基于技術(shù)債務(wù)度量的安全評(píng)估方法的研究.pdf

1、對(duì)于身處信息時(shí)代的企業(yè)而言，完善的信息系統(tǒng)已經(jīng)成為賴以生存的關(guān)鍵。每個(gè)企業(yè)都依賴于多樣的軟件系統(tǒng)和服務(wù)來(lái)加強(qiáng)管理，適應(yīng)市場(chǎng)以及增加競(jìng)爭(zhēng)力。由于互聯(lián)網(wǎng)的開(kāi)放性以及其他內(nèi)外部因素，信息系統(tǒng)會(huì)面臨各種各樣的安全威脅，例如木馬、病毒的傳播以及對(duì)企業(yè)內(nèi)部信息的惡意盜取和修改等等。而信息系統(tǒng)若遭到破壞，會(huì)對(duì)企業(yè)產(chǎn)生致命的影響，不僅可能會(huì)帶來(lái)直接的經(jīng)濟(jì)損失，還可能會(huì)影響企業(yè)的聲譽(yù)，以至于其在市場(chǎng)中喪失競(jìng)爭(zhēng)優(yōu)勢(shì)。因此，如何有效保護(hù)信息系統(tǒng)的安全一直是研

2、究人員關(guān)注的問(wèn)題。然而，無(wú)論是適度安全的準(zhǔn)則還是企業(yè)追求利潤(rùn)最大化的目標(biāo)，都決定了企業(yè)在安全方面的預(yù)算必須限制在一定范圍內(nèi)。而當(dāng)預(yù)算有限時(shí)，如何選擇合適的安全技術(shù)來(lái)保護(hù)系統(tǒng)安全，是安全管理員與系統(tǒng)架構(gòu)師經(jīng)常面臨的問(wèn)題。
　　已有的信息安全決策方法主要從技術(shù)角度制定安全方案，而沒(méi)有考慮到安全解決方案的成本和收益。因此，公司決策層對(duì)信息安全方面的投資優(yōu)劣很難做出直觀的判斷，這往往會(huì)導(dǎo)致系統(tǒng)安全措施配置不足或過(guò)度。技術(shù)債務(wù)這一術(shù)語(yǔ)用于比

3、喻一個(gè)軟件或系統(tǒng)為了滿足短期要求（如軟件發(fā)布計(jì)劃、預(yù)算等）而在軟件或解決方案的質(zhì)量上做出權(quán)衡所導(dǎo)致的后果。使用技術(shù)債務(wù)對(duì)各種安全解決方案進(jìn)行度量，可以將安全策略的成本和收益從專業(yè)參數(shù)轉(zhuǎn)換為直觀的貨幣價(jià)值表示，從而使得公司決策者能夠使用傳統(tǒng)的經(jīng)濟(jì)學(xué)理論對(duì)安全解決方案進(jìn)行管理和分析。
　　本文在研究了現(xiàn)有的信息安全風(fēng)險(xiǎn)評(píng)估以及決策方法的基礎(chǔ)上，將現(xiàn)有的一個(gè)成本-收益方法——安全屬性評(píng)價(jià)方法(Security Attribute Eva

4、luation Method，SAEM)——進(jìn)行擴(kuò)展，結(jié)合技術(shù)債務(wù)的概念提出了一套成本-收益方法，用來(lái)評(píng)估不同的安全解決方案所造成的技術(shù)債務(wù)，以協(xié)助安全管理員和公司決策者根據(jù)需求做出恰當(dāng)?shù)男畔踩珱Q策，并對(duì)技術(shù)債務(wù)進(jìn)行管理。本方法利用技術(shù)債務(wù)的概念將安全決策的成本和收益轉(zhuǎn)化為貨幣單位進(jìn)行度量，使得決策更加科學(xué)全面。針對(duì)某教育機(jī)構(gòu)的案例研究表明，相較于其他方法而言，本方法不僅可以使決策者對(duì)不同安全部署方案的短期和長(zhǎng)期收益有一個(gè)直觀的理解和