企业DRM技术对机密数字文档的定量评估及影响性分析

可在www.sciencedirect.com在线获取理论计算机科学电子笔记275（2011）159-174www.elsevier.com/locate/entcs企业DRM技术的定量评价Wen Zeng1，2 Aad van Moorsel3计算机科学学院网络犯罪和计算机安全中心NewcastleUniversity纽卡斯尔大学摘要由于近年来机密数字文档丢失的潜在成本和损失显著增加，因此保持机密数字文档的安全性对组织至关重要。数字版权管理（DRM）是为了帮助组织保持数字文档的安全而开发的，是许多数字信息安全解决方案之一在这项研究中，8个流行的DRM产品目前在市场上的功能进行了审查，并使用这些DRM产品的影响进行定量评估。定义了一组度量标准，反映了实施DRM产品对组织产生的潜在成本和影响。随机模型用于定量评估实施特定DRM产品。 在本研究中发现，尽管DRM产品通过加密来保护数字资产，并且通过提供对组织内的信息的中央控制，这是有代价的，因为这些安全机制通常降低了STA的生产率。生产率的降低又以非生产时间（NPT）的形式来衡量，这是随机建模过程的固有部分。关键词：Petri网，随机建模，DRM产品，数字安全，非生产时间，信息帮助台1介绍许多组织都保留了只能由授权人员访问的敏感信息或文档，例如，医疗机构的个人健康记录、银行对账单和金融组织的账户余额机密信息泄露和敏感信息泄露已被确定为-1.作者对纽卡斯尔大学的Simon Parkin和Rouaa Yassin Kassab表示诚挚的感谢，感谢他们在本书的研究和写作阶段提出的建设性建议和反馈。来自研讨会委员会的四位匿名审稿人的详细、批判性的评论显著提高了这份手稿的质量作者对他们的贡献深感感激2电子邮件：wen. ncl.ac.uk。 通讯作者。3电子邮件：aad. ncl.ac.uk。第二作者部分由英国技术战略委员会（TSB）资助，赠款编号。P0007E（信托经济学）。1571-0661 © 2011 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2011.09.011160W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275被列为主要的信息安全威胁，导致声誉受损，身份盗窃，甚至威胁到组织的生存能力[1]。虽然黑客攻击、病毒流行和系统漏洞以前被认为是敏感信息丢失的主要原因，但近年来由内部攻击引起的安全事件数量显著增加[2]。在[2]进行的一项全面调查中，400家接受调查的组织承认了6244起员工疏忽事件，5794起过度隐私和访问控制权限事件。内部安全事件总数为57，485起[2]。因此，内部站的行为对信息安全具有重要影响，与内部站不当行为相关的攻击正在上升，并构成巨大威胁。例如，一些会员为了方便起见，将敏感信息保存在笔记本电脑、USB设备或智能手机当这些设备丢失时，组织将无法对保存在这些设备中的信息进行任何控制。此外，公司员工可能偶尔发送包含机密文件作为附件的电子邮件，而没有注意到不应分发这些文件，或者收件人不应看到这些文件，或者是被错误（意外或其他）选择接收电子邮件的非预期收件人。所有这些行为都可能导致数字信息泄露到公司外部。公司和组织必须确保这些信息和文件的安全。数字版权管理（DRM）系统的开发，以解决这些问题和需求。数字版权管理（DRM）一词用于描述任何能够在数字环境内外控制数字内容访问权限的技术[3]。商业DRM是保护音乐，电影和印刷行业数字内容的DRM系统。企业DRM是众多信息安全产品之一，DRM声称能够保护组织中信息的机密性、完整性和可用性。由于组织必须在企业DRM产品上投入大量资金并持续进行运营支出，而企业DRM产品可能会对组织的效率产生负面影响，因此然而，定量评估DRM产品对组织的潜在影响是一项挑战。例如，DRM技术使用访问控制（用户名和密码）来限制对敏感文档的未授权但是，授权用户可能无法打开文档，并在查找正确密码以打开受保护文档方面浪费大量时间。因此，业务流程停止，员工的生产力降低。因此，本研究的贡献在于：1）回顾目前市场上流行的DRM产品的共同特征; 2）开发一种方法，以便可以通过随机建模技术定量评估DRM技术的影响。这些技术包括定义度量以及构建和运行Petri网随机模型。W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 2751612DRM技术本文从管理模型、内容管理、用户监控、权限管理四个方面对当前流行的八种DRM产品进行了分析和评述[4]。 该等产品大部分由领先的电脑科技公司开发。本部分的目的是了解DRM产品的共同特征以及DRM在组织的业务流程中的工作方式。这是分析其效率和成本的基础性工作。