1、LOGO信息安全工程学信息安全工程学六、OCTAVE风险评估方法需要大家知道的n什么是OCTAVE?什么是OCTAVE准则(Criterion)?什么是OCTAVE方法(Method)?二者的关系?nOCTAVE的三个阶段主要资料来源n美Christopher Alberts,Audrey Dorofee著,“Managing Information Security RisksThe OCTAVE Approach”nOCTAVESM Criteria,Version 2.0OCTAVEn什么是OCTAVE?nOCTAVE准则(Criterion)nOCTAVE方法(Method)什么是OC
2、TAVE?nOperationally Critical Threat,Asset,and Vulnerability Evaluationn卡内基-梅隆大学,软件工程学院(SEI)n定义了一套唯一的准则,说明OCTAVE风险评估的原则、属性,和评估应该输出的信息n可以有多种符合OCTAVE准则的评估方法,只要依照该方法进行的评估能够输出OCTAVE准则要求的输出信息。什么是OCTAVE?nOCTAVE是一种“自我导向(Self-Oriented)”的风险评估,即由组织内部的人员对组织自身进行评估nOCTAVE是一种组合评估途径先对组织范围内的信息资产进行基线评估,再对“关键资产(Critic
3、al Assets)”进行详细评估nOCTAVE强调了管理因素,即风险评估要同时从组织层面(较高抽象层次)和技术层面(较低抽象层次)来进行OCTAVEn什么是OCTAVE?nOCTAVE准则(Criterion)nOCTAVE方法(Method)OCTAVE准则(Criterion)n是OCTAVE的核心内容n规定了OCTAVE风险评估的三个阶段n规定了OCTAVE风险评估的:原则(Principle)属性(Attribute)输出(Output)OCTAVE评估的3个阶段n阶段1:建立基于资产的威胁文件(Build Asset-Based Threat Profiles)n阶段2:识别基础设
4、施脆弱性(Identify Infrastructure Vulnerabilities)n阶段3:制定安全战略和(风险控制)计划(Develop Security Strategy and Plans)OCTAVE评估的3个阶段n阶段1:建立基于资产的威胁文件主要是在组织管理层面上识别风险;确定哪些信息相关的资产对组织来说是重要的;目前对这些重要资产做了哪些保护措施;评估组挑选那些对组织来说最为重要的资产,并描述针对他们的安全需要;最后确定这些重要资产所面临的威胁,并确定组织的基于资产的威胁文件。OCTAVE评估的3个阶段n阶段2:识别基础设施的脆弱性这一阶段,将从技术层面识别关键资产的脆弱
5、性。实际上是对与该资产相对应的信息系统组件的脆弱性分析。确定各个重要资产相关的信息技术组件;确定每一个这样的组件的抗攻击的能力 OCTAVE评估的3个阶段n阶段3:制定安全战略和(风险控制)计划确定出每个重要信息资产所面临的风险;决定能够对这些风险做些什么;制定出组织保护策略和风险消减计划以降低组织重要信息资产的风险 OCTAVE 的原则、属性和输出n什么是原则(Principal)?原则:驱动风险评估的一些基本概念和存在于风险评估过程背后的原理性内容。原则决定了整个风险评估中要执行的各种任务,并为评估过程提供了参考基准。例如,“自评估”就是一条原则。自评估的概念意味着组织内部的人士是领导评估
6、开展和制定决策的最佳人选。n原则共有10条,分成3类信息安全风险评估原则n自评估、可适应措施、已定义的过程、评估过程连续性 风险管理原则n向前看、集中精力在少数关键资产上、整体管理组织和文化原则n开放交流、全局观念、集体合作OCTAVE 的原则、属性和输出OCTAVE 的原则、属性和输出n什么是属性(Attribute)?属性:评估的一些显著特点和特征n是对评估的一些要求。这些要求确定了OCTAVE风险评估的基本元素,和确定哪些东西是保证OCTAVE风险评估能够成功完成的。属性是由OCTAVE原则决定的。例如,“从组织内部选择一些跨部门的工作人员构成评估领导小组”是OCTAVE的一个属性,存在
7、于这项属性背后的原则就是“自评估”原则。OCTAVE 的原则、属性和输出OCTAVE原则和属性的对照表原则原则解释属性自评估风险评估由组织内部人来执行RA.1建立由组织成员组成的评估小组RA.2扩充评估小组的评估能力 可适应措施风险评估需要得到诸如已有安全措施、威胁来源等的列表,这些列表的内容可以随着环境变化和技术的进步而加以变更。RA.3建立良好安全实践的目录RA.4产生威胁文件RA.5建立脆弱性目录 已定义过程评估的过程和步骤必须是已经定义好的和标准化的。其中要指定人员责任,确定要执行的任务,定义要用到工具和表格,定义最终报告的格式等。RA.6定义评估过程RA.7文档化评估结果RA.8确定
