OCAVE风险评估方法

信息安全工程学六、OCTAVE风险评估方法需要大家知道的什么是OCTAVE？什么是OCTAVE准则（Criterion）?什么是OCTAVE方法（Method）？二者的关系？OCTAVE的三个阶段主要资料来源OCTAVE什么是OCTAVE？OCTAVE准则（Criterion）OCTAVE方法（Method）什么是OCTAVE？OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation卡内基-梅隆大学，软件工程学院（SEI）定义了一套唯一的准则，说明OCTAVE风险评估的原则、属性，和评估应该输出的信息可以有多种符合OCTAVE准则的评估方法，只要依照该方法进行的评估能够输出OCTAVE准则要求的输出信息。什么是OCTAVE？OCTAVE是一种“自我导向（Self-Oriented）”的风险评估，即由组织内部的人员对组织自身进行评估OCTAVE是一种组合评估途径先对组织范围内的信息资产进行基线评估，再对“关键资产（CriticalAssets）”进行详细评估OCTAVE强调了管理因素，即风险评估要同时从组织层面（较高抽象层次）和技术层面（较低抽象层次）来进行OCTAVE什么是OCTAVE？OCTAVE准则（Criterion）OCTAVE方法（Method）OCTAVE准则（Criterion）是OCTAVE的核心内容规定了OCTAVE风险评估的三个阶段规定了OCTAVE风险评估的：原则（Principle）属性（Attribute）输出（Output）OCTAVE评估的3个阶段阶段1：建立基于资产的威胁文件（BuildAsset-BasedThreatProfiles）阶段2：识别基础设施脆弱性（IdentifyInfrastructureVulnerabilities）阶段3：制定安全战略和（风险控制）计划（DevelopSecurityStrategyandPlans）OCTAVE评估的3个阶段阶段1：建立基于资产的威胁文件主要是在组织管理层面上识别风险；确定哪些信息相关的资产对组织来说是重要的；目前对这些重要资产做了哪些保护措施；评估组挑选那些对组织来说最为重要的资产，并描述针对他们的安全需要；最后确定这些重要资产所面临的威胁，并确定组织的基于资产的威胁文件。OCTAVE评评估的的3个个阶段段阶段2：识识别基基础设设施的的脆弱弱性这一阶阶段，，将从从技术术层面面识别别关键键资产产的脆脆弱性性。实实际上上是对对与该该资产产相对对应的的信息息系统统组件件的脆脆弱性性分析析。确定各各个重重要资资产相相关的的信息息技术术组件件；确定每每一个个这样样的组组件的的抗攻攻击的的能力力OCTAVE评评估的的3个个阶段段阶段3：制制定安安全战战略和和（风风险控控制））计划划确定出出每个个重要要信息息资产产所面面临的的风险险；决定能能够对对这些些风险险做些些什么么；制定出出组织织保护护策略略和风风险消消减计计划以以降低低组织织重要要信息息资产产的风风险OCTAVE的的原原则、、属性性和输输出什么是是原则则（Principal）？？原则：：驱动动风险险评估估的一一些基基本概概念和和存在在于风风险评评估过过程背背后的的原理理性内内容。。原则决决定了了整个个风险险评估估中要要执行行的各各种任任务，，并为为评估估过程程提供供了参参考基基准。。例如，，“自自评估估”就就是一一条原原则。。自评评估的的概念念意味味着组组织内内部的的人士士是领领导评评估开开展和和制定定决策策的最最佳人人选。。原则共共有10条条，分分成3类信息安安全风风险评评估原原则自评估估、可可适应应措施施、已已定义义的过过程、、评估过过程连连续性性风险管管理原原则向前看看、集集中精精力在在少数数关键键资产产上、、整体体管理理组织和和文化化原则则开放交交流、、全局局观念念、集集体合合作OCTAVE的的原原则、、属性性和输输出OCTAVE的的原原则、、属性性和输输出什么是是属性性（Attribute）？？属性：：评估估的一一些显显著特特点和和特征征是对评评估的的一些些要求求。这这些要要求确确定了了OCTAVE风险险评估估的基基本元元素，，和确确定哪哪些东东西是是保证证OCTAVE风险险评估估能够够成功功完成成的。。属性是是由OCTAVE原原则决决定的的。例如，，“从从组织织内部部选择择一些些跨部部门的的工作作人员员构成成评估估领导导小组组”是是OCTAVE的一一个属属性，，存在在于这这项属属性背背后的的原则则就是是“自自评估估”原原则。。OCTAVE的的原原则、、属性性和输输出OCTAVE原原则则和和属属性性的的对对照照表表原则原则解释属性自评估风险评估由组织内部人来执行RA.1建立由组织成员组成的评估小组RA.2扩充评估小组的评估能力