• Adobe LiveCycle Policy Server[5]• Oracle信息权限管理（以前的SealedMedia E-DRM）[6]• Microsoft Windows Rights Management Services for Windows Server 2003[7]• 旅游服务[8]• [9]第十九话• [第10话]• [11]第十一话• [12]第十二话2.1行政模式所有八个DRM产品都有类似的集中管理模型（图1）。文件存储在一个集中的空间[4]。每个文档都有一个唯一的标识符，与用户和权限相关联[13]。只有没有访问权限限制的管理员才能访问该空间以管理受保护的文档。管理员可以定义每个文档和每个用户的权限该组织还可以集中控制所有加密信息，而不考虑其位置[4]。动态策略集中控制允许管理员改变文档的策略，无论文档是否已分发。当用户打开文档时，策略立即生效。这有助于防止未经授权的用户访问文档。通过集中管理，组织可以更有效地管理数字信息（图1）。管理员拥有最高的访问权限，可以为所有文档定义策略，并为用户更改策略。他们可以控制使用策略、撤销和排除。他们可以集中定义谁可以访问文档，在授权用户访问后他们可以对文档的内容做什么，以及文档的到期日期当授权用户无法打开文档时，用户必须与管理员联系，管理员将检查用户的状态和权限并进行适当的更改（图2）。这个过程可能需要相当长的时间，从而延迟了应有的业务流程，并为员工创造了非生产时间（NPT）当用户尝试打开受保护的文档时，将发送访问权限请求DRM服务器，记录此请求。如果用户没有通过服务器上的身份验证，用户将无法使用该文档。用户162W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275图1.一、最终用户的集中管理示例图二、授权用户在访问被拒绝时打开受保护文档的工作流程将不得不联系管理员并要求访问权限。然后，管理员查看与此文档关联的活动并检查用户的角色。如果允许用户访问文档，但尚未向该用户授予访问权限，或者访问权限不足以让该用户使用文档，W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275163管理员将通过DRM服务器为用户创建访问权限或更改此用户的使用策略。最后，管理员将访问权限发送给用户。2.2内容管理所有八种DRM产品都使用加密来保持信息的安全，无论它被传输到哪里[4]。授权用户使用解密密钥打开文档并访问信息。这有助于组织遵守政府法规。所有这些产品都为每个授权用户提供创建功能，以便他们能够为每个文档创建具有唯一身份的各种类型的数字文档，并为其他用户保护这些文档的权限[13]。2.3用户监控所有八个DRM产品都提供了管理每个文档的用户列表的功能，因此管理员可以从文档的用户列表中创建新用户或删除现有用户[4]。所有产品都为每个用户提供唯一的身份，例如，用户名和密码、电子邮件地址和密码、指纹等。此外，管理员可以通过定义文档的使用策略来限制文档的使用;例如，访问文档的次数、对文档的访问权限的到期日期等。[13 ]第10段。2.4权限管理所有八个被审查的DRM产品都为组织提供了为每个文档和每个用户提供权限的功能[4]。完全控制、修改、阅读、打印是DRM产品的基本权利。所有DRM产品都可以通过使用到期日期来提供有限的文档使用。过期后，只有管理员可以访问过期的文档。数字内容和分配给每个用户的权限可以动态更改[4]。拥有完全控制帐户的用户可以更改数字内容的权限[13]。3随机模型随机建模用于创建业务流程的抽象，以便组织可以了解DRM技术如何改变员工的工作流程，并评估实施DRM解决方案的好处，成本和影响。因此，随机Petri网理论方法在本节中介绍。164W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 2753.1经典Petri网Petri网是一种图形和数学建模工具，用于形式化描述系统，其动态特征是并发，同步，互斥和冲突，这些都是分布式环境的典型特征[14]。Petri网已被广泛用于工作流程的结构建模，并已被应用于广泛的定性和定量分析[14，15，16，17]。经典Petri网的定义：一个Petri网是一个5元组（P，T，F，W，M0），其中：• P ={p1，p2，p3，......，pn}，P是地点的集合，pn是每个地点的名称;• T ={t1，t2，t3，......，tn}，T是变迁的集合，tn是每个变迁的名称;• F<$（P×T）<$（T×P）是弧的集合;• W：F → {1，2，3，.}是权重函数;• M0：P → {0，1，2，.}是初始标记;• PT=和PT/=Petri网由库所、变迁和连接它们的弧组成。输入弧开始于位置，结束于过渡，而输出弧开始于过渡，结束于位置。地点可以包含令牌，令牌在网络中用于模拟系统的动态和并发活动。建模系统的当前状态（标记）由每个位置的标记数量给出。转换是活动组件，当转换触发时，模型激活，然后令牌在模型中移动，从而改变系统的状态。