《2022年企业网络安全风险评价 .pdf》由会员分享,可在线阅读,更多相关《2022年企业网络安全风险评价 .pdf(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 / 10 企业网络安全风险评价作者:刘曼班级:计网0932中文名称:企业网络安全风险评估研究英文名称:Enterprise Network Security Risk Assessment Research 矚慫润厲钐瘗睞枥庑赖賃軔。学位类型:毕业论文毕业学校:长沙民政职业技术学院专业:计算机网络技术毕业年份:2012 年 6 月关键字:网络安全风险技术 评估论文摘要 : 随着计算机和网络技术的飞速发展,各行各业对网络的依赖性达到了前所未有的程度 ,与此同时网络安全也正面临着越来越严峻的考验(略)障企业网络安全就显得极为重要.通过信息安全风险评估,企业能比较方便的识别出风险大小.通过制定相
2、关的信息安全策略,采取适当的控制目标与方式对风险进行控制,使 (略) 、 转移或降至一个可以被接受的水平.因此 ,对信息安全风险评估相关内容的研究及评估过程需注意的事项就成了本文的重要任务. 本文通过对信息安全(略)估技术、方法和评估流程等相关理论的研究,依据当前国际上通行的 ISO/IEC 17799 标准、 ISO/IEC 13335 IT 安全管理方针等信息安全评估准则,建立起信息安全风险评估模型.通过采用定性和定量相结合的评估方法,从“ 质” 与“ 量” 这两个角度对网络风险进行分析.(略)企业网络安全风险评估的流程及在评估过程中需要注意的相关事项,从而根据风险评估结果,可以清晰细致地
3、了解企业内部各项资产的安全状况以及管理、运营、维护中存 (略) 问题 . 通过对企业网络安全风险评估的研究,使得我对当前信息网络的发展有了更深刻的认识: “没有绝对的安全”,伴随着 .聞創沟燴鐺險爱氇谴净祸測。With the rapid development of computer work technology, all walks of life dependent on the network reached an unprecedented level, at the sameork security is also facing an increasingly challenge
4、,protect network security becomes extremely important. The information security risk assessment, enterprises can recsize of the identified risk conveniently. Through establishing the information security kinetic energyappropriate control objectives and methods of risk control.残骛楼諍锩瀨濟溆塹籟婭骒。近两年企业上网在我国
5、也成了一种趋势,虽然企业上网的原因各种各样,有的是政府行为,有的是企业自发的行为,但是不可否认的是几年来企业上网的层次也有所变化。在Internet发展的初期阶段, 企业上网的含义指的是企业有自己的主页,但很快人们发现这种层次对企业深层次的环节如生产、销售、 营销并没有什么太大的促进作用,于是企业慢慢地过渡到比较高的层次,建立自己的网站与局域网,并且与Internet 连接,使企业的上下游伙伴及驻地机构、 办事处都能实时了解企业的信息,即过渡到了电子商务的初级阶段。企业内部网也打开了通往Internet 的一个窗口,企业在享受Internet 带来的好处的同时,也面临着一定程序的风险,因为In
6、ternet 上存在很多的危险。酽锕极額閉镇桧猪訣锥顧荭。一、互联网上的危险互联网上存在着各种各样的危险,这种危险要能是恶意的,也可能是非恶意的,如因失误而造成的事故; 恶意的危险又分为理智型的( 如故意偷取企业机密) 和非理智型的 ( 如毁坏企业的数据) 。总的说来,比较典型的危险主要包括如下几个方面:彈贸摄尔霁毙攬砖卤庑诒尔。1、 软硬件设计故障导致网络瘫痪。如防火墙意外瘫痪而导致失效,以致安全设置形同虚设;由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等;謀荞抟箧飆鐸怼类蒋薔點鉍。2、 黑客入侵。名师资料总结 - - -精品资料欢迎下载 - - - - - - -
