OCTAVE（Operationally Critical Treat，Asset，and Vulnerability Evaluation，可操作的关键威胁、资产和薄弱点评估）是由美国卡耐基·梅隆大学软件工程研究所下属的CERT协调中心开发的用以定义一种系统的、组织范围内的评估信息安全风险的方法。

特色

OCTAVE操作步骤(建立配置威胁文件 识别基础设施的薄弱点 开发安全策略和计划)

结合信息安全风险管理

GNU Octave

特色

风险评估（Risk Assessment）存在于很多行业，但在IT行业，专指信息安全风险评估，指依据有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）等安全属性进行科学、公正的综合评估的过程。它是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。

对信息系统进行风险评估，其目的是为了了解信息系统目前与未来的风险所在，评估这些风险可

能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依 据。风险评估是风险管理的基础，是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

目前关于风险评估的标准规范很多，如ISO 15408、SSE-CMM、BS7799、ISO 13335、AS/NZS 4360、OCTAVE、NIST SP800系列等。其中，当前大多数评估方法都是“自下而上”的: 都是从计算基础设施开始，强调技术弱点，而不考虑组织的任务和业务目标的风险。OCTAVE方法则是着眼于组织自身并识别出组织所需保护的对象，明确它为什么存在风险，然后开发出技术和实践相结合的解决方案。

OCTAVE的核心是自主原则，即由组织内部的人员管理和指导该组织的信息安全风险评估。信息安全是组织内每个人的职责，而不只是IT部门的职责。

OCTAVE操作步骤

OCTAVE首先强调的是O—可操作性，其次是C—关键性，也就是说，它最注重可操作性，其次对关键性很关注。OCTAVE方法使用一种三阶段方法对管理问题和技术问题进行研究，从而使组织人员能够全面把握组织的信息安全需求。它由一系列循序渐进的讨论会组成，每个讨论会都需要其参与者之间的交流和沟通。OCTAVE方法的三个阶段由八个过程组成：

建立配置威胁文件

第一阶段着手开始建立OCTAVE的组织视图，重点考虑组织中的人员。

在这一阶段中，目标是建立组织对信息安全问题的概括认识。要实现这一目标，首先需要采集组织内员工对安全问题的个人观点，然后对这些个人观点进行综合整理，为评估过程中的所有后续分析活动奠定基础。通过对组织专业领域知识的调研可以清楚地表明员工对信息资产、资产面临的威胁、资产的安全需求、组织现行保护信息资产的措施和组织资产和措施的缺点等有关问题的理解。

本阶段主要由4个过程组成：

· 过程1：标识高层管理部门的知识;

· 过程2：标识业务区域管理部门的知识;

· 过程3：标识员工的知识;

· 过程4: 建立威胁配置文件。

识别基础设施的薄弱点

第二阶段也称为OCTAVE Method的“技术观点”，因为在这一阶段，分析人员的注意力转移到组织的计算基础结构上。

在这一阶段中，是对当前信息基础设施的评价，包括数据收集和分析活动。通过检查信息技术基础结构的核心运行组件，可以发现能导致非授权行为的漏洞（技术脆弱性）。

本阶段主要由2个过程组成：

·过程5：标识关键组件；

·过程6：评估选定的组件。

开发安全策略和计划

第三阶段旨在理解迄今为止在评估过程中收集到的信息，即分析风险。

在这一阶段中，需要开发出解决组织内部存在的风险和问题的安全策略和计划。通过分析阶段一和阶段二中对组织和信息基础结构评估中得到的信息，可以识别出组织面临的风险，同时基于这些风险可能给组织带来的不良影响对其进行评估。此外，还要按照风险的优先级顺序制定出组织保护策略和风险缓解计划。

本阶段主要由2个过程组成：

·过程7：执行风险分析；

·过程8：开发保护策略。

结合信息安全风险管理

信息安全风险评估是一个能够帮助组织了解特定信息的安全风险、并建立解决这些风险的策略的过程。然而，信息安全风险评估只是组织不断进行信息安全风险管理活动的一部分。

OCTAVE的关键结果包括组织改进其安全状态的保护策略和减少组织的关键资产的风险的缓和计划。然而，评估结果仅为组织改进安全状态指明了方向，但不一定有重大改进。为了有效地管理信息安全风险，必须根据风险评估的结果开发详细的行动计划，并对这些计划的实施进行管理。

我们可以将OCTAVE方法中的资产驱动的、基于风险的概念与普遍用于其他领域的一般的风险管理概念相结合，在组织内建立管理信息安全风险管理的综合方法。

此外，OCTAVE方法是为大型组织而设计的，但它是基于风险的方法，我们可以以此为基线或起点，对该方法进行开发剪裁，使它适合于不同规模的组织、业务环境或工业部门。

GNU Octave

GNU Octave是一种高级语言，主要设计用来进行数值计算，它是 MathWorks 出品的Matlab 商业软件的一个强有力的竞争产品。除了 gnuplot 所提供的简单命令集之外，Octave 还为进行数学编程提供了一种丰富的语言。我们甚至可以使用 C 或 C++ 语言编写自己的应用程序，然后与 Octave 进行交互。　Octave 最初是在 1992 年作为化学反应堆设计教科书的一个辅助软件而编写的。其作者希望能够帮助学生解决反应堆的设计问题，而不用调试 Fortran 程序。结果获得了一种非常有用的语言，并为解决数值问题提供了交互式环境。

Octave 可以以一种脚本化模式非交互地进行操作，或者通过 C 和 C++ 语言绑定进行操作。Octave 本身就有一种非常丰富的语言，该语言看起来与 C 语言非常类似，并有一个很大的数学库，包括信号和图像处理、音频处理以及控制理论所使用的一些特殊函数。

由于 Octave 使用了 gnuplot 作为其后端实现，因此使用 gnuplot 可以绘制的所有东西都可以使用 Octave 进行绘制。Octave 的确有一种更丰富的语言来进行计算，它有很多明显的优点，但是仍然有 gnuplot 的一些限制。