基于業務流程的ERP信息安全進化熵的風險評估

宋彪，朱建明

（1. 中央財經大學 信息學院，北京 100081；2. 內蒙古財經大學 會計學院，內蒙古 呼和浩特 010051）

1 引言

ERP（enterprise resource planning，企業資源計劃）由美國Gartner Group 公司在20世紀90年代提出以來，ERP在國外獲得了廣泛應用和飛速發展，投資年均增長速度超過30%，同時也取得巨大的經濟和社會效益。在我國，ERP的發展已有20多年，《2009～2010中國IT應用技術藍皮書》中顯示，目前50.7%的企業擁有ERP系統，同時還有大量企業籌備或正在實施ERP項目。

由于ERP系統項目的投資大，軟件涉及的業務流程復雜，因此企業在實施項目時往往只關注投資的收益和業務流程的實現，而忽略ERP系統的信息安全。ERP系統集成了企業所有的相關信息，包括客戶信息、BOM結構、賬戶情況等，這些信息對別有用心者都具有極大的吸引力。因此，利用ERP進行犯罪的事件時有發生，例如上海發生的一家大型跨國連鎖超市營業款被竊案為企業敲響了警鐘，以收銀員、計算機管理員為主的普通員工居然利用超市ERP系統的漏洞在短短半年之間悄無聲息地從超市竊走372萬元的營業款。國內某銀行在對即將上線的信息系統進行測試時，誤將帶有蠕蟲病毒的主機接入生產系統，造成其生產系統的長時間故障，造成大量經濟損失。中國銀聯信息系統設備曾出現通信網絡和主機出現故障，造成轄內跨行交易全部中斷，故障時間長達8小時，給人們的生活帶來了極大的不便。英國保險巨頭英杰華集團(Aviva)于2009年證實，ERP系統中的一臺機器感染病毒，造成敏感個人信息泄露，估計大約有550名保險客戶的數據記錄被泄露，其中包含用戶的姓名、地址和社會安全號碼等信息。荷蘭銀行發生系統中客戶資料泄露，巨額存款被黑客盜取事件，涉及金額達2 000萬人民幣。由這些案例可以看出，對ERP系統的安全評估進行研究有著重要的現實意義。

2 研究綜述

迄今為止，專門關于ERP 的信息安全風險評估的研究成果不多。一般學術研究都針對ERP系統的項目實施風險和ERP系統的績效評估等。朱巖在2006年提出ERP風險因素的評估方法——“企業資源規劃功能配置法（EFD）”[1]。許振宇等在2006年提出一個利用風險矩陣和模糊綜合評判方法來評估企業實施ERP 項目風險等級的模型，并利用實例作為研究該評估方法的樣本[2]。王立彥等人在2007年分析了ERP系統的實施和企業績效增長的關系[3]。在ERP系統信息安全方面，陳運明等人在2009年提出了一個PERIVOR模型，該模型采用動態網絡模型和基于策略的網絡安全以及風險權值分析技術，通過將各種威脅、脆弱性等風險因素的分級和分類，盡量全面客觀地對信息安全的技術性和非技術性以及定性和定量相結合的方式來展示信息安全風險。沈沉等人在2005年提出了要引入國外的不間斷監控法加強ERP系統的安全控制[4]。唐志宏等人在2003年指出ERP軟件極少能夠達到第三級安全標準，并針對權限問題給出了一系列改進措施。Wouter Janssen在1998年認為應該把安全問題從數據庫級提升至ERP級，而且有必要開發更為合適的能夠確保安全的工作流管理技術[5]。程乃偉在2010年提出了根據ERP系統組成的網絡拓撲結構，構建鏈路域的概念，通過確定資產間的影響系數，計算整個鏈路上的風險[6]。

相對于信息安全評估的領域，則有大量的文獻提出了豐富的風險評估方法。主要分定性和定量的2類，使用到的定性方法有：頭腦風暴法、名義小組評述法(NGT)、德爾菲方法、層次分析法等。定量的對風險進行評估的方法有：統計學模型、成本因素法、CPN方法、決策樹法、故障樹的方法、影響圖法、人工神經網絡的方法、基于規則的系統、靈敏性分析法、Monte Carlo模擬法、ID3算法以及LA-LEARN算法等[2]。

