(xù)說明。實際評估工作可將圖5細化，并將下面討論的方法推而廣之。因而以圖5所示的指標體系來說明系統(tǒng)評估的綜合評價方法，不失一般性。

2.4 評估框架

本文的信息安全管理系統(tǒng)評估框架如圖6所示。在該框架中，ISMS評估主要包括三個層面的含義:1) ISMS的整體評估，即通過評估給定ISMS的可用資源條件、系統(tǒng)安全工程、生命周期支持、風險管理能力、安全管理能力、特種保障能力和系統(tǒng)獲取能力等每個指標的評估結果，采用綜合權衡方法將這些評估結果綜合在一起，得出系統(tǒng)的綜合評估結果;2) ISMS的優(yōu)化，即綜合采用綜合權衡分析方法，通過較小地調整給定ISMS的相關指標值，最終找到一個經(jīng)過優(yōu)化的切實可行的比較經(jīng)濟的ISMS優(yōu)化方案。

3 評估實例

為了便于后續(xù)進一步的分析和描述，本章先給出一些簡單的ISMS評估實例。假設有四個不同的ISMS，分別稱之為ISMS1、ISMS2、ISMS3、ISMS4;且當前評估只考慮第一層的七個指標，即可用資源條件、系統(tǒng)安全工程、生命周期支持、風險管理能力、安全管理能力、特種保障能力和系統(tǒng)獲取能力。假設聘請若干專家，采用兩兩比較方法，已經(jīng)獲得了這四個待評估ISMS的七個品質屬性各自的層次單排序(表1)。這些層次單排序，反映了給定ISMS對特定品質屬性的支持程度。后面兩章將以本部分的評估實例為基礎，詳細討論如何利用綜合權衡分析方法和靈敏度分析方法完成對ISMS的評估。

4 ISMS評估中的綜合權衡分析

4.1 不考慮指標權重的綜合權衡

在不考慮指標權重的綜合權衡中，可以在二維平面圖中畫出所有待評估對象的任意兩個品質屬性的層次單排序結果。圖7給出了本文實例中四個待評估ISMS的系統(tǒng)安全工程和特種保障能力這兩個品質屬性的層次單排序結果。不難看出，圖7以一種可視化的方式給出了待評估對象各個品質屬性的相對大小及它們之間的關系。對于本文的4個待評估對象7個品質屬性的評估實例，總共需要繪制21個權衡圖(7個品質屬性兩兩繪制權衡圖)。在這些權衡圖中，總共有36次需要比較慎重地進行多次綜合權衡(在權衡圖中，方案距離左上角和右下角距離比較近)的情況。

4.2 考慮指標權重的綜合權衡

在考慮指標權重的綜合權衡中，待評估ISMS的品質屬性的層次單排序乘以各自的權重，就得到了考慮指標權重下的待評估ISMS的品質屬性的層次單排序(表2)。在這種情況下，圖7的待評估ISMS的系統(tǒng)安全工程和特種保障能力的權衡圖就變成圖8的情形。

4.3 評估結果的分析與評估

在不考慮指標權重的綜合權衡中，圖7中任意一點都代表了一種不同的方案權衡。筆者將圖7中的區(qū)域根據(jù)品質屬性值的相對大小分成四個區(qū)間。這種劃分方法實際上是將各種各樣的方案權衡分成四組。在圖7中，對于落入左上區(qū)間的待評估對象ISMS2，非常側重于系統(tǒng)安全工程這個品質屬性;而對于落入右下區(qū)間的待評估對象ISMS4，則非常則重于特種保障能力這個品質屬性。在權衡圖中，距離左上角和右下角距離比較近的點(方案權衡)，在進行優(yōu)劣選擇時需要比較慎重地進行多次綜合權衡。落入左下區(qū)間的點(方案權衡)，意味著該方案的兩個質量屬性都比較差;落入右上區(qū)間的點(方案權衡)，意味著該方案的兩個質量屬性都比較優(yōu)。通過繪制權衡圖和確定方案權衡，評估者就可以根據(jù)待評估方案在權衡圖中的位置完成對方案的評估。

