信息安全管理論文利用EA建模加強機構(gòu)信息安全風(fēng)險管理.doc

信息安全管理論文：利用EA建模加強機構(gòu)信息安全風(fēng)險管理摘要:當(dāng)前很多機構(gòu)信息系統(tǒng)都普遍存在保護措施與其保護信息價值不匹配的情況,導(dǎo)致過度保護或保護不足。這種情況主要是源于安全目標(biāo)與機構(gòu)業(yè)務(wù)目標(biāo)不完全符合、安全需求獲取不規(guī)范、難以判斷風(fēng)險管理中是否應(yīng)用了合適的安全控制以及成本是否平衡。對此,該文提出了在信息系統(tǒng)開發(fā)生命周期(information system develop-ment life cycle, SDLC)內(nèi)利用機構(gòu)體系結(jié)構(gòu)(enterprise architecture, EA)這一管理工具進(jìn)行安全目標(biāo)分析、安全需求獲取、風(fēng)險管理等,開發(fā)符合機構(gòu)管理目標(biāo)的安全信息系統(tǒng),以加強機構(gòu)的信息安全和風(fēng)險管理。利用EA模型的方法能提供一種機構(gòu)層面的整體性安全描述和分析結(jié)果,在整個SDLC內(nèi)為信息系統(tǒng)的安全開發(fā)和管理提供指導(dǎo)和依據(jù),特別是在風(fēng)險管理中,為進(jìn)行安全控制選擇和成本平衡的決策提供了一個有效的判斷機制與依據(jù)。關(guān)鍵詞:信息安全;機構(gòu)體系結(jié)構(gòu);信息系統(tǒng)開發(fā)生命周期;風(fēng)險管理當(dāng)前在信息安全領(lǐng)域內(nèi)普遍存在著信息系統(tǒng)的安全目標(biāo)與機構(gòu)業(yè)務(wù)目標(biāo)不完全符合、安全需求獲取不規(guī)范和沒有足夠依據(jù)對風(fēng)險管理中安全控制是否得到合適的應(yīng)用與成本平衡進(jìn)行判斷等問題亟需解決,簡而言之如下:1)安全目標(biāo)分析偏重于技術(shù)和理論性,從業(yè)務(wù)2074清華大學(xué)學(xué)報(自然科學(xué)版) 2009,49(S2)管理角度的分析考慮較少。2)在獲取安全需求時,難以全面規(guī)范地獲取所有利益相關(guān)者的安全需求。3)在進(jìn)行信息系統(tǒng)安全控制實施時,較多地考慮信息安全技術(shù)的簡單組合、軟件漏洞分析和威脅建模等技術(shù)性問題,對于信息系統(tǒng)的安全程度是否符合機構(gòu)的業(yè)務(wù)目標(biāo)較少考慮,由此造成安全控制手段過度保護或者保護不足的情況。4)進(jìn)行安全需求分類時,管理人員和系統(tǒng)開發(fā)人員就信息系統(tǒng)的安全實現(xiàn)進(jìn)行溝通缺少規(guī)范化的模型和溝通工具,雙方難以就機構(gòu)真正的安全需求達(dá)成共識。5)當(dāng)前僅有部分針對政府采購的信息系統(tǒng)安全開發(fā)過程的比較片面的指南,缺少相關(guān)的系統(tǒng)性標(biāo)準(zhǔn)。出現(xiàn)這些問題,主要是因為當(dāng)前的信息安全的定義和機構(gòu)安全目標(biāo)之間存在一定的差異。根據(jù)國際安全標(biāo)準(zhǔn)ISO/IEC 17799的定義,信息安全的基本屬性被表述為CIA(保密性、完整性、可用性),大多數(shù)信息系統(tǒng)進(jìn)行安全開發(fā)和管理時也都遵循著這三個基本安全屬性。但在實際情況中,信息系統(tǒng)特別是機構(gòu)級信息系統(tǒng)是用于處理各種業(yè)務(wù),實現(xiàn)機構(gòu)目標(biāo)。因此對于機構(gòu)管理者而言,機構(gòu)信息系統(tǒng)要滿足機構(gòu)自身從管理、業(yè)務(wù)等角度的各種考慮,安全的信息系統(tǒng)要保證機構(gòu)業(yè)務(wù)的正常運行,減少機構(gòu)所可能面臨的風(fēng)險和損失,保護機構(gòu)的利益。這是機構(gòu)的安全目標(biāo),與機構(gòu)的具體業(yè)務(wù)緊密關(guān)聯(lián),是一個涉及到管理、業(yè)務(wù)和技術(shù)等因素的綜合考慮的結(jié)果。以網(wǎng)上銀行系統(tǒng)為例,如果銀行在系統(tǒng)中采取了最新最優(yōu)秀的加密技術(shù),滿足了信息安全的三項基本屬性。