【CISSP备考】第六章-安全评估与测试
构建安全评估和测试方案
安全测试
安全测试时验证某项控制措施是否正常运行,包括自动化扫描,工具辅助的渗透测试,试图破坏安全的手动测试
在安排安全控制措施时信息安全管理者主要考虑以下因素
安全测试资源的可用性
待测控制措施所保护系统及应用程序的重要性
待测系统及应用程序所包含信息的敏感性
执行控制措施的机制出现技术故障的可能性
关乎安全的控制措施出现错误配置的可能性
系统可能遭受攻击的风险
控制措施配置变更的频率
技术环境下可能影响控制措施性能的其他变更
执行控制措施的难度及时间
测试对正常业务操作造成的影响
安全评估
安全评估时对系统、应用程序或其他待测环境的安全性进行全面审查。经过训练的信息安全专业人员进行风险评估、识别出可能造成危害的安全漏洞、并且根据需要提出修复建议。
NST评估包括四个部分:
1、规范:包括政策、规程、要求、详细及设计
2、机制是信息系统中用于满足规范的控制措施,机制可以基于硬件软件或者固件
3、人员是执行规范、机制及活动的人员
4、活动是在信息系统中用于满足规范的控制措施、这些行动可能包括执行备份、导出日志文件或审查账户历史记录
安全审计
安全评估期间、安全审计虽然遵循许多相同技术,但是必须由独立审核员执行。审计时为了向第三方证明控制措施有效性而进行的评估,为组织设计、实施和监控控制措施的员工存在内在的利益冲突。
审计员为组织的安全控制状态提供一种客观中立的视角。审计报告和评估报告非常类似,但是适用于不同的受众,可能包括组织的董事会,政府监管机构和其他第三方。
审核主要有:内部审计、外部审计、第三方审计
1、内部审计:
内部审计是由组织内部审计人员执行,通常适用于组织内部。内部审计人员在执行内部审计时,通常完全独立于所评估的职能
2、外部审计:
外部审计通常由外部审计公司执行。安永。德勤、普华永道、毕马威
3、第三方审计:
第三方审计时由另一个组织或者以另一个组织的名义进行的审计,比如监管机构可依据合同或者法律对被监管公司进行审计
SSAE16认证业务第16号声明:
1类报告:描述了被审计组织提供的控制措施,以及审计员基于该描述所形成的意见。
2类报告:至少覆盖6个月的时间,还包括审计员根据实际测试结果对这些控制措施的有效性所形成的意见
通常2类报告比1类报告更可靠
审计标准:在进行审计或者评估时,审计团队应该明确评估组织所采用的标准,标准描述了需要满足的控制目标,审计或评估的目的就是确保组织正确实施控制措施来实现这些目标。
COBIT:描述了组织围绕其信息系统所应具备的通用要求
ISO 27001:描述了建立信息安全管理系统的标准方法
开展漏洞评估:
漏洞描述:
NIST为安全社区提供安全内容自动化协议(SCAP),SCAP是提供讨论的通用框架,也促进不同安全系统之间交互的自动化,SCAP组件包括:
1、通用漏洞披露:(CVE)提供一个描述安全漏洞的命名系统
2、通用漏洞评分系统(CVSS):提供一个描述安全漏洞严重性的标准化评分系统
3、通用配置枚举(CCE):提供一个系统配置问题的命名系统
4、可扩展配置检查表描述格式(XCCDF):提供一种描述安全检查表的语言
5、开放漏洞评估语言(OVAL):提供一种描述安全测试过程的语言
网络发现扫描:TCP SYN扫描、TCP Connect扫描、TCP ACK扫描、Xmas扫描
网络漏洞扫描
web应用漏洞扫描
数据库漏洞扫描
漏洞管理工作流程:检测、验证、修复
渗透测试
渗透测试实际上是在尝试攻击系统、所以渗透测试比漏洞探测技术更进一步
渗透测试过程通常包含以下几个方面:
1、规划阶段:包括测试范围和规则的协议
2、信息收集和发现阶段结合人工和自动化工具来收集目标环境的信息
3、漏洞扫描阶段:探测系统脆弱点
4、漏洞利用阶段:试图利用人工和自动化漏洞利用工具来尝试突破系统安全防线
5、报告总结阶段渗透测试测试结果、并提出改进系统安全的建议
测试软件:
代码审查:规划、概述、准备、审查、返工、追查
静态测试、动态测试、模糊测试(突变模糊测试:从软件实际操作获取输入值、然后操纵输入值来生产模糊输入,预生成模糊测试:设计数据模型、基于对软件所用数据类型的理解创建新的模糊输入)
接口测试:应用编程接口、用户界面(接口测试应该审查所有用户界面、以验证用户界面是否正常工作)、物理接口:存在于操作机械装置,逻辑控制器或其他物理设备的一些应用程序
误用例测试
测试覆盖率分析:
测试覆盖率=已测用例的数量/全部用例的数量
测试覆盖率五个常见标准:
1、分支覆盖率
2、条件覆盖率
3、函数覆盖率
4、循环覆盖率
5、语句覆盖率
网站监测:被动监测、综合监测
实施安全管理流程:
安全管理审查包括:日志审查、账户管理、备份验证、关键性能和风险指标
日志审查:SIME安全信息和事件管理
账户管理通用流程:
1、管理人员要求系统管理员提供具有特殊权限的用户列表以及特权
2、管理人员要求特权审批机构提供授权用户的列表及其分配的权限
3、管理人员对这两份清单进行比较
确保只有经过授权的用户才能保留对系统的访问权限、并且每个用户的访问权限都不应该超过其授权
关键绩效和风险指标:
遗留的漏洞数量、修复漏洞的时间、漏洞/缺陷重现、被盗用户账户的数量、在移植到生产环境前扫描过程中检测到软件缺陷数量、重复审计的结果、尝试访问已知恶意站点的用户
【CISSP备考】第六章-安全评估与测试相关推荐
- 十六章、渗透测试(千峰网络安全300课时笔记)
十六章.渗透测试 引言:千峰网络安全300课时学习,视频学习过程中的学习笔记.笔记中借鉴了CSDN博主「beglage」文章中的图片记录,感谢千峰网络的视频和beglage博主的博文笔记记录分享. B ...
