開放可伸縮的信息安全管理測量評價體系

郭錫泉，羅偉其，姚國祥

（1.暨南大學 管理學院，廣東 廣州510632；2.廣州番禺職業技術學院 信息工程學院，廣東 廣州511483；3.暨南大學 信息科學技術學院，廣東 廣州510632）

0 引 言

信息安全事故時刻威脅著企業的信息安全，甚至可造成不可挽回的經濟損失。除了注重信息安全技術的合理應用，還必須加強信息安全管理的工作。信息安全管理正在向體系化、標準化、定量化方向發展，ISO與IEC兩大國際標準組織聯合推出27000信息安全管理標準族正是在這個背景下應運而生。完善的信息安全管理體系 （informa－tion security management system，ISMS），依賴于信息安全風險評估［1－3］與信息安全管理測量兩大基石。國內外學者都提出信息安全管理評價的問題，但信息安全管理測量、信息安全管理評價應該如何進行、它們之間有沒有關系，目前這些問題在學術界和業界仍然比較模糊。本文研究信息安全管理的測量問題與評價問題之間的關系，以及如何將兩者進行有機的集成，為信息安全管理測量評價的體系化、標準化、定量化奠定基礎。

1 概念和基本思想

1.1 信息安全管理的目標

提高信息安全管理水平并不能無止境地提升信息安全水平，這是技術本身存在局限所致，但提高管理水平對提升安全水平是可以有貢獻的。如信息安全漏洞管理 （如圖1（a）所示）中，若放任漏洞的自由增長，風險水平將快速上升 （R2）；若總能及時升級軟件防止漏洞，風險可以不增長 （R0）；更為實際的情況是升級軟件有滯后性，風險在低位小幅變化 （R1）。以上實例反映出在不同的安全領域上都存在一個技術基準水平，而實際的安全水平可能高于、低于或等于這個水平 （如圖1（b）所示），信息安全管理的目標是使實際的安全水平能夠逼近或超越技術基準水平。明確信息安全管理的目標后，信息安全管理的測量活動、評價活動也都圍繞此目標來進行。

圖1 信息安全管理的目標

1.2 信息安全管理的運籌學模型

企業在信息安全管理的過程中，需要投入人力、物力、財力，依次記為投入函數h（），e（），I（），這些資源的投入量可以表示為時間的函數。設S（）為信息安全的水平函數，則S（）與h（），e（），I（）均相關。從運籌學的規劃模型出發，信息安全管理應追求安全水平函數S（）在h（），e（），I（）約束條件下的最大化，見式 （1）。各投入函數是時間的函數，故S（）也隨時間不同而變化。設S＊tj表示時刻tj安全水平的最優值，Stj表示其實際值。即使人力、物力、財力的投入均相同，安全水平仍然可以不同，故安全水平函數S（）是非線性函數，它與h（），e（），I（）有著復雜的、不確定的關系。人力是其中最活躍的因素，管理水平高的企業可用較低的投入取得較高的安全水平，而投入高的企業其安全水平不一定很高。maxS（h（O，Ti），e（P，nj），I（Q，mk））

1.3 信息安全管理的測量問題與評價問題

信息安全管理測量方面，COBIT［4］從IT治理的角度提出4個領域共34個IT過程，通過KPI／KGI（關鍵績效指標／關鍵目標指標）來測量組織的IT治理水平達到相應成熟度模型 （CMM）的哪一級。NIST的SP800－53／53A／55系列標準［5］，給出非常詳盡的對安全控制措施進行評估的模板。ISO／IEC27004［6］正式提出了信息安全管理測量的概念和模型，并給出了部分指標的測量示例。在信息安全管理評價方面，文獻 ［7－8］提出基于層次分析法的評價模型，文獻 ［9－10］依據ISO／IEC27001給出信息安全管理效力 （Effectiveness）與效率 （Efficiency）的評估方法。可以發現，目前關于信息安全管理測量的研究比較少，并且只關注于宏觀層面的體系、模型或微觀層面的指標定義與測量，缺乏中間層面對測量結果進行分析處理、形成對信息安全管理進行綜合評價的研究，難以為管理者提供簡明扼要、有決策意義的綜合測量結果。而信息安全管理評價的研究目前還比較粗糙，在評價內容、指標定義、評價方法等方面缺乏相應的指導。本文將對測量過程與評價過程進行有機結合，構建一個開放、可伸縮的信息安全管理集成測量評價體系。

