【正文】 低難以設定、管理與安全相關的變更可能有困難等。詳細風險評估的缺點是非常耗費資源。,5.1 OCTAVE,5.1.1 OCTAVE簡介 OCTAVE（Operationally Critical Treat，Asset and Vulnerability Evaluation，可操作的關鍵威脅、資產和弱點評估）是由美國卡耐基?梅隆大學軟件工程研究所下屬的CERT協調中心，開發(fā)的信息安全風險評估的方法。,其核心是自主原則，即由組織內部的人員管理和指導該組織的信息安全風險評估。組織內部的人員需要負責信息安全評估活動，并對改進信息安全的工作做出決策。OCTAVE包括兩種具體方法：面向大型組織的OCTAVE Method和面向小型組織的OCTAVES。,OCTAVE Method包括3個階段8個過程： 第1階段：建立基于資產的威脅配置文件 第2階段：識別基礎設施的薄弱點 第3階段：開發(fā)安全策略和計劃,第一階段主要由4個過程組成： 參與者為組織的高層管理人員； 參與者為組織業(yè)務區(qū)域（即中層管理部門）的經理； 參與者是組織的一般員工，信息技術部門的員工通常與一般的員工分開，參與一個獨立的討論會； 包括整理過程1～過程3中所收集的信息、選擇關鍵資產、提煉關鍵資產的安全需求、標識對關鍵資產構成影響的威脅等工作。,第二階段中，對當前信息基礎設施的評價，包括數據收集和分析活動。過程5：識別關鍵單元，包括識別結構單元的種類、識別要分析的基礎設施的結構單元等； ,第三階段：開發(fā)安全策略和計劃 第3階段旨在理解迄今為止在評估過程中收集到的信息，即分析風險。過程7：執(zhí)行風險分析，包括識別關鍵資產的威脅所產生的影響、制定風險評估標準、評估關鍵資產的威脅所產生的影響等； ,5.1.3 OCTAVES,OCTAVES（OCTAVE簡化版）是為規(guī)模較小的組織而開發(fā)的，這里將20～80名員工的組織視為小規(guī)模的組織。與OCTAVE Method一樣，OCTAVES評估方法同樣包括3個階段，但其中的過程有些不同。 過程S1：收集組織信息。 過程S2: 建立威脅描述。,2．第2階段：識別基礎設施的薄弱點 本階段主要由1個過程組成： 過程S3：檢查與關鍵信息資產相關的的計算基礎設施。過程S4：確定和分析風險。過程S5：開發(fā)保護策略和風險降低計劃。,5.2 SSECMM,5.2.1 SSECMM概述 SSECMM是系統安全工程能力成熟度模型（SystemSecurity Engineering Capability Maturity Mode1）的縮寫，它源于CMM（能力成熟度模型）的思想和方法，是CMM在系統安全工程領域的應用，SSECMM是偏向于對組織的系統安全工程能力的評估標準。針對這三個部分SSECMM定義了11項關鍵過程（PA），并為每個過程定義了一組完成該過程必不可少的確定的基本實踐（BP）。,5.2.2 安全工程過程,1．風險過程 風險是潛在的威脅，這種威脅利用有用資源的脆弱性造成資源的破壞和損失。 安全機制在系統中存在的根本目的是將風險控制在可接受的程度內，SSECMM模型定義了四種風險過程：評估威脅過程（PA04），評估脆弱性過程（PA05），評估風險事件影響過程（PA02）以及在前三種過程基礎上的評估安全風險過程（PA03）。針對工程實施管理，SSECMM模型定義了安全需求說明過程（PA10），安全方案制定過程（PA09），安全控制實施過程（PA01），安全狀態(tài)監(jiān)測過程（PA08）。,3．保證過程 保證是指安全需求得到滿足的信任程度。SSECMM模型在信任度問題上強調對安全工程結果可重復性的信任程度，它通過對現有系統安全體系真實性和有效性的測試（PA11）來構造系統安全可信度論據（PA06）。僅僅要求一個過程域的所有基本實踐都被執(zhí)行，而對執(zhí)行的結果并無明確要求。這一級強調過程執(zhí)行前的計劃和執(zhí)行中的檢查。,3級：完好定義的過程。這組規(guī)范是實施隊伍根據以往經驗制訂出來的，其合理性是驗證過的。能夠對實施隊伍的表現進行定量的度量和預測。 5級：持續(xù)改善的過程?？梢詼蚀_地度量過程的持續(xù)改善所收到的效益。,5.3.1 GAO/AIMD99139的組成,GAO/AIMD99139由三部分組成： 第一部分引言，介紹了風險評估指南的產生背景、風險評估在風險管理中的地位、風險評估過程的基本要素以及信息安全風險評估過程中的難點； 第二部分給出了第3部分案例研究的概述，分析了風險評估過程中關鍵的成功因素、風險評估工具以及風險評估帶來的益處； 第三部分案例分析，美國審計總署從調查的眾多組織中挑選了有代表性的4個組織，對他們的風險評估過程進行了分析和闡述。,5.3.2 風險評估過程的基本要素,風險評估過程通常要包括下列要素： 1．識別可能危害關鍵運作和資產并對其造成負面影響的威脅。 4．對最關鍵、最敏感的資產和運作，估計威脅發(fā)生可能造成的潛在損失或破壞，包括恢復成本。 6．將結果形成文件并建立活動計劃。,2 GB/T 209842007的內容,GB/T 209842007《信息安全技術 信息安全風險評估規(guī)范》包括正文和附錄兩部分，正文由前言、引言和七章內容組成，附錄部分包括附錄A和附錄B，均為資料性附錄。在這個階段要完成以下任務：確定風險評估的目標和范圍，組建評估團隊，進行系統調研，確定評估依據和方法，并獲得最高管理者對評估工作的支持。 3．威脅識別 對資產可能遭受的威脅進行識別，并依據威脅出現的頻率對威脅進行賦值。脆弱性識別可以以資產為核心，也可以從物理、網絡、系統、應用等層次進行識別，然后與資產、威脅對應起來。 5．已有安全措施的確認 在識別脆弱性的同時，對評估對象已采取的安全措施的有效性進行確認，評估其有效性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。 GB/T 209842007詳細的風險評估過程在第7章介紹。下面將從不同的角度比較現有的信息安全風險評估方法。 缺點：疏漏了組織的安全性遵循“木桶原則”，組織內最薄弱的環(huán)節(jié)多半是組織中的某個人。這些多角度的評估試圖按照業(yè)務驅動程序或者目標對安全風險進行排列，關注的焦點主要集中在安全的以下4個方面： ① 檢查與安全相關的組織實踐，標識當前安全實踐的優(yōu)點和弱點； ② 對系統進行技術分析、對政策進行評審，以及對物理安全進行審查； ③ 檢查IT的基礎結構，以確定技術上的弱點； ④ 幫助決策制訂者綜合平衡風險以選擇成本效益對策。 ——多數定性風險分析方法依據組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。 ——常用的定性評估方法有故障分析樹（FTA）、事件樹分析（ETA）、德爾菲法（DELPHI