8、评估范围 OCTAVE 的原则、属性和输出OCTAVE原则和属性的对照表(续)原则原则解释属性为风险管理的良性循环打好基础 要按照标准的步骤评估,依据评估结果而制定的战略和计划要能经的起时间和环境变化的考验。RA.9计划下一步任务RA.3建立良好实践的目录 向前看用发展的眼光看待问题,要考虑随着时间和环境变化而引起的当前不确定的风险RA.10评估活动集中关注风险 集中精力在少数关键资产上不可能面面俱到,什么都保护。要集中资源保护最重要的信息资产。RA.8确定评估范围RA.11评估活动重点集中在重要资产上 OCTAVE 的原则、属性和输出OCTAVE原则和属性的对照表(续)原则原则解释属性整体管
9、理 制定安全战略和计划的时候,要放眼整个信息系统,在安全保护和系统业务能力上做权衡RA.12关注组织和技术问题RA.13强调业务部门和IT的参与RA.14高层领导的参与开放交流评估需要各部门协作;鼓励在所有的管理层次都鼓励交流有关风险的信息;要重视每个人的意见。RA.15多部门协作的方法 全局观念 要广泛征求每个人的意见,综合考虑每个方面的因素,以确定什么信息资产对组织是重要的。RA.12关注组织和技术问题RA.13强调业务部门和IT的参与OCTAVE 的原则、属性和输出OCTAVE原则和属性的对照表(续)原则原则解释属性集体合作 评估领导小组应该由各个部门的人员组成;当评估小组的人员能力不够
10、分析某资产的时候,要随时补充专业人士,以增进专业能力;所有参与的人要通力协作RA.1建立组织成员组成的评估小组RA.2扩充评估小组的评估能力RA.13强调业务部门和IT的参与OCTAVE 的原则、属性和输出n什么是输出(Output)?每一评估阶段的阶段性成果,它们决定了在每一个评估阶段中,评估领导小组和其它参与评估的人员必须完成的一些任务(正式这些任务产生了输出)。评估活动的输出结果被按阶段分配在三个评估阶段中。OCTAVE 的原则、属性和输出阶段输出阶段一RO1.1确定重要资产RO1.2确定重要资产的安全需求RO1.3确定重要资产面临的威胁RO1.4确定当前系统的安全活动RO1.5确定当前
11、的组织脆弱性阶段二RO2.1确定关键技术组件RO2.2确定当前的技术脆弱性阶段三RO3.1确定重要资产面临的风险RO3.2确定风险控制措施RO3.3制定组织保护策略RO3.4制定风险消减计划OCTAVEn什么是OCTAVE?nOCTAVE准则(Criterion)nOCTAVE方法(Method)OCTAVE 方法(Method)n什么是OCTAVE方法?OCTAVE方法是一种具体的风险评估方法,根据它你可以执行一次实际的风险评估。OCTAVE方法完全遵从前面介绍的OCTAVE准则,即它遵守所有原则,具备所有属性,并且提供规定的输出。遵从OCTAVE准则的方法不只一种。由卡内基梅隆提供的就有两
12、种:nOCTAVE方法,适合大中型组织(一般要超过300员工)的风险评估nOCTAVE-S方法,适合小型组织风险评估OCTAVE 方法(Method)nOCTAVE方法中的过程(Process)8个过程,分布在前述三个阶段中执行n过程1:标识高层管理知识;n过程2:标识业务区域知识;n过程3:标识一般员工知识;n过程4:创建威胁文件;n过程5:标识关键组件;n过程6:评估所选组件;n过程7:执行风险分析;n过程8:制定战略。每个过程中有若干任务(Activity)要执行,执行后会输出一些信息。对于OCTAVE方法来说,这些信息与OCTAVE准则中规定的输出是一致的。OCTAVE 方法(Meth
13、od)nOCTAVE方法强调人员的交流和协作,依靠多次的研讨会来获取信息前3个过程,研讨会参与者主要是评估组和组织各个管理层次的员工,目的是全面了解资产、威胁、脆弱性、现有安全措施等信息后面过程中的研讨会主要由评估组或专业人员参与,目的是讨论、分析已有资料,并给出结论。一个案例n一个中等规模的医院:MedSite医院,包括几类职能机构:一个常设的行政管理机构:院长办公室;一些常设的和临时的业务机构,如业务科室、实验室和下辖诊所等;一些常设和临时的后勤机构;一个小规模(3人)的IT部门,负责网络和设备维护;一个案例nMedSite的组织结构:院长为最高领导;几个分管副院长,分别分管业务、后勤等职
