基于技術(shù)債務(wù)度量的安全評估方法的研究.pdf

1、對于身處信息時代的企業(yè)而言，完善的信息系統(tǒng)已經(jīng)成為賴以生存的關(guān)鍵。每個企業(yè)都依賴于多樣的軟件系統(tǒng)和服務(wù)來加強管理，適應(yīng)市場以及增加競爭力。由于互聯(lián)網(wǎng)的開放性以及其他內(nèi)外部因素，信息系統(tǒng)會面臨各種各樣的安全威脅，例如木馬、病毒的傳播以及對企業(yè)內(nèi)部信息的惡意盜取和修改等等。而信息系統(tǒng)若遭到破壞，會對企業(yè)產(chǎn)生致命的影響，不僅可能會帶來直接的經(jīng)濟損失，還可能會影響企業(yè)的聲譽，以至于其在市場中喪失競爭優(yōu)勢。因此，如何有效保護信息系統(tǒng)的安全一直是研

2、究人員關(guān)注的問題。然而，無論是適度安全的準則還是企業(yè)追求利潤最大化的目標，都決定了企業(yè)在安全方面的預(yù)算必須限制在一定范圍內(nèi)。而當預(yù)算有限時，如何選擇合適的安全技術(shù)來保護系統(tǒng)安全，是安全管理員與系統(tǒng)架構(gòu)師經(jīng)常面臨的問題。
　　已有的信息安全決策方法主要從技術(shù)角度制定安全方案，而沒有考慮到安全解決方案的成本和收益。因此，公司決策層對信息安全方面的投資優(yōu)劣很難做出直觀的判斷，這往往會導(dǎo)致系統(tǒng)安全措施配置不足或過度。技術(shù)債務(wù)這一術(shù)語用于比

3、喻一個軟件或系統(tǒng)為了滿足短期要求（如軟件發(fā)布計劃、預(yù)算等）而在軟件或解決方案的質(zhì)量上做出權(quán)衡所導(dǎo)致的后果。使用技術(shù)債務(wù)對各種安全解決方案進行度量，可以將安全策略的成本和收益從專業(yè)參數(shù)轉(zhuǎn)換為直觀的貨幣價值表示，從而使得公司決策者能夠使用傳統(tǒng)的經(jīng)濟學(xué)理論對安全解決方案進行管理和分析。
　　本文在研究了現(xiàn)有的信息安全風險評估以及決策方法的基礎(chǔ)上，將現(xiàn)有的一個成本-收益方法——安全屬性評價方法(Security Attribute Eva

4、luation Method，SAEM)——進行擴展，結(jié)合技術(shù)債務(wù)的概念提出了一套成本-收益方法，用來評估不同的安全解決方案所造成的技術(shù)債務(wù)，以協(xié)助安全管理員和公司決策者根據(jù)需求做出恰當?shù)男畔踩珱Q策，并對技術(shù)債務(wù)進行管理。本方法利用技術(shù)債務(wù)的概念將安全決策的成本和收益轉(zhuǎn)化為貨幣單位進行度量，使得決策更加科學(xué)全面。針對某教育機構(gòu)的案例研究表明，相較于其他方法而言，本方法不僅可以使決策者對不同安全部署方案的短期和長期收益有一個直觀的理解和