可适应措施风险评估需要得到诸如已有安全措施、威胁来源等的列表，这些列表的内容可以随着环境变化和技术的进步而加以变更。RA.3建立良好安全实践的目录RA.4产生威胁文件RA.5建立脆弱性目录

已定义过程评估的过程和步骤必须是已经定义好的和标准化的。其中要指定人员责任，确定要执行的任务，定义要用到工具和表格，定义最终报告的格式等。RA.6定义评估过程RA.7文档化评估结果RA.8确定评估范围

OCTAVE的的原原则则、、属属性性和和输输出出OCTAVE原原则则和和属属性性的的对对照照表表（（续续））原则原则解释属性为风险管理的良性循环打好基础

要按照标准的步骤评估，依据评估结果而制定的战略和计划要能经的起时间和环境变化的考验。RA.9计划下一步任务RA.3建立良好实践的目录

向前看用发展的眼光看待问题，要考虑随着时间和环境变化而引起的当前不确定的风险RA.10评估活动集中关注风险

集中精力在少数关键资产上不可能面面俱到，什么都保护。要集中资源保护最重要的信息资产。RA.8确定评估范围RA.11评估活动重点集中在重要资产上

OCTAVE的的原原则则、、属属性性和和输输出出OCTAVE原原则则和和属属性性的的对对照照表表（（续续））原则原则解释属性整体管理

制定安全战略和计划的时候，要放眼整个信息系统，在安全保护和系统业务能力上做权衡RA.12关注组织和技术问题RA.13强调业务部门和IT的参与RA.14高层领导的参与开放交流评估需要各部门协作；鼓励在所有的管理层次都鼓励交流有关风险的信息；要重视每个人的意见。RA.15多部门协作的方法

全局观念

要广泛征求每个人的意见，综合考虑每个方面的因素，以确定什么信息资产对组织是重要的。RA.12关注组织和技术问题RA.13强调业务部门和IT的参与OCTAVE的的原原则则、、属属性性和和输输出出OCTAVE原原则则和和属属性性的的对对照照表表（（续续））原则原则解释属性集体合作

