1、信息安全工程学,六、OCTAVE风险评估方法,需要大家知道的,什么是OCTAVE?什么是OCTAVE准则(Criterion)?什么是OCTAVE方法(Method)?二者的关系?OCTAVE的三个阶段,主要资料来源,美Christopher Alberts, Audrey Dorofee著,“Managing Information Security RisksThe OCTAVE Approach”OCTAVESM Criteria, Version 2.0http:/www.cert.org/octave/,OCTAVE,什么是OCTAVE?OCTAVE准则(Criterion)OCTA
2、VE方法(Method),什么是OCTAVE?,Operationally Critical Threat, Asset, and Vulnerability Evaluation卡内基-梅隆大学,软件工程学院(SEI)定义了一套唯一的准则,说明OCTAVE风险评估的原则、属性,和评估应该输出的信息可以有多种符合OCTAVE准则的评估方法,只要依照该方法进行的评估能够输出OCTAVE准则要求的输出信息。,什么是OCTAVE?,OCTAVE是一种“自我导向(Self-Oriented)”的风险评估,即由组织内部的人员对组织自身进行评估OCTAVE是一种组合评估途径先对组织范围内的信息资产进行基线
3、评估,再对“关键资产(Critical Assets)”进行详细评估OCTAVE强调了管理因素,即风险评估要同时从组织层面(较高抽象层次)和技术层面(较低抽象层次)来进行,OCTAVE,什么是OCTAVE?OCTAVE准则(Criterion)OCTAVE方法(Method),OCTAVE准则(Criterion),是OCTAVE的核心内容规定了OCTAVE风险评估的三个阶段规定了OCTAVE风险评估的:原则(Principle)属性(Attribute)输出(Output),OCTAVE评估的3个阶段,阶段1:建立基于资产的威胁文件(Build Asset-Based Threat Prof
4、iles)阶段2:识别基础设施脆弱性(Identify Infrastructure Vulnerabilities)阶段3:制定安全战略和(风险控制)计划(Develop Security Strategy and Plans),OCTAVE评估的3个阶段,阶段1:建立基于资产的威胁文件主要是在组织管理层面上识别风险;确定哪些信息相关的资产对组织来说是重要的;目前对这些重要资产做了哪些保护措施;评估组挑选那些对组织来说最为重要的资产,并描述针对他们的安全需要;最后确定这些重要资产所面临的威胁,并确定组织的基于资产的威胁文件。,OCTAVE评估的3个阶段,阶段2:识别基础设施的脆弱性这一阶段,
5、将从技术层面识别关键资产的脆弱性。实际上是对与该资产相对应的信息系统组件的脆弱性分析。确定各个重要资产相关的信息技术组件;确定每一个这样的组件的抗攻击的能力,OCTAVE评估的3个阶段,阶段3:制定安全战略和(风险控制)计划确定出每个重要信息资产所面临的风险;决定能够对这些风险做些什么;制定出组织保护策略和风险消减计划以降低组织重要信息资产的风险,OCTAVE 的原则、属性和输出,什么是原则(Principal)?原则:驱动风险评估的一些基本概念和存在于风险评估过程背后的原理性内容。原则决定了整个风险评估中要执行的各种任务,并为评估过程提供了参考基准。例如,“自评估”就是一条原则。自评估的概念
