第06讲 OCTAVE风险评估方法

信息安全工程学六、OCTAVE风险评估方法需要大家知道的什么是OCTAVE？什么是OCTAVE准则（Criterion）?什么是OCTAVE方法（Method）？二者的关系？OCTAVE的三个阶段主要资料来源[美]ChristopherAlberts,AudreyDorofee著，“ManagingInformationSecurityRisks—TheOCTAVEApproach”OCTAVESMCriteria,Version2.0什么是OCTAVE？OCTAVE准则（Criterion）OCTAVE方法（Method）什么是OCTAVE？OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation卡内基-梅隆大学，软件工程学院（SEI）定义了一套唯一的准则，说明OCTAVE风险评估的原则、属性，和评估应该输出的信息可以有多种符合OCTAVE准则的评估方法，只要依照该方法进行的评估能够输出OCTAVE准则要求的输出信息。什么是OCTAVE？OCTAVE是一种“自我导向（Self-Oriented）”的风险评估，即由组织内部的人员对组织自身进行评估OCTAVE是一种组合评估途径先对组织范围内的信息资产进行基线评估，再对“关键资产（CriticalAssets）”进行详细评估OCTAVE强调了管理因素，即风险评估要同时从组织层面（较高抽象层次）和技术层面（较低抽象层次）来进行OCTAVE什么是OCTAVE？OCTAVE准则（Criterion）OCTAVE方法（Method）OCTAVE准则（Criterion）是OCTAVE的核心内容规定了OCTAVE风险评估的三个阶段规定了OCTAVE风险评估的：原则（Principle）属性（Attribute）输出（Output）OCTAVE评估的3个阶段阶段1：建立基于资产的威胁文件（BuildAsset-BasedThreatProfiles）阶段2：识别基础设施脆弱性（IdentifyInfrastructureVulnerabilities）阶段3：制定安全战略和（风险控制）计划（DevelopSecurityStrategyandPlans）OCTAVE评估的3个阶段阶段1：建立基于资产的威胁文件主要是在组织管理层面上识别风险；确定哪些信息相关的资产对组织来说是重要的；目前对这些重要资产做了哪些保护措施；评估组挑选那些对组织来说最为重要的资产，并描述针对他们的安全需要；最后确定这些重要资产所面临的威胁，并确定组织的基于资产的威胁文件。OCTAVE评估的3个阶段阶段2：识别基础设施的脆弱性这一阶段，将从技术层面识别关键资产的脆弱性。实际上是对与该资产相对应的信息系统组件的脆弱性分析。确定各个重要资产相关的信息技术组件；确定每一个这样的组件的抗攻击的能力OCTAVE评估的3个阶段阶段3：制定安全战略和（风险控制）计划确定出每个重要信息资产所面临的风险；决定能够对这些风险做些什么；制定出组织保护策略和风险消减计划以降低组织重要信息资产的风险OCTAVE的原则、属性和输出什么是原则（Principal）？原则：驱动风险评估的一些基本概念和存在于风险评估过程背后的原理性内容。原则决定了整个风险评估中要执行的各种任务，并为评估过程提供了参考基准。例如，“自评估”就是一条原则。自评估的概念意味着组织内部的人士是领导评估开展和制定决策的最佳人选。原则共有10条，分成3类信息安全风险评估原则自评估、可适应措施、已定义的过程、评估过程连续性风险管理原则向前看、集中精力在少数关键资产上、整体管理组织和文化原则开放交流、全局观念、集体合作OCTAVE的原则、属性和输出OCTAVE的原则、属性和输出什么是属性（Attribute）？属性：评估的一些显著特点和特征是对评估的一些要求。