2 實現框架

2.1 信息安全管理的集成測量評價模型

按照ISO／IEC27004的定義，信息安全管理測量是指數據的采集、分析與報告；而系統評價是系統工程學的一個重要組成部分。從應用現狀看，信息安全管理的測量過程與評價過程并沒有什么聯系 （如圖2（a）所示），兩者往往獨立進行。事實上，兩者既有聯系，又有區別：測量和評價都需要使用指標值；測量是獲得具體的指標值，評價是通過指標值作出對事物的總體判斷。兩者可以通過指標值得以聯系起來，故本文提出一個信息安全管理的集成測量評價模型，把測量過程與評價過程進行有機結合 （如圖2（b）所示）。

圖2 信息安全管理測量與評價的關系

記測量過程為函數f（x），評價過程為函數g（x），則測量結果、評價結果可依次表示為式 （2）、（3）。指標測量結果xt與評價結果yt用來逼近安全水平Stj，而安全水平的最優值S＊tj則隱含在指標的定義中。評價提供總體性判斷，為管理者提供決策支持；測量提供具體的指標數據，為部門人員指出改進的方向，實現測量與評價的有機結合。

2.2 開放可伸縮的集成測量評價體系

信息安全管理涉及管理、技術、經濟等多個領域，測量方面，不同領域的指標及其測量方法的定義存在很大的差別［11］；評價方面，信息安全管理的評價存在多方面的內容，評價方法也復雜多樣，要求測量評價體系有足夠的開放性與靈活性。本文提出一個基于方法集的開放、可伸縮的集成測量評價體系 （如圖3所示），主要由評價內容集、評價維度集、指標集與測量方法集、評價方法集四大部分組成，每一部分都可以添加新的內容進去，體系具有開放性；組織可根據自身需求在該體系中選擇一個測量評價的子集，測量評價的內容可多可少，是一個有伸縮性的體系。在該體系中，測量過程由評價過程來指導，測量前 （C）先確定評價內容 （A）與評價維度 （B），測量后選擇合適的評價方法 （D）來處理測量值，并形成評價結果。

圖3 開放可伸縮的集成測量評價體系

3 關鍵技術

構建開放可伸縮的信息安全管理測量評價體系，要求評價內容、評價維度、評價方法、測量指標與測量方法各方面均應達到相對標準、完善的程度。本文提出基于方法集的途徑，使信息安全管理測量評價的諸方面既有標準性，又具有開放性與伸縮性。

3.1 評價內容集

信息安全管理涉及眾多領域，其評價存在諸多方面的內容。信息安全管理包含的內容應如何定義，目前比較有代表性的是ISO／IEC27000與NIST的SP800標準系列，而后者也在向前者靠攏。考慮到上述情況，本文根據ISO／IEC27001［12－13］關于ISMS的定義來確定評價內容集 （如圖3所示）。有兩點需要說明：①表中每一方面的內容都可以展開，表1為A （6）通信與操作管理的子內容；②可以增加新的評價內容到該體系中，體現體系的開放性。

表1 A （6）的子集

3.2 評價維度集

對于同一評價內容，從管理角度關心的是管理措施是否得以落實，從技術角度關心的是這些措施有沒有效果，從經濟角度關心的是投入的資金有沒有回報，不同的角度需要建立與之適應的指標集與測量方法集、評價方法集。本文用評價維度來區分這3個角度：實施維用來評價管理措施的落實情況；效力維用來評價管理措施的效果；績效維用來評價管理的績效。用yt＿B1，yt＿B2，yt＿B3來依次標記實施維、效力維、績效維的評價結果，不同維度的測量函數f（x）有所不同，如式 （4）所示。可用一立方體模型來表示評價維度集 （如圖4所示），安全管理的最優水平位于圖中標記的小方塊區域。

圖4 評價維度的立方體模型

3.3 指標集與測量方法集

從ISO／IEC27004給出的信息安全管理測量的部分指標及其測量方法（如表2所示）可以看出，指標的定義及其測量方法是緊密聯系的。不同的指標，其測量方法可能存在非常大的差別，故難以對測量方法進行細致的分類。