评估领导小组应该由各个部门的人员组成；当评估小组的人员能力不够分析某资产的时候，要随时补充专业人士，以增进专业能力；所有参与的人要通力协作RA.1建立组织成员组成的评估小组RA.2扩充评估小组的评估能力RA.13强调业务部门和IT的参与OCTAVE的的原原则则、、属属性性和和输输出出什么么是是输输出出（（Output））？？每一一评评估估阶阶段段的的阶阶段段性性成成果果，，它它们们决决定定了了在在每每一一个个评评估估阶阶段段中中，，评评估估领领导导小小组组和和其其它它参参与与评评估估的的人人员员必必须须完完成成的的一一些些任任务务（（正正式式这这些些任任务务产产生生了了输输出出））。。评估估活活动动的的输输出出结结果果被被按按阶阶段段分分配配在在三三个个评评估估阶阶段段中中。。OCTAVE的的原原则则、、属属性性和和输输出出阶段输出阶段一RO1.1确定重要资产RO1.2确定重要资产的安全需求RO1.3确定重要资产面临的威胁RO1.4确定当前系统的安全活动RO1.5确定当前的组织脆弱性阶段二RO2.1确定关键技术组件RO2.2确定当前的技术脆弱性阶段三RO3.1确定重要资产面临的风险RO3.2确定风险控制措施RO3.3制定组织保护策略RO3.4制定风险消减计划OCTAVE什么么是是OCTAVE？？OCTAVE准准则则（（Criterion））OCTAVE方方法法（（Method））OCTAVE方方法法（（Method））什么么是是OCTAVE方方法法？？OCTAVE方方法法是是一一种种具具体体的的风风险险评评估估方方法法，，根根据据它它你你可可以以执执行行一一次次实实际际的的风风险险评评估估。。OCTAVE方方法法完完全全遵遵从从前前面面介介绍绍的的OCTAVE准准则则，，即即它它遵遵守守所所有有原原则则，，具具备备所所有有属属性性，，并并且且提提供供规规定定的的输输出出。。遵从从OCTAVE准准则则的的方方法法不不只只一一种种。。由由卡卡内内基基梅梅隆隆提提供供的的就就有有两两种种：：OCTAVE方方法法，，适适合合大大中中型型组组织织（（一一般般要要超超过过300员员工工））的的风风险险评评估估OCTAVE-S方方法法，，适适合合小小型型组组织织风风险险评评估估OCTAVE方方法法（（Method））OCTAVE方方法法中中的的过过程程（（Process））8个个过过程程，，分分布布在在前前述述三三个个阶阶段段中中执执行行过程程1：：标标识识高高层层管管理理知知识识；；过程程2：：标标识识业业务务区区域域知知识识；；过程程3：：标标识识一一般般员员工工知知识识；；过程程4：：创创建建威威胁胁文文件件；；过程程5：：标标识识关关键键组组件件；；过程程6：：评评估估所所选选组组件件；；过程程7：：执执行行风风险险分分析析；；过程程8：：制制定定战战略略。。每个个过过程程中中有有若若干干任任务务（（Activity））要要执执行行，，执执行行后后会会输输出出一一些些信信息息。。对对于于OCTAVE方方法法来来说说，，这这些些信信息息与与OCTAVE准准则则中中规规定定的的输输出出是是一一致致的的。。OCTAVE方方法法（（Method））OCTAVE方方法法强强调调人人员员的的交交流流和和协协作作，，依依靠靠多多次次的的研研讨讨会会来来获获取取信信息息前3个个过过程程，，研研讨讨会会参参与与者者主主要要是是评评估估组组和和组组织织各各个个管管理理层层次次的的员员工工，，目目的的是是全全面面了了解解资资产产、、威威胁胁、、脆脆弱弱性性、、现现有有安安全全措措施施等等信信息息后面面过过程程中中的的研研讨讨会会主主要要由由评评估估组组或或专专业业人人员员参参与与，，目目的的是是讨讨论论、、分分析析已已有有资资料料，，并并给给出出结结论论。。