《{企业风险管理}第06讲OCTAVE风险评估办法》由会员分享,可在线阅读,更多相关《{企业风险管理}第06讲OCTAVE风险评估办法(70页珍藏版)》请在金锄头文库上搜索。
1、信息安全工程学,六、OCTAVE风险评估方法,需要大家知道的,什么是OCTAVE? 什么是OCTAVE准则(Criterion)? 什么是OCTAVE方法(Method)? 二者的关系? OCTAVE的三个阶段,主要资料来源,OCTAVE,什么是OCTAVE? OCTAVE准则(Criterion) OCTAVE方法(Method),什么是OCTAVE?,Operationally Critical Threat, Asset, and Vulnerability Evaluation 卡内基-梅隆大学,软件工程学院(SEI) 定义了一套唯一的准则,说明OCTAVE风险评估的原则、属性,和评估
2、应该输出的信息 可以有多种符合OCTAVE准则的评估方法,只要依照该方法进行的评估能够输出OCTAVE准则要求的输出信息。,什么是OCTAVE?,OCTAVE是一种“自我导向(Self-Oriented)”的风险评估,即由组织内部的人员对组织自身进行评估 OCTAVE是一种组合评估途径 先对组织范围内的信息资产进行基线评估,再对“关键资产(Critical Assets)”进行详细评估 OCTAVE强调了管理因素,即风险评估要同时从组织层面(较高抽象层次)和技术层面(较低抽象层次)来进行,OCTAVE,什么是OCTAVE? OCTAVE准则(Criterion) OCTAVE方法(Method
3、),OCTAVE准则(Criterion),是OCTAVE的核心内容 规定了OCTAVE风险评估的三个阶段 规定了OCTAVE风险评估的: 原则(Principle) 属性(Attribute) 输出(Output),OCTAVE评估的3个阶段,阶段1:建立基于资产的威胁文件(Build Asset-Based Threat Profiles) 阶段2:识别基础设施脆弱性(Identify Infrastructure Vulnerabilities) 阶段3:制定安全战略和(风险控制)计划(Develop Security Strategy and Plans),OCTAVE评估的3个阶段,
4、阶段1:建立基于资产的威胁文件 主要是在组织管理层面上识别风险; 确定哪些信息相关的资产对组织来说是重要的; 目前对这些重要资产做了哪些保护措施; 评估组挑选那些对组织来说最为重要的资产,并描述针对他们的安全需要; 最后确定这些重要资产所面临的威胁,并确定组织的基于资产的威胁文件。,OCTAVE评估的3个阶段,阶段2:识别基础设施的脆弱性 这一阶段,将从技术层面识别关键资产的脆弱性。实际上是对与该资产相对应的信息系统组件的脆弱性分析。 确定各个重要资产相关的信息技术组件; 确定每一个这样的组件的抗攻击的能力,OCTAVE评估的3个阶段,阶段3:制定安全战略和(风险控制)计划 确定出每个重要信息
5、资产所面临的风险; 决定能够对这些风险做些什么; 制定出组织保护策略和风险消减计划以降低组织重要信息资产的风险,OCTAVE 的原则、属性和输出,什么是原则(Principal)? 原则:驱动风险评估的一些基本概念和存在于风险评估过程背后的原理性内容。 原则决定了整个风险评估中要执行的各种任务,并为评估过程提供了参考基准。 例如,“自评估”就是一条原则。自评估的概念意味着组织内部的人士是领导评估开展和制定决策的最佳人选。,原则共有10条,分成3类 信息安全风险评估原则 自评估、可适应措施、已定义的过程、评估过程连续性 风险管理原则 向前看、集中精力在少数关键资产上、整体管理 组织和文化原则 开
