第06講 OCTAVE風(fēng)險(xiǎn)評(píng)估方法ppt課件_第1頁(yè)
第06講 OCTAVE風(fēng)險(xiǎn)評(píng)估方法ppt課件_第2頁(yè)
第06講 OCTAVE風(fēng)險(xiǎn)評(píng)估方法ppt課件_第3頁(yè)
第06講 OCTAVE風(fēng)險(xiǎn)評(píng)估方法ppt課件_第4頁(yè)
第06講 OCTAVE風(fēng)險(xiǎn)評(píng)估方法ppt課件_第5頁(yè)
已閱讀5頁(yè),還剩65頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、信息平安工程學(xué)六、OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)方法.需求大家知道的什么是OCTAVE?什么是OCTAVE準(zhǔn)那么Criterion?什么是OCTAVE方法Method?二者的關(guān)系?OCTAVE的三個(gè)階段.主要資料來(lái)源美Christopher Alberts, Audrey Dorofee著,“Managing Information Security RisksThe OCTAVE ApproachOCTAVESM Criteria, Version 2.0/octave/.OCTAVE什么是OCTAVE?OCTAVE準(zhǔn)那么CriterionOCTAVE方法Method.什么是OCTAV

2、E?Operationally Critical Threat, Asset, and Vulnerability Evaluation卡內(nèi)基-梅隆大學(xué),軟件工程學(xué)院SEI定義了一套獨(dú)一的準(zhǔn)那么,闡明OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)的原那么、屬性,和評(píng)價(jià)應(yīng)該輸出的信息可以有多種符合OCTAVE準(zhǔn)那么的評(píng)價(jià)方法,只需按照該方法進(jìn)展的評(píng)價(jià)可以輸出OCTAVE準(zhǔn)那么要求的輸出信息。.什么是OCTAVE?OCTAVE是一種“自我導(dǎo)向Self-Oriented的風(fēng)險(xiǎn)評(píng)價(jià),即由組織內(nèi)部的人員對(duì)組織本身進(jìn)展評(píng)價(jià)OCTAVE是一種組合評(píng)價(jià)途徑先對(duì)組織范圍內(nèi)的信息資產(chǎn)進(jìn)展基線(xiàn)評(píng)價(jià),再對(duì)“關(guān)鍵資產(chǎn)Critical Asset

3、s進(jìn)展詳細(xì)評(píng)價(jià)OCTAVE強(qiáng)調(diào)了管理要素,即風(fēng)險(xiǎn)評(píng)價(jià)要同時(shí)從組織層面較高籠統(tǒng)層次和技術(shù)層面較低籠統(tǒng)層次來(lái)進(jìn)展.OCTAVE什么是OCTAVE?OCTAVE準(zhǔn)那么CriterionOCTAVE方法Method.OCTAVE準(zhǔn)那么Criterion是OCTAVE的中心內(nèi)容規(guī)定了OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)的三個(gè)階段規(guī)定了OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)的:原那么Principle屬性Attribute輸出Output.OCTAVE評(píng)價(jià)的3個(gè)階段階段1:建立基于資產(chǎn)的要挾文件Build Asset-Based Threat Profiles階段2:識(shí)別根底設(shè)備脆弱性Identify Infrastructure Vul

4、nerabilities階段3:制定平安戰(zhàn)略和風(fēng)險(xiǎn)控制方案Develop Security Strategy and Plans.OCTAVE評(píng)價(jià)的3個(gè)階段階段1:建立基于資產(chǎn)的要挾文件主要是在組織管理層面上識(shí)別風(fēng)險(xiǎn);確定哪些信息相關(guān)的資產(chǎn)對(duì)組織來(lái)說(shuō)是重要的;目前對(duì)這些重要資產(chǎn)做了哪些維護(hù)措施;評(píng)價(jià)組挑選那些對(duì)組織來(lái)說(shuō)最為重要的資產(chǎn),并描畫(huà)針對(duì)他們的平安需求;最后確定這些重要資產(chǎn)所面臨的要挾,并確定組織的基于資產(chǎn)的要挾文件。.OCTAVE評(píng)價(jià)的3個(gè)階段階段2:識(shí)別根底設(shè)備的脆弱性這一階段,將從技術(shù)層面識(shí)別關(guān)鍵資產(chǎn)的脆弱性。實(shí)踐上是對(duì)與該資產(chǎn)相對(duì)應(yīng)的信息系統(tǒng)組件的脆弱性分析。確定各個(gè)重要資產(chǎn)相關(guān)

