​OCTAVE

OCTAVE（Operationally Critical Treat，Asset，and Vulnerability Evaluation，可操作的关键威胁、资产和薄弱点评估）是由美国卡耐基•梅隆大学软件工程研究所下属的CERT协调中心开发的用以定义一种系统的、组织范围内的评估信息安全风险的方法。

风险评估（Risk Assessment）存在于很多行业，但在IT行业，专指信息安全风险评估，指依据有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）等安全属性进行科学、公正的综合评估的过程。它是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。

对信息系统进行风险评估，其目的是为了了解信息系统目前与未来的风险所在，评估这些风险可

能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依  据。风险评估是风险管理的基础，是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

目前关于风险评估的标准规范很多，如ISO 15408、SSE-CMM、BS7799、ISO 13335、AS/NZS 4360、OCTAVE、NIST SP800系列等。其中，当前大多数评估方法都是“自下而上”的: 都是从计算基础设施开始，强调技术弱点，而不考虑组织的任务和业务目标的风险。OCTAVE方法则是着眼于组织自身并识别出组织所需保护的对象，明确它为什么存在风险，然后开发出技术和实践相结合的解决方案。

OCTAVE的核心是自主原则，即由组织内部的人员管理和指导该组织的信息安全风险评估。信息安全是组织内每个人的职责，而不只是IT部门的职责。 

OCTAVE首先强调的是O—可操作性，其次是C—关键性，也就是说，它最注重可操作性，其次对关键性很关注。OCTAVE方法使用一种三阶段方法对管理问题和技术问题进行研究，从而使组织人员能够全面把握组织的信息安全需求。它由一系列循序渐进的讨论会组成，每个讨论会都需要其参与者之间的交流和沟通。OCTAVE方法的三个阶段由八个过程组成：

第一阶段，建立基于资产的配置威胁文件 

第一阶段着手开始建立OCTAVE的组织视图，重点考虑组织中的人员。 

在这一阶段中，目标是建立组织对信息安全问题的概括认识。要实现这一目标，首先需要采集组织内员工对安全问题的个人观点，然后对这些个人观点进行综合整理，为评估过程中的所有后续分析活动奠定基础。通过对组织专业领域知识的调研可以清楚地表明员工对信息资产、资产面临的威胁、资产的安全需求、组织现行保护信息资产的措施和组织资产和措施的缺点等有关问题的理解。 

本阶段主要由4个过程组成： 

· 过程1：标识高层管理部门的知识; 

· 过程2：标识业务区域管理部门的知识; 

· 过程3：标识员工的知识; 

· 过程4: 建立威胁配置文件。 

第二阶段，识别基础设施的薄弱点 

第二阶段也称为OCTAVE Method的“技术观点”，因为在这一阶段，分析人员的注意力转移到组织的计算基础结构上。 

在这一阶段中，是对当前信息基础设施的评价，包括数据收集和分析活动。通过检查信息技术基础结构的核心运行组件，可以发现能导致非授权行为的漏洞（技术脆弱性）。 

本阶段主要由2个过程组成：

·过程5：标识关键组件；

·过程6：评估选定的组件。 

第三阶段，开发安全策略和计划 

第三阶段旨在理解迄今为止在评估过程中收集到的信息，即分析风险。 

在这一阶段中，需要开发出解决组织内部存在的风险和问题的安全策略和计划。通过分析阶段一和阶段二中对组织和信息基础结构评估中得到的信息，可以识别出组织面临的风险，同时基于这些风险可能给组织带来的不良影响对其进行评估。此外，还要按照风险的优先级顺序制定出组织保护策略和风险缓解计划。 

本阶段主要由2个过程组成：

·过程7：执行风险分析；

·过程8：开发保护策略。 

结合信息安全风险管理 

信息安全风险评估是一个能够帮助组织了解特定信息的安全风险、并建立解决这些风险的策略的过程。然而，信息安全风险评估只是组织不断进行信息安全风险管理活动的一部分。 

OCTAVE的关键结果包括组织改进其安全状态的保护策略和减少组织的关键资产的风险的缓和计划。然而，评估结果仅为组织改进安全状态指明了方向，但不一定有重大改进。为了有效地管理信息安全风险，必须根据风险评估的结果开发详细的行动计划，并对这些计划的实施进行管理。 

我们可以将OCTAVE方法中的资产驱动的、基于风险的概念与普遍用于其他领域的一般的风险管理概念相结合，在组织内建立管理信息安全风险管理的综合方法。 

此外，OCTAVE方法是为大型组织而设计的，但它是基于风险的方法，我们可以以此为基线或起点，对该方法进行开发剪裁，使它适合于不同规模的组织、业务环境或工业部门。