IT业务外包中安全性和数据保护的相关挑战与解决方案

理论计算机科学电子笔记179（2007）47-58www.elsevier.com/locate/entcsIT业务外包中的安全和信任：宣言6Y. Karabulut1a，F.克施鲍姆2a，F.马萨奇3b，P.Robinson4a和A.Yautsiukhin5ba：SAP Research，Karlsruhe，Germanyb：意大利特伦托大学DIT摘要如今，许多公司都意识到了外包的好处。然而，在目前的外包实践中，客户通常主要关注业务目标，安全性仅针对通信链路进行谈判。 然而，没有确定在传输之后必须如何保护数据。 如果数据在供应商的服务器上很容易被盗或损坏，那么对通信链路的强大保护就没有什么价值。这个问题提出了一些相关的挑战，如：识别更适合安全级别的谈判，客户端和承包商的角度和安全保证服务组合场景的指标。这些挑战和其他一些问题将在本文中深入讨论保留字：业务流程外包，安全，安全管理，保护级别协议。1引言今天，许多公司更愿意将IT工作包委托给外部或第三方组织，而不是自己完成[4，11]。通过这种方式，公司可以专注于其核心业务，而不是外围任务，特 别 是 如 果 他 们 与 公 司 的 主 要 活 动 有 太 多 的 差 异 。 例 如 ， 运 输 公 司Consolidated Freightways将其IT基础设施的升级和管理外包给IBM GlobalServices。1电子邮件地址：yuecel.karabulutATsap.com2 电子邮件地址：florian.kerschbaumATsap.com3电子邮件地址：Fabio.MassacciATunitn.it4电子邮件地址：philip.robinsonATsap.com5 联系作者 电子邮件地址：evtiukhiATdit.unitn.it6这项工作得到了以下项目的部分支持：EU-IST-IP-SERENITY（N 27587）、MIUR-FIRB-ASTRO（NRBNE 0195 K5）、PAT-MOSTRO（2003-S116-00018）、IST-FP 6-FET-IP-SENSORIA（N 016004）1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2006.08.03048Y. Karabulut等人/理论计算机科学电子笔记179（2007）47定义1.1外包是由外部方对特定客户（IT）流程进行持续的行政、管理和可能的分包，通常外包公司本身可能会进一步将其任务外包给其他人。也就是说，一家公司可能从一个承包商开始，通过获取和分发新的任务，可能成为一个协调者。当公司扮演编排角色时，它会协调业务流程来完成工作。该过程可以是静态的或动态的。在传统的外包合同中，我们设想的是一种静态的编排，流程从一开始就被定义，合作伙伴和服务不会改变。对于新的范例，如虚拟组织，合作伙伴和服务可以选择在网络上。在合作进行之前，参与者协商服务水平协议（SLA）。该协议的主要部分专门用于功能需求和一些非功能需求，如性能。没有足够的注意力，如果有的话，致力于安全。示例1.2Web服务安全性只关注通信链接的安全参数它涵盖了消息加密、签名、认证和服务器访问控制的要求[2，23]。WS安全标准没有提到数据在传输后如何保护。因此，数据可以存储在没有适当配置的防病毒软件的服务器中，也可以存储在没有基于角色的访问控制的数据库中。在本文中，我们确定了安全和信任问题，支持外包关系和保护水平协议（PLA）的概念，这是适当的，在这种情况下。本文的结构如下。第2节是安全度量的简短状态。我们在第3节中介绍了PLA的概念。第4节和第5节分别阐述了业主和承包商对PLA的看法。第6节描述了如何在服务组合场景中实现客户端的PLA。信任不可传递的问题将在第7节讨论。第8节专门讨论相关工作。2、安全。 引物不明确的绩效和基准指标是56%的外包关系失败的原因[31]。因此，解决问题的第一步是安全指标识别，这是一项迄今为止仍然难以捉摸的任务粗略地说，所有指标都可以分为以下一个或多个类别：组织-评估安全管理流程。