14、能机构;“高层领导”包括院长和副院长;每类职能机构中有若干科室,如业务科室(内科,外科,放射科等),后勤科室(保卫科,IT部,后勤处等),也可以是异地的诊所。科室负责人是中层领导。一个案例nMedSite的信息系统:患者信息系统(PIDS),包括PIDS服务器,局域网,终端PC等。还链接若干小型数据库,保存患者信息、诊断记录、检查结果、帐单等信息一个独立的提供商:ABC Systems,提供MedSite的大部分IT设备,并对MedSite的IT人员给予培训。nMedSite想使用OCTAVE方法,评估本组织的风险OCTAVE 方法(Method)n风险评估的准备n阶段1:建立基于资产的威胁文
15、件n阶段2:识别基础设施脆弱性n阶段3:制定安全战略和(风险控制)计划风险评估的准备n争取高层管理者的支持没有领导的批准,评估不能进行。n挑选评估小组成员评估小组应由各个业务部门的人员组成,而不只是IT部门。评估小组主持评估过程的进行,并分析信息,给出结论。小组成员应具备充分的能力,并且胜任主持评估过程的工作。小组成员应知道在什么时候补充人员,以便扩充小组的知识面。风险评估的准备n设置合适的评估范围(涉及的业务区域)OCTAVE评估要覆盖全部的组织重要资产。但是评估范围不应过大。如果评估范围选的过大评估小组获取和分析风险相关的信息将会变的非常困难。如果范围选的过小,得出的评估结果将不能准确反映
16、出系统风险的真实情况。n挑选风险评估参与者OCTAVE方法,是一个交互性很强的方法。在各个阶段的各个过程中都要执行多个任务,进行多次研讨会,每个过程中都会涉及评估组以外的参与者风险评估的准备各个过程的参与者过程参与者时间安排过程1至少3名高层领导天过程2至少4名来自评估涉及的业务区域的中层领导天过程334名来自评估涉及的业务区域的员工天过程4一名具备熟练分析技巧的员工增援评估组(可选)1天风险评估的准备n建立适当的后勤保证(主要是研讨会的会务准备工作)评估日程表n前期准备、各个任务以及研讨会的时间安排提供会议室和设备n白板、投影仪处理计划外事件n根据需要临时决定召开额外的研讨会MedSite的
17、风险评估准备n正副院长都同意评估并允诺给予支持n评估组的组成:Lee(外科主任),评估组负责人;Susan(档案科职员),书记员;Sunny(IT人员);Kris(后勤处副处长),负责后勤工作,兼职;Ruis(IT职员),作为Sunny的替补。MedSite的风险评估准备n评估参与人员高层领导(参与过程1):nPeter,院长;nWhite,分管诊疗业务的副院长;nM.Sunny,分管医药的副院长;nAlice,分管病理学研究的副院长;nChen,分管各下辖诊所的副院长中层领导以及评估涉及的科室(参与过程2):nJ.D.Alex,IT经理;nBob,门诊科主任;nStone,住院部主任;nCh
18、ristina,病理学实验室主任;MedSite的风险评估准备n评估参与人员普通职员:nIT部,Jack、Winston;n门诊部,Peter.Liu、Farris;n住院部,Alan,Joycen实验室,Johnson,RoseMedSite的风险评估准备n评估日程略。OCTAVE 方法(Method)n风险评估的准备n阶段1:建立基于资产的威胁文件n阶段2:识别基础设施脆弱性n阶段3:制定安全战略和(风险控制)计划阶段1:建立基于资产的威胁文件n过程1:标识高层管理知识;n过程2:标识业务区域知识;n过程3:标识一般员工知识;n过程4:创建威胁文件;过程1、2、3n前三过程,评估组分别与高
19、层领导、中层领导和一般员工进行研讨会,听取他们对什么是重要的信息资产,以及当前保护状况的看法。n这三步中要执行四个任务:标识组织重要资产和它们对组织的重要程度;n列举出所有信息资产,并确定那些是重要资产标识安全要关心的内容(威胁、影响);n描述可能的威胁,和影响标识组织重要资产的安全需要;n识别每个资产的安全需要,划分优先级标识当前的组织安全措施以及组织脆弱性(管理层面上的脆弱性);n检查已有的措施,与良好安全实践列表相比较(基线评估)过程1、2、3(MedSite)nMedSite重要资产目录PIDS:这个系统负责着大部分患者数据的管理,是医院最重要信息资产;纸制药单:遗失后没法重建的资料;
20、FRKS:财务系统。涉及经济命脉,重要;医护人员资格证书:这是行医的本钱!过程1、2、3(MedSite)n列举MedSite中PIDS所面临的威胁:访问非授权数据蓄意的输入错误数据断电、洪水系统事故其它在研讨会中被人提出的可能威胁事件过程1、2、3(MedSite)n列举影响:员工蓄意输入错误数据,可能导致:n影响员工的工作情绪和积极性;n影响病人的生命;断电、洪水等,可能导致:n医院不能提供及时有效的医疗服务其它被人提出来的可能影响过程1、2、3(MedSite)nPIDS的安全需要:可用性nPIDS需要保持每天24小时可用;保密性n信息需要保密;n对于非法的信息访问,一经发现要起诉到法院