但該技術(shù)占據(jù)了過多的系統(tǒng)資源,導(dǎo)致系統(tǒng)響應(yīng)速度降低,使得銀行在單位時間內(nèi)處理業(yè)務(wù)的能力下降,影響了銀行的利潤收益。這一結(jié)果,盡管滿足了信息安全基本屬性,卻與銀行的業(yè)務(wù)目標(biāo)不完全符合,則對于銀行管理者而言是不可接受的。此外,隨著越來越多的業(yè)務(wù)需求,機構(gòu)會決定是否在信息安全方面進(jìn)行投資,而整個決策判斷過程會涉及到相當(dāng)多的利益相關(guān)者,例如機構(gòu)的管理人員、財務(wù)人員、技術(shù)人員和信息安全專家等等。很多利益相關(guān)者一般不一定是安全專家或技術(shù)專家。如何在這些具有不同專業(yè)背景、來自不同崗位和部門、有著不同需求的人員之間進(jìn)行溝通,也需要有一個共同的溝通工具,使得他們能對機構(gòu)所要實現(xiàn)的安全目標(biāo)達(dá)成共識,并使每一方的需求都能正確清晰地被其他人理解。正因為技術(shù)人員與管理人員之間缺少這種溝通工具,才會導(dǎo)致信息系統(tǒng)安全目標(biāo)與機構(gòu)業(yè)務(wù)目標(biāo)不完全符合,以及在信息系統(tǒng)開發(fā)中設(shè)計者多是從技術(shù)視角進(jìn)行分析,缺少業(yè)務(wù)角度的考慮,也缺少從機構(gòu)級系統(tǒng)層面的總體考慮等結(jié)果。例如,通用準(zhǔn)則(common criteria, CC)1 3就是只針對某一單一的產(chǎn)品或者部件所進(jìn)行的安全功能需求分析和安全保障分析。NIST SP800-644中的安全考慮僅僅是一種源于經(jīng)驗的、只限于人員安排和角色職責(zé)描述,并非是從組織層面的考慮;對于為什么要引入這些安全考慮卻并沒詳細(xì)說明,沒有一個可依據(jù)的標(biāo)準(zhǔn)和框架。因此,在信息安全管理中,需要一個工具來進(jìn)行機構(gòu)層面的架構(gòu)和建模,通過模型來實現(xiàn)信息安全相關(guān)的各方面考慮,使之得以進(jìn)行機構(gòu)的信息安全管理。本文利用了機構(gòu)體系結(jié)構(gòu)(enterprise archi-tecture, EA)來解決這一系列問題。EA是一種在信息管理領(lǐng)域受到廣泛重視的概念,也是一種用于幫助機構(gòu)理解其自身的構(gòu)造及運作方式的管理工具。EA一般用于機構(gòu)應(yīng)對日益增長的復(fù)雜性,優(yōu)化機構(gòu)所擁有的技術(shù)資源。從安全角度考慮, EA的建立有助機構(gòu)深入地了解和認(rèn)識機構(gòu)內(nèi)部的每一個子系統(tǒng)、子系統(tǒng)之間乃至與其他系統(tǒng)的交互和安全影響5。由于EA是一種比較宏觀的管理工具,因此在應(yīng)用于信息安全領(lǐng)域時需要在一個框架中采取各種措施來具體實現(xiàn)。而這個框架就是信息系統(tǒng)開發(fā)生命周期(information system development life cycle,SDLC)。信息系統(tǒng)開發(fā)生命周期是一個從初始階段直至最終處理階段對信息系統(tǒng)進(jìn)行全面系統(tǒng)管理的框架6。安全目標(biāo)分析、安全需求獲取與分類是SDLC的第一階段“初始階段”的重要步驟。風(fēng)險管理也是信息系統(tǒng)生命周期里的重要內(nèi)容,風(fēng)險管理過程中的各項步驟分散在SDLC的各階段之中。風(fēng)險管理在SDLC中是一個迭代反復(fù)的過程,在SDLC中每個階段都會運行風(fēng)險管理中的某一步驟。要進(jìn)行有效的風(fēng)險管理,也必須將其集成到SDLC之中7。本文將EA用于SDLC中,以模型驅(qū)動的方法,以稅務(wù)信息系統(tǒng)為例,在各階段進(jìn)行安全分析和考慮,特別是在前期的安全目標(biāo)分析、安全需求獲取和林國恩,等:利用EA建模加強機構(gòu)信息安全風(fēng)險管理2075貫穿于整個SDLC的風(fēng)險管理過程等重要環(huán)節(jié)。利用EA這一管理工具,提供一種機構(gòu)層面的整體性安全描述和分析結(jié)果,在整個SDLC內(nèi)為信息系統(tǒng)的安全開發(fā)和管理提供指導(dǎo)和依據(jù),特別是在風(fēng)險管理中,為進(jìn)行安全控制選擇和成本平衡的決策提供了一個有效的判斷機制與依據(jù)。