操作-评估系统和操作原则到位技术-评估软件和硬件的质量。最著名的技术方法是通用标准[15]。产品Y. Karabulut等人/理论计算机科学电子笔记179（2007）4749根据保护大纲进行评估，保护大纲是相应产品类别的一组要求评估保证等级（从EAL 0到EAL 7）显示了对评估结果的满意程度。a保护概况。SSE-CMM（系统安全工程能力成熟度模型）[27]评估安全管理过程。SSE-CMM为安全系统工程过程分配一个成熟度级别（从1到5）。这一评估表明了该组织如何很好地完成所有基本实践。这些方法给出了管理过程和产品质量安全的数值（离散）措施。目前还没有这样的操作安全评估方法。通用标准可用于此目的，但一些指南[29，8]建议检查系统满足最佳实践的程度（合规百分比）。最佳实践的列表可能是巨大的，并且很难证明它是完整的，即使使用众所周知的标准（如ISO17799）作为基础[10，16]。风险分析[28，1，6]是安全系统评估方法中最重要的方法之一。这种分析最常用的指标是年度货币损失。如果其他尺寸（例如小时的停机时间，声誉）也被用于损失一个组织的价值不能用货币来衡量。在这种情况下，必须使用某种形式的标准化[6]。有几种方法试图根据平均安全故障时间计算指标[21，24]。它们中的大多数都基于对攻击图的威胁分析。这一指标在理论上是有用的，但到目前为止，缺乏对其实际相关性的实地测试。3IT外包在继续之前，我们先确定一个典型的外包场景中的许可证持有者实体。这些实体如图1所示。定义3.1客户是一个与完整的、独立的业务流程进行交互的实体. 承包商是同意执行业务流程并满足客户Orchetrator是管理工作流程的承包商，其中一些任务被分配给其他实体。承包商是从另一个承包商接收任务分配的实体，任务分配是更高级别业务流程的一部分在图1中，承包商扮演协调者的角色，这表明协调者总是扮演分包商的客户角色。在研究技术解决方案（如可信计算平台或多方计算）之前，我们考虑可以对有关各方之间的业务协议和信任的性质做出哪些假设。客户和承包商之间存在50Y. Karabulut等人/理论计算机科学电子笔记179（2007）47Fig. 1. 功能交互因为如果它不按照合同行事，它有义务向客户支付罚款。承包商和客户之间的协议通常包含尊重客户业务目标的保证，致力于功能要求。这些目标决定了承包商的系统必须描述的服务质量（QoS）客户端的高级别安全目标是保护其数据，并使其（始终且仅）对授权用户可用。在外包方案中，客户将数据处理转移给承包商，这样做，放弃了对数据处理和保护方式的直接控制。因此，我们回到我们的关键问题：定义QoS和SLA的安全等效概念。合同必须明确描述在承包商控制下如何保护数据• 传输时的保护是指在客户的数据从客户的主机传输到承包商的内部网络时，对客户数据的保护• 处理中的保护是当承包商控制数据处理的方式时对客户数据的保护也就是说，当存储在承包商管理域内的机器围绕Web服务技术构建的现有表单定义了指定安全通信链接参数的方法。这些包括对消息加密、签名、身份验证和服务器访问控制的要求[2，23]。Web服务合同中没有关于数据处理和存储限制的协议由于缺少这一部分，强大的通信链路只能解决安全外包问题的一个方面（见例1.2）。建议1客户和承包商必须协商数据保护协议，包括保证数据在承包商处理过程中以及传输过程中受到保护。 这些权证描述了保护质量（QoP）Y. Karabulut等人/理论计算机科学电子笔记179（2007）4751外包系统所需。挑战1我们如何保证达到一定的QoP？我们需要一些指标来确保达到承诺的水平传统的SLA度量标准测量流程的某些方面，并表示满足业务目标的服务质量。确定指标是协议谈判的核心阶段。客户必须确保其目标得到完全反映，并且所选指标与其相关。保护质量也应该由指标表示。建议2保护级别协议（PLA）被建议作为包含安全要求的协议的一部分。挑战2哪些指标更适合PLA？解决挑战1和2提出了几个问题：(i) 客户与承包商。这是客户对问题的看法。它必须定义哪些指标和PLA满足其安全业务目标。