7、 - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 7 页 - - - - - - - - - 2 / 10 一些不坏好意的人强行闯入企业网实施破坏;冒充合法的用户进行企业网内部,偷盗企业机密信息和破坏企业形象等等;厦礴恳蹒骈時盡继價骚卺癩。3、 敏感信息泄露。企业内部的敏感信息被入侵者偷看,导致这种状况的有几种原因,如寻径错误的电子邮件、配置错误的访问控制列表,没有严格地设置好不同用户的访问权限等等;茕桢广鳓鯡选块网羈泪镀齐。4、 信息删除。有时网管员对安全权限设置不当,导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露
8、商业机密等等。鹅娅尽損鹌惨歷茏鴛賴縈诘。也就说互联网上的危险不仅来自于外面,而且有时也来自于内部。虽然在互联网上存在不同程度的危险,但为了企业的业务发展,很多企业不得不把企业的内部网联入互联网,向雇员提供互联网的访问。籟丛妈羥为贍偾蛏练淨槠挞。美国可以说是比较注重网络安全的国家之一,但是根据IDG 公司的调查报告表明,在所有被调查的公司中,进行常规性安全检查的公司还不到一半,只有30% 的公司具有跟踪用户访问的能力,1/3 的公司使用加密技术,其中有60 家左右的公司在三个月内遭受到142 次入侵。 美国尚且如此, 我们国家的企业网安全现状如何呢?笔者今年年初在北京参加一次安全会议时,有一安全
9、专家对我国企业网的安全状况用“ 确实应该引起我们警觉” 来概括。預頌圣鉉儐歲龈讶骅籴買闥。危险产生的原因互联网之所以存在危险的因素,这主要因为互联网本身存在安全漏洞。互联网在设计之初,根本就没想到会发展到今天这个地步,当时认为互联网只是在比较小的范围内使用,在设计互联网TCP/IP 协议时, 主要考虑的是数据的共享,把数据安全忽略掉了。这就如盖一座楼房地基都没有打好,自然而然危险在当初就种下了,对于危险产生的原因主要有下面几条:渗釤呛俨匀谔鱉调硯錦鋇絨。1、 不同厂商不同标准的产品集成在网络中引起配置的复杂性。具体说来就是网络安全控制由于各种各样的硬件产品与软件产品的加入使安全配置变得异常复杂
10、,很容易出现配置错误或失误,以致会导致未经授权的访问;铙誅卧泻噦圣骋贶頂廡缝勵。2、 缺乏相应的总体考虑。有些网络在进行系统配置时,无意识地扩大了互联网的访问范围, 没有意识到某些互联网服务会被滥用,许多企业网所允许的访问服务类型过多,不能对一些可能会对入侵者有所帮助的网络信息加以访问限制;擁締凤袜备訊顎轮烂蔷報赢。3、 TCP/IP 协议本身固有的缺陷。如前所述,TCP/IP 本身具有一些缺陷,在设计之初就不是太安全,一些有经验的黑客很容易利用TCP/IP 的缺陷攻击企业网;贓熱俣阃歲匱阊邺镓騷鯛汉。4、 大部分的数据没有加密。企业数据在传递的过程中很少有加密的,现在有很多现成的软件都能对此
11、进行半路拦截。坛摶乡囂忏蒌鍥铃氈淚跻馱。上面的四条是主要的四个原因,当然还有其它的原因。知道了不安全的原因,那么我们在考虑企业网安全方案时就有了一个目标,有意识地针对产生危险的原因来设计企业网安全方案。蜡變黲癟報伥铉锚鈰赘籜葦。当然在设计企业网安全方案时,不能只从纯技术的角度去考虑,也要考虑到现实情况。今年8 月份全国召开了一个全融行业网络安全会议,一位曾到德国访问的国内某省行行长讲了这样一件事:他到德国某家银行访问考察他们的网络安全时,发现了有一个漏洞,这个漏洞不是容易发现,他就问这个德国银行的行长为什么不想办法堵住这个漏洞,这个德国银行行长说的话让我们深思不已:这只是一个小小的漏洞,即使别
12、人利用这个漏洞,银行损失也不过几百马克,但是要堵住这个漏洞我们可能要化几百万马克,我有必要堵住这个漏洞名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 7 页 - - - - - - - - - 3 / 10 吗?所以在考虑设计企业网络安全方案时,要以实际情况而定,不能形而上学。设计企业网安全方案时要考虑到的问题買鲷鴯譖昙膚遙闫撷凄届嬌。在设计企业网安全方案之前,需要制定一套完整有效的安全策略。一般情况下, 制订安全策略从以下两个方面考虑:网络服务访问策略、防火墙设计策略。
