CISSP-D6-安全评估和测试
CISSP-D1-安全与风险管理
CISSP-D2-资产安全
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制
CISSP-D7-运营安全
D6:安全评估与测试
一、相关概述、技术措施评估和测试: D6-1~2
二、网络组建和设备安全: D6-3~4
D6-1-安全评估与测试概述
三大主要构成
1、安全测试
- 验证安全控制措施运行正常
- 包括自动扫描、工具辅助渗透测试和手动测试
- 审核测试结果,确保测试成功
2、安全评估
- 对系统、应用程序或其他测试环境的综合评价
- 主要产物通常是一份用于管理的评估报告
3、安全审计
- 必须由独立的审计员执行
- 信息系统的安全审计范围和流程
- 内部审计
- 第三方审计
- 服务性组织控制(SOC)
D6-2-技术控制措施的评估与测试
1、概述
- 通过使用IT资产来实现的安全控制
- 技术控制对那些我们在风险管理流程中所识别到的风险的降低能力
2、测试
- 脆弱性测试
经常被攻击者利用的脆弱性:- 内核缺陷
- 缓冲区溢出
- 符号连接
- 文件描述符攻击
- 竞态条件
- 文件和目录许可
- 黑盒测试
- 白盒测试
- 灰盒测试
- 渗透测试
- 日志审查
- 通过检查系统的日志文件,以检测各种安全事件或验证各种安全控制的有效性
- 不断调整日志审查系统,以应对持续变化的威胁环境
- 确保所有联网的设备时间都标准化
- 防止日志被篡改
- 归档日志
- 综合事务
- 假设事务不是由人所生产的。而是由脚本所生产的
- 误用案例测试
- 指威胁我们系统特定部分或合法的案例
- 代码审查
- 接口测试
D6-3-管理控制措施的评估与测试
1、管理控制措施评测的方法
- 账户管理
- 盗用现有特权账号
- 创建新的特权账号
- 提升常规用户账号是权限
- 备份验证
- 确保备份在需要时能够按照其预定的方式运行
- 数据类型
- 用户数据文件
- 数据库
- 邮箱数据
- 验证
- 灾难护肤和业务连续性
- 流程必须定期被评估,以确保它仍然有效
- 环境不断变化而需要定期被测试
- 测试和灾难恢复演练应当至少每年进行一次
- 各种类型的演练和测试
- 结构化的排练性测试
- 模拟测试
- 并行测试
- 全中断测试
D6-4-评估与测试报告和管理
1、报告类型
- 技术报告
- 威胁
- 漏洞
- 利用的可能行
- 利用后的影响
- 建议措施
- 执行摘要
2、管理评审
- 高级组织领导层的正式会议,用以确定管理系统是否有效实现着目标
- 评审从前面阶段的到的所有信息,决定我们师傅要调整目标、标准或政策以不断改善我们的安全态势。
CISSP-D6-安全评估和测试相关推荐
- 【CISSP】安全评估与测试
661页开始,707页结束,一共46页,我差不多花了1天时间,课后26道题,错误率20% 审计是对信息系统安全控制的一个系统性评估 在计划一个安全审计时,最重要的步骤是制定一套明确的目标 内部审计受益 ...
- 【CISSP备考笔记】第6章:安全评估与测试
第六章:安全评估与测试 6.1 审计策略 信息系统的安全审计是对特定范围的人/计算机/过程和信息的各种安全控制所实施的一个系统性评估. 安全审计流程:确定目标--适合的业务部分领导参与--确定范围-- ...
- 【CISSP备考】第六章-安全评估与测试
构建安全评估和测试方案 安全测试 安全测试时验证某项控制措施是否正常运行,包括自动化扫描,工具辅助的渗透测试,试图破坏安全的手动测试 在安排安全控制措施时信息安全管理者主要考虑以下因素 安全测试资源的 ...
- 第15章 安全评估与测试
15.1构建安全评估和测试方案 安全评估和测试方案(Program)是信息安全团队的基础维护活动. 该方案包括测试.评估和审计,定期验证组织是否已采取足够的安全控制,及这些安全控制是否正常运行并有效地 ...
- CISSP考点拾遗——公开测试Overt Testing和隐蔽测试Covert Testing
这是一个找遍CISSP三个主要教材(CBK.OSG.AIO)都不见但考试会考到的内容(*^_^*)y 本文中内容主要出自NIST SP 800-115 信息安全测试和评估技术指南TECHNICAL G ...
- Cissp-【第6章 安全评估与测试】-2021-3-15(661页-706页)
1.信息系统安全需要定期评估 2.审计策略 3.信息系统的安全审计流程 4.脆弱性测试 5.漏洞和渗透测试的颜色 6.各种典型的弱点 7.渗透测试 8.渗透测试步骤,执行前切记获得授权书 9.事后检查 ...
- 承诺通过年薪百万的CISSP信息系统安全专家认证,未通过提供第二次认证费749美元
CISSP证书价值特别高,具有CISSP证书资格的人具有非常高的地位,在国内拥有CISSP证书资格的人更是珍贵.许多跨国企业在招聘说明书上写明,具备CISSP证书者优先:不少国内企业也纷纷提出相关要求 ...
- CISSP会学习什么
CISSP 英文全称:" Certified Information Systems Security Professional",中文全称:"(ISC)²注册信息系统安 ...
- CISSP考试的难点到底在哪里
提醒大家,CISSP光靠刷题是不能通过考试的,其难点在于对题目的理解,理解后经过分析,才可能选出最优选项. 谷安CISSP保障班学员:赵先生 感谢谷安老师及班主任的耐心教导.方老师对CISSP课程8个 ...
- 记一次完整的CISSP备考全过程!
2020年随着国家对信息系统安全的愈发重视,提高自身业务水平的要求也迫在眉睫.本人多年服务于一家预付费卡公司,属于非金融第三方支付行业,一直接受中国人民银行监管,每年还要应对中金国盛对系统的信息安全合 ...
最新文章
- 详解Spring Boot 2.X使用缓存@Cacheable代码示例
- Vue.JS项目导入导出JSON文件的方案之一,其他项目也可参考
- python socket tcp远控_Python3实现ICMP远控后门(中)之“嗅探”黑科技
- C语言高级技术之--游戏属性修改器(背景故事)
- oracle将千万行查询优化到一秒内,oracle下一条SQL语句的优化过程(比较详细)
- ML、DL、CNN学习记录7
- 吴恩达机器学习 7.神经网络参数的反向传播算法
- 实训-利用HTML+CSS制作某米官网首页
- 空间波束形成matlab仿真,自适应波束形成Matlab仿真
- 基于matlab 宗晓萍,宗晓萍 - 河北大学 - 电子信息工程学院
- CTSC2016时空旅行
- qpsk的映射过程_(完整版)QPSK调制原理及matlab程序实现
- 你知道吗?U盘插入速度决定读写速度,看完别再用错了
- 对于表单提交的防止重复提交
- 列表/元组/切片/字典/字符串处理方法
- win7系统怎样开启aero特效?
- 发送ZPL指令到斑马打印机,并监控打印成功或者失败的状态信息
- Redox OS 0.5.0 发布,新增功能强大的 C 库 relibc
- 2016,上路了 就不难
- Redis最全数据类型详介及复杂度标识【面试必备】