一个案例例一个中等等规模的的医院：：MedSite医院院，包括括几类职职能机构构：一个常设设的行政政管理机机构：院院长办公公室；一些常设设的和临临时的业业务机构构，如业业务科室室、实验验室和下下辖诊所所等；一些常设设和临时时的后勤勤机构；；一个小规规模（3人）的的IT部部门，负负责网络络和设备备维护；；一个案例例MedSite的组织织结构：：院长为最最高领导导；几个分管管副院长长，分别别分管业业务、后后勤等职职能机构构；“高高层领导导”包括括院长和和副院长长；每类职能能机构中中有若干干科室，，如业务务科室（（内科，，外科，，放射科科等），，后勤科科室（保保卫科，，IT部部，后勤勤处等）），也可可以是异异地的诊诊所。科科室负责责人是中中层领导导。一个案例例MedSite的信息息系统：：患者信息息系统（（PIDS），，包括PIDS服务器器，局域域网，终终端PC等。还还链接若若干小型型数据库库，保存存患者信信息、诊诊断记录录、检查查结果、、帐单等等信息一个独立立的提供供商：ABCSystems，提提供MedSite的的大部分分IT设设备，并并对MedSite的的IT人人员给予予培训。。MedSite想使用用OCTAVE方法，，评估本本组织的的风险OCTAVE方方法（（Method）风险评估估的准备备阶段1：：建立基基于资产产的威胁胁文件阶段2：：识别基基础设施施脆弱性性阶段3：：制定安安全战略略和（风风险控制制）计划划风险评估估的准备备争取高层层管理者者的支持持没有领导导的批准准，评估估不能进进行。挑选评估估小组成成员评估小组组应由各各个业务务部门的的人员组组成，而而不只是是IT部部门。评估小组组主持评评估过程程的进行行，并分分析信息息，给出出结论。。小组成员员应具备备充分的的能力，，并且胜胜任主持持评估过过程的工工作。小组成员员应知道道在什么么时候补补充人员员，以便便扩充小小组的知知识面。。风险评估估的准备备设置合适适的评估估范围（（涉及的的业务区区域）OCTAVE评评估要覆覆盖全部部的组织织重要资资产。但但是评估估范围不不应过大大。如果果评估范范围选的的过大评评估小组组获取和和分析风风险相关关的信息息将会变变的非常常困难。。如果范范围选的的过小，，得出的的评估结结果将不不能准确确反映出出系统风风险的真真实情况况。挑选风险险评估参参与者OCTAVE方方法，是是一个交交互性很很强的方方法。在在各个阶阶段的各各个过程程中都要要执行多多个任务务，进行行多次研研讨会，，每个过过程中都都会涉及及评估组组以外的的参与者者风险评估估的准备备各个过程程的参与与者过程参与者时间安排过程1至少3名高层领导½天过程2至少4名来自评估涉及的业务区域的中层领导½天过程33～4名来自评估涉及的业务区域的员工½天过程4一名具备熟练分析技巧的员工增援评估组（可选）1天………………风险评估估的准备备建立适当当的后勤勤保证（（主要是是研讨会会的会务务准备工工作）评估日程程表前期准备备、各个个任务以以及研讨讨会的时时间安排排提供会议议室和设设备白板、投投影仪………处理计划划外事件件根据需要要临时决决定召开开额外的的研讨会会MedSite的风险险评估准准备正副院长长都同意意评估并并允诺给给予支持持评估组的的组成：：Lee（（外科主主任），，评估组组负责人人；Susan（档档案科职职员），，书记员员；Sunny（（IT人员））；Kris（后后勤处副处长长），负责后后勤工作，兼兼职；Ruis（IT职员），，作为Sunny的替补补。MedSite的风险评评估准备评估参与人员员高层领导（参参与过程1））：Peter，，院长；White，，分管诊疗业业务的副院长长；M.Sunny，分管医医药的副院长长；Alice，，分管病理学学研究的副院院长；Chen，分分管各下辖诊诊所的副院长长中层领导以及及评估涉及的的科室（参与与过程2）：：J.D.Alex，IT经理；Bob，门诊诊科主任；Stone，，住院部主任任；Christina，病病理学实验室室主任；MedSite的风险评评估准备评估参与人员员普通职员：IT部，Jack、Winston；门诊部，Peter.Liu、Farris；；住院部，Alan,Joyce实验室，Johnson,RoseMedSite的风险评评估准备评估日程略。