CN111666571A

CN111666571A - 一种信息安全控制措施的效能分析方法

Info

Publication number: CN111666571A
Application number: CN202010481723.3A
Authority: CN
Inventors: 孙哲; 胡驰; 赵菼菼; 周昱瑶; 杨万生; 马思友; 邓霏
Original assignee: COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Current assignee: COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority date: 2020-05-29
Filing date: 2020-05-29
Publication date: 2020-09-15

Abstract

本发明公开了一种信息安全控制措施的效能分析方法，用于考查信息安全控制措施的落实情况。该方法基于信息安全控制措施的效能分析模型，考察信息安全工作实施过程中使用安全控制措施的效能。该模型包括，根据制定的信息安全控制目标，确定效能分析测量对象集合、测量指标集合、测量方法集合和测量目标值集合；使用测量方法对测量对象的测量指标进行分别测量，记录并计算测量结果、符合性参数和有效性参数；基于符合性参数、有效性参数和措施符合性阈值，通过效能分析模型考察信息安全控制措施的效能。

Description

一种信息安全控制措施的效能分析方法

技术领域

本发明涉及计算机领域，具体涉及一种信息安全控制措施的效能分析方法。

背景技术

随着信息技术的飞速发展，信息安全问题也层出不穷，给信息安全保障能力带来了极大的挑战。如何建设体系化的信息安全管理体系，以及如何评估其采取的相关措施是否有效，是企业在信息化进程中所面临的巨大挑战。依赖于信息安全风险评估来建设信息安全管理框架，开展全面且持续改进的信息安全工作，已成为业界的主流做法。对安全控制措施进行有效性测量和分析，是考察信息安全工作是否达到既定目标的重要手段。

有很多组织在研究和制订相关的信息安全标准，ISO/IEC是信息安全领域最具权威的国际标准化组织。其发布了若干标准，其中ISO27000是建立和实施信息安全管理体系的可靠依据。IEC27000的内容是对该系列标准的详细情况进行说明，包括概况、状态和关系，同时规定了该系列标准的相关术语。而ISO 27001是此系列的主标准，该标准建立风险评估识别信息安全控制措施点，采用PDCA(即Plan Do Check Action)的过程控制方法，在PDCA过程控制中，组织可以通过控制措施点，选择和使用适合的法规和制度，来管理生产运行过程中影响信息安全的风险和因素。

当前，对信息安全管理开展的大多数研究工作，都是基于ISO27001的信息安全管理体系，提出一套适合组织自身业务特点的信息安全管理体系建设方法。然而，关于如何考察信息安全控制措施的落实情况或者效能分析的内容描述较少。而且已有的大多基于证据理论、灰色层次模型等技术来建立对应的信息安全管理度量的数学模型，用于计算相应的风险值，其实施过程较为复杂，缺乏扩展性，难以进行具体操作。

发明内容

一种信息安全控制措施的效能分析方法，是基于信息安全控制目标构建安全控制措施的测量指标，对测量指标及其测量结果进行符合性和有效性分析，从而纠正和改进信息安全控制措施，该方法可以削弱主观因素的影响、提高效能分析结果实用性。该方法的特征主要包括以下步骤：

(1)确定测量对象O_i、效能分析指标I_i和测量目标值T_i，并记录在数据库中：基于PDCA过程模型，结合组织开展信息安全实施过程，信息安全控制措施效能分析包括符合性检查和有效性测量。首先，确定测量对象O_i、效能分析指标I_i和测量目标值T_i，并记录在数据库中；然后，根据不同的效能分析指标I_i，使用对应的方法F_i进行测量，并构建测量结果R_i；其次，基于测量结果R_i与测量目标值T_i进行测量结果与目标值分析得到符合性检查结果c_i；再次，基于符合性检查结果c_i进行年度间测量结果分析，得到有效性测量结果u_i，j；最后，根据业务特点给出阈值φ来表示目标的达到率，并基于符合性u_i，j和有效性结果c_i，1，判断得出安全控制措施效能分析结果E_i，j，评估安全控制措施的效能。

(2)构建安全控制措施的效能分析指标I_i：组织制定的信息安全控制目标中，明确了控制对象及其控制措施所要达到的期望。在效能分析过程中，控制对象即为测量对象O。测量对象包括信息安全控制的过程、规程、项目和相关资源。依据信息安全需求，将某一个测量对象O_i的属性进行抽象量化并转换为测量指标I_i，将该对象的安全需求期望值转化为测量目标值T_i。按照具体的测量方法F_i，可得出测量结果R_i，式(1)表示了两者之间的映射关系。