这些要求确定了OCTAVE风险评估的基本元素，和确定哪些东西是保证OCTAVE风险评估能够成功完成的。属性是由OCTAVE原则决定的。例如，“从组织内部选择一些跨部门的工作人员构成评估领导小组”是OCTAVE的一个属性，存在于这项属性背后的原则就是“自评估”原则。OCTAVE的原则、属性和输出OCTAVE原则和属性的对照表原则原则解释属性自评估风险评估由组织内部人来执行RA.1建立由组织成员组成的评估小组RA.2扩充评估小组的评估能力可适应措施风险评估需要得到诸如已有安全措施、威胁来源等的列表，这些列表的内容可以随着环境变化和技术的进步而加以变更。RA.3建立良好安全实践的目录RA.4产生威胁文件RA.5建立脆弱性目录已定义过程评估的过程和步骤必须是已经定义好的和标准化的。其中要指定人员责任，确定要执行的任务，定义要用到工具和表格，定义最终报告的格式等。RA.6定义评估过程RA.7文档化评估结果RA.8确定评估范围OCTAVE的原则、属性和输出OCTAVE原则和属性的对照表（续）原则原则解释属性为风险管理的良性循环打好基础要按照标准的步骤评估，依据评估结果而制定的战略和计划要能经的起时间和环境变化的考验。RA.9计划下一步任务RA.3建立良好实践的目录向前看用发展的眼光看待问题，要考虑随着时间和环境变化而引起的当前不确定的风险RA.10评估活动集中关注风险集中精力在少数关键资产上不可能面面俱到，什么都保护。要集中资源保护最重要的信息资产。RA.8确定评估范围RA.11评估活动重点集中在重要资产上OCTAVE的原则、属性和输出OCTAVE原则和属性的对照表（续）原则原则解释属性整体管理制定安全战略和计划的时候，要放眼整个信息系统，在安全保护和系统业务能力上做权衡RA.12关注组织和技术问题RA.13强调业务部门和IT的参与RA.14高层领导的参与开放交流评估需要各部门协作；鼓励在所有的管理层次都鼓励交流有关风险的信息；要重视每个人的意见。RA.15多部门协作的方法全局观念要广泛征求每个人的意见，综合考虑每个方面的因素，以确定什么信息资产对组织是重要的。RA.12关注组织和技术问题RA.13强调业务部门和IT的参与OCTAVE的原则、属性和输出OCTAVE原则和属性的对照表（续）原则原则解释属性集体合作评估领导小组应该由各个部门的人员组成；当评估小组的人员能力不够分析某资产的时候，要随时补充专业人士，以增进专业能力；所有参与的人要通力协作RA.1建立组织成员组成的评估小组RA.2扩充评估小组的评估能力RA.13强调业务部门和IT的参与OCTAVE的原则、属性和输出什么是输出（Output）？每一评估阶段的阶段性成果，它们决定了在每一个评估阶段中，评估领导小组和其它参与评估的人员必须完成的一些任务（正式这些任务产生了输出）。评估活动的输出结果被按阶段分配在三个评估阶段中。OCTAVE的原则、属性和输出阶段输出阶段一RO1.1确定重要资产RO1.2确定重要资产的安全需求RO1.3确定重要资产面临的威胁RO1.4确定当前系统的安全活动RO1.5确定当前的组织脆弱性阶段二RO2.1确定关键技术组件RO2.2确定当前的技术脆弱性阶段三RO3.1确定重要资产面临的风险RO3.2确定风险控制措施RO3.3制定组织保护策略RO3.4制定风险消减计划OCTAVE什么是OCTAVE？OCTAVE准则（Criterion）OCTAVE方法（Method）OCTAVE方法（Method）什么是OCTAVE方法？OCTAVE方法是一种具体的风险评估方法，根据它你可以执行一次实际的风险评估。OCTAVE方法完全遵从前面介绍的OCTAVE准则，即它遵守所有原则，具备所有属性，并且提供规定的输出。遵从OCTAVE准则的方法不只一种。