21、完整性n过程1、2、3(MedSite)高层领导研讨高层领导研讨安全意识和培训安全意识和培训员工了解他们的安全责任和在信息安全中扮演的角色,这些情况已经记入文档并得到确认。是 否 不知道各部门都有足够的专家,了解各业务流程的安全执行方式。这些情况已经记入文档并得到确认。是 否 不知道安全战略安全战略组织业务战略中包含了安全考虑是 否 不知道安全战略中充分考虑了组织战略和业务目标是 否 不知道安全管理安全管理为信息安全活动分配了足够的资金和资源是 否 不知道签名签名:Peter职位职位过程4:创建威胁文件n过程4基于以上的分析内容建立威胁文件。参加过程4中研讨会的人员主要是风险评估小组的分析人员
22、。主要任务如下:确认从过程1到过程3获得的组织关于风险的信息;n将3个过程中经过与各阶层人员的研讨而得到的资产、威胁、已有措施等信息加以整理总结;确定系统的重要资产;n确认重要资产,并描述为什么将其作为重要资产提炼重要资产的安全需要;n描述安全需要,并标识优先级。确定重要资产所面临的威胁;过程4:创建威胁文件(MedSite)n确认重要资产纸制药单,PIDS,个人电脑,ECDS,急诊护理数据系统n候选的重要资产来源于前三个阶段与各阶层领导和员工的研讨n建议确定5个左右的重要资产过程4:创建威胁文件(MedSite)nPIDS系统的资产威胁文件n以标准的格式给出,在OCTAVE中叫做“普通威胁文
23、件”,是一种树状的表格PIDS网络访问内部外部偶然的蓄意的数据泄露数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露偶然的蓄意的数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露资产资产 访问方式访问方式 威胁源威胁源 动机动机 威胁后果威胁后果PIDSABC Systems货源不足数据泄露数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断资产资产 威胁源威胁源 威胁后果威胁后果断电洪水、火灾数据泄露数据篡改数据丢失、破坏业务中断OCTAVE 方法(Method)n风险评估的准备n阶段1:建立基于资产的威胁文件n阶段2:识别基础设施脆弱性n阶段3:
24、制定安全战略和(风险控制)计划阶段2:识别基础设施脆弱性n过程5:标识关键组件n过程6:评估所选组件过程5:标识关键组件n依据过程4中给出的威胁信息,决定怎样评估与重要资产相关的信息系统基础设施,如计算机、网络设备等。n包含两个任务:标识关键的组件类别n标识System of interest,就是与重要资产相关的某些信息系统组件的集合。n识别关键的组件类别。例如服务器、网络组件等标识要检查的组件(回忆一下“集中精力在少数关键资产上”的原则)n选择特定组件n选择评估的方式(谁来做评估?用到哪些工具手段?)n这个任务的目的就是在每个关键的组件类别中选择足够的组件,以便对重要资产的脆弱性有充分的了
25、解过程5:标识关键组件(MedSite)System of interest 列表资产System of interestPIDSPIDS系统本身ECDSECDS系统本身个人计算机计算机本身(它们也是PIDS或ECDS的子系统)过程5:标识关键组件(MedSite)PIDS关键组件类别组件类别认定为关键类别的原因*服务器要管理患者信息*网络组件路由器和交换机,内部网络通信的基础设施*安全组件防火墙,对外来访问的主要把关设备*工作站所有的内部访问都是从工作站发起的*家庭电脑医生可以用它们访问和更新患者记录笔记本电脑无线组件过程5:标识关键组件(MedSite)要检查的组件关键组件IP地址谁来评估
26、工具为什么用这种方式评估办公室电脑ABC Systems派人使用工具评估,MedSite的人协助脆弱性扫描器:V-R-Found V6.73等这些工具是ABC Systems常用的,它们熟悉,而我们的IT人员不熟悉。家庭电脑防火墙PIDS服务器ECDS服务器路由器要检查的组件列表过程6:评估选定的组件n数据收集、分析,确定风险n本阶段任务:对选定的组件,使用脆弱性评估工具n在进行本阶段的研讨会之前,掌握脆弱性情况n运行脆弱性评估工具n准备初步的脆弱性总结报告复查脆弱性信息,给出最后的总结报告n讨论提炼初步脆弱性报告,给出最终报告过程6:评估选定的组件(MedSite)关键组件IP地址扫描完成?