5、的信息技術(shù)組件;確定每一個(gè)這樣的組件的抗攻擊的才干 .OCTAVE評(píng)價(jià)的3個(gè)階段階段3:制定平安戰(zhàn)略和風(fēng)險(xiǎn)控制方案確定出每個(gè)重要信息資產(chǎn)所面臨的風(fēng)險(xiǎn);決議可以對(duì)這些風(fēng)險(xiǎn)做些什么;制定出組織維護(hù)戰(zhàn)略和風(fēng)險(xiǎn)消減方案以降低組織重要信息資產(chǎn)的風(fēng)險(xiǎn) .OCTAVE 的原那么、屬性和輸出什么是原那么Principal?原那么:驅(qū)動(dòng)風(fēng)險(xiǎn)評(píng)價(jià)的一些根本概念和存在于風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程背后的原理性?xún)?nèi)容。原那么決議了整個(gè)風(fēng)險(xiǎn)評(píng)價(jià)中要執(zhí)行的各種義務(wù),并為評(píng)價(jià)過(guò)程提供了參考基準(zhǔn)。例如,“自評(píng)價(jià)就是一條原那么。自評(píng)價(jià)的概念意味著組織內(nèi)部的人士是指點(diǎn)評(píng)價(jià)開(kāi)展和制定決策的最正確人選。.原那么共有10條,分成3類(lèi)信息平安風(fēng)險(xiǎn)評(píng)價(jià)原那

6、么自評(píng)價(jià)、可順應(yīng)措施、已定義的過(guò)程、評(píng)價(jià)過(guò)程延續(xù)性 風(fēng)險(xiǎn)管理原那么向前看、集中精神在少數(shù)關(guān)鍵資產(chǎn)上、整體管理組織和文化原那么開(kāi)放交流、全局觀(guān)念、集體協(xié)作OCTAVE 的原那么、屬性和輸出.OCTAVE 的原那么、屬性和輸出什么是屬性Attribute?屬性:評(píng)價(jià)的一些顯著特點(diǎn)和特征是對(duì)評(píng)價(jià)的一些要求。這些要求確定了OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)的根本元素,和確定哪些東西是保證OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)可以勝利完成的。屬性是由OCTAVE原那么決議的。例如,“從組織內(nèi)部選擇一些跨部門(mén)的任務(wù)人員構(gòu)成評(píng)價(jià)指點(diǎn)小組是OCTAVE的一個(gè)屬性,存在于這項(xiàng)屬性背后的原那么就是“自評(píng)價(jià)原那么。.OCTAVE 的原那么、屬性和

7、輸出OCTAVE原那么和屬性的對(duì)照表原則原則解釋屬性自評(píng)估風(fēng)險(xiǎn)評(píng)估由組織內(nèi)部人來(lái)執(zhí)行RA.1建立由組織成員組成的評(píng)估小組RA.2擴(kuò)充評(píng)估小組的評(píng)估能力 可適應(yīng)措施風(fēng)險(xiǎn)評(píng)估需要得到諸如已有安全措施、威脅來(lái)源等的列表,這些列表的內(nèi)容可以隨著環(huán)境變化和技術(shù)的進(jìn)步而加以變更。RA.3建立良好安全實(shí)踐的目錄RA.4產(chǎn)生威脅文件RA.5建立脆弱性目錄 已定義過(guò)程評(píng)估的過(guò)程和步驟必須是已經(jīng)定義好的和標(biāo)準(zhǔn)化的。其中要指定人員責(zé)任,確定要執(zhí)行的任務(wù),定義要用到工具和表格,定義最終報(bào)告的格式等。RA.6定義評(píng)估過(guò)程RA.7文檔化評(píng)估結(jié)果RA.8確定評(píng)估范圍 .OCTAVE 的原那么、屬性和輸出OCTAVE原那么和