總之，關于信息系統的安全評估的研究比較成熟，針對ERP系統項目實施風險的研究也相對很深入，而ERP系統的信息安全方面，一般都是定性的給出一些增強安全系數的方法和措施，只有陳運明在2009年提出了一個ERP系統安全評估模型，認識到應該把ERP系統的安全評估和其他信息系統的安全評估區別開來，其不足之處是沒有能夠指出深入挖掘出ERP系統的信息安全特點，以及進一步給出完全適合于ERP特點的評估模型，使評估結果沒有針對具體的業務流程，導致無法對企業針對業務流程進行信息安全措施進行改進。而程乃偉在2010年的研究把ERP的流程節點簡單化為網絡拓撲節點，同時對信息資產的節點風險以及被影響節點風險簡單加和，忽略了信息資產在ERP系統中價值變化的高頻性。

3 ERP與一般信息系統的區別

ERP與一般的信息系統的區別主要體現在以下6個方面。

1) ERP系統的信息資料更加集中，對攻擊者更有吸引力。ERP系統作為數據庫平臺上的捆綁組件，往往包含著多個其他應用程序的接口，它的特點是信息高度集成和即時共享，系統中運行著許多敏感的業務信息，使用者可以從中尋找出一個企業的組織架構、管理理念、客戶資源、財務信息、人力資源組成、企業產能、產品配方、銷售渠道、合作伙伴、競爭對手等方方面面的信息。

2) ERP系統安全問題相對其他信息系統更為復雜。ERP系統流程涉及范圍廣，各節點關系緊密，對信息的準確性和及時性要求苛刻，信息集成度越高的ERP系統越是如此（企業恰恰追求集成度高的ERP系統來提高經濟效益），所以在企業中，ERP系統一般在其信息系統中居于核心地位，企業對ERP系統的依賴性一般要遠強于其他信息系統。如果系統遭受攻擊，甚至是使系統稍有延遲，都將會對業務流程及生產方面乃至整個企業造成巨大破壞。

3) ERP系統涉及企業生產業務過程，涉及企業核心業務。攻擊者對ERP系統攻擊的目標更為明確，ERP系統安全事件的發生以資產為基礎，以對系統資產的竊取、攻擊和破壞為目標[6]。

4) ERP系統的信息資產價值不易確定。在傳統的信息安全風險評估中得到的往往是以資產為基礎的單一風險值。對于ERP系統來說，各資產之間是通過各種不同方式和鏈路連接在一起的，因此，各點的風險因其連接方式的不同，會傳遞給與之相鄰的資產。因此，確定風險的傳遞方式及整個物理鏈路上的綜合風險就顯得尤為重要[6]。ERP系統的安全漏洞會隨著業務流程的流轉慣性而逐級放大由該漏洞造成的影響，同一信息資產的價值由于會隨著業務節點的不同而發生價值變動，更為重要的一點是，這些價值變動會隨著企業的日常業務周而復始的發生，其變動頻率會非常高，雖然能確定在哪一節點有安全漏洞，也能確定在該節點時信息資產的價值，但無法確定當該節點安全漏洞發生作用時，影響的后果是否還是該節點時的信息資產的價值，對ERP系統依賴程度高的企業愈發如此。因此，對信息資產進行賦值從而進行評估的方法并不適用于ERP系統。

5) ERP系統的業務流程復雜。ERP系統中存在大量基于業務流程產生的信息安全漏洞，區別于簡單的軟件中的代碼漏洞。一般ERP系統的安全問題體現在3個方面，網絡層、表現層和應用層，而應用層中包括業務流程[7]。ERP業務流程的復雜性，導致企業更加關注業務的實現，而忽略了信息安全的防范，恰恰現實的情況是，有些安全漏洞在數據靜止的情況下評估是無法發現的，而放到不同的業務流程中，這些安全漏洞的評估結果也不相同，這決定了ERP系統的信息安全評估不能簡單的依靠網絡拓撲分解來實現。

6) ERP系統在生命周期中基于技術進步的進化特征性更強。ERP系統在整個生命周期內，由于科學技術的不斷發展，企業業務規模等情況的變化，以及企業對系統的持續調整都會使信息安全問題呈動態進化趨勢，因此其安全評估不能簡單截取其某個階段獨立分析，必須著眼于整個生命周期進行分析才可以得出比較客觀有意義的評估結果。

4 基于業務流程的ERP信息安全進化熵的風險評估

在物理學中，熵是指熱力學系統的某種狀態函數，它是對系統紊亂程度的度量。玻爾茲曼在1872年從氣體分子運動的角度得出統計物理學熱力學熵S的表達式：s=k ln w其中，k是玻爾茲曼常數，W為系統宏觀狀態所包含的微觀狀態數。熵S就是系統內部分子運動混亂程度的度量。