需要說明的是, EA是關(guān)注機構(gòu)層的宏觀內(nèi)容,并不會取代現(xiàn)有的SDLC和CC等方法, EA可以視為彌補安全的信息系統(tǒng)設(shè)計時從業(yè)務(wù)角度出發(fā)的補充。因此在SDLC中使用EA時,也需與其他方法一起配合使用。本文的主要目的是介紹EA在信息安全管理,特別是SDLC前期的安全目標(biāo)分析、安全需求獲取和風(fēng)險管理中的應(yīng)用。1 背景與相關(guān)研究為解決安全目標(biāo)分析和安全需求分類等問題,美國國家標(biāo)準(zhǔn)技術(shù)研究院(National Institute ofStandards and Technology, NIST)在出版的FIPS-199“聯(lián)邦政府信息系統(tǒng)安全分類標(biāo)準(zhǔn)”和NISTSP800-60中介紹了對美國聯(lián)邦政府信息系統(tǒng)進(jìn)行安全需求分類和技術(shù)性描述的標(biāo)準(zhǔn),即根據(jù)安全屬性和安全影響來描述安全需要,通過這一方法將管理目標(biāo)“轉(zhuǎn)化”為可實際操作的技術(shù)性要求。在FIPS-199安全需求分類方法里,安全目標(biāo)的關(guān)鍵就是實現(xiàn)安全的三大要素(CIA),通過對CIA的每種安全屬性進(jìn)行等級劃分來對安全需求進(jìn)行分類8。在風(fēng)險管理方面,為解決有效地評估信息安全投資問題, Lawrence D. Bodin等人在2005年提出用“Analytic Hierarchy Processing”方法解決,此后又于2008年進(jìn)一步提出“已覺察綜合風(fēng)險(per-ceived composite risk, PCR)”的方法進(jìn)行風(fēng)險評估,以此來為決策者提供如何加強機構(gòu)信息系統(tǒng)安全水平的判斷依據(jù)9 10。在這兩篇文獻(xiàn)中,作者都假設(shè)是由首席信息安全官(CISO)來進(jìn)行所有信息安全投資評估工作,然后獲得首席財務(wù)官(CFO)的資金批準(zhǔn)和支持。但是,僅僅是由CISO負(fù)責(zé),很難將所有風(fēng)險中所涉損失完全統(tǒng)計并得出結(jié)果。這也就意味著,在風(fēng)險管理過程中,需要成立一個由各所涉部門管理人員組成的信息安全投資委員會進(jìn)行綜合評估和管理,由此才能充分地將與風(fēng)險管理和信息安全投資的相關(guān)因素考慮全面,并做出正確決策。信息安全管理和風(fēng)險管理過程所涉因素較多,但大部分都關(guān)注于技術(shù)層面,缺少業(yè)務(wù)管理方面考慮。Chang等人于2006年提出機構(gòu)中業(yè)務(wù)管理人員的信息技術(shù)水平、不確定的環(huán)境、所在行業(yè)類型、機構(gòu)規(guī)模大小等因素都對信息安全管理產(chǎn)生重要影響,應(yīng)把以上因素納入到信息安全管理之中11。Chang等人試圖從機構(gòu)組織的視角進(jìn)行系統(tǒng)性的研究,并對實施ISO/IEC 17799中信息安全管理的組織因素如何產(chǎn)生影響進(jìn)行建模分析。他們對業(yè)務(wù)管理人員的信息技術(shù)水平、不確定的環(huán)境、所在行業(yè)類型、機構(gòu)規(guī)模大小這4個因素進(jìn)行建模。然而,現(xiàn)有研究無法證明他們所針對的這4個因素對信息安全管理的業(yè)務(wù)管理影響是否已考慮全面。這些因素對信息系統(tǒng)的安全目標(biāo)分析和安全需求分類也有作用,但是這些因素缺少一個系統(tǒng)的分類和模型。因此本文要用EA這個管理工具,將來自于各部門、各種利益相關(guān)者的業(yè)務(wù)管理性因素都納入到框架之中,同時,這個框架本身也是建立在對信息系統(tǒng)清晰了解的基礎(chǔ)之上的。目前EA作為一種在機構(gòu)級信息系統(tǒng)管理和改進(jìn)領(lǐng)域中應(yīng)用較廣的工具,也逐步被用于信息安全管理領(lǐng)域。2006年Ruth Breu等人12提出了利用UML建模的方法將EA用于風(fēng)險管理過程中。這種方法是基于元模型定義了風(fēng)險管理過程中所有必要的基本概念和相互關(guān)系。他們將風(fēng)險管理作為考慮重點,希望通過EA的不同層次來從業(yè)務(wù)視角分析風(fēng)險的可能性、潛在威脅和影響等因素。