转换只有在启用时才允许触发，每个输入位置至少有一个标记。更多的过渡启用和触发规则在[18，14]中定义3.2随机活动网络对于Petri网，如果触发延迟与每个转换相关联，它指定了转换必须启用的时间。在它可以实际触发之前，如果延迟是一个随机分布函数，则Petri网被称为随机Petri网。随机活动网络（SAN）是Petri网的随机扩展[19]。SAN由四个基本对象组成：位置、转换、输入门和输出门。位置表示建模系统的每个状态;转换表示建模系统需要特定时间才能完成的操作;输入门用于控制活动的启用，并定义活动完成时将发生的标记更改;输出门用于定义活动完成时将发生的标记更改3.3奖励形式主义奖励模型用于指定系统行为的度量[20]。报酬模型有两种不同的报酬结构：一种是速率报酬，即在一定时间间隔内，过程处于某一状态时，报酬积累的速率W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275165ΣC+C（a）N[t，t+l]另一种是冲动奖励，用于计算在一段时间内跃迁触发的次数奖励结构：表示具有位置P和转换A的SAN的转换和标记导向的奖励结构的函数：C：A→R，其中对于a∈A，C（a）是由于完成活动a而获得的奖励。R：P（P，N）→R，其中对于v∈P（P，N），R（v）是当对于每个（p，n）∈v，在位置p处获得的奖励率。N是自然数的集合，P（P，N）是P和N之间的所有部分函数的集合冲动奖励与转换完成相关联（通过C），奖励率与位置集合中的令牌数量相关联（通过R）。Y[t，t+1]=v∈p（p，N）RW[t，t+l]，t→∞=v[t，t+l]Y[t，t+l]l一[t，t+l]a∈A在该函数中，累积的奖励与每次转换完成的次数以及在时间间隔期间在特定标记上花费的时间有关。时间[t，t+1]。Mv表示SAN处于标记状态的总时间对于每个P（p，n）∈v，在[t，t+1]期间p中有n个令牌一[t，t+l]表示在[t，t+1]期间转换a3.4MüobiussoftareMüobius是一种用于对复杂系统的可靠性、可用性和性能进行建模的方法[19]。它支持大多数建模技术，特别是支持SAN [19]。它的工作原理是使不同的建模过程（SAN建模形式主义，组合形式主义，奖励形式主义，求解器）模块化。Müobius提供了用于获得感兴趣的测量值的解的模拟和数值求解器仿真求解器可用于使用离散事件仿真求解模型[19]。数值求解器只能用于只有指数和确定性分布转换的模型[19]。4DRM的定量评估当一家公司开始规划安全策略时，安全管理人员会问的一些问题文件控制是否会给组织带来高成本？为了回答这些问题，应该将度量定义为评估使用DRM的有效性和效果的标准[21]。度量数据可以帮助安全管理人员做出合理的安全投资决策[22]。所有八种DRM产品都为每个文档提供集中定义的策略，并提供集中管理，允许组织从单个设施或位置管理授权信息。集中管理还允许R（v）MN166W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275组织保持最低数量的IT工作人员（管理员）。但是，如果大量用户同时试图向管理员寻求帮助，则某些用户将不得不等待。这导致了非生产性时间（NPT），降低了组织的运营效率。在某些情况下，用户可能会放弃等待，选择在没有适当信息的情况下继续工作此外，由于IT资源不是无限的，因此组织有必要将文档分类为不同的机密级别，以便更高价值的文档具有更高的安全级别[23]。在这项研究中，文档被分为两个级别：正常和高价值（分类文档）。用户只需要一个用户名和密码就可以打开正常的文档;另一方面，用户除了自己的用户名和密码外，还需要每个分类文档的特定密码表1DRM被定义为帮助评估DRM的标准执行文档类型1授权用户可以阅读文档文件分类2授权用户无法读取文档文件分类3授权用户可以阅读文档无文档分类4授权用户无法读取文档无文档分类5授权用户可以更改文档文件分类6授权用户不能更改文档文件分类7授权用户可以更改文档无文档分类8授权用户不能更改文档无文档分类本文从三个方面对DRM进行评估：在加密机制下可以读取受保护文档的用户数量;在使用策略下可以更改受保护文档的用户数量;以及文档分类策略如何影响使用DRM的效果。因此，我们从这三个方面定义了八个指标来衡量使用DRM的效果（表1），例如授权用户可以阅读文档分类下的文档的百分比。W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275167本文使用Microsoft信息权限管理（MS权限管理）作为案例研究。根据微软技术中心提供的实验和信息，在这一部分建立了一个模型来评估使用MS的效果[24，25]。该模型关注用户使用数据时的功能效用和用户任务。MS的核心特征是：受保护的文档集中管理。