郭锡泉,罗伟其,姚国祥
(1.暨南大学 管理学院,广东 广州510632;2.广州番禺职业技术学院 信息工程学院,广东 广州511483;3.暨南大学 信息科学技术学院,广东 广州510632)
信息安全事故时刻威胁着企业的信息安全,甚至可造成不可挽回的经济损失。除了注重信息安全技术的合理应用,还必须加强信息安全管理的工作。信息安全管理正在向体系化、标准化、定量化方向发展,ISO与IEC两大国际标准组织联合推出27000信息安全管理标准族正是在这个背景下应运而生。完善的信息安全管理体系 (informa-tion security management system,ISMS),依赖于信息安全风险评估[1-3]与信息安全管理测量两大基石。国内外学者都提出信息安全管理评价的问题,但信息安全管理测量、信息安全管理评价应该如何进行、它们之间有没有关系,目前这些问题在学术界和业界仍然比较模糊。本文研究信息安全管理的测量问题与评价问题之间的关系,以及如何将两者进行有机的集成,为信息安全管理测量评价的体系化、标准化、定量化奠定基础。
提高信息安全管理水平并不能无止境地提升信息安全水平,这是技术本身存在局限所致,但提高管理水平对提升安全水平是可以有贡献的。如信息安全漏洞管理 (如图1(a)所示)中,若放任漏洞的自由增长,风险水平将快速上升 (R2);若总能及时升级软件防止漏洞,风险可以不增长 (R0);更为实际的情况是升级软件有滞后性,风险在低位小幅变化 (R1)。以上实例反映出在不同的安全领域上都存在一个技术基准水平,而实际的安全水平可能高于、低于或等于这个水平 (如图1(b)所示),信息安全管理的目标是使实际的安全水平能够逼近或超越技术基准水平。明确信息安全管理的目标后,信息安全管理的测量活动、评价活动也都围绕此目标来进行。
图1 信息安全管理的目标
企业在信息安全管理的过程中,需要投入人力、物力、财力,依次记为投入函数h(),e(),I(),这些资源的投入量可以表示为时间的函数。设S()为信息安全的水平函数,则S()与h(),e(),I()均相关。从运筹学的规划模型出发,信息安全管理应追求安全水平函数S()在h(),e(),I()约束条件下的最大化,见式 (1)。各投入函数是时间的函数,故S()也随时间不同而变化。设S*tj表示时刻tj安全水平的最优值,Stj表示其实际值。即使人力、物力、财力的投入均相同,安全水平仍然可以不同,故安全水平函数S()是非线性函数,它与h(),e(),I()有着复杂的、不确定的关系。人力是其中最活跃的因素,管理水平高的企业可用较低的投入取得较高的安全水平,而投入高的企业其安全水平不一定很高。maxS(h(O,Ti),e(P,nj),I(Q,mk))
信息安全管理测量方面,COBIT[4]从IT治理的角度提出4个领域共34个IT过程,通过KPI/KGI(关键绩效指标/关键目标指标)来测量组织的IT治理水平达到相应成熟度模型 (CMM)的哪一级。NIST的SP800-53/53A/55系列标准[5],给出非常详尽的对安全控制措施进行评估的模板。ISO/IEC27004[6]正式提出了信息安全管理测量的概念和模型,并给出了部分指标的测量示例。在信息安全管理评价方面,文献 [7-8]提出基于层次分析法的评价模型,文献 [9-10]依据ISO/IEC27001给出信息安全管理效力 (Effectiveness)与效率 (Efficiency)的评估方法。可以发现,目前关于信息安全管理测量的研究比较少,并且只关注于宏观层面的体系、模型或微观层面的指标定义与测量,缺乏中间层面对测量结果进行分析处理、形成对信息安全管理进行综合评价的研究,难以为管理者提供简明扼要、有决策意义的综合测量结果。而信息安全管理评价的研究目前还比较粗糙,在评价内容、指标定义、评价方法等方面缺乏相应的指导。本文将对测量过程与评价过程进行有机结合,构建一个开放、可伸缩的信息安全管理集成测量评价体系。
按照ISO/IEC27004的定义,信息安全管理测量是指数据的采集、分析与报告;而系统评价是系统工程学的一个重要组成部分。从应用现状看,信息安全管理的测量过程与评价过程并没有什么联系 (如图2(a)所示),两者往往独立进行。事实上,两者既有联系,又有区别:测量和评价都需要使用指标值;测量是获得具体的指标值,评价是通过指标值作出对事物的总体判断。两者可以通过指标值得以联系起来,故本文提出一个信息安全管理的集成测量评价模型,把测量过程与评价过程进行有机结合 (如图2(b)所示)。
图2 信息安全管理测量与评价的关系
