- 論壇徽章:
- 0
|
國內(nèi)網(wǎng)絡安全風險評估市場與技術操作(轉)
3. BS7799和OCTAVE
3.1 BS7799的優(yōu)勢和弱點
要初步了解BS7799��,我覺得從兩個角度入手
了解BS7799的安全管理流程��,也就是建立信息安全管理體系的方法和步驟
系統(tǒng)了解BS7799中提到的10類127個控制項的內(nèi)容
并且能夠在此基礎上針對不同行業(yè)選擇(甚至新增)控制項���。就如最近移動集團提出的NISS(網(wǎng)絡與信息安全標準)一樣。
個人感覺BS7799的最大缺陷就在于可操作性不強,如果僅僅按BS7799的要求操作(類似ISO9000的評審)�,有可能最終達不到初始的安全目標。這或許也是BS7799和ISO17799呼聲很高�,但實際應用或者通過評審的企業(yè)并不多的原因之一。作為參考�����,這里給出一份sans提供的BS7799檢查列表�。
3.2 OCTAVE的有效補充
所謂OCTAVE,實際上是Operationally Critical Threat, Asset, and Vulnerability Evaluation的縮寫����,指的是可操作的關鍵威脅、資產(chǎn)和弱點評估�。在我的理解中,OCTAVE首先強調(diào)的是O����,其次是C,也就是說�����,它最注重可操作性����,其次對關鍵性很關注�,把握80/20原則 
簡單描述我理解OCTAVE的幾個重點(實際上在OCTAVE中的每個環(huán)節(jié)都是不可忽視的��,這里所說的幾個重點是我認為OCTAVE較好���、或者評估過程中比較關鍵的部份環(huán)節(jié)):
過程控制(整體)
OCTAVE將整體網(wǎng)絡安全風險評估過程分為三個階段九個環(huán)節(jié)�����,分別是:
階段一:建立基于資產(chǎn)的威脅配置文件
01. 標識高層管理知識
02. 標識業(yè)務區(qū)域知識
03. 標識一般員工知識
04. 建立威脅配置文件
階段二:標識基礎結構的弱點
05. 標識關鍵資產(chǎn)
06. 評估選定的資產(chǎn)
階段三:確定安全策略和計劃
07. 執(zhí)行風險分析
8A. 開發(fā)保護策略A
8B. 開發(fā)保護策略B
下圖是CERT在為一家醫(yī)院進行風險評估時的進程時間表��,我們可以作為參考���。
創(chuàng)建威脅統(tǒng)計(process 4)
這個過程實際上完成兩件事,一是對前面三個過程中收集的數(shù)據(jù)進行整理��,使數(shù)據(jù)分析清晰�。二是能夠通過分析資產(chǎn)的威脅����,創(chuàng)建重要資產(chǎn)及資產(chǎn)面臨威脅的全局視圖。
從下圖我們可以看到�����,OCTAVE對某一資產(chǎn)的資產(chǎn)、訪問���、動機����、參與者和結果都進行了分析(該圖僅是針對一項資產(chǎn)──個人計算機�����,和一種訪問──網(wǎng)絡而建立的威脅視圖)��,這種方式的確有助于我們看清企業(yè)內(nèi)部的威脅情況�。
識別關鍵資產(chǎn)(process 5)
也是第一階段的延續(xù),按OCTAVE的說法�����,分成兩步:標識組件的關鍵種類和標識要分析的基礎結構組件��。如果從操作靈活性考慮����,我們也可以在階段一的時候為資產(chǎn)和知識標識出CIA(機密性�����、完整性和可用性)����,通過對CIA的綜合運算得出最終結論����。
進行風險分析(process 7)
與創(chuàng)建威脅統(tǒng)計中的威脅視圖相對應,在這里需要標識出威脅可能造成的影響�。要注意到的是,風險分析并非僅象下圖那樣是單一的�,而是多種系統(tǒng)之間可能交叉影響,因此這個視圖最終完成后將會是很大的一張圖表��。
4. 中小企業(yè)的特點和對OCTAVE的重新評價
4.1 中小型企業(yè)和大型企業(yè)在評估活動中的異同點
最直接的想法���,大型企業(yè)和中小型企業(yè)對安全的關注要點是否完全相同���?又是否完全不同?哪些在大型企業(yè)中做過的事是可復用的�����?我很少看到關于這些方面的討論����,因此也想在這里將問題提出,并給出我的粗淺考慮�,希望能夠引玉。
相同點(可以復用的部份)
1. 資產(chǎn)評估
資產(chǎn)調(diào)查表格
資產(chǎn)屬性和賦值調(diào)研表格與方法
關鍵資產(chǎn)的調(diào)查方法
2. 威脅評估(部份中小企業(yè)甚至可以不用進行)
BS7799評審表
OCTAVE威脅分析方法和視圖
事件分析方法
3. 弱點評估
遠程掃描方法和工具
人工審計方法和工具
滲透測試方法和工具
4. 風險分析
現(xiàn)有風險視圖提煉方法和報告
不同點(需要單獨開發(fā)調(diào)研的部份)
1. 資產(chǎn)評估
資產(chǎn)報告(不同行業(yè)���、規(guī)模的企業(yè)��,關鍵資產(chǎn)有很大區(qū)別)
2. 威脅評估
面臨的威脅面比小企業(yè)更廣
3. 弱點評估
風險規(guī)避措施
4. 風險分析
針對組織特點的解決方案
管理制度和策略框架
4.2 重新評價OCTAVE
通過對OCTAVE的初步學習�����,我們可以認識到它具有許多BS7799的所缺乏的可操作性方面的特點���,但離完美還有一定距離,簡單談幾點不足:
過份強調(diào)對大企業(yè)的評估活動���,評估流程比較繁瑣���,完整視圖建立不易操作,要求組織中多人參與�。
風險控制行動列表粒度較粗����,與企業(yè)后續(xù)安全建設的實際工作有一定距離�����。
由于強調(diào)了操作���,執(zhí)行時所依據(jù)的標準就相對簡單(可能有主觀臆斷的因素在內(nèi))���。
任何事物,就算非常優(yōu)秀���,也都不能全盤照搬�����,是需要批判接受的����,從上面對BS7799和OCTAVE的簡單分析����,你是否能夠提煉出你自己的評估方法�?