2008年Ruth Breu等人繼續(xù)這方面的研究,并細(xì)化為利用EA對機構(gòu)信息系統(tǒng)的安全性進(jìn)行量化評估13,以及用于對醫(yī)療衛(wèi)生信息系統(tǒng)進(jìn)行安全分析14。在研究過程中,本文在一定程度上借鑒了Ruth Breu的EA元模型,將EA用于SDLC,同時,也對RuthBreu所提出的元模型驅(qū)動的方法做出了一定改進(jìn)。在風(fēng)險評估和威脅分類方向, 2007年WadeH.Baker等人也提出舊有的威脅分類方式與財務(wù)損失之間并不存在直接聯(lián)系,很難為安全評估和安全投資做出有力的數(shù)據(jù)支持15。因此,他們提出利用事件鏈/業(yè)務(wù)流程將威脅和財務(wù)損失聯(lián)系起來,從而進(jìn)行有效的威脅分類與評估。在研究工作中,本文也參考了這一方法,在SDLC的漏洞分析、威脅建模和風(fēng)險評估等環(huán)節(jié)中,以業(yè)務(wù)流程為研究對象進(jìn)行安全分析和考慮。2EA視角與信息安全元模型正如第1章所述,為解決安全目標(biāo)分析、安全需求分類和風(fēng)險管理過程中的相關(guān)問題,目前已有多位研究者提出各種方法,但都有其優(yōu)劣勢所在。為了較好地解決這些問題,本文在研究中采用了將EA應(yīng)用于信息系統(tǒng)安全開發(fā)生命周期和風(fēng)險管理過程的這一研究思路。選擇EA,主要基于以下幾點考慮:1) EA是目前一種廣泛應(yīng)用于機構(gòu)信息系統(tǒng)革新和改進(jìn)的方法,也是機構(gòu)設(shè)計信息系統(tǒng)的指南,同時也是對機構(gòu)內(nèi)部架構(gòu)進(jìn)行梳理的一種工具。在很多機構(gòu),實現(xiàn)EA架構(gòu)的過程是機構(gòu)內(nèi)部信息系統(tǒng)的重構(gòu)過程,由首席信息官(chief information of-ficer, CIO)來負(fù)責(zé),這一實際設(shè)計有助于考慮信息安全的技術(shù)與管理問題,以及業(yè)務(wù)與安全的整合。通過這一方法,能對機構(gòu)所需的信息系統(tǒng)及改進(jìn)過程有清晰的了解,有助于構(gòu)建和開發(fā)出符合機構(gòu)發(fā)展目標(biāo)和業(yè)務(wù)要求的信息系統(tǒng)。EA的多重視角能從機構(gòu)層面認(rèn)識信息系統(tǒng)安全,使得對信息系統(tǒng)有整體性認(rèn)識16。2) EA有獨特的框架,具有綜合了業(yè)務(wù)角度和技術(shù)角度的4種層次架構(gòu),可作為溝通工具,將機構(gòu)業(yè)務(wù)目標(biāo)轉(zhuǎn)化為在安全方面的要求,并清晰地用技術(shù)人員能夠理解的框架和模型語言表達(dá)出來,從而建立起管理人員與技術(shù)人員之間溝通的橋梁,以便于管理人員和技術(shù)人員達(dá)成對機構(gòu)的安全目標(biāo)和安全需求的共識。3)在風(fēng)險管理過程中,安全控制的應(yīng)用和安全技術(shù)的選擇是一個很重要的問題。而安全控制是否有效與安全需求分類有很大關(guān)聯(lián)。利用EA的4個視角,就能把安全需求從另一個角度來進(jìn)行分類,而不僅局限于CIA安全屬性。4)目前已有很多機構(gòu)采用EA進(jìn)行機構(gòu)級信息系統(tǒng)更新和改進(jìn)。信息系統(tǒng)的安全實現(xiàn),不僅僅是要符合統(tǒng)一的安全標(biāo)準(zhǔn),采用規(guī)范的安全技術(shù),還需要在安全架構(gòu)設(shè)計上實現(xiàn)標(biāo)準(zhǔn)化。因此在進(jìn)行信息系統(tǒng)開發(fā)時也應(yīng)利用EA這一管理工具,便于建立起安全規(guī)范統(tǒng)一的信息系統(tǒng)。利用EA建模的模型,還能對機構(gòu)和信息系統(tǒng)進(jìn)行持續(xù)性監(jiān)控,實現(xiàn)信息系統(tǒng)安全的可持續(xù)性。EA所包括內(nèi)容非常多,但在研究中,本文主要是利用EA的4種視角或者架構(gòu)進(jìn)行分析和建模,EA的多種框架在研究中暫未涉及。