6、放交流、全局观念、集体合作,OCTAVE 的原则、属性和输出,OCTAVE 的原则、属性和输出,什么是属性(Attribute)? 属性:评估的一些显著特点和特征 是对评估的一些要求。这些要求确定了OCTAVE风险评估的基本元素,和确定哪些东西是保证OCTAVE风险评估能够成功完成的。 属性是由OCTAVE原则决定的。 例如,“从组织内部选择一些跨部门的工作人员构成评估领导小组”是OCTAVE的一个属性,存在于这项属性背后的原则就是“自评估”原则。,OCTAVE 的原则、属性和输出,OCTAVE原则和属性的对照表,OCTAVE 的原则、属性和输出,OCTAVE原则和属性的对照表(续),OCTA
7、VE 的原则、属性和输出,OCTAVE原则和属性的对照表(续),OCTAVE 的原则、属性和输出,OCTAVE原则和属性的对照表(续),OCTAVE 的原则、属性和输出,什么是输出(Output)? 每一评估阶段的阶段性成果,它们决定了在每一个评估阶段中,评估领导小组和其它参与评估的人员必须完成的一些任务(正式这些任务产生了输出)。 评估活动的输出结果被按阶段分配在三个评估阶段中。,OCTAVE 的原则、属性和输出,OCTAVE,什么是OCTAVE? OCTAVE准则(Criterion) OCTAVE方法(Method),OCTAVE 方法(Method),什么是OCTAVE方法? OCTA
8、VE方法是一种具体的风险评估方法,根据它你可以执行一次实际的风险评估。 OCTAVE方法完全遵从前面介绍的OCTAVE准则,即它遵守所有原则,具备所有属性,并且提供规定的输出。 遵从OCTAVE准则的方法不只一种。由卡内基梅隆提供的就有两种: OCTAVE方法,适合大中型组织(一般要超过300员工)的风险评估 OCTAVE-S方法,适合小型组织风险评估,OCTAVE 方法(Method),OCTAVE方法中的过程(Process) 8个过程,分布在前述三个阶段中执行 过程1:标识高层管理知识; 过程2:标识业务区域知识; 过程3:标识一般员工知识; 过程4:创建威胁文件; 过程5:标识关键组件
9、; 过程6:评估所选组件; 过程7:执行风险分析; 过程8:制定战略。 每个过程中有若干任务(Activity)要执行,执行后会输出一些信息。对于OCTAVE方法来说,这些信息与OCTAVE准则中规定的输出是一致的。,OCTAVE 方法(Method),OCTAVE方法强调人员的交流和协作,依靠多次的研讨会来获取信息 前3个过程,研讨会参与者主要是评估组和组织各个管理层次的员工,目的是全面了解资产、威胁、脆弱性、现有安全措施等信息 后面过程中的研讨会主要由评估组或专业人员参与,目的是讨论、分析已有资料,并给出结论。,一个案例,一个中等规模的医院:MedSite医院,包括几类职能机构: 一个常设
10、的行政管理机构:院长办公室; 一些常设的和临时的业务机构,如业务科室、实验室和下辖诊所等; 一些常设和临时的后勤机构; 一个小规模(3人)的IT部门,负责网络和设备维护;,一个案例,MedSite的组织结构: 院长为最高领导; 几个分管副院长,分别分管业务、后勤等职能机构;“高层领导”包括院长和副院长; 每类职能机构中有若干科室,如业务科室(内科,外科,放射科等),后勤科室(保卫科,IT部,后勤处等),也可以是异地的诊所。科室负责人是中层领导。,一个案例,MedSite的信息系统: 患者信息系统(PIDS),包括PIDS服务器,局域网,终端PC等。还链接若干小型数据库,保存患者信息、诊断记录、
11、检查结果、帐单等信息 一个独立的提供商:ABC Systems,提供MedSite的大部分IT设备,并对MedSite的IT人员给予培训。 MedSite想使用OCTAVE方法,评估本组织的风险,OCTAVE 方法(Method),风险评估的准备 阶段1:建立基于资产的威胁文件 阶段2:识别基础设施脆弱性 阶段3:制定安全战略和(风险控制)计划,风险评估的准备,争取高层管理者的支持 没有领导的批准,评估不能进行。 挑选评估小组成员 评估小组应由各个业务部门的人员组成,而不只是IT部门。 评估小组主持评估过程的进行,并分析信息,给出结论。 小组成员应具备充分的能力,并且胜任主持评估过程的工作。