美國數學家香農將熱力學熵引入信息論，提出了信息熵的概念。在信息論中，信息是系統有序程度的一個度量，而熵是系統無序程度的—個度量。二者絕對值相等，但符號相反。—個系統X的信息量大小H(即信息熵)與該系統的狀態概率p緊密聯系在一起，且概率p越小，系統所包含的信息熵H越大，而系統信息熵與系統X的狀態具體取值沒有關系。若—個信息系統X由狀態集{a1,a2,…,an}組成，每個狀態對應的概率分別為p1,p2,…,pn，且則系統X的信息熵H定義為

其中，系數k取決于度量單位，k為非負數。最大信息熵原理從理論上說明，假設k=1，在信息熵取極大值時，對應的一組狀態出現的概率占有絕對優勢,且上式最大值為log n。

4.1 基于業務流程的ERP信息安全進化熵的風險評估模型

定義 基于業務流程的ERP系統信息安全進化熵是指在ERP系統在其整個生命周期內進化的過程中，各業務流程節點對應的安全屬性對ERP系統安全狀態的不確定性、混亂性和無序性影響的度量。

其中，T為ERP系統生命周期長度，用時柵劃分為若干個區間，各時柵為t=1,2,…,T；F表示系統中業務流程個數；m表示任一流程包含的節點個數；n表示任一節點的信息安全確定性屬性個數；r表示在各時柵內對該節點信息安全確定性屬性期望安全技術進步系數(可為負值，表示入侵技術的進步大于安全技術的進步)；s表示某個流程任一節點某時柵的信息安全進化熵；ptj表示i節點在時柵t區間j信息安全屬性的確認度；式(1)中，，越大，s值越小，當pt1=pt2=…=ptj時，s值最大，s值越小表示在某一時柵內，該業務節點對應的信息安全屬性相關信息越確定（確定性代表對該節點的安全性認識足夠，知道癥結所在，能夠采取有效措施），該節點處安全性越高，系統亦越安全。對式(1)進行歸一化處理得

其中，參數涵義同式(1)。計算單個節點的安全屬性熵值,概率評估當期t值為1，非當期t值根據預測期時柵值減去概率評估期時柵值，p值是專家評估時選擇各節點的安全屬性的概率統計，如果各安全屬性被選中的概率越接近，說明專家越不確定哪個安全屬性為影響安全關鍵因素，則系統該節點越不安全。

其中，et表示某一個流程某一個節點的系統安全性。

式(3)中，et越小表示系統安全性越差。一個流程里面包含m個節點，根據TOC理論，整個業務流程的安全系數可定義為

其中，Sh,t表示某個流程在t時柵的安全性系數。

式(4)突出該業務流程中安全性最差的節點的影響，并以此分析系統安全短板，進行安全措施決策。

其中，Aht表示h流程在t時柵的平均信息資產價值，Aht值由專家進行評估；D表示整個ERP系統信息安全進化熵系數。

其中，I為投資金額；式(6)可用來進行安全投資決策，即投資要小于安全收益。

4.2 風險評估算法

算法1 基于業務流程的ERP信息安全進化熵的風險評估算法

輸入：(p[m,n],m[h],n[k],F,a[h],t,r)

輸出：系統信息安全進化熵系數D

1) 由專家初始化輸入集(p[m,n],m[h], n[k], F,a[h],t,r)；

2) for all ERP系統所有節點安全確定性屬性do；

3) 計算各個節點信息安全進化熵S；

4) for all 各個流程的所有節點do；

5) 計算各個流程信息安全進化熵Sh,t；

6) for all各個ERP系統的流程 do；

7) 計算ERP系統的信息安全進化熵系數；

8) return D；

算法2 ERP信息安全進化熵公式計算求解具體算法

輸入：(p[m,n],m[h],n[k],F,a[h],t,r)

輸出：系統信息安全進化熵系數D

//輸入參照時柵某個流程某個安全節點安全屬性的確定性概率,業務流程個數、各業務流程節點個數、對應各節點安全屬性個數、各流程信息資產價值、時柵值、技術進步系數。

//輸出系統信息安全進化熵

4.3 評估模型仿真

假設將某企業ERP系統在其生命周期內用時柵劃分為4個階段（可以更為細致的劃分），而流程有采購、銷售、倉儲，為了簡化模擬，假設只有這3個流程。設采購有4個信息安全節點，銷售有4個安全節點，倉儲有4個安全節點，生產流程有4個安全節點，假設采購流程的4個信息安全節點的確定性屬性個數都為5，銷售流程的4個信息安全節點的確定性屬性個數都為5，倉儲流程4個信息安全節點的確定性屬性個數都為3，生產流程的4個信息安全節點的確定性屬性個數都為4，時柵間隔內利率沒有變化，如表1所示。