13、綾镝鯛駕櫬鹕踪韦辚糴飙钪。所谓网络服务访问策略,就是根据企业的具体业务,明确确定哪些互联网服务要被禁止,哪些互联网服务可以开放。驅踬髏彦浃绥譎饴憂锦諑琼。在考虑网络服务访问策略时,要考虑非常细致,否则的话稍不注意,就会留下后患。如我们不想让某个企业网用户使用Telnet 服务访问互联网,虽然在防火墙上进行了设置,但是有些用户还是可以采用拨号连接获得这项服务。猫虿驢绘燈鮒诛髅貺庑献鵬。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也应起到全局的作用,从文件安全到病毒扫描程序,从远程访问到移动存储介质的跟踪等都要考虑到, 也就是说网络服务策略一定要具有现实性与完整性,
14、现实性保证在降低网络风险和为用户提供合理的网络资源之间做出一个大家都能接收的平衡,否则的话可能会遭到企业内部用户的抵制,这样以来可能会导致达不到应有的效果。锹籁饗迳琐筆襖鸥娅薔嗚訝。对于防火墙设计策略的制订,在制订之前要充分知道上面的列出的一些危险以及产生危险的原因。从当前来看防火墙的安全策略有以下两种极端情况:構氽頑黉碩饨荠龈话骛門戲。1、 除非明确禁止,否则允许。这是一种比较宽松的防火墙安全策略;2、 除非明确允许,否则禁止。这是一种极其严格的防火墙安全策略;当前现实中的防火墙安全策略都以此作为两个极限点,作了不同程度的折衷。至于依据什么进行折衷, 下面风险评估会对此有一个详细的说明。总而
15、言之, 防火墙是否满足企业网的安全需要,取决于网络安全设计人员能否恰如其分地把握好这个平衡。輒峄陽檉簖疖網儂號泶蛴镧。二、如何评估风险在制订企业网的安全策略之前,要对企业的实际风险做一个尽可能准确的评估,否则的话就会出现或者本来企业网需要的安全级别高,结果为了省钱, 选了一个安全性能不是很高的防火墙; 或者本来企业网需要的安全级别不是很高,结果花了相当多的钱买了一个安全性能极高的防火墙,浪费了投资,所以一定要尧侧閆繭絳闕绚勵蜆贅瀝纰。1. 什么是风险评估说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组
16、合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为:特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM 的漏洞,遭到入侵者攻击,被迫中断3 天。2. 国内现有风险评估操作模式2.1 评估市场和竞争分析如果按照高、中、低端简单对国内的风险评估市场进行分类,那么我们可以很清晰地看到,几类市场的操作方式完全不同。国内高端市场主要被如IBM( 普华永道 )、毕马威这样类型会计师事务所类型的公司占领,往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全
17、公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技 低端厂商则数量庞大,往往只是通过简单的漏洞扫描、病毒查杀等方式操作。2.2 主要中端厂商的评估模式分析以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 7 页 - - - - - - - - - 4 / 10 时效性, 未能确认当前文中所进行的表
18、述与分析就代表着各家企业的最新评估发展状态。希望读者自行鉴别。2.2.1 启明星辰启明星辰2002 年之前始终比较低调,但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799 到采用 OCTAVE 方法再到最终形成自己的网络安全风险评估的方法论、操作模型,有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的,他们评估发展的历程,在每个台阶上有该阶段所经过的项目名称,出于安全原因隐去。业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方,但从启明星辰近期在几家大型客户那里的操作来看,较受客户好评。启明星辰有