记测量过程为函数f(x),评价过程为函数g(x),则测量结果、评价结果可依次表示为式 (2)、(3)。指标测量结果xt与评价结果yt用来逼近安全水平Stj,而安全水平的最优值S*tj则隐含在指标的定义中。评价提供总体性判断,为管理者提供决策支持;测量提供具体的指标数据,为部门人员指出改进的方向,实现测量与评价的有机结合。
信息安全管理涉及管理、技术、经济等多个领域,测量方面,不同领域的指标及其测量方法的定义存在很大的差别[11];评价方面,信息安全管理的评价存在多方面的内容,评价方法也复杂多样,要求测量评价体系有足够的开放性与灵活性。本文提出一个基于方法集的开放、可伸缩的集成测量评价体系 (如图3所示),主要由评价内容集、评价维度集、指标集与测量方法集、评价方法集四大部分组成,每一部分都可以添加新的内容进去,体系具有开放性;组织可根据自身需求在该体系中选择一个测量评价的子集,测量评价的内容可多可少,是一个有伸缩性的体系。在该体系中,测量过程由评价过程来指导,测量前 (C)先确定评价内容 (A)与评价维度 (B),测量后选择合适的评价方法 (D)来处理测量值,并形成评价结果。
图3 开放可伸缩的集成测量评价体系
构建开放可伸缩的信息安全管理测量评价体系,要求评价内容、评价维度、评价方法、测量指标与测量方法各方面均应达到相对标准、完善的程度。本文提出基于方法集的途径,使信息安全管理测量评价的诸方面既有标准性,又具有开放性与伸缩性。
信息安全管理涉及众多领域,其评价存在诸多方面的内容。信息安全管理包含的内容应如何定义,目前比较有代表性的是ISO/IEC27000与NIST的SP800标准系列,而后者也在向前者靠拢。考虑到上述情况,本文根据ISO/IEC27001[12-13]关于ISMS的定义来确定评价内容集 (如图3所示)。有两点需要说明:①表中每一方面的内容都可以展开,表1为A (6)通信与操作管理的子内容;②可以增加新的评价内容到该体系中,体现体系的开放性。
表1 A (6)的子集
对于同一评价内容,从管理角度关心的是管理措施是否得以落实,从技术角度关心的是这些措施有没有效果,从经济角度关心的是投入的资金有没有回报,不同的角度需要建立与之适应的指标集与测量方法集、评价方法集。本文用评价维度来区分这3个角度:实施维用来评价管理措施的落实情况;效力维用来评价管理措施的效果;绩效维用来评价管理的绩效。用yt_B1,yt_B2,yt_B3来依次标记实施维、效力维、绩效维的评价结果,不同维度的测量函数f(x)有所不同,如式 (4)所示。可用一立方体模型来表示评价维度集 (如图4所示),安全管理的最优水平位于图中标记的小方块区域。
图4 评价维度的立方体模型
从ISO/IEC27004给出的信息安全管理测量的部分指标及其测量方法(如表2所示)可以看出,指标的定义及其测量方法是紧密联系的。不同的指标,其测量方法可能存在非常大的差别,故难以对测量方法进行细致的分类。
表2 ISO/IEC27004的指标与测量方法示例
信息安全管理的指标可分成管理、技术、经济3个大类,而测量方法也可据此划分成这3类。指标的定义非常关键,因为信息安全水平的最优值隐含在指标的定义之中。与管理类、经济类的指标相比,技术类的指标因信息技术本身的复杂多样性显得更难于定义。管理类指标的测量,可以通过文件审阅、面谈、现场检查等手段进行;经济类指标的测量,可以通过分析财务数据来实现;技术类指标的测量,则可以采用各种技术手段来进行,包括工具扫描、人工分析、渗透测试、数据挖掘、入侵检测、历史数据采集与分析、安全审计、安全测评、风险评估等。
系统评价是系统工程学的重要分支,综合评价方法的发展已经达到比较成熟的阶段,目前已有多种评价方法应用到不同的领域[14](如表3所示)。信息安全管理评价涉及管理、技术、经济等领域,可以根据需要选择合适的评价方法。有两点需要注意:①评价方法的选择要与评价维度相适应,尽量选择简单有效的评价方法;②可以对某种评价方法进行改进,或把多种评价方法进行集成以适应信息安全管理评价的应用需求。
网络安全管理效力维需要采用技术类指标进行测量,可通过人工分析、渗透测试、数据挖掘等多种技术方法实现,且测量值比较客观,量化程度也较高。但安全水平是人力、物力、财力多种资源投入的非线性函数,各种指标对信息安全管理效力的贡献存在复杂的、不确定的关系。人工神经网络 (ANN)方法适用于非线性系统[15],故本例采用它作为评价方法。上述处理方法可记作A (6-6)-B2-C2-D (9-1)子集,实施过程如下:
(1)定义网络安全管理效力维的指标与测量方法;
(2)取得网络安全管理效力维指标的测量值,并进行归一化;