12、小组成员应知道在什么时候补充人员,以便扩充小组的知识面。,风险评估的准备,设置合适的评估范围(涉及的业务区域) OCTAVE评估要覆盖全部的组织重要资产。但是评估范围不应过大。如果评估范围选的过大评估小组获取和分析风险相关的信息将会变的非常困难。如果范围选的过小,得出的评估结果将不能准确反映出系统风险的真实情况。 挑选风险评估参与者 OCTAVE方法,是一个交互性很强的方法。在各个阶段的各个过程中都要执行多个任务,进行多次研讨会,每个过程中都会涉及评估组以外的参与者,风险评估的准备,各个过程的参与者,风险评估的准备,建立适当的后勤保证(主要是研讨会的会务准备工作) 评估日程表 前期准备、各个任
13、务以及研讨会的时间安排 提供会议室和设备 白板、投影仪 处理计划外事件 根据需要临时决定召开额外的研讨会,MedSite的风险评估准备,正副院长都同意评估并允诺给予支持 评估组的组成: Lee(外科主任),评估组负责人; Susan(档案科职员),书记员; Sunny(IT人员); Kris(后勤处副处长),负责后勤工作,兼职; Ruis(IT职员),作为Sunny的替补。,MedSite的风险评估准备,评估参与人员 高层领导(参与过程1): Peter,院长; White,分管诊疗业务的副院长; M.Sunny,分管医药的副院长; Alice,分管病理学研究的副院长; Chen,分管各下辖诊
14、所的副院长 中层领导以及评估涉及的科室(参与过程2): J.D.Alex,IT经理; Bob,门诊科主任; Stone,住院部主任; Christina,病理学实验室主任;,MedSite的风险评估准备,评估参与人员 普通职员: IT部,Jack、Winston; 门诊部,Peter.Liu、Farris; 住院部,Alan, Joyce 实验室,Johnson, Rose,MedSite的风险评估准备,评估日程 略。,OCTAVE 方法(Method),风险评估的准备 阶段1:建立基于资产的威胁文件 阶段2:识别基础设施脆弱性 阶段3:制定安全战略和(风险控制)计划,阶段1:建立基于资产的威
15、胁文件,过程1:标识高层管理知识; 过程2:标识业务区域知识; 过程3:标识一般员工知识; 过程4:创建威胁文件;,过程1、2、3,前三过程,评估组分别与高层领导、中层领导和一般员工进行研讨会,听取他们对什么是重要的信息资产,以及当前保护状况的看法。 这三步中要执行四个任务: 标识组织重要资产和它们对组织的重要程度; 列举出所有信息资产,并确定那些是重要资产 标识安全要关心的内容(威胁、影响); 描述可能的威胁,和影响 标识组织重要资产的安全需要; 识别每个资产的安全需要,划分优先级 标识当前的组织安全措施以及组织脆弱性(管理层面上的脆弱性); 检查已有的措施,与良好安全实践列表相比较(基线评
16、估),过程1、2、3(MedSite),MedSite重要资产目录 PIDS:这个系统负责着大部分患者数据的管理,是医院最重要信息资产; 纸制药单:遗失后没法重建的资料; FRKS:财务系统。涉及经济命脉,重要; 医护人员资格证书:这是行医的本钱!,过程1、2、3(MedSite),列举MedSite中PIDS所面临的威胁: 访问非授权数据 蓄意的输入错误数据 断电、洪水 系统事故 其它在研讨会中被人提出的可能威胁事件,过程1、2、3(MedSite),列举影响: 员工蓄意输入错误数据,可能导致: 影响员工的工作情绪和积极性; 影响病人的生命; 断电、洪水等,可能导致: 医院不能提供及时有效的医疗服务 其它被人提出来的可能影响,过程1、2、3(MedSite),PIDS的安全需要: 可用性 PIDS需要保持每天24小时可用; 保密性 信息需要保密; 对于非法的信息访问,一经发现要起诉到法院 完整性 ,过程1、2、