6、意味着组织内部的人士是领导评估开展和制定决策的最佳人选。,原则共有10条,分成3类信息安全风险评估原则自评估、可适应措施、已定义的过程、评估过程连续性 风险管理原则向前看、集中精力在少数关键资产上、整体管理组织和文化原则开放交流、全局观念、集体合作,OCTAVE 的原则、属性和输出,OCTAVE 的原则、属性和输出,什么是属性(Attribute)?属性:评估的一些显著特点和特征是对评估的一些要求。这些要求确定了OCTAVE风险评估的基本元素,和确定哪些东西是保证OCTAVE风险评估能够成功完成的。属性是由OCTAVE原则决定的。例如,“从组织内部选择一些跨部门的工作人员构成评估领导小组”是O
7、CTAVE的一个属性,存在于这项属性背后的原则就是“自评估”原则。,OCTAVE 的原则、属性和输出,OCTAVE原则和属性的对照表,OCTAVE 的原则、属性和输出,OCTAVE原则和属性的对照表(续),OCTAVE 的原则、属性和输出,OCTAVE原则和属性的对照表(续),OCTAVE 的原则、属性和输出,OCTAVE原则和属性的对照表(续),OCTAVE 的原则、属性和输出,什么是输出(Output)?每一评估阶段的阶段性成果,它们决定了在每一个评估阶段中,评估领导小组和其它参与评估的人员必须完成的一些任务(正式这些任务产生了输出)。评估活动的输出结果被按阶段分配在三个评估阶段中。,OC
8、TAVE 的原则、属性和输出,OCTAVE,什么是OCTAVE?OCTAVE准则(Criterion)OCTAVE方法(Method),OCTAVE 方法(Method),什么是OCTAVE方法?OCTAVE方法是一种具体的风险评估方法,根据它你可以执行一次实际的风险评估。OCTAVE方法完全遵从前面介绍的OCTAVE准则,即它遵守所有原则,具备所有属性,并且提供规定的输出。遵从OCTAVE准则的方法不只一种。由卡内基梅隆提供的就有两种:OCTAVE方法,适合大中型组织(一般要超过300员工)的风险评估OCTAVE-S方法,适合小型组织风险评估,OCTAVE 方法(Method),OCTAVE
9、方法中的过程(Process)8个过程,分布在前述三个阶段中执行过程1:标识高层管理知识;过程2:标识业务区域知识;过程3:标识一般员工知识;过程4:创建威胁文件;过程5:标识关键组件;过程6:评估所选组件;过程7:执行风险分析;过程8:制定战略。每个过程中有若干任务(Activity)要执行,执行后会输出一些信息。对于OCTAVE方法来说,这些信息与OCTAVE准则中规定的输出是一致的。,OCTAVE 方法(Method),OCTAVE方法强调人员的交流和协作,依靠多次的研讨会来获取信息前3个过程,研讨会参与者主要是评估组和组织各个管理层次的员工,目的是全面了解资产、威胁、脆弱性、现有安全措
10、施等信息后面过程中的研讨会主要由评估组或专业人员参与,目的是讨论、分析已有资料,并给出结论。,一个案例,一个中等规模的医院:MedSite医院,包括几类职能机构:一个常设的行政管理机构:院长办公室;一些常设的和临时的业务机构,如业务科室、实验室和下辖诊所等;一些常设和临时的后勤机构;一个小规模(3人)的IT部门,负责网络和设备维护;,一个案例,MedSite的组织结构:院长为最高领导;几个分管副院长,分别分管业务、后勤等职能机构;“高层领导”包括院长和副院长;每类职能机构中有若干科室,如业务科室(内科,外科,放射科等),后勤科室(保卫科,IT部,后勤处等),也可以是异地的诊所。科室负责人是中层
11、领导。,一个案例,MedSite的信息系统:患者信息系统(PIDS),包括PIDS服务器,局域网,终端PC等。还链接若干小型数据库,保存患者信息、诊断记录、检查结果、帐单等信息一个独立的提供商:ABC Systems,提供MedSite的大部分IT设备,并对MedSite的IT人员给予培训。MedSite想使用OCTAVE方法,评估本组织的风险,OCTAVE 方法(Method),风险评估的准备阶段1:建立基于资产的威胁文件阶段2:识别基础设施脆弱性阶段3:制定安全战略和(风险控制)计划,风险评估的准备,争取高层管理者的支持没有领导的批准,评估不能进行。挑选评估小组成员评估小组应由各个业务部门
