本书由OCTAVE方法的开发者编写,是OCTAVE原则和实施的权威指南。本书提供了评估和管理信息安全风险的系统方法,描述了自主评估的实施过程:演示了如何剪裁评估方法;使其适合不同组织的需要。本书还阐述了重要概念和技术的运行实例,提供了一系列便利的评估工作表和一套可以与组织自己的目录相比较的最佳实践目录。
第Ⅰ部分 引 言\r\n\r\n第1章 信息安全管理 \r\n\r\n1.1 信息安全 \r\n1.2 信息安全风险评估和管理 \r\n1.3 一种信息安全风险评估的方法 \r\n\r\n第2章 信息安全风险评估的原则和属性\r\n\r\n2.1 简介 \r\n2.2 信息安全风险管理原则 \r\n2.3 信息安全风险评估的属性 \r\n2.4 信息安全风险评估的输出 \r\n\r\n第Ⅱ部分 OCTAVE方法\r\n\r\n第3章 OCTAVE Method简介 \r\n\r\n3.1 OCTAVE方法简介\r\n3.2 把属性和输出映射到OCTAVE Method\r\n3.3 情节实例简介 \r\n\r\n第4章 为OCTAVE做准备 \r\n\r\n4.1 准备概述 \r\n4.2 争取高层管理部门支持OCTAVE \r\n4.3 挑选分析团队成员 \r\n4.4 选择OCTAVE涉及的业务区域 \r\n4.5 选择参与者\r\n4.6 协调后勤工作 \r\n4.7 情节实例 \r\n\r\n第5章 标识组织的知识\r\n\r\n5.1 过程1到3概述 \r\n5.2 标识资源及其相对优先级 \r\n5.3 标识涉及区域 \r\n5.4 标识最重要的资源的安全需求 \r\n5.5 获取当前的安全实践和组织弱点的知识\r\n\r\n第6章 建立威胁配置文件\r\n\r\n6.1 过程4概述\r\n6.2 讨论会之前:整理从过程1到3中收集的信息 \r\n6.3 选择关键资源 \r\n6.4 提炼关键资源的安全需求\r\n6.5 标识对关键资源的威胁\r\n\r\n第7章 标识关键组件 \r\n\r\n7.1 过程5概述 \r\n7.2 标识组件的关键种类 \r\n7.3 标识要研究的基础结构组件\r\n\r\n第8章 评估选定的组件\r\n\r\n8.1 过程6概述\r\n8.2 讨论会之前:对基础结构组件运行弱点评估工具\r\n8.3 技术弱点评估及结果总结\r\n\r\n第9章 执行风险分析 \r\n\r\n9.1 过程7简介\r\n9.2 标识关键资源的威胁所产生的影响 \r\n9.3 建立风险评估标准 \r\n9.4 评估关键资源的威胁产生的影响 \r\n9.5 应用概率于风险分析 \r\n\r\n第10章 开发保护策略--讨论会A \r\n\r\n10.1 过程8A简介 \r\n10.2 讨论会之前:整理从过程1到3中收集的信息 \r\n10.3 评审风险信息\r\n10.4 制定保护策略 \r\n10.5 建立风险缓和计划 \r\n10.6 制定行动列表 \r\n10.7 在风险缓和中应用概率 \r\n\r\n第11章 开发保护策略--讨论会B \r\n\r\n11.1 过程8B简介\r\n11.2 讨论会之前:准备与高层管理部门会面\r\n11.3 介绍风险信息\r\n11.4 评审并提炼保护策略、缓和计划和行动列表 \r\n11.5 确定后续步骤 \r\n11.6 第Ⅱ部分总结 \r\n\r\n第Ⅲ部分 OCTAVE方法的变体\r\n\r\n第12章 剪裁OCTAVE方法简介\r\n\r\n12.1 可能性范围 \r\n12.2 为组织剪裁OCTAVE方法 \r\n\r\n第13章 实际应用\r\n\r\n13.1 引言 \r\n13.2 小型组织 \r\n13.3 超大型的、分散的组织\r\n13.4 综合的Web入口服务提供商\r\n13.5 大型组织和小型组织\r\n13.6 其他需要考虑的问题\r\n\r\n第14章 信息安全风险管理 \r\n\r\n14.1 引言\r\n14.2 信息安全风险管理的框架 \r\n14.3 实施信息安全风险管理\r\n14.4 总结\r\n\r\n术语表\r\n附 录\r\n\r\n附录A OCTAVE方法的实例情节 \r\nA.1 MedSite的OCTAVE最终报告:引言\r\nA.2 为MedSite制定的保护策略 \r\nA.3 对关键资源的风险和缓和计划 \r\nA.4 技术弱点评估结果及建议的行动 \r\nA.5 补充信息 \r\n\r\n附录B 工作表 \r\nB.1 问题征集工作表 \r\nB.2 资源配置文件工作表\r\nB.3 策略和行动 \r\n\r\n附录C 实践目录