2.1EA視角EA既是大型機構(gòu)進(jìn)行改革的一種系統(tǒng)性過程,也是管理工具, EA包含4層架構(gòu),這4層體系結(jié)構(gòu)也可視為對機構(gòu)信息化4種視角或者層次,具體如下5:1)業(yè)務(wù)體系結(jié)構(gòu)(business architecture):是對業(yè)務(wù)功能的架構(gòu)性描述,定義了機構(gòu)內(nèi)部所有業(yè)務(wù)系統(tǒng)的結(jié)構(gòu)和內(nèi)容,包括系統(tǒng)處理的信息、提供的服務(wù)功能和主要的業(yè)務(wù)流程。2)信息體系結(jié)構(gòu)(information architecture):是對通過數(shù)據(jù)模型實現(xiàn)信息功能的架構(gòu)性描述,定義了機構(gòu)內(nèi)部所需要和使用的信息結(jié)構(gòu)(包括相互依賴關(guān)系),涉及到機構(gòu)信息的結(jié)構(gòu)和用途。機構(gòu)的信息功能包括了機構(gòu)內(nèi)所有信息、信息流的確定、信息的分析處理、存儲、傳輸、記錄和控制等等。信息功能為業(yè)務(wù)功能的實現(xiàn)提供支持。根據(jù)機構(gòu)的戰(zhàn)略、戰(zhàn)術(shù)和業(yè)務(wù)方面的要求,機構(gòu)可對信息體系結(jié)構(gòu)加以調(diào)整。3)解決方案體系結(jié)構(gòu)(solution architecture):是對業(yè)務(wù)應(yīng)用系統(tǒng)的解決方案和功能的架構(gòu)性描述,是關(guān)于軟件系統(tǒng)、指導(dǎo)機構(gòu)的體系結(jié)構(gòu)類型的重要決策集合。它為業(yè)務(wù)功能的具體實現(xiàn)提供支持。4)信息技術(shù)體系結(jié)構(gòu)(information technologyarchitecture):是對信息技術(shù)的基礎(chǔ)設(shè)施和功能的架構(gòu)性描述,定義了整個信息系統(tǒng)中的技術(shù)環(huán)境和基礎(chǔ)結(jié)構(gòu)的平臺,包括了網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、存儲器、處理器、安全基礎(chǔ)建設(shè)、系統(tǒng)運維等技術(shù)模塊,也定義了用于支持解決方案架構(gòu)和信息架構(gòu)的所有技術(shù)環(huán)境。EA的總體體系框架把這4個結(jié)構(gòu)系統(tǒng)、有序地關(guān)聯(lián)在一起。通過這個體系框架,可以更清晰地把一個視角的考慮確定為另一個視角的需求。EA應(yīng)用于信息安全領(lǐng)域時,本文著重從EA體系框架的多層架構(gòu)/視角進(jìn)行分析和探討。2.2EA層次模型為更好地理解并應(yīng)用EA的4個層次以及之間的關(guān)聯(lián),對EA層次進(jìn)行建模。圖1顯示了EA元模型。在EA元模型中,對于每一層的相關(guān)概念及相互關(guān)系都做了說明。EA元模型是根據(jù)EA理論所建立的對于機構(gòu)4個層次不同視角的抽象架構(gòu)模型,分為業(yè)務(wù)、信息、解決方案和信息技術(shù)4個層次,4個層次彼此相互關(guān)聯(lián)12。利用EA元模型,可以提供給各種利益相關(guān)者不同的觀察認(rèn)識機構(gòu)的視角,對于機構(gòu)信息系統(tǒng)改進(jìn)有積極作用。例如,從業(yè)務(wù)視角,將從業(yè)務(wù)目標(biāo)、組織單元、人員角色、業(yè)務(wù)流程以及業(yè)務(wù)活動等概念解決方案對同一種技術(shù)的復(fù)用,對信息系統(tǒng)安全開發(fā)過程產(chǎn)生影響。模塊安全性測試的重要性將大為提高,后期集成后的安全性測試比重降低,新業(yè)務(wù)的安全性能也可提高。同時,每一個技術(shù)模塊的安全問題可能放大,變成很多業(yè)務(wù)的安全問題,即從技術(shù)安全轉(zhuǎn)變?yōu)闃I(yè)務(wù)安全。2)安全范圍與等級保護的重新定義與管理。在EA中,仍存在特定信息或解決方案等非共享組件。從安全角度考慮,管理者需要對共享組件和非共享組件進(jìn)行嚴(yán)格區(qū)分,制定不同的安全策略和管理方法。對于共享組件,管理者根據(jù)其共享的范圍要確定其安全保護等級和訪問控制策略。EA由業(yè)務(wù)驅(qū)動,若某一信息或技術(shù)被越多的解決方案采用,其業(yè)務(wù)價值量就越重要,安全保護等級就越高。