27、办公室电脑YES家庭电脑NO。无权操作私人物品防火墙YESPIDS服务器YESECDS服务器YES路由器YES脆弱性评估工具使用情况过程6:评估选定的组件(MedSite)脆弱性级别描述高必须24小时内采取措施中必须一个月内采取措施低先不管,或以后再说脆弱性级别过程6:评估选定的组件(MedSite)脆弱性报告关键组件IP地址工具脆弱点总结办公室电脑V-R-Found V6.733个中等脆弱点20个低等脆弱点家庭电脑.防火墙.3个中等脆弱点20个低等脆弱点PIDS服务器.3个中等脆弱点20个低等脆弱点ECDS服务器.路由器.OCTAVE 方法(Method)n风险评估的准备n阶段1:建立基于资
28、产的威胁文件n阶段2:识别基础设施脆弱性n阶段3:制定安全战略和(风险控制)计划阶段3:制定安全战略和(风险控制)计划n过程7:执行风险分析n过程8:制定战略过程7:执行风险分析n执行风险分析,确定风险信息n三个任务:识别影响n确认威胁事件造成的后果会对业务产生什么损害建立风险评估准则n这里指的是衡量风险高、中、低的标准评估影响n联合分析威胁和对应的影响,得到风险n回忆上次课内容:风险可能性影响,OCTAVE方法缺少可能性因素!不过最新的版本已经加入了可能性的考虑过程7:执行风险分析(MedSite)后果影响描述数据泄露1、患者信息属于患者个人隐私,泄露了会对医院的信誉信用不利数据篡改1、可能
29、造成误诊,对患者生死攸关2、使医院信誉受损,患者不信任我们的医术数据丢失、损坏 1、上次备份以后的新数据将不可恢复。而且,灾难恢复时要消耗大量资源确定哪些信息丢失或损坏了业务中断1、PIDS罢工,医院就没法有效运作了。影响列表过程7:执行风险分析(MedSite)影响级别描述后果影响描述影响级别数据篡改1、可能造成误诊,对患者生死攸关高2、使医院信誉受损,患者不信任我们的医术中PIDS网络访问内部外部偶然的蓄意的数据泄露数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露偶然的蓄意的数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露资产资产 访问方式访问方式
30、威胁源威胁源 动机动机 威胁后果威胁后果 影响级别影响级别中高高高高高高中中高高高高高中过程8:制定战略n决定如何改善安全态势n六个任务:汇编过程13得到的信息巩固保护战略信息n13过程得到的安全措施检查表,组织层面脆弱性等复查风险报告建立保护战略建立风险消减计划建立控制措施列表n不再详细讲PIDS网络访问内部外部偶然的蓄意的数据泄露数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露偶然的蓄意的数据篡改数据丢失、破坏业务中断数据篡改数据丢失、破坏业务中断数据泄露资产资产 访问方式访问方式 威胁源威胁源 动机动机 威胁后果威胁后果 影响级别影响级别 消减计划消减计划中高高高高高高中中高高高高高中加强对操作员的培训,完善培训制度,增强操作熟练程度事件发生时请求ABS公司协助加强人员管理思考题nOCTAVE准则与OCTAVE方法的关系nOCTAVE方法的三个阶段n对比OCTAVE方法三个阶段、10个过程与前面讲的风险分析9个步骤,看看它们的互相映射关系n试着自己假想一个案例,并写出采用OCTAVE方法进行风险评估的各阶段输出本讲结束!