在谈到信息安全问题时,很多人似乎都在寻求一种犀利的工具。他们通常希望通过购买最新的工具或技术解决所面临的问题。几乎没有一个组织在选择方案之前,会从组织的角度去评估他们实际上试图保护什么(以及原因)。在从事信息安全领域的工作中,我们已经发现安全问题变得越来越复杂,并且很少能够仅用一种技术就解决这些问题。大多数安全问题深深地植根于一个或者多个组织和业务问题中。在实施安全方案之前,应当通过在业务环境中评估安全需求和风险,刻画出基本问题的真实本质。
想想当前使用的各种各样的安全评估方法及其局限性,在试图选择一种合适的方法来评估信息安全风险时,极易产生困惑。当前所用的大多数方法都是“自下而上”的方法:它们都从计算基础结构开始,强调技术弱点,不考虑组织的任务和业务目标的风险。一种更好的方法是着眼于组织本身识别出需要保护的东西、确定它为什么存在风险,并开发出技术和实践相结合的解决方案。
一种综合的信息安全风险评估方法应满足如下条件:
·结合资产、威胁和弱点。
·使得决策者能够根据对组织重要的内容制定相对的优先级。
· 结合与员工如何使用计算基础结构来实现组织的业务目标相关的组织问题。
· 结合与计算基础结构的配置相关的技术问题。
·应该是一种能够根据每个组织的需要进行惟一剪裁的灵活方法。
建立一种上下文敏感的评估方法的方式是,为评估定义一个基本的需求集,然后开发一系列满足那些需求的方法,即一个方法族。方法族中的每种方法可以针对一种惟一的业务环境或者情况。我们构想了可操作的关键性威胁、资产和弱点评估(Operationally Critical Threat,Asset,and Vulnerability EvaluationSM,简称OCTAVESM)项目[1],以定义一种系统的、组织范围内的评估信息安全风险的方法,它包括多种与方法族一致的方法。我们还将这种方法设计成自主型,以使人们能够学习安全问题和改善其组织的安全状况,而无须不必要地依赖于外部专家和厂商。
评估本身仅提供了组织信息安全活动的方向。除非组织实现了评估结果并管理其信息安全风险,否则不会实现实质性的改进。OCTAVE是进行信息安全风险管理的重要的第一步。
OCTAVE的历史
在开发OCTAVE之前,我们在专家的领导下对组织进执行了信息安全评估(Information Security Evaluation,简称ISE)。一组安全专家将访问一个站点、与选定的信息技术人员和关键系统的用户进行会谈,并检查选用的计算基础结构的技术弱点。评估人员运用他们的专业知识建立一个关于组织和技术弱点(脆弱性)的列表。一个站点的管理人员接到该弱点列表及其对应的建议时,他们通常并不知道如何着手克服这些弱点。他们首先应当处理哪些问题,是组织问题还是技术问题?在资金和人员受到限制的情况下,最重要的5个问题是什么?这些问题问得很好。遗憾的是,如果仅检查弱点,就很难确立正确的指导原则。在着手确立重点问题之前,需要在组织试图实现什么的环境下对弱点进行研究。
除了在弱点评估方面的经验外,我们还开发和应用了各种软件开发风险评估和管理技术『Williams 00和Dorofee 96』。这些技术重点强调了可能影响项目目标的关键性风险。
借助于这些经验,我们决定重点关注基于风险的方法,而不是基于弱点的方法。基于风险的方法能够帮助人们理解信息安全如何影响其组织的任务和业务目标、确立哪些资产对于组织是重要的以及它们的风险程度。于是,就可以在这种风险信息的环境下执行弱点评估了。因为信息安全风险与组织的任务和业务目标相联系,所以在评估时除了包含技术人员外还必须包含业务人员。
在进行弱点评估期间,我们观察到的另一个重要问题涉及一个给定的站点的参与程度,以及随后对建成后的站点的所有权。因为弱点评估高度依赖于评估人员的专业知识,所以评估过程中涉及的站点人员的参与非常少。当我们能够返回站点时,每次访问都会看到同样的弱点。几乎没有或者根本没有组织学习可言。这些组织中的成员没有感觉到对各种评估结果的“所有权”,因此还没有实施评估结果。我们决定站点需要更深入地参与安全评估,以便了解它们的安全过程并参与制定改进建议。我们已开始开发一种自主的评估方法,这种方法:
·强调信息资产的风险
·强调基于实践的风险缓和措施,采用公认的、良好的安全实践[2];
· 包含业务人员和信息技术部门的人员;
·在评估的所有方面包括一个站点成员;
1999年6月,我们公布了一个描述OCTAVE框架『Alberts 99』的报告,这是一种信息安全风险评估规范。它被细化为OCTAVE Method『Alberts 01a』,这是专为大型组织开发的。此外,我们正在开发一个针对小型组织的方法。在进行这些工作期间,我们得出OCTAVE框架不能充分地捕获我们想要的自主型信息安全风险评估的通用方法或需求。我们把该框架细化为OCTAVE标准『Alberts 01b』,即一系列定义OCTAVE方法的原则、特征和结果。
本书内容
本书主要讨论信息安全风险评估的4个主要方面:
定义了一种自主的信息安全风险评估方法(OCTAVE标准);