- 第15章 安全评估与测试
15.1构建安全评估和测试方案 安全评估和测试方案(Program)是信息安全团队的基础维护活动. 该方案包括测试.评估和审计,定期验证组织是否已采取足够的安全控制,及这些安全控制是否正常运行并有效地 ...
- 软件工程 | 第六章 系统集成与测试
软件工程 系列为本学期(2020春季)软件工程以及软件工程实践课程笔记整理~ 转眼间6月份快要到来了,考试要临近了~ 问题:一个软件经过各种测试后没问题,但到用户电脑上无法运行,给出解决方案?(预计会 ...
- Cissp-【第6章 安全评估与测试】-2021-3-15(661页-706页)
1.信息系统安全需要定期评估 2.审计策略 3.信息系统的安全审计流程 4.脆弱性测试 5.漏洞和渗透测试的颜色 6.各种典型的弱点 7.渗透测试 8.渗透测试步骤,执行前切记获得授权书 9.事后检查 ...
- (软件工程复习核心重点)第六章实现和测试习题
文章目录 选择题 填空题 名词解释 简答题 画图/应用题 选择题 填空题 编码风格需要考虑的5个方面 程序内部的文档 数据说明 语句构造 输入输出 效率 单元测试的测试重点 模块结构 局部数据结构 重 ...
- (软件工程复习核心重点)第六章实现和测试-第七节:黑盒测试
文章目录 一:概念 (1)目的 (2)适用性 (3)设计测试方案时需要考虑的问题(了解) (4)测试用例的标准 二:技术方法 (1)等价类划分法 A:定义 B:目的 C:流程 ①:划分数据的等价类 ② ...
- (软件工程复习核心重点)第六章实现和测试-第六节:白盒测试
文章目录 一:逻辑覆盖 (1)定义 (2)分类 二:控制结果测试 (1)基本路径测试 A:定义(了解) B:步骤(了解) (2)条件测试(了解) A:关系表达式 B:条件错误的类型 C:条件测试的优点 ...
- (软件工程复习核心重点)第六章实现和测试-第五节:确认测试
文章目录 一:概念 二:确认测试的范围(了解) (1)要求 (2)结果 三:软件配置复查(了解) (1)目的 (2)要求 四:Alpha测试Beta测试 (1)Alpha测试 (2)Beta测试 一: ...
- (软件工程复习核心重点)第六章实现和测试-第四节:集成测试
文章目录 一:概念 (1)方法分类 (2)非渐增测试的缺点(了解) (3)渐增测试的优点(了解) 二:渐增式测试策略 (1)自顶向下集成 A:定义 B:步骤(了解) C:结合策略(了解) ①:深度优先 ...
最新文章
- 第一部分 Mysql的基础
- 新一代的编译工具 SWC,97年小哥写的~
- 深度解析Cocoa异步请求和libxml2.dylib教程(1)
- 做老板的,首先要懂销售,销售什么?
- C# 最小化到系统托盘的实现(一)
- oracle回滚断查询,Oracle回滚段使用查询代码详解
- java 并发容器类实验_Java多线程并发编程中并发容器第二篇之List的并发类讲解...
- 使用lambdaquery() 报空指针异常_ARMv8 异常处理简介
- Spring Cloud Alibaba Nacos之服务注册中心
- Qt学习-QString用法总结( setNum, number 函数)
- docker客户端和服务端
- 自动锁定计算机快捷键,电脑自动锁屏的快捷键是什么
- 乔治华盛顿大学计算机科学专业,乔治华盛顿大学计算机专业简介
- Microsoft Surface
- 如何更高效地使用Google搜索
- 导出备忘录Word文档
- 浅谈Android中的异步加载之ListView中图片的缓存及优化三
- 联想Y471A加装固态硬盘及解决启动黑屏问题
- tomcat启动bat文件闪退解决方法
- python求解一阶线性偏微分方程通解举例