19、较多在风险评估中可以应用的工具:1. 天镜评估版:扫描器,有专门用于风险评估的版本。2. 天清:又名SRC,指 Security Risk Manage ,基于 ISO17799 的量化、可视化的评估工具。3. 信息库:名称不详,能够直接导入天镜、Nessus、ISS 等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。4. 本地评估软件包。我理解的启明星辰风险评估特点为:o 博采众长这一方面与启明星辰参与部份安全行业国家标准的制订有关,另一方面则是他们有着较多高学历员工,对高端咨询类型的提炼、深化抓得比较好,对评估要求看得透彻,写得清楚。o 变化较快这可以说既是优点,也是缺点。
20、在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新,但同时也导致评估的方法论很容易有变动。2.2.2 绿盟科技绿盟科技从最初参与中国电信评估项目开始走进安全评估领域,挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述:我对绿盟科技风险评估方法的总体评价是:它是专业的系统和网络安全评估,不是信息安全评估,具体有如下几点:o 项目可操作性强o 管理评估存在不足,风险计算方式不够科学o 技术弱点把握精确2.2.3 安氏安氏在国内较早从事网络安全风险评估项目的操作,做过较大的评估项目(包括顾问咨询)有:中国移动CMNET全网网络安全评估项目、天津电力公司安全咨询项目、中
21、国电信IP网安全咨询顾问项目、上海移动boss 系统安全咨询顾问项目、深圳华为科技公司安全咨询顾问项目等。个人理解, 2001 年前后, IS-ONE 的评估在国内较为领先,一方面是他们与国外公司的沟通较密切, 另外其高管层对风险评估、BS7799 比较重视。 但到了 2003 年,安氏整体战略转型,产品方面一边中止与ISS 合作,一面高调宣传做自主产品,SOC 大集成成为其主推概念,在风险评估领域的方法论却缺乏创新和突破。安氏的安全风险评估有几大优势:o 项目管理较为专业名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心
22、整理 - - - - - - - 第 4 页,共 7 页 - - - - - - - - - 5 / 10 下图是从安氏给某用户汇报时ppt 的摘录,是他们项目管理的过程。o 文档体系比较规范这可能与安氏的部份高管强执行力和国外背坝幸欢叵怠们较为注重方案、咨询建议等经验的可复用, 当然, 这同时也容易造成他们考虑问题简单化,对小客户容易用大企业的方案来裁剪套用。就现在他们做过的项目来看,至少有以下标准方案的积累?/p 安全策略评估及建议报告安全解决方案本地风险评估报告远程风险评估报告网络安全现状报告网络安全解决方案建议扫描评估申请报告模版数据库扫描申请报告系统扫描申请报告网络扫描申请报告这里列
23、举一份安氏的售前方案目录,相信内行人能看出一些门道来吧;) 第 1 章 概述1.1 项目概述1.2 项目目标1.2.4 评估的方式1.3 评估遵循的原则1.3.1 保密原则 1.3.2 标准性原则1.3.3 规范性原则1.3.4 可控性原则1.3.5 整体性原则1.3.6 最小影响原则1.4 风险评估模型1.4.1 背景和假设1.4.2 概述 1.4.3 资产评估1.4.4 威胁评估 1.4.5 弱点评估1.4.6 风险评估 1.5 资产识别和赋值1.5.1 信息资产分类 1.5.2 信息资产赋值1.6 主要评估方法说明1.6.1 工具评估 1.6.2 人工评估 1.6.3 安全审计1.6.4
24、 网络架构分析1.6.5 策略评估1.7 项目承诺1.8 项目组织结构第2 章项目范围和评估内容第3 章项目阶段详述3.1 第一阶段项目准备和范围确定3.2 第二阶段 -项目定义和蓝图3.3 第三阶段 -风险评估阶段3.3.1 集团公司层面评估子项目 3.3.2 省网层面评估子项目3.3.3 安全信息库开发子项目3.3.4 安全评估风险规避措施 3.3.5 需要客户配合的工作3.3.6 安全信息库系统原型概要设计3.4 第四阶段综合评 估 和 策 略 阶 段3.4.1 报 告 和 建 议 的 形 成3.4.2 XXXX网 络 安 全 现 状 报 告 3.4.3 XXXX 网络安全策略改进建议3