在具體安全措施上,就應(yīng)根據(jù)不同業(yè)務(wù)的需要和重要性,對同一項信息或技術(shù)實行不同的訪問控制和數(shù)據(jù)利用跟蹤記錄。5 結(jié)論本文將EA這一管理工具通過建模的方式,應(yīng)用于SDLC中,特別是安全目標(biāo)分析、安全需求獲取與分類以及風(fēng)險管理過程等關(guān)鍵步驟。在應(yīng)用過程中,以業(yè)務(wù)流程為核心進(jìn)行分析,并以稅務(wù)系統(tǒng)為事例,利用EA的4個視角,初步討論了EA的應(yīng)用方法和思路。這一應(yīng)用過程有助于信息系統(tǒng)安全的管理人員和技術(shù)人員對信息系統(tǒng)安全進(jìn)行全面規(guī)范的分析和理解,通過在SDLC前期對安全目標(biāo)和安全需求的整體性分析,能使信息系統(tǒng)更有效地為機構(gòu)業(yè)務(wù)目標(biāo)服務(wù),使機構(gòu)管理人員做出適當(dāng)?shù)娘L(fēng)險控制的相關(guān)決策,降低SDLC后期的安全投資成本,提高機構(gòu)的安全程度。此外,EA模型并不能用于SDLC或信息系統(tǒng)安全管理的所有方面,主要是宏觀方面的應(yīng)用,而目前信息系統(tǒng)整體宏觀方面的安全設(shè)計較少,因此EA作為一種很及時的補充,能有利于設(shè)計更安全的信息系統(tǒng)和進(jìn)行安全管理。參考文獻(xiàn)1 ISO/IEC 15408-1: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securityIntroductionand general model R. 2005.2 ISO/IEC 15408-2: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityfunctional requirements R. 2005.3 ISO/IEC 15408-3: 2005, Information technologySecuritytechniquesEvaluation criteria for IT securitySecurityassurance requirements R. 2005.4 NIST Special Publications 800-64, Security Considerations inthe System Development Life Cycle Z. June 2004.5 Minoli D. Enterprise Architecture A to Z: Frameworks,Business Process Modeling, SOA, and InfrastructureTechnology M. Auerbach Publications, 1 edition, 2008.6 NIST Special Publications 800-18, Guide for DevelopingSecurity Plans for Information Technology SystemsZ. 2006.7 NIST Special Publications 800-30, Risk Management Guidefor Information Technology Systems Z. January 2004.8 NIST FIPS-199, Standards for Security Categorization ofFederal Information and Information Systems Z. December2003.9 Bodin L D, Gordon L A, Loeb M P. Information security andrisk management J.Communications of the ACM,2008,51(4): 64 68.10 Bodin L D, Gordon L A, Loeb M P. Evaluating informationsecurity investments using the analytic hierarchy process J.Communication of the ACM,2005,48(2): 79 83.11 Chang S E, Ho C B. Organizational factors to theeffectiveness of imp