另一个主要问题是监测实际保护机制，以检查解放军是否实际得到满足，而不仅仅是申报。(ii) 承包商与 Client. 这是承包商承包商必须确定其可以提供的指标目标，以及这些指标如何与其客户协商的指标的实现(iii) 承包商与分包商。如果进行服务组合，则会出现其他问题 协调者必须组成其分包商的PLA以满足客户(iv) 信任的不可传递性。客户可以信任承包商，但不信任其分包商。当创建业务流程或协商某个QoP时，4客户与承包商以下关于苏丹解放军和解放军之间差异的意见有助于确定安全要求的适当代表。SLA描述了功能需求：系统至少必须做什么。另一方面，PLA背后的自然直觉是，它描述了负面事件和系统最多应该允许的具体事情。这一点如图2所示。例4.1例如，连接速度必须不低于256位/秒。没有人会抱怨速度太快。 另一方面，成功的病毒攻击次数不得高于每月10次（如果成功攻击次数较少，没有人会抱怨）。提案3APLA代表52Y. Karabulut等人/理论计算机科学电子笔记179（2007）47图二. 可接受的系统行为。我们想强调的是，如果外包的主要目标是功能性服务，那么客户端可以更方便地确定其作为PLA的安全需求换句话说，客户端应该设置SLA以保证它在其功能服务上接收适当级别的QoS，并且还应该通过设置PLA来伴随该协议，以保证它为功能服务提供的数据获得适当级别的QoP。相反，如果外包的主要目标是转移安全服务，则应针对这些活动指定SLA。实际上，在这种情况下，我们外包的功能服务只是一种服务，其特定功能是安全功能。因此，我们应该能够区分什么时候安全是服务本身（需要SLA），什么时候安全是保护服务对象事实上，用于提供安全服务的数据的处理应该受到PLA的约束。举个例子可以更好地说明这一点：如果我们要为基于身份的密码学外包密钥相反，PLA应该被设置来保护我们的身份或我们的私钥（即PLA上的数据和来自函数）。PLA协商的关键点是确定描述保护级别的指标。我们已经确定了两种类型的指标：4.2内部指标描述承包商为实现高水平安全而使用的安全质量内部指标帮助承包商评估其安全系统的成熟度。这些指标的一些例子是：更新之间的时间[18]，密码的长度，符合标准的百分比[10，16]。当然，还有对指标的监控我们怎么知道每周更新一次？一方面，这些信息可以从日志中获取。另一方面，承包商不想显示敏感信息，这可能会危及其安全系统和其他数据存储在日志中的客户端。此外，承包者完全控制日志系统，可以很容易地更改数据。这也是我们认为内部指标不合适的原因之一定义4.3与客户协商外部指标，以表明其安全要求得到满足。Y. Karabulut等人/理论计算机科学电子笔记179（2007）4753外部指标对于客户端是可以理解的，并显示安全解决方案如何对其进行检查。可能的示例包括对客户端数据机密的成功攻击次数[ 6 ]，入侵入侵客户端数据的平均时间[ 24，21 ]，系统在不良事件后恢复客户端数据可用性的MarkLutchen在[20]中指出，“公司还犯了哪些错误？当他们外包IT时，他们经常使用错误的度量标准-专注于流程而不是结果的度量标准。.内部指标对客户来说信息量不够，除了难以监控和执行。例4.4客户端可以指定一个外部指标：每月最多2次成功的病毒攻击;或者指定一个内部指标：防病毒系统必须至少每2周更新一次，因为根据统计证据，新病毒攻击的数量预计是相似的。如果趋势发生变化（即每月野生病毒增加），即使承包商按照协议行事，也会有比以前更多的病毒攻击客户端的数据。在第一种情况下，承办商有提议4：在解放军谈判中应使用外部衡量标准。那么，哪些外部指标对QoP最有成效呢？我们不推荐基于风险分析和财务结果的指标。首先，这些指标有许多限制，并不精确[9]。此外，定性分析放大了这些局限性，因为它与相对值（例如高，中，低）一起运作。第二个也是最重要的原因是，这些价值与所提供的服务无关，无法由承包商和客户以共同商定的方式进行监测（预期损失难以估计）。这并不意味着客户不应该使用风险分析来确定适当的PLA，而是简单地说，风险分析的结果，如年化损失预期（ALE）本身不应该是PLA。