25、.4.4 XXXX网络安全解决方案建议3.5 第五阶段项目评审阶段3.5.1 验收方法和内容3.5.2 验收标准和流程3.6 支持和售后服务 3.6.1 安氏客户服务体系简介3.6.2 安氏(中国)的客户服务对象3.6.3 安氏(中国)客户服务中心组织结构3.6.4 安氏(中国) 的服务特点3.6.5 服务保证体系CRM3.6.6 在本项目中所提供的支持服务3.6.7 安全通告服务第4 章 项目质量保证和管理4.1 配置管理 4.2 变更控制管理4.3 项目沟通 4.4 记录和备忘录4.5 报告 4.6 项目协调会议第5 章 项目质量控制第6 章 技术培训6.1 安全管理培训(ISO 1779
26、9)6.2 评估方法培训6.3 评估结果及漏洞修补方法培训6.4 安全信息库系统培训第7 章 项目软硬件需求清单另外,安氏的信息库也能成为他们在风险评估中一项有力的武器。2.2.4 其它这里所指的其它公司,大部份是实力较强的企业,如联想之流, 介入安全行业并凭借良好的渠道和合作伙伴关系,打开一定的局面者。需要指出的是安络科技,公司不大, 但历经风雨,还能够在行业中有一定位置。但是对于风险评估, 则归类到这里的企业多数缺乏自己的风格,甚至评估只是他们很小的“ 副业” ,因此在他们的方案或幻灯片中,常见到的是各种标准的流程、关系图等等,如下面这两副:几乎在所有企业的的风险评估方案中,我都看到上面的
27、那副安全风险关系图,当然有些公司做了某些修改、 美化以强调自己的理解、突出自己评估方法中的核心部份,比如下面这张启明星辰的安全风险关系图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 7 页 - - - - - - - - - 6 / 10 2.2.4.1 亿阳信通他们的所有业务流程包括:信息资产的界定、策略文档分析、安全审计、网络结构的评估、业务流程分析、 安全技术性弱点的评估、安全威胁的评估、现有安全措施评估、安全弱点综合评估、安全威胁综合分析、综合风险分析。采用的
28、评估方法包括五种:工具远程/本地评估、人工评估、白客测试、安全问卷、顾问访谈。使我印象深刻的是,他们对方案中大多数项目都有比较严格的过程说明、参与人员说明、 主要评估方式、输入、输出、参考规范和标准。比较严谨。2.2.4.2 亚信科技有着深厚运营商行业的优势,其曾经的子公司玛赛有过相当不错的成绩。从他们的几个方案中分析, 亚信对风险评估的研究并不深入,仅是简单抄了一堆基本风险评估法、详细风险评估法、综合风险评估法等的概念。他们的评估分为六大部份:资产、脆弱性、威胁、影响、安全措施评估、 风险评估。 风险评估是对前五者的综合,其中的安全措施估计是自己增加的。我理解起来整体思路感觉比较混乱。2.2
29、.4.3 华为华为的部份合作风格一直令人左右为难 他们有庞大而有力的销售队伍、运营商方面良好的合作背景, 这些都诱惑着其它厂商与之服务。但华为的高速发展和发展过程的调整,却往往令合作伙伴有些进退维谷。仅以防火墙市场为例,华为曾经因为要选择合作伙伴,广邀防火墙厂商进行产品测试,对各种产品的功能、性能指标、技术特点都了如指掌。但2003 年华为推出了自己的防火墙产品。2003 年可以说是华为将安全由内部建设转向往外部推动的转折年。原因或许是他们发现他们的主要客户运营商已经把安全门槛提高了,与其很费劲地迈这个门槛,不如在自已的产品和集成基础了造一个高门槛。华为的评估与其它安全公司的评估侧重点略有不同
30、,更侧重于网络架构和应用评估(可能是他们这方面的人才更多的缘故)。2003 年市场上也略有斩获。2.2.4.4 联想联想的网络安全事业部和他们网御系列的安全产品一直令我很迷惑 为什么联想投资一方面注资绿盟科技, 另一方面却自己力图创立安全产品和服务品牌?从目前的情形来看,网御防火墙已经在市场上取得不错的销售成绩,网御入侵检测也初露头角。但我个人的测试来看,这两款安全产品从功能、性能上来说都远离联想的大厂商风范。安全服务和风险评估方面,联想介入市场比较迟,但由有几位掌握方面论和攻击渗透的安氏员工的加盟 (由此也可见安氏的方法论积累很不错;),他们很快有了一套自己的标准方法和操作流程。2.2.4.