F_i(O_i，I_i)＝R_i (1)

需要注意的是，由于测量对象O_i的本身特性，其目标值T_i设定以及对应的测量方法F_i也会不同，后面具体实施部分会对几种主要的目标值设定和方法设定进行详细描述。

(3)检查信息安全控制措施的符合性c_i：因有些对象O_i可分解出多个测量指标，该对象的第k个测量指标记为

则对应的测量目标值为

对应的测量结果值为

为了检查某一项信息安全工作的符合性c_i，需要将该对象的所有测量结果

与目标值

进行对比分析，可用式(2)来考察信息安全措施的整体偏离程度，则0≤c_i≤1。当

时，表示信息安全控制措施未达到期望目标，需要进行措施改进来减弱与目标的偏离程度，c_i值越小，则改进的执行程度越高。当

时，表示信息安全控制措施已经达到甚至超过期望目标。此时，c_i值越小，安全控制措施的执行程度与目标偏离程度越大。

(4)测量信息安全控制措施的有效性u_i，j：为了便于不同年度的测量结果的比较，第i个对象的第k个测量指标

在第j年的测量结果记为

符合性记为c_i，j。为了考察某一项信息安全工作的在第j年的有效性u_i，j，需要分析该年度符合性c_i，j与起始年度符合性c_i，1的变化趋势，在测量目标值

不变的条件下，可用式(3)来考察信息安全措施的有效程度。当u_i，j＜0时，表示第i项信息安全控制措施在第j年的实施是无效的，削弱了信息安全控制目标的达成；当u_i，j＞0时，表示第i项信息安全控制措施在第j年是有效的，能够更好地促进安全控制目标的达成。

(5)安全控制措施效能分析结果E_i，j：为方便考察安全控制措施的有效性，组织根据业务特点给出阈值φ来表示目标的达到率。综合符合性c_i和有效性u_i，j的取值，如式(4)所示，我们可以分析得出信息安全管理框架中第i项信息安全控制措施在第j年的效能结果E_i，j。

附图说明

图1为本发明实施例中信息安全控制措施效能分析实施流程图

图2为信息安全管理体系实施流程图

具体实施方式

本发明引入一种信息安全控制措施效能分析模型，通过符合性参数、有效性参数和业务阈值评估安全控制措施的执行效果，最终用来纠正或加强安全控制措施的落实。本发明提出方法的流程图如图1所示，本部分也将举例说明具体实施方式。

在应用举例前，先对几种主要的目标值设定和对应的方法设定进行描述。目标值主要有二元数值类型、连续数值类型和离散数值类型三类。

1、二元数值类型是指目标值只能在唯一两个值中取一个，比如某项安全检查操作只有执行和未执行两种，执行为1，未执行为0。此类一般目标值T设定为1，对应方法F定义为：执行R为1，未执行R为0。

2、连续数值类型是指数值是一个可连续的，比如为安全检查程序分配内存空间，内存太小导致清理策略调用频繁，影响安全检查效率，而内存太大，出现空间浪费。此类一般目标值T设定为一个最优内存值，对应的方法F就是实际测量。

3、离散数值类型是指数据是离散的，不连贯的，比如某项安全检查的次数，而且检查次数越多，效果越好。对于此类情况，一般对目标值T进行抽象，比如目标值为1，对应测量方法F定义为

n为评审次数，可见测量次数越多，结果R越趋近于目标值。

下面以某组织的信息安全工作为效能分析对象来具体阐述本发明方法的有效性和可行性。该组织的信息安全控制目标及其控制措施是依据组织的使命、业务特点来制定，并围绕此来开展信息安全工作。如图2所示，该组织完成信息安全管理体系管理架构设计和组织建设后，结合信息安全业务需求实施基于风险的PDCA过程管理。

(1)构建安全控制措施的效能分析指标

组织的信息安全工作已持续开展了5年。“确保员工能够有效知晓信息安全方针、政策内容”是该组织的一个信息安全目标，定义为O₁。为落实该目标，信息安全工作管理部门每年都采用抽查方式询问员工的知晓情况且知晓率目标是100％，并要求评审测试次数越多越好。目标落实达到率不得低于60％。以此类推可得出整个组织的测量指标体系，在此给出一个测量指标样例，如表1所示。