12、的人员组成,而不只是IT部门。评估小组主持评估过程的进行,并分析信息,给出结论。小组成员应具备充分的能力,并且胜任主持评估过程的工作。小组成员应知道在什么时候补充人员,以便扩充小组的知识面。,风险评估的准备,设置合适的评估范围(涉及的业务区域)OCTAVE评估要覆盖全部的组织重要资产。但是评估范围不应过大。如果评估范围选的过大评估小组获取和分析风险相关的信息将会变的非常困难。如果范围选的过小,得出的评估结果将不能准确反映出系统风险的真实情况。挑选风险评估参与者OCTAVE方法,是一个交互性很强的方法。在各个阶段的各个过程中都要执行多个任务,进行多次研讨会,每个过程中都会涉及评估组以外的参与者,
13、风险评估的准备,各个过程的参与者,风险评估的准备,建立适当的后勤保证(主要是研讨会的会务准备工作) 评估日程表前期准备、各个任务以及研讨会的时间安排提供会议室和设备白板、投影仪处理计划外事件根据需要临时决定召开额外的研讨会,MedSite的风险评估准备,正副院长都同意评估并允诺给予支持评估组的组成:Lee(外科主任),评估组负责人;Susan(档案科职员),书记员;Sunny(IT人员);Kris(后勤处副处长),负责后勤工作,兼职;Ruis(IT职员),作为Sunny的替补。,MedSite的风险评估准备,评估参与人员高层领导(参与过程1):Peter,院长;White,分管诊疗业务的副院长
14、;M.Sunny,分管医药的副院长;Alice,分管病理学研究的副院长;Chen,分管各下辖诊所的副院长中层领导以及评估涉及的科室(参与过程2):J.D.Alex,IT经理;Bob,门诊科主任;Stone,住院部主任;Christina,病理学实验室主任;,MedSite的风险评估准备,评估参与人员普通职员:IT部,Jack、Winston;门诊部,Peter.Liu、Farris;住院部,Alan, Joyce实验室,Johnson, Rose,MedSite的风险评估准备,评估日程略。,OCTAVE 方法(Method),风险评估的准备阶段1:建立基于资产的威胁文件阶段2:识别基础设施脆弱
15、性阶段3:制定安全战略和(风险控制)计划,阶段1:建立基于资产的威胁文件,过程1:标识高层管理知识;过程2:标识业务区域知识;过程3:标识一般员工知识;过程4:创建威胁文件;,过程1、2、3,前三过程,评估组分别与高层领导、中层领导和一般员工进行研讨会,听取他们对什么是重要的信息资产,以及当前保护状况的看法。这三步中要执行四个任务:标识组织重要资产和它们对组织的重要程度;列举出所有信息资产,并确定那些是重要资产标识安全要关心的内容(威胁、影响); 描述可能的威胁,和影响标识组织重要资产的安全需要;识别每个资产的安全需要,划分优先级标识当前的组织安全措施以及组织脆弱性(管理层面上的脆弱性);检查
16、已有的措施,与良好安全实践列表相比较(基线评估),过程1、2、3(MedSite),MedSite重要资产目录PIDS:这个系统负责着大部分患者数据的管理,是医院最重要信息资产;纸制药单:遗失后没法重建的资料;FRKS:财务系统。涉及经济命脉,重要;医护人员资格证书:这是行医的本钱!,过程1、2、3(MedSite),列举MedSite中PIDS所面临的威胁:访问非授权数据蓄意的输入错误数据断电、洪水系统事故其它在研讨会中被人提出的可能威胁事件,过程1、2、3(MedSite),列举影响:员工蓄意输入错误数据,可能导致:影响员工的工作情绪和积极性;影响病人的生命;断电、洪水等,可能导致:医院不