说明了如何在组织中使用OCTAVE Method实现评估方法;
说明了如何剪裁OCTAVE Method以适应不同类型的组织;
描述了这种方法如何奠定了信息安全风险管理的基础;
为了解决这些关键性问题,我们将本书的内容分成3部分:
第Ⅰ部分,引言,概述了OCTAVE方法,提出了自主的信息安全风险评估的原则、特征和结果。
第Ⅱ部分,OCTAVE Method,说明了一种能够在组织中实现OCTAVE方法的方法。本部分以OCTAVE Method的“要点综述”开始,然后详细介绍了该方法。
第Ⅲ部分,OCTAVE Approach的变体,描述为不同的组织类型剪裁OCTAVE Method以满足它们的需要的思想。本部分还介绍了与评估后的信息安全风险管理有关的基本概念。
本书最后有3个附录,它们补充了正文部分提供的材料。
附录A提供了OCTAVE场景示例的一个样本最终报告。
附录B说明了OCTAVE Method的工作表和说明书。
附录C列出了一个实践目录(一个常用的良好安全实践的结构化集合)。本书的读者对象
本书适合于各种各样的读者。了解安全问题对阅读本书会有好处,但并非基本要求;我们将在所有的概念和术语出现时对它们进行定义。本书既能满足初次接触安全性的读者的需要,也能满足安全风险管理专家的需要。
信息安全风险评估适用于任何使用联网的计算机进行业务,因此可能会存在关键信息资产风险的人。本书适合那些需要执行信息安全风险评估的人,以及那些对用一种自主的方法解决组织和信息技术问题感兴趣的人。那些关心和负责保护关键信息资产的经理、职员和信息技术人员都会发现本书的价值。
此外,那些为其他组织提供信息安全服务的顾问,也会对研究如何在他们现有的产品和服务中结合进OCTAVE Method方法或OCTAVE Method感兴趣。信息安全风险评估产品和服务的客户可以运用OCTAVE方法的原则、特征和结果来理解是什么构成了评估信息安全风险的综合方法。客户还可以使用这些原则、特征和结果作为选择厂商和顾问提供的产品和服务的基准。
OCTAVE Method要求一个涵盖各专业的综合分析团队来执行评估,并担当安全改进工作的核心。因此,任何有可能成为分析团队中的一员或与他们合作的人,都是本书的主要读者。本书既提供了进行评估的详细指导信息,也提供了与评估后进行风险管理有关的概念。对于一个风险分析团队,整本书的内容都是适用的。
那些需要理解OCTAVE方法的人应当阅读第Ⅰ部分。那些仅仅需要OCTAVE Method的综述和大致了解可能会如何使用的人,应当阅读第1章和第3章。那些已经在执行信息安全风险评估并寻求其他改进思路的人,应当首先阅读第1章和第3章,然后决定需要深入研究哪个领域。那些准备开始研究如何在其组织中执行自主的信息安全评估的人,应当阅读本书的第Ⅱ部分。最后,那些对自定义OCTAVE Method感兴趣或者想了解评估后的工作的人,应当阅读第Ⅲ部分。
致 谢
著书需要付出艰辛的劳动。在此,谨向为本书写作提供过帮助的每一个人致以衷心的感谢。没有他们的帮助,拙作至今不可能顺利面世。
感谢参与本书审阅并提供极有价值的反馈意见的工作人员:Julia Allen, Rich Caralli, Jeff Collmann, Carol A.Sledge, Andrew Moore, William Wilson和Carol Woody。
我们要特别感谢Rich Pehtia,联网系统生存规划的规划经理,和William Wilson,生存企业管理组的技术经理,感谢他们对我们工作的鼓励和大力支持。同时,我们还要感谢管理部门的坚定支持和帮助。
感谢为本书技术内容作出贡献的众多人员。需特别提出的是:Julia Allen帮我们编排了实践目录;Rich Caralli提供了使用OCTAVE的不足之处;Jeff Collmann对我们早期的原型作出了富有洞察力的详细评论;Bradford Willke对OCTAVE的技术性的内容作出了重要贡献。
我们也非常感谢那些为本书出版作出贡献的人们。Linda Pesante协助设计并担任了技术编辑;David Biber提供了全书使用的多数图表。
书中技术内容是对软件工程研究所以前的研究成果的总结。我们综合了许多项目的技术资料。包括连续性风险管理、软件风险评估、信息安全评估及OCTAVE框架的早期工作。许多人对这些项目都付出了辛勤劳动,我们感谢他们本书奠定了坚实的基础。
我们也要感谢所有给“OCTAVE”的研发提供资金和实验机会的组织。
最后,要感谢爱妻Carol Feola,感谢她不断的支持和鼓励,致使我能够忍受撰书的种种挫折。从开始撰写到本书面世以及最后的审定,她都给予了难以置信的耐心帮助。
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com