表1信息安全方针、策略评估O₁

采用本文给出的方法，分析得出两个测量指标：信息安全方针、策略员工知晓度

信息安全方针、策略评审次数

从表1可得，测量目标值T₁＝(100％，1)因目标落实达到率不低于60％，则φ＝60％。

(2)检查安全控制措施的符合性c_1，j

根据表1所给的测量方法，不妨给出第1年到第5年的测量结果分别为：

R₂＝(70％，0)、R₃＝(85％，0)、

针对I₁，按照本方法，计算得出该信息安全控制措施在第1年到第5年的符合性结果分别为：c_1，1＝0.69、c_1，2＝0.35、c_1，3＝0.43、c_1，4＝0.68、c_1，5＝0.79。

(3)测量信息安全控制措施的有效性u_1，j

计算可得u_1，2＜0、u_1，3＜0、u_1，4＜0、u_1，5＞0。

(4)分析每年度的安全控制措施的效能E_1，j

第二年度，因c_1，2＝0.35＜φ，u_1，2＜0且

由公式(4)则可得E_1，2＝措施无效，实施不充分；

第三年度，因c_1，3＝0.43＜φ，u_1，3＜0且

由公式(4)则可得E_1，3＝措施仍然无效，实施不充分；

第四年度，因c_1，4＝0.68＞φ，u_1，4＜0且

由公式(4)则可得E_1，4＝措施仍然无效，实施充分；

第五年度，因c_1，5＝0.79＞φ，u_1，5＞0且

由公式(4)则可得E_1，5＝措施有效，实施充分。

通过实践分析，安全控制措施的符合性、有效性的计算结果与观察情况均一致，本发明给出的方法是可行，也是有效的。

Claims

1.一种信息安全控制措施的效能分析方法，如图1所示，其特征在于：

步骤1：确定测量对象O_i，效能分析指标I_i和测量目标值T_i，并记录在数据库中；

步骤2：根据不同的效能分析指标I_i，使用对应的方法F_i进行测量，并构建测量结果R_i；

步骤3：基于测量结果R_i与测量目标值T_i进行测量结果与目标值分析得到符合性检查结果c_i；

步骤4：使用c_i，j表示测量目标O_i在第j年的符合性检查结果，收集每年的符合性检查结果，进行年度间测量结果分析，得到有效性测量结果u_ij；

步骤5：根据业务特点给出阈值φ来表示目标的达到率，并基于符合性u_ij和有效性结果c_i，1，判断得出安全控制措施效能分析结果E_i，j，评估安全控制措施的有效性。

2.根据权利要求1所述的构建测量结果R_i，其特征在于：

将某一个测量对象O_i的属性进行抽象量化并转换为效能分析指标I_i，将该对象的安全需求期望值转化为测量目标值T_i。按照具体的测量方法F_i，可得出测量结果R_i，式(1)表示了两者之间的映射关系。

F_i(O_i，I_i)＝R_i (1)

3.如权利要求1中所述的检查信息安全控制措施的符合性参数c_i，其特征在于：

对象O_i可分解出多个测量指标，该对象的第k个测量指标记为

对应的测量目标值为

对应的测量结果值为

获取某一项信息安全工作的符合性参数c_i，需要将该对象的所有测量结果

与目标值

进行对比分析，可用式(2)来计算符合性参数。符合性参数c_i满足0≤c_i≤1，c_i越大符合性越差，反之相反。

4.如权利要求1中所述的测量信息安全控制措施的有效性参数u_ij，其特征在于：

约定用c_i，j表示第i个对象在j年的符合性参数，某一项信息安全工作的在第j年的有效性参数u_i，j，需要分析该年度符合性参数c_i，j与起始年度符合性参数c_i，1的变化趋势，用式(3)来考察信息安全措施的有效程度。当u_i，j＜0时，表示第i项信息安全控制措施在第j年的效能有所减弱，需要进行改进控制措施，加强控制措施的实施或修订控制目标。当u_i，j＞0时，表示第i项信息安全控制措施在第j年对信息安全控制目标是有效的。

5.如权利要求1中所述的安全控制措施效能分析结果E_i，j，其特征在于：

组织根据业务特点给出措施符合性阈值φ来表示目标的达到率，阈值满足条件0＜φ＜1。综合符合性参数c_i，j和有效性参数u_i，j的取值，如式(4)所示，分析得出信息安全管理框架中第i项信息安全控制措施在第j年的效能结果E_i，j。