为了成功地确保员工的访问权限，组织中需要一些IT管理员（管理员）来帮助员工解决用户无法正确使用受保护文档时的在本文档中，定义了两个帮助台。一个帮助台帮助用户处理访问问题，另一个帮助台帮助用户处理使用问题。组织中的文件分为两个层次：普通文件和高价值文件。建立了一个随机Petri网模型来模拟这一业务过程，并定量评估了MS对组织运营效率的影响图3.第三章。授权用户访问受保护文档的Petri网模型该模型（图3）由6个输入门，6个输出门，12个位置，14个转换，8个定时转换和6个即时转换。定时转换与随机指数分布的触发延迟相关联，并且立即转换在零时间内触发授权用户（用户）在工作时间内每天使用四个文档（使用文档所花费的时间由Open Doc给出）。当授权用户尝试打开文档时，可能会发生两件事，如果文档是秘密文档（秘密文档），首先，用户需要用户名和密码才能登录系统（由登录帐户所花费的时间给出）。如果用户通过用户认证，则需要输入文档密码（EnterPassWord），这需要花费时间（以Ask Password所花费的时间为准）。如果用户通过文档认证，则用户可以打开文档并成为活动用户（活动用户1），但如果用户无法通过文档认证或用户无法通过用户认证，则用户将联系管理员（需要帮助1）寻求帮助。如果用户可以从管理员处获得帮助（所花费的时间由管理员帮助1给出），则用户输入文档密码以168W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275C（a）N打开文档。 如果用户无法从管理员处获得帮助（No Help 1），则用户将放弃（放弃1）。活动用户可能会更改受保护的文档（更改1），但他们可能没有足够的使用权限来更改文档，因此他们将联系管理员寻求帮助（需要帮助2）。如果用户可以从管理员处获得帮助（管理员帮助2给出的时间），他们可以更改文档，如果他们无法获得帮助（无帮助2），他们可能会放弃。如果文档是普通文档（Normal Doc），则用户只需输入用户名和密码即可打开文档（所需时间由登录帐户给出）。如果用户可以打开文档，则用户可以打开文档（活动用户2）。否则，用户需要联系管理员（需要帮助1）寻求帮助。活动用户可能会更改受保护的文档（更改2），但他们可能没有足够的使用权限来更改文档，因此他们将联系管理员寻求帮助（需要帮助2）。该模型中的所有输入参数见表2。 模型的时间尺度以分钟为单位。它假设管理员平均需要花费10分钟来帮助每个用户，如果在队列中等待帮助的用户少于7个，则用户将足够耐心直到他们得到管理员的帮助。但是如果超过7个用户在队列中，用户最多只能等待一个小时。如果一个小时后用户仍然无法获得帮助，他们将放弃。该模型的行为可以通过冲动奖励模型和利率回报模型来衡量，而这两个模型是由两个模型的M？obiussort来建立的。转换的吞吐量根据第3.3节中描述的公式计算：一[t，t+l]a∈A根据以下公式计算位置集合中的标记数量：v∈N（p，N）v[t，t+l]要度量可以读取文档的授权用户的数量，请计算转换的吞吐量之和：使用文档1（案例1 2）、使用文档2（案例1 2）为了衡量授权用户可以更改的文档数量，计算转换的吞吐量之和：Changble 1（case 1）、Change-able 2（case 2）、Admin Help 2（case 2）。为了度量授权用户尝试使用的文档数量，计算转换的吞吐量之和：Open Doc（case1 2）。为了测量非生产时间（NPT），计算用户花费在任何地方而不是（Users）的时间分数，它被认为是时间损失，因为MS提供了身份和访问控制技术。4.1结果分析DRM产品的部署对组织的运营效率有重大影响。在部署MS M.S.R.后六个月内，R（v）MW. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275169表2Petri网模型的输入参数参数值用户平均4每日正常工作时数8每年工作周数40帮助解决文件查阅问题1帮助解决文件权威问题1用户平均0.5用户通过用户身份验证所0.5分钟用户通过文档身份验证所0.5分钟管理员帮助一个用户所10分钟机密文档的百分比（如果组织使用文档分类策略）百分之五十用户遇到登录系统故障或用户无法记住机密文档百分之五授权用户可以更改的文档的百分比百分之四十在这个案例研究中的网络系统（模型中的48000个时间单位），一个有500个授权用户的中型组织将在表2中的假设下产生大约9000-11000小时，或大约375-458天的非生产时间（图4）生产时间的总损失有两个组成部分：用于身份验证过程的时间和用于等待管理员响应的时间。在本案例研究中，根据表2中的假设，总认证时间损失为2500-3000小时（图5），总等待时间损失为6500-8000小时（图6）。总非生产时间（NPT）与三个因素密切相关：用户行为、管理员支持的员工数量和公司文档分类流程（表2和图4）。