8、屬性的對(duì)照表續(xù)原則原則解釋屬性為風(fēng)險(xiǎn)管理的良性循環(huán)打好基礎(chǔ) 要按照標(biāo)準(zhǔn)的步驟評(píng)估,依據(jù)評(píng)估結(jié)果而制定的戰(zhàn)略和計(jì)劃要能經(jīng)的起時(shí)間和環(huán)境變化的考驗(yàn)。RA.9計(jì)劃下一步任務(wù)RA.3建立良好實(shí)踐的目錄 向前看用發(fā)展的眼光看待問(wèn)題,要考慮隨著時(shí)間和環(huán)境變化而引起的當(dāng)前不確定的風(fēng)險(xiǎn)RA.10評(píng)估活動(dòng)集中關(guān)注風(fēng)險(xiǎn) 集中精力在少數(shù)關(guān)鍵資產(chǎn)上不可能面面俱到,什么都保護(hù)。要集中資源保護(hù)最重要的信息資產(chǎn)。RA.8確定評(píng)估范圍RA.11評(píng)估活動(dòng)重點(diǎn)集中在重要資產(chǎn)上 .OCTAVE 的原那么、屬性和輸出OCTAVE原那么和屬性的對(duì)照表續(xù)原則原則解釋屬性整體管理 制定安全戰(zhàn)略和計(jì)劃的時(shí)候,要放眼整個(gè)信息系統(tǒng),在安全保護(hù)和

9、系統(tǒng)業(yè)務(wù)能力上做權(quán)衡RA.12關(guān)注組織和技術(shù)問(wèn)題RA.13強(qiáng)調(diào)業(yè)務(wù)部門(mén)和IT的參與RA.14高層領(lǐng)導(dǎo)的參與開(kāi)放交流評(píng)估需要各部門(mén)協(xié)作;鼓勵(lì)在所有的管理層次都鼓勵(lì)交流有關(guān)風(fēng)險(xiǎn)的信息;要重視每個(gè)人的意見(jiàn)。RA.15多部門(mén)協(xié)作的方法 全局觀(guān)念 要廣泛征求每個(gè)人的意見(jiàn),綜合考慮每個(gè)方面的因素,以確定什么信息資產(chǎn)對(duì)組織是重要的。RA.12關(guān)注組織和技術(shù)問(wèn)題RA.13強(qiáng)調(diào)業(yè)務(wù)部門(mén)和IT的參與.OCTAVE 的原那么、屬性和輸出OCTAVE原那么和屬性的對(duì)照表續(xù)原則原則解釋屬性集體合作 評(píng)估領(lǐng)導(dǎo)小組應(yīng)該由各個(gè)部門(mén)的人員組成;當(dāng)評(píng)估小組的人員能力不夠分析某資產(chǎn)的時(shí)候,要隨時(shí)補(bǔ)充專(zhuān)業(yè)人士,以增進(jìn)專(zhuān)業(yè)能力;所有參

10、與的人要通力協(xié)作RA.1建立組織成員組成的評(píng)估小組RA.2擴(kuò)充評(píng)估小組的評(píng)估能力RA.13強(qiáng)調(diào)業(yè)務(wù)部門(mén)和IT的參與.OCTAVE 的原那么、屬性和輸出什么是輸出Output?每一評(píng)價(jià)階段的階段性成果,它們決議了在每一個(gè)評(píng)價(jià)階段中,評(píng)價(jià)指點(diǎn)小組和其它參與評(píng)價(jià)的人員必需完成的一些義務(wù)正式這些義務(wù)產(chǎn)生了輸出。評(píng)價(jià)活動(dòng)的輸出結(jié)果被按階段分配在三個(gè)評(píng)價(jià)階段中。.OCTAVE 的原那么、屬性和輸出階段輸出階段一RO1.1確定重要資產(chǎn)RO1.2確定重要資產(chǎn)的平安需求RO1.3確定重要資產(chǎn)面臨的要挾RO1.4確定當(dāng)前系統(tǒng)的平安活動(dòng)RO1.5確定當(dāng)前的組織脆弱性階段二RO2.1確定關(guān)鍵技術(shù)組件RO2.2確定當(dāng)前

11、的技術(shù)脆弱性階段三RO3.1確定重要資產(chǎn)面臨的風(fēng)險(xiǎn)RO3.2確定風(fēng)險(xiǎn)控制措施RO3.3制定組織維護(hù)戰(zhàn)略RO3.4制定風(fēng)險(xiǎn)消減方案.OCTAVE什么是OCTAVE?OCTAVE準(zhǔn)那么CriterionOCTAVE方法Method.OCTAVE 方法Method什么是OCTAVE方法?OCTAVE方法是一種詳細(xì)的風(fēng)險(xiǎn)評(píng)價(jià)方法,根據(jù)它他可以執(zhí)行一次實(shí)踐的風(fēng)險(xiǎn)評(píng)價(jià)。OCTAVE方法完全服從前面引見(jiàn)的OCTAVE準(zhǔn)那么,即它遵守一切原那么,具備一切屬性,并且提供規(guī)定的輸出。服從OCTAVE準(zhǔn)那么的方法不只一種。由卡內(nèi)基梅隆提供的就有兩種:OCTAVE方法,適宜大中型組織普通要超越300員工的風(fēng)險(xiǎn)評(píng)價(jià)OC