表2 ISO／IEC27004的指標與測量方法示例

信息安全管理的指標可分成管理、技術、經濟3個大類，而測量方法也可據此劃分成這3類。指標的定義非常關鍵，因為信息安全水平的最優值隱含在指標的定義之中。與管理類、經濟類的指標相比，技術類的指標因信息技術本身的復雜多樣性顯得更難于定義。管理類指標的測量，可以通過文件審閱、面談、現場檢查等手段進行；經濟類指標的測量，可以通過分析財務數據來實現；技術類指標的測量，則可以采用各種技術手段來進行，包括工具掃描、人工分析、滲透測試、數據挖掘、入侵檢測、歷史數據采集與分析、安全審計、安全測評、風險評估等。

3.4 評價方法集

系統評價是系統工程學的重要分支，綜合評價方法的發展已經達到比較成熟的階段，目前已有多種評價方法應用到不同的領域［14］（如表3所示）。信息安全管理評價涉及管理、技術、經濟等領域，可以根據需要選擇合適的評價方法。有兩點需要注意：①評價方法的選擇要與評價維度相適應，盡量選擇簡單有效的評價方法；②可以對某種評價方法進行改進，或把多種評價方法進行集成以適應信息安全管理評價的應用需求。

4 應用實驗

4.1 應用實例

網絡安全管理效力維需要采用技術類指標進行測量，可通過人工分析、滲透測試、數據挖掘等多種技術方法實現，且測量值比較客觀，量化程度也較高。但安全水平是人力、物力、財力多種資源投入的非線性函數，各種指標對信息安全管理效力的貢獻存在復雜的、不確定的關系。人工神經網絡 （ANN）方法適用于非線性系統［15］，故本例采用它作為評價方法。上述處理方法可記作A （6－6）－B2－C2－D （9－1）子集，實施過程如下：

（1）定義網絡安全管理效力維的指標與測量方法；

（2）取得網絡安全管理效力維指標的測量值，并進行歸一化；

（3）采用ANN進行綜合評價。

表3 評價方法集

本例中，網絡安全管理效力維的指標定義如下：網絡安全管理的人力投入、網絡管理員的專業水平、網絡安全設備配置的有效性、網絡安全風險減少率、網絡安全事故減少率、滲透測試結果的改進、日志利用率、網絡安全檢測的頻度。這8個指標依次記為V1～V8。ANN方法需要采集樣本對人工神經網絡進行訓練，現提供10個樣本值（S1～S10）及3個組織的指標測量值 （P1～P3），其中，S1～S8供訓練網絡用，S9～S10供測試網絡用，數據見表4（E為樣本的評價結果值）。

用Matlab進行仿真，構建一個三級的BP神經網絡，有8輸入節點、1個輸出節點，中間隱層單元取17個。從輸入到輸出的傳遞函數依次為tansig與logsig函數，訓練函數為traingdx函數。神經網絡的誤差要求不大于0.001，經過訓練神經網絡對S9、S10、P1、P2、P3的預測值依次為0.70、0.89、0.87、0.85、0.73。

4.2 實驗與分析

用Matlab進行仿真時，經過130次訓練網絡誤差已下降到0.001（如圖5所示）。神經網絡對S9、S10的預測值依次為0.70、0.89，而它們的實際值依次為0.65、0.85，S9、S10的預測值與實際值之間的預測誤差很小 （如圖6所示），故把P1、P2、P3的預測值作為評價值是可以接受的。

表4 效力維的測量數據

網絡安全管理是信息安全管理的重點問題與難點問題。信息化程度高的企業往往在網絡安全方面投入巨大的人力、物力與財力，購置諸如防火墻、入侵檢測系統IDS、統一威脅網關管理UTM、虛擬專用網VPN等網絡安全設備。然而，這些設備有沒有發揮應有的功能和作用，企業信息技術人員有沒有相應的技術素質去配置和使用這些設備，企業在網絡安全方面的投資有沒有價值、有沒有效率，這些問題目前學術界和業界都不能提供完善的技術手段來準確回答。