在考慮指標權重的綜合權衡中，可用資源條件是一個主導的品質屬性，因此就出現(xiàn)了相對于可用資源條件，其他品質屬性的層次單排序銳減的情況。在四個待評估對象中，由于ISMS1在可用資源條件這個品質屬性上具有很大的優(yōu)勢，因此它就擴大了可用資源條件與其他品質屬性之間權衡圖的范圍(圖9)。

顯然，將考慮指標權重的權衡圖和不考慮指標權重的權衡圖有效地結合起來，可以幫助評估者在不同的評估對象之間方便地做出最終權衡。

5 結束語

該文的主要創(chuàng)新點:1) 構建了一個比較實用的信息安全管理系統(tǒng)評估框架，在該框架中ISMS評估主要包括ISMS的整體評估和ISMS的優(yōu)化兩個層面的含義，這個評估框架完全符合評價、分析及優(yōu)化的系統(tǒng)工程思想;2) 提出了用于信息安全管理系統(tǒng)評估的基于綜合權衡分析方法一套方法集，這些方法一方面實現(xiàn)了評估過程的可視化，另一方面實現(xiàn)了定性定量相結合的評估思路。

參考文獻:

[1] NSTISSC (National Security Telecommunications and Information System Security Committee). National Information Assurance Certification and Accreditation Process (NIACAP) [R]. New York. NSTISSC， 2000.

[2] JEAN K.J.， LIN S.H.， FUNG A.R.W.. A study on information security management system evaluation - assets， threat and vulnerability [J]. Computer Standards Interfaces. 2004， (26): 501-513

[3] ISO (International Organization for Standardization). Information technology - guidelines for the management of IT security - Part 1: concepts and models for IT security [R]. Geneva. ISO， 1996.

[4] HERMAN D.， KEITH S. Application of the common criteria to a system: a case study [J]. Computer Security Journal. 2001， 17(2): 21-28.

[5] KAZMAN R.， BARBACCI M.， KLEIN M.， et al. Experience with performing architecture tradeoff analysis [A]. In Proceedings of the 21st International Conferences on Software Engineering (ICSE’99) [C]. 1999， pp. 54–63.

[6] KAZMAN R.， ASUNDI J.， KLEIN M. Quantifying the costs and benefits of architectural decision [A]. In Proceedings of the 23rd International Conference on Software Engineering (ICSE) [C]. 2001， pp. 297–306.

[7] GROSS D.， YU E.S.K. From non-functional requirements to design through patterns [J]. Requirement Engineering. 2001， 6(1): 18-36.

[8] SVAHNBERG M.， WOHLIN C.， LUNDBERG L.， et al. A quality-driven decision-support method for identifying software architecture candidates [J]. International Journal of Software Engineering and Knowledge. 2003， 13(5): 547-573.

[9] CHUNG L.， NIXON B.A.， YU E.， et al. Non-Functional Requirements in Software Engineering [M]. Dordrecht: Kluwer Academic Publishers. 2000

[10] GIORGINI P.， MYLOPOULOS J.， NICCHIARELLI E.， et al. Formal reasoning techniques for goal models [J]. Journal on Data Semantics. 2004， (1): 1-20.

[11] SVAHNBERG M.， WOHLIN C.， LUNDBERG L.， et al. A quality-driven decision-support method for identifying software architecture candidates [J]. International Journal of Software Engineering and Knowledge Engineering. 2003， 13(5): 547-573.

[12] AL-NAEEM T.， GORTON I.， RABHI M.A.， et al. A quality-driven systematic approach for architecting distributed software applications [A]. In Proceedings of the 27th International Conference on Software Engineering (ICSE) [C]. 2005， St. Louis， USA.

[13] 李守鵬.信息安全及其模型與評估的幾點新思路[D].成都: 四川大學，2002.