OCTAVE Process 6抽样资产脆弱性评估 MSE安全攻防培训资料.doc

阶段6：抽样资产脆弱性评估Process 6: Evaluate Selected Components 描述　Description 目　　的： 识别技术上的脆弱性，并对结果进行总结和摘要 涉及人员： 分析小组以及对方核心IT雇员。 数据流程图表　Data Flow Diagram  阶段6实施指导方针 阶段6：抽样资产脆弱性评估 时间：2 hr – 3 hr 工程现场目标： 技术脆弱性分析，并对最终结果进行总结 分析小组的任务： 工程负责人负责总体指导项目的实施，确保评估小组的所有成员都明确评估的实施步骤和方法，同时确保项目附加成员明确评估步骤和方法并能够积极的参与工作。 各项工作需指派专门的记录人员，项目实施工程中获取的数据需经过一致认可后方可填入工作表单中。 　　其它人员需积极参与工作，准确完成评估任务。 对方配合人员任务： 如果对方的IT职员参与了脆弱性评估，他们必须对他们使用的评估工具和所得评估结果负责，他们同样需要将他们的评估摘要提交我方的评估分析小组。 专家顾问团的任务： 如果专家顾问团成员参与了脆弱性评估，他们必须对他们使用的评估工具和所得评估结果负责，他们同样需要将他们的评估摘要提交评估分析小组。 必需的设备和资料： 投影仪或幻灯机 （可选） 阶段６的介绍性幻灯片 （可选） 技术脆弱性评估的工具软件 抽样选择出的资产清单 阶段６的工作表格：资产分类和抽样草表 现场工作结果总结和摘要： 检测出的技术脆弱性 (O6.1) 指出的技术脆弱性摘要(O6.2) 技术脆弱性摘要 (O6.3) 工程实施之前　Before the Workshop 步骤 描述 工作表 D6.1 在抽样选定的资产上运行脆弱性评估的工具软件 由对方的IT职员和安全专家顾问协同操作。在工程现场实施之前，由他们采用脆弱性评估的工具软件，对脆弱性评估做简单总结摘要。 --- 工程实施现场　During the Workshop 步骤 描述 工作表 工程现场的基本了解 现场负责人需确认每个成员都能够明确他们的角色和责任，并且已经准备好需要的工作需要的设备和资料。 --- A6.1 检测技术脆弱性并进行结果总结和摘要 由运行脆弱性评估工具软件的对方人员和专家顾问针对各个关键资产提交脆弱性摘要并负责向评估分析小组进行解释说明。每份脆弱性摘要将被复审并进行恰当的修正。 资产分类和抽样草表 实施结果总结摘要 现场负责人检查工作结果，查看每项工作是否都已准确完成，并安排下阶段工作的时间进度。 --- 阶段6工程之前 D6.1 对选择的基础组件运行漏洞评估工具 活动中使用的工作表 活动的输出 活动时间 --- 技术漏洞(O6.1) 建议的技术漏洞摘要(O6.2) --- 基本指南 在本活动中，IT职员或外部专家执行漏洞评估，它们负责运行漏洞评估工具并在工程之前建立详细的漏洞报表。 在使用漏洞评估工具之前，指定职员（IT职员或外部专家）必须验证： 使用的是正确的工具 使用的工具的最新版本 得到的所有的许可以及所有受到影响的人员 在阶段5完成的任何其它活动项目 指派职员对在阶段5确定选择的基础设施组件运行漏洞评估工具。分析组的成员观察评估或者适当的时候直接参与评估。如果指派的人员不能检查基础组件的技术漏洞，则需要记录原因，阶段6的工作中必须与分析组讨论这些情况。 指派职员检查详细的工具产生的漏洞信息，解释结果，为每一个关键组件创建初步的技术漏洞摘要。 每个组件的漏洞摘要包括下面的信息： 立即修复的漏洞(高重要性)的数目 尽快修复的漏洞(中等重要性)的数目 稍后修复的漏洞数量(低重要性)的数目 额外的指南 软件漏洞评估工具应该为每种选择的组件收集下列类型的信息： 漏洞名称 漏洞的描述 漏洞的重要性级别 修补漏洞需要的行为 注意在参考书目中列出了特定的漏洞工具。 漏洞评估工具检查已知的技术漏洞。漏洞的目录通常在CVE中使用。 在网络上运行漏洞评估工具之前应该确保具有适当的许可和管理允许。IT部门应该有获得允许的过程来使用漏洞评估工具。 初步的摘要的需求建立在假设漏洞评估不是所有分析组成员都执行基础上。软件评估工具生成非常详细的报表，Checklists和脚本需要相当的信息技术和安全专家使用，因此业务职员观察但没有积极参与评估的现象经常出现。 记得一些分析组成员应当是没有日常正确配置和管理系统的业务人员，很多情况下，核心分析组成员的技能会在附加的IT职员或外部专家执行漏洞评估时得到提高。IT职员或外部专家执行评估时初步的漏洞摘要需要与核心的分析组成员交流漏洞信息，摘要应该在工作中提交给分析组。 如果核心分析组成员也积极参与漏洞评估，你可能要等到工作进行到分析和解释结果。 详