5. 如何制訂最適合您企業(yè)的風險評估計劃
這里考慮采用一個小企業(yè)的評估實例來說明制訂適合自身當前狀態(tài)的企業(yè)風險評估的方法��。由于暫時沒有適合的案例提供�,因此留待下一版本完善����。
6. 實施過程簡述
6.1 定義階段
實際上是售前工作的延續(xù),即明確項目范圍���,清晰界定用戶的需求��。這點看似簡單����,但實際操作者卻需要相當有經(jīng)驗����,能夠判斷自己所擁有的資源;能夠在既定時間內(nèi)完成多少工作;能夠與客戶有技巧地談判將其需求控制在最恰當?shù)乃讲⒕S持到項目結束。
我們在這里列出了五個模塊:前期交流����、初步方案、投標方案、答標文檔和參考報價���。
按照實際項目操作流程����,在售前階段這五個模塊的工作應該完整進行一遍�。進入項目定義階段時,實際上用戶已經(jīng)對網(wǎng)絡安全風險評估有了一定了解����,并且比較清楚自己的網(wǎng)絡環(huán)境需要評估到什么程度,因此本階段用戶會就投標方案要求廠商進行進一步描述���,并且就他們感興趣的細節(jié)進行展開���。
6.2 藍圖階段
雙方擬定項目的詳細進度計劃,建議在計劃過程中至少要包含下面幾部份內(nèi)容:問題描述��、目標和范圍����、SWOT分析、工作分解����、里程碑和進度計劃���、雙方資源需求、變更控制方法��。
在藍圖階段中需要召開藍圖會議����,在會議結束后��,必須在雙方認可的基礎上制訂并簽署項目藍圖�,后續(xù)一切工作嚴格按藍圖進行。
評估項目對客戶的知識水平要求較高���,通常在項目前期需要就評估方法進行培訓�,建議在藍圖階段完成項目的培訓工作���。
另外需要提醒的是���,由于多數(shù)企業(yè)的資產(chǎn)并沒有很好地理順,因此資產(chǎn)評估的前期協(xié)調(diào)工作如果能夠盡早開始����,可以有效地保證項目的時間�����。
6.3 執(zhí)行階段
這是最關鍵的階段����,絕大多數(shù)操作都在這一階段完成�,我們可以再將這一階段細分為四個環(huán)節(jié),分別如下:
資產(chǎn)評估(可以遠程完成)
系統(tǒng)和業(yè)務信息收集
資產(chǎn)列表
資產(chǎn)分類與賦值
資產(chǎn)報告
資產(chǎn)評估的內(nèi)容并不復雜�,在這部份工作中,重點在于與客戶共同進行資產(chǎn)的分類與賦值�。同時需要注意控制資產(chǎn)評估的完成時間,因為明確資產(chǎn)后才能有效進行后續(xù)的威脅與弱點評估����,否則容易導致事倍功半。
威脅評估(本地完成)
IDS部署搜集威脅源
收集并評估策略文檔
BS7799顧問訪談
事件分析
威脅報告
威脅評估中訪談占了現(xiàn)場工作的最大部份��。但由于現(xiàn)階段業(yè)界對于威脅的界定存在多種標準�����,因此可以說威脅評估是較難操作的一部份��。建議在實施前先參考威脅評估報告樣例。
如果能夠通過訪談獲取到較為完整的安全事件信息�,則可以考慮將不進行威脅評估,以更能夠清晰分析本質(zhì)的事件分析代替�。
弱點評估(本地完成)
遠程掃描
人工審計
滲透測試
弱點報告
弱點評估屬于純技術操作,這里不加詳述�。
風險分析和控制(可以遠程完成)
數(shù)據(jù)整理、入庫及分析
安全現(xiàn)狀報告
安全解決方案
當現(xiàn)場工作結束�,基礎數(shù)據(jù)收集完畢后,如何對浩如煙海的信息進行提煉和挖掘��,其中也有很多技巧�。最終的風險分析需要看得清晰透徹�,而且方案的表現(xiàn)形式要比較切合客戶需求。解決方案就三個字:可操作�。
6.4 報告階段
在項目報告階段,所有的現(xiàn)場工作和大部份文檔工作已經(jīng)完成�����,這時的關鍵任務是:讓用戶真正理解并且認可我們的工作成績�。因此這階段建議需要與用戶進行深入細致的溝通(需要面對面交流,以達到最佳效果)����。
報告階段需要注意各種細節(jié)調(diào)整(有些需要結合項目特點進行考慮)�,例如:
1.在報告的最前面增加“文檔導讀”章節(jié);
2.將客戶方配合工作人員也寫入報告作者;
3.給領導提供一份簡潔有力的總結;
4.等等……
6.5 售后服務
按照Octave評估方法的觀點�����,用戶在完成一次安全評估之后��,相當于獲取了其當前風險的快照(Snapshot)���,同時也就完成了對其信息安全風險基線的設置�。之后��,組織必須解決或管理評估過程中標識的優(yōu)先級最高的風險�����,并按照開發(fā)的解決方案進行風險的控制和消除���。
但由于組織的安全狀態(tài)會隨著時間而發(fā)生變化��,所以必須通過執(zhí)行另外一次評估定期地為用戶重設基線���。所以在這里我們可以按照PDCA循環(huán)(Plan、Do�����、Check、Action)來定義一次評估后的工作�����。
7. 評估中的項目管理
7.1 確定項目管理小組
明確項目的組織結構
通常三人以下小項目以非正式結構存在即可����。但有相當耗費資源的大型評估項目時,則需要恰當考慮并論證是否采用矩陣結構對項目資源進行合理利用���。
明確包含的部門和關鍵人員
通常項目組中會包含商務��、評估組、研究部等跨部門的成員����,需要提前確定并且明確管理權限和項目成員的工作重心,這可以有效減少后期項目中的障礙�����。
明確項目管理職責選擇項目經(jīng)理�����、項目監(jiān)理(至少是文檔監(jiān)理)、子項目經(jīng)理等崗位人選�。如果資源充足,盡量不要資源復用����,否則最終可能成為資源瓶頸。
7.2 調(diào)度與資源分配
優(yōu)化項目流程
類似統(tǒng)籌�����,將項目中的所有任務全盤考慮時���,可以發(fā)現(xiàn)有部份任務可以并行���、有部份任務可以提前、有部份任務并不需要很多前置任務……由專人對項目流程進行優(yōu)化����,估測任務的執(zhí)行時間段。
明確項目重點并確定資源優(yōu)先次序
確定關鍵路徑和里程碑
7.3 跟蹤�、報告和控制
定義數(shù)據(jù)需求
數(shù)據(jù)搜集過程中需要對數(shù)據(jù)進行明確的定義(甚至采用標準工具進行),這可以保證不同人獲取的數(shù)據(jù)格式、數(shù)據(jù)描述和測量尺度是一致的���。
數(shù)據(jù)分析和文檔生成
交付進度表
7.4 常見陷阱
7.4.1 授權模糊
經(jīng)常項目中的項目經(jīng)理�����、項目監(jiān)理����、子項目經(jīng)理��、咨詢顧問�����、技術工程師等往往一人兼任多職����,如:項目監(jiān)理同時兼任幾個節(jié)點的子項目經(jīng)理。一人多角的最直接后果就是導致每個角色都沒有充當好����。
7.4.2 需求膨漲
在評估前期���,用戶對安全乃至評估本身可能缺乏了解�����,但隨著評估的深入���,他們逐漸會成為安全領域的“通才”�,這時候會提出大量的新需求����,對這些新需求的有效控制和引導(成為新項目的引子)相當重要。
7.4.3 資源錯位
這主要在資源不足的情況下容易發(fā)生�,舉例來說:我們預定由Unix專家A和網(wǎng)絡設備專家B共同完成對甲地系統(tǒng)的弱點評估,但在資源不足的情況下�����,則有可能B正在乙地評估無法抽身�,必須由A獨立完成所有操作。
7.4.4 溝通不足
多數(shù)技術型員工技術操作能力很強�����,但在項目中的溝通相對缺乏����。在一次評估項目的收尾階段����,就有用戶委婉地指出:你們可真算是“埋頭苦干”了�!
8 參考資料
清華大學出版社 《信息安全管理》
機械工業(yè)出版社 《信息安全管理概論》
通過網(wǎng)絡獲取的各家公司的資料
--------------------------------------------------------------------------------
Power by Debian, Created with Vim |
|
免費注冊
發(fā)表于 2004-06-16 11:37