在这里，我们提出以下指标：观察间隔内的不良事件。这一衡量标准可以是百分比，也可以是绝对值。自由时间间隔-不良事件发生的时刻与事件被跟踪和识别的时刻之间的时间间隔。恢复时间-事件被跟踪的时刻与事件被修复的时间我们想指出一个额外的信任问题，它超出了正确度量的识别：它们的监控，因为事实上它们可能不是由承包商完成的。挑战3客户端如何监控需求实现？54Y. Karabulut等人/理论计算机科学电子笔记179（2007）47应开发一个控制PLA设施的监测系统。许多要求很难通过外部审计（即从客户的环境）进行检查。因此，这个监控器应该安装在不可信任的承包商5承包商与客户端PLA不会告诉承包商应如何配置其系统以满足要求。承包商必须将PLA映射到功能SLA，以接收定义承包商应安装的内容及其行为方式的具体要求。映射可以基于行业统计数据趋势、个人经验、存储的历史等。如果客户端具有某些特定的安全要求或安全是外包的主要目标之一，则可以直接以“至少”方式（SLA）来表达要求为了达到外部指标，承包商必须制定一些安全政策和机制。这最终意味着PLA将从“每周最多一个电子邮件附件病毒通过公司的集中式防病毒软件”转变为“每天至少一个签名更新到集中式防病毒软件”。一旦完成了这样的转换，我们就可以使用内部安全指标来评估所实现的保护质量，由外部指标表示。关于这个问题的讨论可以在[18]中找到。但这一想法还没有得到实验证据、统计研究或形式推理的证实。这只是一个作者的观点。提交人自己也指出，很难考虑到所有因素（例如：事件不是独立的，许多对策在某种程度上有助于事件概率的总体降低，等等）。挑战4如何将内部指标与外部指标相关联？事实上，评估安全级别的方法是基于一组问题来检查是否符合标准[14]。该集合被分解为保护域（密码学、审计、网络）。调查问卷可以重新划分为威胁域（病毒防护、密码窃取、DoS）。之后，我们会收到一套完整的参数和相应的内部指标，这些指标有助于进行威胁防护。现在，如果我们可以知道每种技术如何有助于缓解威胁（例如防火墙的存在将特洛伊木马的数量减少了30个），则可以选择正确的内部参数来实现外部指标（例如每月特洛伊木马的数量）。6承包商与分包商在大多数情况下，承包商必须执行业务流程（工作流程）来满足客户工作流程可以由客户或承包商指定。在Y. Karabulut等人/理论计算机科学电子笔记179（2007）4755一个极端是，客户可以指定一个工作流程，并要求承包商按原样完成。另一方面，客户只能定义一组高层次的要求。在这种情况下，承包商必须以满足客户所有要求的方式创建工作流有时，承包商本身并不完成所有的工作任务，而是将一部分或几部分任务发送给具有不同保护级别的分包商（图1）。挑战5协调者如何将外包任务和PLA分配给分包商，以创建一个不仅完成客户的S L A ， 而 且 满 足 客 户 的 P L A 的 业 务 流 程 ？在开始时，承包商必须确定每个分包商的PLA i如何这取决于功能工作流程以及工作流程级别的不良事件如何作为一个整体映射到子事件。该过程可以在执行之前进行一次：承包商确定整个过程，然后只需遵循它。在更动态的环境中，承包商可以在过程执行期间做出决定这有助于建立流程，以最有效的方式满足客户的要求。7信任是不可传递的当几个参与者一起玩时，信任问题就会出现。正如我们所说，客户信任承包商来完成任务，因为他们的关系是由合同密封的。与此同时，承包商出于同样的原因信任其分包商。然而，客户和分包商之间没有合同上的信任。如果分包商行为不端，业主将不得不回到主承包商那里，由于各种原因，他可能决定不得到适当的补偿。承包商与分包商的关系也是如此。因此，有必要考虑更多的“主观”概念的信任，客户可能比其他人更信任一些分包商。这一决定可能是基于以往的经验或统计数据。由于数据在传输给承包商后不受客户控制，因此必须事先指定信任关系。出现的挑战是：挑战6客户如何确定哪些分包商比其他分包商更信任，哪些分包商比其他分包商更不信任？其中一个可能的解决方案可以从[22]中获得。一个协调者为业务流程建议几个可能的分包商。客户端确定信任级别（例如，从1到10）。