(3)采用ANN进行综合评价。
表3 评价方法集
本例中,网络安全管理效力维的指标定义如下:网络安全管理的人力投入、网络管理员的专业水平、网络安全设备配置的有效性、网络安全风险减少率、网络安全事故减少率、渗透测试结果的改进、日志利用率、网络安全检测的频度。这8个指标依次记为V1~V8。ANN方法需要采集样本对人工神经网络进行训练,现提供10个样本值(S1~S10)及3个组织的指标测量值 (P1~P3),其中,S1~S8供训练网络用,S9~S10供测试网络用,数据见表4(E为样本的评价结果值)。
用Matlab进行仿真,构建一个三级的BP神经网络,有8输入节点、1个输出节点,中间隐层单元取17个。从输入到输出的传递函数依次为tansig与logsig函数,训练函数为traingdx函数。神经网络的误差要求不大于0.001,经过训练神经网络对S9、S10、P1、P2、P3的预测值依次为0.70、0.89、0.87、0.85、0.73。
用Matlab进行仿真时,经过130次训练网络误差已下降到0.001(如图5所示)。神经网络对S9、S10的预测值依次为0.70、0.89,而它们的实际值依次为0.65、0.85,S9、S10的预测值与实际值之间的预测误差很小 (如图6所示),故把P1、P2、P3的预测值作为评价值是可以接受的。
表4 效力维的测量数据
网络安全管理是信息安全管理的重点问题与难点问题。信息化程度高的企业往往在网络安全方面投入巨大的人力、物力与财力,购置诸如防火墙、入侵检测系统IDS、统一威胁网关管理UTM、虚拟专用网VPN等网络安全设备。然而,这些设备有没有发挥应有的功能和作用,企业信息技术人员有没有相应的技术素质去配置和使用这些设备,企业在网络安全方面的投资有没有价值、有没有效率,这些问题目前学术界和业界都不能提供完善的技术手段来准确回答。
本文提出开放可伸缩的信息安全管理测量评价体系,在该体系内选择合适的子集便能提供有效的技术手段来测量、评价企业信息安全管理的水平。在实践中,还可进行网络安全管理实施维的测量与AHP模糊评价 (记作A (6-6)-B1-C1-D (6-2|7-1)子集)、网络安全管理绩效维的测量与 DEA评价 (记作 A (6-6)-B3-C (1+2+3)-D (4-1)子集),可对信息安全管理的11个方面进行总体评价或单项评价,可从实施维、效力维、绩效维任一维度或所有维度进行评价,评价方法可以使用方法集中的一种或多种,体现了测量评价体系的开放性与伸缩性。
本文明确信息安全管理的目标是使组织的信息安全水平能够逼近或超越技术基准水平;给出信息安全管理的运筹学模型,指出信息安全管理应追求安全水平函数在人力、物力、财力这些约束条件下的最大化;通过合理定义指标有机结合信息安全管理的测量、评价两个过程,提出信息安全管理的集成测量评价模型,其数学描述指出测量评价结果应逼近组织的实际安全水平,而最优水平则隐含在指标的定义中;构建了基于方法集的开放、可伸缩的信息安全管理集成测量评价体系。上述工作使信息安全管理的测量与评价能够进行有机的集成,也实现了信息安全管理从定性到定量的综合集成。下一步工作是完善此测量评价体系,在实践中发展和检验这些方法集。
[1]Humphreys E.Information security management standards:Compliance governance and risk management [J].Information Security Technical Report,2008,13 (4):247-255.
[2]Igli T,Solange G.Information security management is not only risk management[C].Fourth International Conference on Internet Monitoring and Protection,2009:116-123.
[3]Edson S,Luciana A,Antonio J.Ontologies for information security management and governance [J].Information Management &Computer Security,2008,16 (2):150-165.
[4]ISACA.COBIT Online [EB/OL].[2011-05-10].http://www.isaca.org/cobit.