OCTAVE方法（Method）风险评估的准准备阶段1：建立立基于资产的的威胁文件阶段2：识别别基础设施脆脆弱性阶段3：制定定安全战略和和（风险控制制）计划阶段1：建立立基于资产的的威胁文件过程1：标识识高层管理知知识；过程2：标识识业务区域知知识；过程3：标识识一般员工知知识；过程4：创建建威胁文件；；过程1、2、、3前三过程，评评估组分别与与高层领导、、中层领导和和一般员工进进行研讨会，，听取他们对对什么是重要要的信息资产产，以及当前前保护状况的的看法。这三步中要执执行四个任务务：标识组织重要要资产和它们们对组织的重重要程度；列举出所有信信息资产，并并确定那些是是重要资产标识安全要关关心的内容（（威胁、影响响）；描述可能的威威胁，和影响响标识组织重要要资产的安全全需要；识别每个资产产的安全需要要，划分优先先级标识当前的组组织安全措施施以及组织脆脆弱性（管理理层面上的脆脆弱性）；检查已有的措措施，与良好好安全实践列列表相比较（（基线评估））过程1、2、、3（MedSite））MedSite重要资产产目录PIDS：这这个系统负责责着大部分患患者数据的管管理，是医院院最重要信息息资产；纸制药单：：遗失后没没法重建的的资料；FRKS：：财务系统统。涉及经经济命脉，，重要；医护人员资资格证书：：这是行医医的本钱！！过程1、2、3（MedSite）列举MedSite中PIDS所面临临的威胁：：访问非授权权数据蓄意的输入入错误数据据断电、洪水水……系统事故其它在研讨讨会中被人人提出的可可能威胁事事件过程1、2、3（MedSite）列举影响：：员工蓄意输输入错误数数据，可能能导致：影响员工的的工作情绪绪和积极性性；影响病人的的生命；断电、洪水水等，可能能导致：医院不能提提供及时有有效的医疗疗服务其它被人提提出来的可可能影响过程1、2、3（MedSite）PIDS的的安全需要要：可用性PIDS需需要保持每每天24小小时可用；；保密性信息需要保保密；对于非法的的信息访问问，一经发发现要起诉诉到法院完整性……过程1、2、3（MedSite）高层领导研讨安全意识和培训员工了解他们的安全责任和在信息安全中扮演的角色，这些情况已经记入文档并得到确认。是否不知道各部门都有足够的专家，了解各业务流程的安全执行方式。这些情况已经记入文档并得到确认。是否不知道安全战略组织业务战略中包含了安全考虑是否不知道安全战略中充分考虑了组织战略和业务目标是否不知道安全管理为信息安全活动分配了足够的资金和资源是否不知道签名：Peter职位：院长过程4：创创建威胁文文件过程4基于以上的的分析内容容建立威胁胁文件。参参加过程4中研讨会会的人员主主要是风险险评估小组组的分析人人员。主要要任务如下下：确认从过程程1到过程程3获得的的组织关于于风险的信信息；将3个过程程中经过与与各阶层人人员的研讨讨而得到的的资产、威威胁、已有有措施等信信息加以整整理总结；；确定系统的的重要资产产；确认重要资资产，并描描述为什么么将其作为为重要资产产提炼重要资资产的安全全需要；描述安全需需要，并标标识优先级级。确定重要资资产所面临临的威胁；过程4：创创建威胁文文件（MedSite））确认重要资资产纸制药单，，<选中原原因>PIDS，，<选中原原因>个人电脑，，<选中原原因>ECDS，，急诊护理理数据系统统候选的重要要资产来源源于前三个个阶段与各各阶层领导导和员工的的研讨建议确定5个左右的的重要资产产过程4：创创建威胁文文件（MedSite））PIDS系系统的资产产威胁文件件以标准的格格式给出，，在OCTAVE中中叫做“普普通威胁文文件”，是是一种树状状的表格PIDS网络访问内部外部偶然的蓄意的数据泄露数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露偶然的蓄意的数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露资产访问方式威胁源动机威胁后果PIDSABCSystems货源不足数据泄露数