12、TAVE-S方法,適宜小型組織風(fēng)險(xiǎn)評(píng)價(jià).OCTAVE 方法MethodOCTAVE方法中的過(guò)程Process8個(gè)過(guò)程,分布在前述三個(gè)階段中執(zhí)行過(guò)程1:標(biāo)識(shí)高層管理知識(shí);過(guò)程2:標(biāo)識(shí)業(yè)務(wù)區(qū)域知識(shí);過(guò)程3:標(biāo)識(shí)普通員工知識(shí);過(guò)程4:創(chuàng)建要挾文件;過(guò)程5:標(biāo)識(shí)關(guān)鍵組件;過(guò)程6:評(píng)價(jià)所選組件;過(guò)程7:執(zhí)行風(fēng)險(xiǎn)分析;過(guò)程8:制定戰(zhàn)略。每個(gè)過(guò)程中有假設(shè)干義務(wù)Activity要執(zhí)行,執(zhí)行后會(huì)輸出一些信息。對(duì)于OCTAVE方法來(lái)說(shuō),這些信息與OCTAVE準(zhǔn)那么中規(guī)定的輸出是一致的。.OCTAVE 方法MethodOCTAVE方法強(qiáng)調(diào)人員的交流和協(xié)作,依托多次的研討會(huì)來(lái)獲取信息前3個(gè)過(guò)程,研討會(huì)參與者主要是評(píng)價(jià)

13、組和組織各個(gè)管理層次的員工,目的是全面了解資產(chǎn)、要挾、脆弱性、現(xiàn)有平安措施等信息后面過(guò)程中的研討會(huì)主要由評(píng)價(jià)組或?qū)I(yè)人員參與,目的是討論、分析已有資料,并給出結(jié)論。.一個(gè)案例一個(gè)中等規(guī)模的醫(yī)院:MedSite醫(yī)院,包括幾類(lèi)職能機(jī)構(gòu):一個(gè)常設(shè)的行政管理機(jī)構(gòu):院長(zhǎng)辦公室;一些常設(shè)的和暫時(shí)的業(yè)務(wù)機(jī)構(gòu),如業(yè)務(wù)科室、實(shí)驗(yàn)室和下轄診所等;一些常設(shè)和暫時(shí)的后勤機(jī)構(gòu);一個(gè)小規(guī)模3人的IT部門(mén),擔(dān)任網(wǎng)絡(luò)和設(shè)備維護(hù);.一個(gè)案例MedSite的組織構(gòu)造:院長(zhǎng)為最高指點(diǎn);幾個(gè)分管副院長(zhǎng),分別分管業(yè)務(wù)、后勤等職能機(jī)構(gòu);“高層指點(diǎn)包括院長(zhǎng)和副院長(zhǎng);每類(lèi)職能機(jī)構(gòu)中有假設(shè)干科室,如業(yè)務(wù)科室內(nèi)科,外科,放射科等,后勤科室捍衛(wèi)科

14、,IT部,后勤處等,也可以是異地的診所??剖覔?dān)任人是中層指點(diǎn)。.一個(gè)案例MedSite的信息系統(tǒng):患者信息系統(tǒng)PIDS,包括PIDS效力器,局域網(wǎng),終端PC等。還鏈接假設(shè)干小型數(shù)據(jù)庫(kù),保管患者信息、診斷記錄、檢查結(jié)果、帳單等信息一個(gè)獨(dú)立的提供商:ABC Systems,提供MedSite的大部分IT設(shè)備,并對(duì)MedSite的IT人員給予培訓(xùn)。MedSite想運(yùn)用OCTAVE方法,評(píng)價(jià)本組織的風(fēng)險(xiǎn).OCTAVE 方法Method風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備階段1:建立基于資產(chǎn)的要挾文件階段2:識(shí)別根底設(shè)備脆弱性階段3:制定平安戰(zhàn)略和風(fēng)險(xiǎn)控制方案.風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備爭(zhēng)取高層管理者的支持沒(méi)有指點(diǎn)的同意,評(píng)價(jià)不能進(jìn)展。