[5]NIST.Special publications [EB/OL].[2011-05-10].http://csrc.nist.gov.
[6]ISO/IEC27004,Information technology-security techniques-information security management measurements[S].2006.
[7]TANG Yongli,XU Guoai,NIU Xinxin,et al.Information security management measurement model based on AHP [J].Journal of Liaoning Technical University,2008,27 (4):575-578(in Chinese). [汤永利,徐国爱,钮心忻,等.基于AHP的信息安全管理测量模型 [J].辽宁工程技术大学学报,2008,27 (4):575-578.]
[8]HUANG S,LEE C,KAO A.Balancing performance measures for information security management [J].Industrial Management & Data Systems,2006,106 (2):242-255.
[9]Boehmer W.Appraisal of the effectiveness and efficiency of an information security management system based on ISO 27001[C].Proceedings of 2nd Int Conf Emerging Security Inf Systems and Technologies,2008:224-231.
[10]Mohammad S,Abadullah A,Saad H.Using ISO 17799:2005 information security management:A STOPE view with six sigma approach [J].International Journal of Network Management,2007,17 (1):85-97.
[11]LI Gang,CHEN Ping,QI Ershi.Design of index system for comprehensive evaluation &its application in enterprise infor-mationization [J].Computer Integrated Manufacturing Systems,2008,14 (1):96-101 (in Chinese). [李钢,陈萍,齐二石.综合评价指标体系设计及其在企业信息化中的应用[J].计算机集成制造系统,2008,14 (1):96-101.]
[12]ISO/IEC27001,Information technology-security techniques-information security management systems requirements[S].2005.
[13]CHOI K,LEE D,KIM J.A study on the optimal model for information security management level [C].International Conference on Information Science and Security,2008:238-244.
[14]ZHAO Wen.Research on information assurance metrics and comprehensive evaluation modern evaluation methods and case studies[D].Chengdu:Math Department of Sichuan University,2006(in Chinese).[赵文.信息安全保障度量及综合评价研究 [D].成都:四川大学数学学院,2006.]
[15]DU Dong,PANG Qinghua,WU Yan.Modern evaluation methods and case studies[M].Beijing:Tsinghua University Press,2008(in Chinese).[杜栋,庞庆华,吴炎.现代综合评价方法与案例精选 [M].北京:清华大学出版社,2008.]