用户行为统计数据是此Petri网模型的关键输入（表2），例如，用户必须花费以通过用户身份验证的平均时间以及用户忘记正确密码而不得不寻求帮助的频率。用户行为统计可以通过适当的安全意识培训来改善[26]。每个管理员服务的员工人数是另一个重要因素。员工与管理人员的比例越大，员工就越难得到及时的帮助。170W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275见图4。 根据《联合国海洋法公约》，在表2中进行了选择。当每个管理员服务的授权用户数量增加时，NPT会显著增加。 公司文件的正确分类将减少DRM部署对NPT的影响。图五. 在表2中的假设条件下，与部署MS IPSec相关的总身份验证时间损失。对公司文档进行正确分类将减少DRM部署带来的身份验证时间损失影响。此外，如果组织采用适当的分类系统，与部署DRM产品相关的非生产时间和文档可用性将减少（图4、5、6、7、8）。也就是说，正确的文档分类将有助于消除DRM产品对组织效率的部分负面影响。然而，当组织的规模小于每个管理员100个成员时，NPT和可用性的差异W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275171见图6。在表2所列假设条件下，与部署移动通信系统相关的总等待时间损失。当每个管理员服务的授权用户数量增加时，总等待时间损失会显著增加。见图7。 用户可以阅读的与MS EJB部署相关的文档总数，表2中的假设。当每个管理员服务的授权用户数量增加时，用户可以阅读的文档数量会显著减少。公司文档的分类将减少DRM部署对文档可用性的影响在有文档分类和没有文档分类的情况下，建模的两个场景之间的文档数量并不显著（图4，5，6，7，8）。因此，当一个组织在计划部署DRM产品时决定是否采用更复杂的数字文件分类系统时，必须考虑组织的规模和管理员的人数172W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275见图8。在表2中的假设下，用户可以更改与部署MS EJB相关的文档总数。当每个管理员服务的授权用户数量增加时，用户可以更改的文档数量会显著减少。5结论本文应用随机Petri网方法建立了一个模型，模拟了DRM产品部署的业务过程。该模型用于量化DRM产品对组织效率的潜在影响。DRM产品使用加密来确保组织中的信息安全，以便只有授权用户才能访问文档。然而，人们发现，DRM产品减少了组织内的文件，甚至授权用户的可用性。认证过程将导致员工的非生产当授权用户由于各种原因无法打开受保护的文档并且必须等待管理员的帮助时，情况尤其如此。随机Petri网模型量化了DRM产品部署所导致的NPT，并有助于识别影响NPT的三个主要因素：用户行为、每个管理员服务的授权用户数量和文档分类。用户行为统计数据是随机Petri网模型的输入数据的一部分。它们对DRM产品产生的NPT的量有直接影响，正如模拟模型的输出一样当每个管理员服务的授权用户数量增加时，与等待来自管理员的响应相关联的NPT显著增加，尽管DRM的集中控制功能有助于限制组织内的管理员数量W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275173此外，适当的文档分类流程有助于减少部署DRM产品对运营效率的负面影响，尽管当组织规模较小或组织内有大量DRM管理员时，总之，它表明，这种基于随机Petri网的业务模型有可能被用来帮助组织量化的好处和实施DRM产品的成本，以作出合理的信息安全投资决策。引用[1] 卡巴斯基实验室，2006年欧洲内部IT威胁，http://www.viruslist.com/en/analysis? pubid=204791935（2006）。[2] IDC，Insider Risk Management：A Framework Approach to Internal Security，http://www.rsa.com/solutions/business/insider_risk/wp/10388_219105.pdf（2009）.[3] J. C. Umeh，数字版权管理之外的世界，Swindon：英国计算机协会，（2007）.[4] W. Zeng，S.E. Parkin和A. van Moorsel，Digital Rights Management，Technical Report：CS-TR-1223，School of Computing Science，Newcastle University（2010）.[5] Adobe Systems Inc.，Adobe LiveCycle Rights Management ES，http://www.adobe.com/products/livecycle/rightsmanagement/（2009）.