31、5 安络科技安络科技创立伊始,在国内的网络安全界有比较高的知名度。但多年来始终偏安于深圳,失去了飞速增长的机会。因此被从国内安全厂商的第一梯队挤出。在他们的很多方案中,同时包括了评估建议书和中长期安全规划建议。他们的远程风险评估乏善可陈,本地风险评估分得很细,包括实施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全的评估。但在可操作性方面下的功夫还不够。2.3 部份低端厂商的评估模式部份低端评估厂商在市场上不但存在,而且有很大的生存空间。他们的目标客户群体是小型企业。不会为评估花费太多的精力和金钱,安全也只需要简单达到某一基线即可。通常这些厂商的做法快速简洁:漏洞扫描 - 远程
32、扫描报告抽样人工审计- 人工审计报告抽样病毒扫描与查杀 - 病毒监测报告名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 7 页 - - - - - - - - - 7 / 10 之后就可以坐地分金了,这种操作模式仅需要少数技术骨干就能很好地进行。3. BS7799 和 OCTAVE 3.1 BS7799 的优势和弱点要初步了解BS7799,我觉得从两个角度入手1. 了解 BS7799 的安全管理流程,也就是建立信息安全管理体系的方法和步骤2. 系统了解BS7799 中提到
33、的10 类 127 个控制项的内容并且能够在此基础上针对不同行业选择( 甚至新增)控制项。就如最近移动集团提出的NISS(网络与信息安全标准)一样。个人感觉BS7799 的最大缺陷就在于可操作性不强,如果仅仅按BS7799 的要求操作 (类似ISO9000 的评审 ),有可能最终达不到初始的安全目标。这或许也是BS7799 和 ISO17799 呼声很高, 但实际应用或者通过评审的企业并不多的原因之一。作为参考, 这里给出一份sans提供的 BS7799 检查列表。3.2 OCTAVE 的有效补充所谓 OCTAVE, 实际上是Operationally Critical Threat, Ass
34、et, and Vulnerability Evaluation的缩写,指的是可操作的关键威胁、资产和弱点评估。 在我的理解中, OCTAVE 首先强调的是O,其次是 C,也就是说,它最注重可操作性,其次对关键性很关注,把握80/20 原则:) 简单描述我理解OCTAVE 的几个重点 (实际上在OCTAVE 中的每个环节都是不可忽视的,这里所说的几个重点是我认为OCTAVE 较好、或者评估过程中比较关键的部份环节):1. 过程控制 (整体 ) OCTAVE 将整体网络安全风险评估过程分为三个阶段九个环节,分别是:阶段一:建立基于资产的威胁配置文件01. 标识高层管理知识02. 标识业务区域知识
35、03. 标识一般员工知识04. 建立威胁配置文件阶段二:标识基础结构的弱点05. 标识关键资产06. 评估选定的资产阶段三:确定安全策略和计划07. 执行风险分析8A. 开发保护策略A8B. 开发保护策略B 下图是 CERT 在为一家医院进行风险评估时的进程时间表,我们可以作为参考。2. 创建威胁统计 (process 4) 这个过程实际上完成两件事,一是对前面三个过程中收集的数据进行整理,使数据分析清晰。二是能够通过分析资产的威胁,创建重要资产及资产面临威胁的全局视图。从下图我们可以看到,OCTAVE 对某一资产的资产、访问、动机、参与者和结果都进行了分析 (该图仅是针对一项资产 个人计算机
36、,和一种访问 网络而建立的威胁视图),这种方式的确有助于我们看清企业内部的威胁情况。3. 识别关键资产 (process 5) 也是第一阶段的延续,按OCTAVE 的说法,分成两步:标识组件的关键种类和标识要分析的基础结构组件。 如果从操作灵活性考虑,我们也可以在阶段一的时候为资产和知识标识出CIA( 机密性、完整性和可用性),通过对 CIA 的综合运算得出最终结论。4. 进行风险分析 (process 7) 与创建威胁统计中的威胁视图相对应,在这里需要标识出威胁可能造成的影响。要注意到的是,风险分析并非仅象下图那样是单一的,而是多种系统之间可能交叉影响,因此这个视图最终完成后将会是很大的一张图表。4. 中小企业的特点和对OCTAVE 的重新评价名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 7 页 - - - - - - - - -