一个推理算法，类似于[22]中表示的算法，返回最可信的分包商集合，可供协调器用于实现客户端56Y. Karabulut等人/理论计算机科学电子笔记179（2007）478相关作品只有少数作品解决了业务外包中的安全要求问题在[17]中，它声称安全要求必须在合同中得到反映，并且必须以某种方式监控它们的实现作者认为安全需求是SLA的一部分可信虚拟域（TVD）[12，5]旨在将多个远程可信虚拟处理环境连接到一个安全网络中。安全操作策略（协议的PLA/SLA），这是强制性的每一个环境，使用。当一方（很可能是承包商）允许另一方使用其TVD时，该技术可应用于需要指出的是，TVD需要安装专门的隔离软件才能运行。在[26]中，提出了一种用于可信计算机平台的监控系统。这个想法是将一个可信的硬件组件嵌入到执行环境中，在交互开始时验证系统是否符合操作策略（可以被认为是PLA）第一篇讨论大型企业中安全SLA的论文之一是[13]。其主要思想是检查系统是否符合15个安全域的最佳实践。对于每个最佳实践，安全服务级别都被确定并添加到SLA中（但它不考虑任务外包）。[7]扩展了安全部门，以比较两个SLA或找到最接近所需SLA的安全SLA在[30]中，一个类似的分而治之的技术思想被应用于Web服务安全性的评估9结论在这篇文章中，深入讨论了在承包商的服务器上存储数据时保证适当安全性的问题。我们引入了几个重要的定义，并确定了一些挑战和问题。我们认为外部指标对客户更有意义，并提出了一些可用于PLA的指标内部指标更适合承包商。它们有助于评估其安全系统的质量，并选择正确的配置以满足客户监控安全要求的实现是另一个重要问题，取决于度量类型。外部指标可以由客户端远程监控。对于内部指标的监控，应应用特殊技术来保证数据是可信的。 我们已经指出了一些技术，但如何应用它们是另一个大问题。在服务组合场景中还会出现其他问题。客户的安全要求必须插入到功能工作流程中，并在分包商之间进行分解和分配。除了这些问题，还必须考虑到信任关系。在本文中，我们更多地关注协议的技术方面。我们遗漏的一个问题是执行问题这个问题必须得到Y. Karabulut等人/理论计算机科学电子笔记179（2007）4757在将PLA作为合同应用之前，我们考虑过，但我们将其留到未来的工作中。引用[1] 艾伯茨角J.和A. J. Dorofee，OCTAVE标准，技术报告CMU/SEI-2001-TR-016，CERT（2001）。[2] 阿特金森，B.，等人[3] Bellare，M.和B.陈文辉，安全稽核记录之前向完整性，技术报告，国立台湾科技大学计算机科学研究所硕士论文（1997）。[4] Bowles，J.， 通过外包获得竞争优势，请访问http://www.vmc.com/articles/Forbes%20Advertorial.pdf（2004年）。[5] Bussani，A.，等人，Trusted Virtual Domains：Secure Foundations for Business and IT Services，Technical Report RC 23792，IBM（2005）。[6] Butler，S.一、安全属性评估方法，技术报告CMU-CS-03-132，卡内基梅隆大学（2003）。[7] Casola，V. A. Mazzeo，N. Mazzocca和M. Rak，面向服务架构中的SLA评估方法，在：Proc。（2005年）。[8] CISWG，最佳实践和指标小组报告，技术报告CS 1/05-0005，政府改革委员会（2004年）。[9] Cohen，F.，网络安全管理-第5部分：风险管理或风险分析。1997（1997），pp. 15比19[10] Elo J.和M. Elo Jiang，信息安全管理-一个新的范式，在：SAICSIT的Proc.，2003年，pp. 130[11]哥特，G.，IT外包的来龙去脉，IT专业1（1999），页。11[12] Gri Bern，J. L.