15、挑選評(píng)價(jià)小組成員評(píng)價(jià)小組應(yīng)由各個(gè)業(yè)務(wù)部門(mén)的人員組成,而不只是IT部門(mén)。評(píng)價(jià)小組主持評(píng)價(jià)過(guò)程的進(jìn)展,并分析信息,給出結(jié)論。小組成員應(yīng)具備充分的才干,并且勝任主持評(píng)價(jià)過(guò)程的任務(wù)。小組成員應(yīng)知道在什么時(shí)候補(bǔ)充人員,以便擴(kuò)展小組的知識(shí)面。.風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備設(shè)置適宜的評(píng)價(jià)范圍涉及的業(yè)務(wù)區(qū)域OCTAVE評(píng)價(jià)要覆蓋全部的組織重要資產(chǎn)。但是評(píng)價(jià)范圍不應(yīng)過(guò)大。假設(shè)評(píng)價(jià)范圍選的過(guò)大評(píng)價(jià)小組獲取和分析風(fēng)險(xiǎn)相關(guān)的信息將會(huì)變的非常困難。假設(shè)范圍選的過(guò)小,得出的評(píng)價(jià)結(jié)果將不能準(zhǔn)確反映出系統(tǒng)風(fēng)險(xiǎn)的真實(shí)情況。挑選風(fēng)險(xiǎn)評(píng)價(jià)參與者OCTAVE方法,是一個(gè)交互性很強(qiáng)的方法。在各個(gè)階段的各個(gè)過(guò)程中都要執(zhí)行多個(gè)義務(wù),進(jìn)展多次研討會(huì),每個(gè)

16、過(guò)程中都會(huì)涉及評(píng)價(jià)組以外的參與者.風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備各個(gè)過(guò)程的參與者過(guò)程參與者時(shí)間安排過(guò)程1至少3名高層領(lǐng)導(dǎo)天過(guò)程2至少4名來(lái)自評(píng)估涉及的業(yè)務(wù)區(qū)域的中層領(lǐng)導(dǎo)天過(guò)程334名來(lái)自評(píng)估涉及的業(yè)務(wù)區(qū)域的員工天過(guò)程4一名具備熟練分析技巧的員工增援評(píng)估組(可選)1天.風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備建立適當(dāng)?shù)暮笄诒WC主要是研討會(huì)的會(huì)務(wù)預(yù)備任務(wù) 評(píng)價(jià)日程表前期預(yù)備、各個(gè)義務(wù)以及研討會(huì)的時(shí)間安排提供會(huì)議室和設(shè)備白板、投影儀處置方案外事件根據(jù)需求暫時(shí)決議召開(kāi)額外的研討會(huì).MedSite的風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備正副院長(zhǎng)都贊同評(píng)價(jià)并許愿給予支持評(píng)價(jià)組的組成:Lee外科主任,評(píng)價(jià)組擔(dān)任人;Susan檔案科職員,書(shū)記員;SunnyIT人員;Kris后

17、勤處副處長(zhǎng),擔(dān)任后勤任務(wù),兼職;RuisIT職員,作為Sunny的替補(bǔ)。.MedSite的風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備評(píng)價(jià)參與人員高層指點(diǎn)參與過(guò)程1:Peter,院長(zhǎng);White,分管診療業(yè)務(wù)的副院長(zhǎng);M.Sunny,分管醫(yī)藥的副院長(zhǎng);Alice,分管病理學(xué)研討的副院長(zhǎng);Chen,分管各下轄診所的副院長(zhǎng)中層指點(diǎn)以及評(píng)價(jià)涉及的科室參與過(guò)程2:J.D.Alex,IT經(jīng)理;Bob,門(mén)診科主任;Stone,住院部主任;Christina,病理學(xué)實(shí)驗(yàn)室主任;.MedSite的風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備評(píng)價(jià)參與人員普通職員:IT部,Jack、Winston;門(mén)診部,Peter.Liu、Farris;住院部,Alan, Joyce實(shí)驗(yàn)室