由卡内基梅隆提供的就有两种：OCTAVE方法，适合大中型组织（一般要超过300员工）的风险评估OCTAVE-S方法，适合小型组织风险评估OCTAVE方法（Method）OCTAVE方法中的过程（Process）8个过程，分布在前述三个阶段中执行过程1：标识高层管理知识；过程2：标识业务区域知识；过程3：标识一般员工知识；过程4：创建威胁文件；过程5：标识关键组件；过程6：评估所选组件；过程7：执行风险分析；过程8：制定战略。每个过程中有若干任务（Activity）要执行，执行后会输出一些信息。对于OCTAVE方法来说，这些信息与OCTAVE准则中规定的输出是一致的。OCTAVE方法（Method）OCTAVE方法强调人员的交流和协作，依靠多次的研讨会来获取信息前3个过程，研讨会参与者主要是评估组和组织各个管理层次的员工，目的是全面了解资产、威胁、脆弱性、现有安全措施等信息后面过程中的研讨会主要由评估组或专业人员参与，目的是讨论、分析已有资料，并给出结论。一个案例一个中等规模的医院：MedSite医院，包括几类职能机构：一个常设的行政管理机构：院长办公室；一些常设的和临时的业务机构，如业务科室、实验室和下辖诊所等；一些常设和临时的后勤机构；一个小规模（3人）的IT部门，负责网络和设备维护；一个案例MedSite的组织结构：院长为最高领导；几个分管副院长，分别分管业务、后勤等职能机构；“高层领导”包括院长和副院长；每类职能机构中有若干科室，如业务科室（内科，外科，放射科等），后勤科室（保卫科，IT部，后勤处等），也可以是异地的诊所。科室负责人是中层领导。一个案例MedSite的信息系统：患者信息系统（PIDS），包括PIDS服务器，局域网，终端PC等。还链接若干小型数据库，保存患者信息、诊断记录、检查结果、帐单等信息一个独立的提供商：ABCSystems，提供MedSite的大部分IT设备，并对MedSite的IT人员给予培训。MedSite想使用OCTAVE方法，评估本组织的风险OCTAVE方法（Method）风险评估的准备阶段1：建立基于资产的威胁文件阶段2：识别基础设施脆弱性阶段3：制定安全战略和（风险控制）计划风险评估的准备争取高层管理者的支持没有领导的批准，评估不能进行。挑选评估小组成员评估小组应由各个业务部门的人员组成，而不只是IT部门。评估小组主持评估过程的进行，并分析信息，给出结论。小组成员应具备充分的能力，并且胜任主持评估过程的工作。小组成员应知道在什么时候补充人员，以便扩充小组的知识面。风险评估的准备设置合适的评估范围（涉及的业务区域）OCTAVE评估要覆盖全部的组织重要资产。但是评估范围不应过大。如果评估范围选的过大评估小组获取和分析风险相关的信息将会变的非常困难。如果范围选的过小，得出的评估结果将不能准确反映出系统风险的真实情况。挑选风险评估参与者OCTAVE方法，是一个交互性很强的方法。在各个阶段的各个过程中都要执行多个任务，进行多次研讨会，每个过程中都会涉及评估组以外的参与者风险评估的准备各个过程的参与者过程参与者时间安排过程1至少3名高层领导½天过程2至少4名来自评估涉及的业务区域的中层领导½天过程33～4名来自评估涉及的业务区域的员工½天过程4一名具备熟练分析技巧的员工增援评估组（可选）1天………………风险评估的准备建立适当的后勤保证（主要是研讨会的会务准备工作）评估日程表前期准备、各个任务以及研讨会的时间安排提供会议室和设备白板、投影仪……处理计划外事件根据需要临时决定召开额外的研讨会MedSite的风险评估准备正副院长都同意评估并允诺给予支持评估组的组成：Lee（外科主任），评估组负责人；Susan（档案科职员），书记员；Sunny（IT人员）；Kris（后勤处副处长），负责后勤工作，兼职；Ruis（IT职员），作为Sunny的替补。MedSite的风险评估准备评估参与人员高层领导（参与过程1）：Pe