表1 ERP狀態劃分情況

用SaaS軟件模擬安全屬性確定性隨機概率（開發階段）。

安全屬性每個不確定性為0～1之間，本仿真用sas軟件隨機概率模擬專家們對逐個對節點各安全屬性做出的選擇，統計該節點各安全屬性被選中的概率，如表2所示。

表2 節點屬性確定概率

開發階段：

由式(2)可計算，則可由式(4)計算，開發階段采購流程的安全系數：S采購= 0.025 480 902 S銷售= 0.052 539

S倉儲= 0.006 859 S生產=0.055 213

假設整個信息系統信息資產在采購流程中平均資產價值（指在本階段如發生安全事件產生的損失）為100 000元，在倉儲階段平均價值為150 000元，在生產階段為120 000元，在銷售階段為200 000元，則由式(5)計算系統整體安全系數為S=0.394 1。

現假設企業要進行殺毒軟件投資，投資額為5 000元，期望在運行階段達到技術進步率為r=0.2，時柵相差為1，則可以根據進化熵計算出系統整體安全系數為

運行階段：

由式(2)可計算，

則可由式(4)計算運行階段采購流程的安全系數：S采購= 0.029 612 732 S銷售= 0.061 061

S倉儲= 0.008 606 S生產= 0.065 855

資產價值仍如上假設（實際操作中可以考慮資金時間價值），則由式(5)計算系統整體安全系數為：S=0.461 83。

0.461 83-0.394 1=0.067 33，即系統安全系數提高了0.067 33，資產價值均值為142 500，則由式(6)計算投資收益為9 651元，則由投資收益分析可知企業應該進行殺毒軟件投資。

5 結束語

該評估模型充分考慮了ERP系統在安全評估方面的特點，把評估點細分到各業務流程的節點，利用熵的概念把影響各業務節點的安全屬性對系統安全的影響予以描述，在模型中體現了ERP系統進化的過程對安全的影響，做出生命周期內某一期間的評估后，可以對其他期間進行預測，同時應用TOC理論確定了業務流程的安全系數，并根據信息資產權重解決了ERP系統中信息資產動態變化導致的評估難題，最終對ERP系統計算出了量化的安全評估結果，為ERP系統的安全投資決策提供了量化的參考依據。

[1] 朱巖. 一種ERP 風險評估法——企業資源功能展開法EFD[J]. 清華大學學報,2006,46(S1): 15-19.ZHU Y. EFD—a risk assessment method of enterprise resource planning implementation[J]. Tsinghua Science and Technology, 2006,46(S1): 15-19.

[2] 許振宇. 基于模糊綜合評判的ERP項目風險評估[J]. 情報雜志,2006,(8): 89-93.XU Z Y. Risk assessment of ERP project based on fuzzy synthesis judgment[J]. Journal of Information, 2006,(8): 89-93.

[3] 王立彥. ERP系統實施與公司業績增長之關系——基于中國上市公司數據的實證分析[J]. 管理世界, 2007,(3):116-121.WANG L Y. Relationship of the ERP system implementation and performance of the company growth-empirical analysis based on the data of China's listed companies[J]. Management World, 2007,(3): 116-121.

[4] 沈沉. ERP安全現狀和解決方案[J]. 網絡安全技術與應用, 2005,(5):16-17.SHEN C. ERP security current situation and solution[J]. Network security technology & application, 2005,(5): 16-17.

[5] MICHAEL E, WHITMAN H J. Principles of Information Security[M].Canada: GEX Publishing Services, 2003.

[6] 程乃偉. ERP系統安全風險評估方法研究[A]. 2010(沈陽)國際安全科學與技術學術研討會論文集[C]. 沈陽, 中國, 2010. 50-53.CHENG N W. Study on the method of security risk assessment for ERP system[A]. Proceedings of 2010(Shenyang) International Colloquium on Safety Science and Technology[C]. Shenyang, China, 2010.50-53.

[7] WEI S, THURAISINGHAM B. Security for enterprise resource planning systems[J]. Information Systems Security, 2007. 16(3):152-163.

[8] IFINEDO P. Relationship among ERP post-implementation success constructs:An analysis at the organizational level[J]. Computers in Human Behavior, 2010, 26(5):1136-1148.

[9] HAKIM A. A practical model on controlling the ERP implementation risks[J]. Information Systems, 2010, 35(2):204-214.

[10] 葉強. 組織因素對ERP使用績效的影響機制[J]. 管理科學學報,2010, 13(11): 77-81.YE Q. Impact of organizational factors on ERP usage and performance[J]. Journal of Management Sciences in China, 2010, 13(11):77-81.