18、,Johnson, Rose.MedSite的風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備評(píng)價(jià)日程略。.OCTAVE 方法Method風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備階段1:建立基于資產(chǎn)的要挾文件階段2:識(shí)別根底設(shè)備脆弱性階段3:制定平安戰(zhàn)略和風(fēng)險(xiǎn)控制方案.階段1:建立基于資產(chǎn)的要挾文件過(guò)程1:標(biāo)識(shí)高層管理知識(shí);過(guò)程2:標(biāo)識(shí)業(yè)務(wù)區(qū)域知識(shí);過(guò)程3:標(biāo)識(shí)普通員工知識(shí);過(guò)程4:創(chuàng)建要挾文件;.過(guò)程1、2、3前三過(guò)程,評(píng)價(jià)組分別與高層指點(diǎn)、中層指點(diǎn)和普通員工進(jìn)展研討會(huì),聽(tīng)取他們對(duì)什么是重要的信息資產(chǎn),以及當(dāng)前維護(hù)情況的看法。這三步中要執(zhí)行四個(gè)義務(wù):標(biāo)識(shí)組織重要資產(chǎn)和它們對(duì)組織的重要程度;列舉出一切信息資產(chǎn),并確定那些是重要資產(chǎn)標(biāo)識(shí)平安要關(guān)懷的內(nèi)容要挾

19、、影響; 描畫(huà)能夠的要挾,和影響標(biāo)識(shí)組織重要資產(chǎn)的平安需求;識(shí)別每個(gè)資產(chǎn)的平安需求,劃分優(yōu)先級(jí)標(biāo)識(shí)當(dāng)前的組織平安措施以及組織脆弱性管理層面上的脆弱性;檢查已有的措施,與良好平安實(shí)際列表相比較基線(xiàn)評(píng)價(jià).過(guò)程1、2、3MedSiteMedSite重要資產(chǎn)目錄PIDS:這個(gè)系統(tǒng)擔(dān)任著大部分患者數(shù)據(jù)的管理,是醫(yī)院最重要信息資產(chǎn);紙制藥單:遺失后沒(méi)法重建的資料;FRKS:財(cái)務(wù)系統(tǒng)。涉及經(jīng)濟(jì)命脈,重要;醫(yī)護(hù)人員資歷證書(shū):這是行醫(yī)的本錢(qián)!.過(guò)程1、2、3MedSite列舉MedSite中PIDS所面臨的要挾:訪(fǎng)問(wèn)非授權(quán)數(shù)據(jù)蓄意的輸入錯(cuò)誤數(shù)據(jù)斷電、洪水系統(tǒng)事故其它在研討會(huì)中被人提出的能夠要挾事件.過(guò)程1、2、

20、3MedSite列舉影響:?jiǎn)T工蓄意輸入錯(cuò)誤數(shù)據(jù),能夠?qū)е拢河绊憜T工的任務(wù)心情和積極性;影響病人的生命;斷電、洪水等,能夠?qū)е拢横t(yī)院不能提供及時(shí)有效的醫(yī)療效力其它被人提出來(lái)的能夠影響.過(guò)程1、2、3MedSitePIDS的平安需求:可用性PIDS需求堅(jiān)持每天24小時(shí)可用;嚴(yán)密性信息需求嚴(yán)密;對(duì)于非法的信息訪(fǎng)問(wèn),一經(jīng)發(fā)現(xiàn)要起訴到法院完好性.過(guò)程1、2、3MedSite高層領(lǐng)導(dǎo)研討安全意識(shí)和培訓(xùn)員工了解他們的安全責(zé)任和在信息安全中扮演的角色,這些情況已經(jīng)記入文檔并得到確認(rèn)。是 否 不知道各部門(mén)都有足夠的專(zhuān)家,了解各業(yè)務(wù)流程的安全執(zhí)行方式。這些情況已經(jīng)記入文檔并得到確認(rèn)。是 否 不知道安全戰(zhàn)略組織業(yè)務(wù)