，等人，Trusted virtual domains：Toward secure distributed services，in：Proc.ofHotDep，Yokohama，Japan，2005。[13] 亨宁河，安全服务水平协议：企业的量化安全？见：《国家妇女地位委员会议事录》（2000年），第100页。54比60[14] ISO/IEC，[15] ISO/IEC，[16] Johansson，E.和P. Johnson，Assessment of Enterprise Information Security - an Architecture TheoryDiagramDefinition，in：Proc. of CSER，2005。[17] Karjoth，G.，等，Service-Oriented Assurance Comprehensive Security by Explicit Assurance，in：Proc. of QoP. （2005年）。[18] Leach，J.，TBSE -设计准确可靠的安全系统的工程方法，Comp. Sec. 23（2004），pp. 22比28[19] List，W.，共同的标准-好的，坏的或独立的？，通知。秒技术报告2（1997），pp. 十九比二十三[20] Lutchen，M.，IT外包：保持强大管理能力的重要性，第一部分（共三部分），可通过http://www.pwc.com获得，2005年。[21] 马丹湾B、等人，A method for modeling and quantifying the security attributes of intrusion tolerantsystems，Performance evaluation journal1-4（2004），pp. 167-186.[22] Massacci，F.，J. Mylopoulos和N.Zannone，Hierarchical Mecratic Databases with MinimumDisclosure for Virtual Organizations，The VLDB J.（2006）。[23] Naedele，M.，XML和Web服务安全标准，IEEE Comp.36（2003），pp.96比9858Y. Karabulut等人/理论计算机科学电子笔记179（2007）47[24] 奥尔塔洛河，Y. Deswarte和M. Kaaniche，Experimenting with quantitative evaluation tools formonitoring operational security，TSE25（1999），pp. 633-650[25] Pai，T. M.，竞争优势外包：您是否错过了商机？参见http://www.infosys.com/events/MDPAI%20pres%5F5%20Nov%5FSpore.ppt（2001）。[26] Sadeghi，A. -R. 和DC。 Stu？ble，Property-bedatetationfor c or o p utingpla t f o rms：carin gabutproperties，not mechanisms（2005），pp. 67比77[27] SSE-CMM，[28] Stoneburner，G.，A. Goguen和A. 信息技术系统风险管理指南，技术报告800-30，美国国家标准与技术研究所（2001）。[29] Swanson，M.，等，信息技术系统的安全度量指南，技术报告800-55，国家标准与技术研究所（2003）。[30] Wang，Y.和PK。Ray，《电子金融系统安全性评估方法》，载于：Proc. of Pennsylvania（2005）。[31] Yankelovich，P.， 全球最高决策者业务流程外包研究，可通过http://www.colthr.com/f中有/Business%5FProces%5FOutsourcing. pdf（1999）。