17、能提供及时有效的医疗服务其它被人提出来的可能影响,过程1、2、3(MedSite),PIDS的安全需要:可用性PIDS需要保持每天24小时可用;保密性信息需要保密;对于非法的信息访问,一经发现要起诉到法院完整性,过程1、2、3(MedSite),签名: Peter,职位: 院长,过程4:创建威胁文件,过程4基于以上的分析内容建立威胁文件。参加过程4中研讨会的人员主要是风险评估小组的分析人员。主要任务如下:确认从过程1到过程3获得的组织关于风险的信息;将3个过程中经过与各阶层人员的研讨而得到的资产、威胁、已有措施等信息加以整理总结;确定系统的重要资产;确认重要资产,并描述为什么将其作为重要资产提
18、炼重要资产的安全需要;描述安全需要,并标识优先级。确定重要资产所面临的威胁;,过程4:创建威胁文件( MedSite ),确认重要资产纸制药单,PIDS,个人电脑,ECDS,急诊护理数据系统候选的重要资产来源于前三个阶段与各阶层领导和员工的研讨建议确定5个左右的重要资产,过程4:创建威胁文件( MedSite ),PIDS系统的资产威胁文件以标准的格式给出,在OCTAVE中叫做“普通威胁文件”,是一种树状的表格,OCTAVE 方法(Method),风险评估的准备阶段1:建立基于资产的威胁文件阶段2:识别基础设施脆弱性阶段3:制定安全战略和(风险控制)计划,阶段2:识别基础设施脆弱性,过程5:标
19、识关键组件过程6:评估所选组件,过程5:标识关键组件,依据过程4中给出的威胁信息,决定怎样评估与重要资产相关的信息系统基础设施,如计算机、网络设备等。包含两个任务:标识关键的组件类别标识System of interest,就是与重要资产相关的某些信息系统组件的集合。识别关键的组件类别。例如服务器、网络组件等标识要检查的组件(回忆一下“集中精力在少数关键资产上”的原则)选择特定组件选择评估的方式(谁来做评估?用到哪些工具手段?)这个任务的目的就是在每个关键的组件类别中选择足够的组件,以便对重要资产的脆弱性有充分的了解,过程5:标识关键组件(MedSite),System of interest
20、 列表,过程5:标识关键组件(MedSite),PIDS关键组件类别,过程5:标识关键组件(MedSite),要检查的组件,要检查的组件列表,过程6:评估选定的组件,数据收集、分析,确定风险本阶段任务:对选定的组件,使用脆弱性评估工具在进行本阶段的研讨会之前,掌握脆弱性情况运行脆弱性评估工具准备初步的脆弱性总结报告复查脆弱性信息,给出最后的总结报告讨论提炼初步脆弱性报告,给出最终报告,过程6:评估选定的组件(MedSite),脆弱性评估工具使用情况,过程6:评估选定的组件(MedSite),脆弱性级别,过程6:评估选定的组件(MedSite),脆弱性报告,OCTAVE 方法(Method),风
21、险评估的准备阶段1:建立基于资产的威胁文件阶段2:识别基础设施脆弱性阶段3:制定安全战略和(风险控制)计划,阶段3:制定安全战略和(风险控制)计划,过程7:执行风险分析过程8:制定战略,过程7:执行风险分析,执行风险分析,确定风险信息三个任务:识别影响确认威胁事件造成的后果会对业务产生什么损害建立风险评估准则这里指的是衡量风险高、中、低的标准评估影响联合分析威胁和对应的影响,得到风险回忆上次课内容:风险可能性影响,OCTAVE方法缺少可能性因素!不过最新的版本已经加入了可能性的考虑,过程7:执行风险分析(MedSite),影响列表,过程7:执行风险分析(MedSite),影响级别描述,过程8:制定战略,决定如何改善安全态势六个任务:汇编过程13得到的信息巩固保护战略信息13过程得到的安全措施检查表,组织层面脆弱性等复查风险报告建立保护战略建立风险消减计划建立控制措施列表不再详细讲,思考题,OCTAVE准则与OCTAVE方法的关系OCTAVE方法的三个阶段对比OCTAVE方法三个阶段、10个过程与前面讲的风险分析9个步骤,看看它们的互相映射关系试着自己假想一个案例,并写出采用OCTAVE方法进行风险评估的各阶段输出,本讲结束!,