21、戰(zhàn)略中包含了安全考慮是 否 不知道安全戰(zhàn)略中充分考慮了組織戰(zhàn)略和業(yè)務(wù)目標(biāo)是 否 不知道安全管理為信息安全活動(dòng)分配了足夠的資金和資源是 否 不知道簽名: Peter 職位: 院長(zhǎng).過(guò)程4:創(chuàng)建要挾文件過(guò)程4基于以上的分析內(nèi)容建立要挾文件。參與過(guò)程4中研討會(huì)的人員主要是風(fēng)險(xiǎn)評(píng)價(jià)小組的分析人員。主要義務(wù)如下:確認(rèn)從過(guò)程1到過(guò)程3獲得的組織關(guān)于風(fēng)險(xiǎn)的信息;將3個(gè)過(guò)程中經(jīng)過(guò)與各階層人員的研討而得到的資產(chǎn)、要挾、已有措施等信息加以整理總結(jié);確定系統(tǒng)的重要資產(chǎn);確認(rèn)重要資產(chǎn),并描畫(huà)為什么將其作為重要資產(chǎn)提煉重要資產(chǎn)的平安需求;描畫(huà)平安需求,并標(biāo)識(shí)優(yōu)先級(jí)。確定重要資產(chǎn)所面臨的要挾;.過(guò)程4:創(chuàng)建要挾文件 Me

22、dSite 確認(rèn)重要資產(chǎn)紙制藥單,PIDS,個(gè)人電腦,ECDS,急診護(hù)理數(shù)據(jù)系統(tǒng)候選的重要資產(chǎn)來(lái)源于前三個(gè)階段與各階層指點(diǎn)和員工的研討建議確定5個(gè)左右的重要資產(chǎn).過(guò)程4:創(chuàng)建要挾文件 MedSite PIDS系統(tǒng)的資產(chǎn)要挾文件以規(guī)范的格式給出,在OCTAVE中叫做“普通要挾文件,是一種樹(shù)狀的表格.PIDS網(wǎng)絡(luò)訪(fǎng)問(wèn)內(nèi)部外部偶爾的蓄意的數(shù)據(jù)泄露數(shù)據(jù)篡改數(shù)據(jù)喪失、破壞業(yè)務(wù)中斷數(shù)據(jù)篡改數(shù)據(jù)喪失、破壞業(yè)務(wù)中斷數(shù)據(jù)泄露偶爾的蓄意的數(shù)據(jù)篡改數(shù)據(jù)喪失、破壞業(yè)務(wù)中斷數(shù)據(jù)篡改數(shù)據(jù)喪失、破壞業(yè)務(wù)中斷數(shù)據(jù)泄露資產(chǎn) 訪(fǎng)問(wèn)方式 要挾源 動(dòng)機(jī) 要挾后果.PIDSABC Systems貨源缺乏數(shù)據(jù)泄露數(shù)據(jù)篡改數(shù)據(jù)喪失、破壞業(yè)

23、務(wù)中斷數(shù)據(jù)篡改數(shù)據(jù)喪失、破壞業(yè)務(wù)中斷資產(chǎn) 要挾源 要挾后果斷電洪水、火災(zāi)數(shù)據(jù)泄露數(shù)據(jù)篡改數(shù)據(jù)喪失、破壞業(yè)務(wù)中斷.OCTAVE 方法Method風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備階段1:建立基于資產(chǎn)的要挾文件階段2:識(shí)別根底設(shè)備脆弱性階段3:制定平安戰(zhàn)略和風(fēng)險(xiǎn)控制方案.階段2:識(shí)別根底設(shè)備脆弱性過(guò)程5:標(biāo)識(shí)關(guān)鍵組件過(guò)程6:評(píng)價(jià)所選組件.過(guò)程5:標(biāo)識(shí)關(guān)鍵組件根據(jù)過(guò)程4中給出的要挾信息,決議怎樣評(píng)價(jià)與重要資產(chǎn)相關(guān)的信息系統(tǒng)根底設(shè)備,如計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等。包含兩個(gè)義務(wù):標(biāo)識(shí)關(guān)鍵的組件類(lèi)別標(biāo)識(shí)System of interest,就是與重要資產(chǎn)相關(guān)的某些信息系統(tǒng)組件的集合。識(shí)別關(guān)鍵的組件類(lèi)別。例如效力器、網(wǎng)絡(luò)組件等標(biāo)識(shí)要檢