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断资产威胁源威胁后果断电洪水、火灾……数据泄露数据篡改数据丢失、破坏业务中断OCTAVE方法法（Method））风险评估的的准备阶段1：建建立基于资资产的威胁胁文件阶段2：识识别基础设设施脆弱性性阶段3：制制定安全战战略和（风风险控制））计划阶段2：识识别基础设设施脆弱性性过程5：标标识关键组组件过程6：评评估所选组组件过程5：标标识关键组组件依据过程4中给出的的威胁信息息，决定怎怎样评估与与重要资产产相关的信信息系统基基础设施，，如计算机机、网络设设备等。包含两个任任务：标识关键的的组件类别别标识Systemofinterest，，就是与重重要资产相相关的某些些信息系统统组件的集集合。识别关键的的组件类别别。例如服服务器、网网络组件等等标识要检查查的组件（（回忆一下下“集中精精力在少数数关键资产产上”的原原则）选择特定组组件选择评估的的方式（谁谁来做评估估？用到哪哪些工具手手段？）这个任务的的目的就是是在每个关关键的组件件类别中选选择足够的的组件，以以便对重要要资产的脆脆弱性有充充分的了解解过程5：标标识关键组组件（MedSite）Systemofinterest列表表资产SystemofinterestPIDSPIDS系统本身ECDSECDS系统本身个人计算机计算机本身（它们也是PIDS或ECDS的子系统）过程5：标标识关键组组件（MedSite）PIDS关关键组件类类别组件类别认定为关键类别的原因*服务器要管理患者信息*网络组件路由器和交换机，内部网络通信的基础设施*安全组件防火墙，对外来访问的主要把关设备*工作站所有的内部访问都是从工作站发起的*家庭电脑医生可以用它们访问和更新患者记录笔记本电脑无线组件过程5：标标识关键组组件（MedSite）要检查的组组件关键组件IP地址谁来评估工具为什么用这种方式评估办公室电脑…………ABCSystems派人使用工具评估，MedSite的人协助脆弱性扫描器：V-R-FoundV6.73等这些工具是ABCSystems常用的，它们熟悉，而我们的IT人员不熟悉。家庭电脑…………防火墙…………PIDS服务器…………ECDS服务器…………路由器…………要检查的组组件列表过程6：评评估选定的的组件数据收集、、分析，确确定风险本阶段任务务：对选定的组组件，使用用脆弱性评评估工具在进行本阶阶段的研讨讨会之前，，掌握脆弱弱性情况运行脆弱性性评估工具具准备初步的的脆弱性总总结报告复查脆弱性性信息，给给出最后的的总结报告告讨论提炼初初步脆弱性性报告，给给出最终报报告过程6：评评估选定的的组件（MedSite）关键组件IP地址扫描完成？办公室电脑…………YES家庭电脑…………NO。无权操作私人物品防火墙…………YESPIDS服务器…………YESECDS服务器…………YES路由器…………YES脆弱性评估估工具使用用情况过程6：评评估选定的的组件（MedSite）脆弱性级别描述高必须24小时内采取措施中必须一个月内采取措施低先不管，或以后再说脆弱性级别别过程6：评评估选定的的组件（MedSite）脆弱性报告告关键组件IP地址工具脆弱点总结办公室电脑…………V-R-FoundV6.733个中等脆弱点20个低等脆弱点家庭电脑…………..防火墙…………..3个中等脆弱点20个低等脆弱点PIDS服务器…………..3个中等脆弱点20个低等脆弱点ECDS服务器…………..………………路由器…………..………………OCTAVE方法法（Method））风险评估的的准备阶段1：建建立基于资资产的威胁胁文件阶段2：识识别基础设设施脆弱性性阶段3：制制定安全战战略和（风风险控制））计划阶段3：制制定安全战战略和（风风险控制））计划过程7：执执行风险分分析过程8：制制定战略过程7：执执行风险分分析执行风险分分析，确定定风险信息息三个任务：：识别影响确认威胁事事件造成的的后果会对对业务产生生什么损害害建立风险评评估准则这里指的是是衡量风险险高、中、、低的标准准