特色
風險評估(Risk Assessment)存在於很多行業,但在IT行業,專指信息安全風險評估,指依據有關信息技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)等安全屬性進行科學、公正的綜合評估的過程。它是對信息資產面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用而帶來風險的可能性的評估。
對信息系統進行風險評估,其目的是為了了解信息系統目前與未來的風險所在,評估這些風險可能帶來的安全威脅與影響程度,為安全策略的確定、信息系統的建立及安全運行提供依 據。風險評估是風險管理的基礎,是組織確定信息安全需求的一個重要途徑,屬於組織信息安全管理體系策劃的過程。
目前關於風險評估的標準規範很多,如ISO 15408、SSE-CMM、BS7799、ISO 13335、AS/NZS 4360、OCTAVE、NIST SP800系列等。其中,當前大多數評估方法都是“自下而上”的: 都是從計算基礎設施開始,強調技術弱點,而不考慮組織的任務和業務目標的風險。OCTAVE方法則是著眼於組織自身並識別出組織所需保護的對象,明確它為什麼存在風險,然後開發出技術和實踐相結合的解決方案。
OCTAVE的核心是自主原則,即由組織內部的人員管理和指導該組織的信息安全風險評估。信息安全是組織內每個人的職責,而不只是IT部門的職責。
操作
簡介
OCTAVE首先強調的是O—可操作性,其次是C—關鍵性,也就是說,它最注重可操作性,其次對關鍵性很關注。OCTAVE方法使用一種三階段方法對管理問題和技術問題進行研究,從而使組織人員能夠全面把握組織的信息安全需求。它由一系列循序漸進的討論會組成,每個討論會都需要其參與者之間的交流和溝通。OCTAVE方法的三個階段由八個過程組成:
配置
第一階段著手開始建立OCTAVE的組織視圖,重點考慮組織中的人員。
在這一階段中,目標是建立組織對信息安全問題的概括認識。要實現這一目標,首先需要採集組織內員工對安全問題的個人觀點,然後對這些個人觀點進行綜合整理,為評估過程中的所有後續分析活動奠定基礎。通過對組織專業領域知識的調研可以清楚地表明員工對信息資產、資產面臨的威脅、資產的安全需求、組織現行保護信息資產的措施和組織資產和措施的缺點等有關問題的理解。
本階段主要由4個過程組成:
· 過程1:標識高層管理部門的知識;
· 過程2:標識業務區域管理部門的知識;
· 過程3:標識員工的知識;
· 過程4: 建立威脅配置檔案。
薄弱
第二階段也稱為OCTAVE Method的“技術觀點”,因為在這一階段,分析人員的注意力轉移到組織的計算基礎結構上。
在這一階段中,是對當前信息基礎設施的評價,包括數據收集和分析活動。通過檢查信息技術基礎結構的核心運行組件,可以發現能導致非授權行為的漏洞(技術脆弱性)。
本階段主要由2個過程組成:
·過程5:標識關鍵組件;
·過程6:評估選定的組件。
開發
在這一階段中,需要開發出解決組織內部存在的風險和問題的安全策略和計畫。通過分析階段一和階段二中對組織和信息基礎結構評估中得到的信息,可以識別出組織面臨的風險,同時基於這些風險可能給組織帶來的不良影響對其進行評估。此外,還要按照風險的優先權順序制定出組織保護策略和風險緩解計畫。
本階段主要由2個過程組成:
·過程7:執行風險分析;
·過程8:開發保護策略。
其他
結合信息安全風險管理
信息安全風險評估是一個能夠幫助組織了解特定信息的安全風險、並建立解決這些風險的策略的過程。然而,信息安全風險評估只是組織不斷進行信息安全風險管理活動的一部分。
OCTAVE的關鍵結果包括組織改進其安全狀態的保護策略和減少組織的關鍵資產的風險的緩和計畫。然而,評估結果僅為組織改進安全狀態指明了方向,但不一定有重大改進。為了有效地管理信息安全風險,必須根據風險評估的結果開發詳細的行動計畫,並對這些計畫的實施進行管理。
我們可以將OCTAVE方法中的資產驅動的、基於風險的概念與普遍用於其他領域的一般的風險管理概念相結合,在組織內建立管理信息安全風險管理的綜合方法。
此外,OCTAVE方法是為大型組織而設計的,但它是基於風險的方法,我們可以以此為基線或起點,對該方法進行開發剪裁,使它適合於不同規模的組織、業務環境或工業部門。
高級
GNUOctave是一種高級語言,主要設計用來進行數值計算,它是MathWorks出品的 Matlab商業軟體的一個強有力的競爭產品。除了gnuplot所提供的簡單命令集之外,Octave 還為進行數學編程提供了一種豐富的語言。我們甚至可以使用 C 或 C++ 語言編寫自己的應用程式,然後與 Octave 進行互動。 Octave 最初是在 1992 年作為化學反應堆設計教科書的一個輔助軟體而編寫的。其作者希望能夠幫助學生解決反應堆的設計問題,而不用調試 Fortran 程式。結果獲得了一種非常有用的語言,並為解決數值問題提供了互動式環境。
Octave 可以以一種腳本化模式非互動地進行操作,或者通過 C 和 C++ 語言綁定進行操作。Octave 本身就有一種非常豐富的語言,該語言看起來與 C 語言非常類似,並有一個很大的數學庫,包括信號和圖像處理、音頻處理以及控制理論所使用的一些特殊函式。
由於 Octave 使用了gnuplot作為其後端實現,因此使用 gnuplot 可以繪製的所有東西都可以使用 Octave 進行繪製。Octave 的確有一種更豐富的語言來進行計算,它有很多明顯的優點,但是仍然有gnuplot的一些限制。