24、查的組件回想一下“集中精神在少數(shù)關(guān)鍵資產(chǎn)上的原那么選擇特定組件選擇評(píng)價(jià)的方式誰(shuí)來(lái)做評(píng)價(jià)?用到哪些工具手段?這個(gè)義務(wù)的目的就是在每個(gè)關(guān)鍵的組件類(lèi)別中選擇足夠的組件,以便對(duì)重要資產(chǎn)的脆弱性有充分的了解.過(guò)程5:標(biāo)識(shí)關(guān)鍵組件MedSiteSystem of interest 列表資產(chǎn)System of interestPIDSPIDS系統(tǒng)本身ECDSECDS系統(tǒng)本身個(gè)人計(jì)算機(jī)計(jì)算機(jī)本身(它們也是PIDS或ECDS的子系統(tǒng)).過(guò)程5:標(biāo)識(shí)關(guān)鍵組件MedSitePIDS關(guān)鍵組件類(lèi)別組件類(lèi)別認(rèn)定為關(guān)鍵類(lèi)別的原因* 服務(wù)器要管理患者信息* 網(wǎng)絡(luò)組件路由器和交換機(jī),內(nèi)部網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施* 安全組件防火墻,對(duì)

25、外來(lái)訪(fǎng)問(wèn)的主要把關(guān)設(shè)備* 工作站所有的內(nèi)部訪(fǎng)問(wèn)都是從工作站發(fā)起的* 家庭電腦醫(yī)生可以用它們?cè)L問(wèn)和更新患者記錄筆記本電腦無(wú)線(xiàn)組件.過(guò)程5:標(biāo)識(shí)關(guān)鍵組件MedSite要檢查的組件關(guān)鍵組件IP地址誰(shuí)來(lái)評(píng)估工具為什么用這種方式評(píng)估辦公室電腦ABC Systems派人使用工具評(píng)估,MedSite的人協(xié)助脆弱性?huà)呙杵鳎篤-R-Found V6.73等這些工具是ABC Systems常用的,它們熟悉,而我們的IT人員不熟悉。家庭電腦防火墻PIDS服務(wù)器ECDS服務(wù)器路由器要檢查的組件列表.過(guò)程6:評(píng)價(jià)選定的組件數(shù)據(jù)搜集、分析,確定風(fēng)險(xiǎn)本階段義務(wù):對(duì)選定的組件,運(yùn)用脆弱性評(píng)價(jià)工具在進(jìn)展本階段的研討會(huì)之前,掌握

26、脆弱性情況運(yùn)轉(zhuǎn)脆弱性評(píng)價(jià)工具預(yù)備初步的脆弱性總結(jié)報(bào)告復(fù)查脆弱性信息,給出最后的總結(jié)報(bào)告討論提煉初步脆弱性報(bào)告,給出最終報(bào)告.過(guò)程6:評(píng)價(jià)選定的組件MedSite關(guān)鍵組件IP地址掃描完成?辦公室電腦YES家庭電腦NO。無(wú)權(quán)操作私人物品防火墻YESPIDS服務(wù)器YESECDS服務(wù)器YES路由器YES脆弱性評(píng)價(jià)工具運(yùn)用情況.過(guò)程6:評(píng)價(jià)選定的組件MedSite脆弱性級(jí)別描述高必須24小時(shí)內(nèi)采取措施中必須一個(gè)月內(nèi)采取措施低先不管,或以后再說(shuō)脆弱性級(jí)別.過(guò)程6:評(píng)價(jià)選定的組件MedSite脆弱性報(bào)告關(guān)鍵組件IP地址工具脆弱點(diǎn)總結(jié)辦公室電腦V-R-Found V6.733個(gè)中等脆弱點(diǎn)20個(gè)低等脆弱點(diǎn)家庭電腦.防火墻.3個(gè)中等脆弱點(diǎn)20個(gè)低等脆弱點(diǎn)PIDS服務(wù)器.3個(gè)中等脆弱點(diǎn)20個(gè)低等脆弱點(diǎn)ECDS服務(wù)器.路由器.OCTAVE 方法Method風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備階段1:建立基于資產(chǎn)的要挾文件階段2:識(shí)別根底設(shè)備脆弱性階段3:制定平安戰(zhàn)略和風(fēng)險(xiǎn)控制方案.階段3:制定平安戰(zhàn)略和風(fēng)險(xiǎn)控制方案過(guò)程7:執(zhí)行風(fēng)險(xiǎn)分析過(guò)程8:制定戰(zhàn)略.過(guò)程7:執(zhí)行風(fēng)險(xiǎn)分析執(zhí)行風(fēng)險(xiǎn)分析,確定風(fēng)險(xiǎn)信息三個(gè)義務(wù):識(shí)別影響確認(rèn)要挾事件呵斥的后果會(huì)對(duì)業(yè)務(wù)產(chǎn)生什么損害建立風(fēng)險(xiǎn)評(píng)價(jià)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論