本文提出開放可伸縮的信息安全管理測量評價體系，在該體系內選擇合適的子集便能提供有效的技術手段來測量、評價企業信息安全管理的水平。在實踐中，還可進行網絡安全管理實施維的測量與AHP模糊評價 （記作A （6－6）－B1－C1－D （6－2｜7－1）子集）、網絡安全管理績效維的測量與 DEA評價 （記作 A （6－6）－B3－C （1＋2＋3）－D （4－1）子集），可對信息安全管理的11個方面進行總體評價或單項評價，可從實施維、效力維、績效維任一維度或所有維度進行評價，評價方法可以使用方法集中的一種或多種，體現了測量評價體系的開放性與伸縮性。

5 結束語

本文明確信息安全管理的目標是使組織的信息安全水平能夠逼近或超越技術基準水平；給出信息安全管理的運籌學模型，指出信息安全管理應追求安全水平函數在人力、物力、財力這些約束條件下的最大化；通過合理定義指標有機結合信息安全管理的測量、評價兩個過程，提出信息安全管理的集成測量評價模型，其數學描述指出測量評價結果應逼近組織的實際安全水平，而最優水平則隱含在指標的定義中；構建了基于方法集的開放、可伸縮的信息安全管理集成測量評價體系。上述工作使信息安全管理的測量與評價能夠進行有機的集成，也實現了信息安全管理從定性到定量的綜合集成。下一步工作是完善此測量評價體系，在實踐中發展和檢驗這些方法集。

［1］Humphreys E.Information security management standards：Compliance governance and risk management ［J］.Information Security Technical Report，2008，13 （4）：247－255.

［2］Igli T，Solange G.Information security management is not only risk management［C］.Fourth International Conference on Internet Monitoring and Protection，2009：116－123.

［3］Edson S，Luciana A，Antonio J.Ontologies for information security management and governance ［J］.Information Management ＆Computer Security，2008，16 （2）：150－165.

［4］ISACA.COBIT Online ［EB／OL］.［2011－05－10］.http：／／www.isaca.org／cobit.

［5］NIST.Special publications ［EB／OL］.［2011－05－10］.http：／／csrc.nist.gov.

［6］ISO／IEC27004，Information technology－security techniques－information security management measurements［S］.2006.

［7］TANG Yongli，XU Guoai，NIU Xinxin，et al.Information security management measurement model based on AHP ［J］.Journal of Liaoning Technical University，2008，27 （4）：575－578（in Chinese）. ［湯永利，徐國愛，鈕心忻，等.基于AHP的信息安全管理測量模型 ［J］.遼寧工程技術大學學報，2008，27 （4）：575－578.］

［8］HUANG S，LEE C，KAO A.Balancing performance measures for information security management ［J］.Industrial Management ＆ Data Systems，2006，106 （2）：242－255.

［9］Boehmer W.Appraisal of the effectiveness and efficiency of an information security management system based on ISO 27001［C］.Proceedings of 2nd Int Conf Emerging Security Inf Systems and Technologies，2008：224－231.

［10］Mohammad S，Abadullah A，Saad H.Using ISO 17799：2005 information security management：A STOPE view with six sigma approach ［J］.International Journal of Network Management，2007，17 （1）：85－97.

［11］LI Gang，CHEN Ping，QI Ershi.Design of index system for comprehensive evaluation ＆its application in enterprise infor－mationization ［J］.Computer Integrated Manufacturing Systems，2008，14 （1）：96－101 （in Chinese）. ［李鋼，陳萍，齊二石.綜合評價指標體系設計及其在企業信息化中的應用［J］.計算機集成制造系統，2008，14 （1）：96－101.］

［12］ISO／IEC27001，Information technology－security techniques－information security management systems requirements［S］.2005.

［13］CHOI K，LEE D，KIM J.A study on the optimal model for information security management level ［C］.International Conference on Information Science and Security，2008：238－244.

［14］ZHAO Wen.Research on information assurance metrics and comprehensive evaluation modern evaluation methods and case studies［D］.Chengdu：Math Department of Sichuan University，2006（in Chinese）.［趙文.信息安全保障度量及綜合評價研究 ［D］.成都：四川大學數學學院，2006.］

［15］DU Dong，PANG Qinghua，WU Yan.Modern evaluation methods and case studies［M］.Beijing：Tsinghua University Press，2008（in Chinese）.［杜棟，龐慶華，吳炎.現代綜合評價方法與案例精選 ［M］.北京：清華大學出版社，2008.］