[6] Oracle Corporation，Oracle信息权限管理，http://www.oracle.com/technology/products/content-management/irm/index.html（2009年）。[7] Microsoft Corporation，Microsoft Windows Rights Management Services for Windows Server 2003，http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx（ 2009年）。[8] Authentica（EMC）、EMC服务、http://uk.emc.com/products/category/intelligent-information-management.htm（2009年）。[9] 液体机器，液体机器文件控制，http://www.liquidmachines.com/document-control? id=1063（2009年）。[10] Avoco Secure，安全文档，http://www.avocosecure.com/htmlpages/products/secureDocuments.html（2009年）。[11] LockLounge，PDF文档安全/Web内容安全，http://www.locklizard.com/（2009）.[12] Workshare股份有限公司、Workshare保护，http://www.workshare.com/products/wsprotect/default.aspx（2009年）。[13] M.H. van Beek，Comparison of Enterprise Digital Rights Management systems，Advice report，AiaSoftware（2007）.[14] M. A.马尔桑湾Balbo，G. Conte，S. Donatelli和G. Franceschinis，Modeling with Generalized StochasticPetri Nets，Wiley Series on Parallel Computing（1995）.[15] W. M.李国忠，应用Petri网于工作流程管理，国立成功大学电机工程研究所硕士论文，1998年。[16] N. R. Adam，V. K.黄文，工作流的Petri网建模与分析，智能信息系统学报10（1998）131-158。[17] K. Salimifard和M. Wright，基于Petri网的工作流系统建模：综述，欧洲运筹学杂志134（2001）664-676。[18] T. Murata，Petri nets：Properties，Analysis and Applications，Proceedings of the IEEE77（1989）541-580。174W. Zeng，中国茶青冈A.van Moorsel/Electronic Notes in Theoretical Computer Science 275[19] W. H. Sanders，Mobius用户手册，版本2.2.1，伊利诺伊大学（2008年）。[20] W. H. Sanders和J.F. Meyer，A Unified Approach for Comprehensive Measure of Performance，Dependability，and Perform ability，Dependency Computing for Critical Applications4（1991）215-237.[21] D. Sohn，Evaluating DRM：Building a Marketplace for the Convergent World，Version 1.0（2006）.[22] A. Jaquith，《安全性：取代恐惧、不确定性和怀疑》，Pearson Education。Inc. （2007年）。[23] E. Humphreys，信息安全风险管理，英国标准协会（2010）。[24] Microsoft Corporation，Active Directory，http://technet.microsoft.com/enus/library/bb742424。aspx（2010）。[25] Microsoft Corporation，2007 Microsoft Office System中的信息权限管理，http：//office.microsoft.com/enus/help/HA101029181033.aspx#1（2010年）。[26] A. Stephanou，信息安全意识培训对信息安全行为的影响，威特沃特斯兰德大学研究报告（2008）。