CISSP学习笔记-15（安全评估和测试）.pdf

CISSP学习笔记-15（安全评估和测试）

知识点

构建安全评估和测试⽅案

安全测试

测试⽅案采⽤⻛险优先级⽅法对系统测试

证某项控制措施是否正常运⾏。

这些测试包括⾃动化扫描、⼯具辅助的渗透测试、试图破坏安全的⼿动测试。

安全测试应该定期执⾏，安全控制措施为组织保驾护航。

在安排安全控制措施审查时，信息安全管理者(information security manager)应考虑以下因素：

•安全测试资源的可⽤性

•待测控制措施所保护系统及应⽤程序的重要性(Criticality)

•待测系统及应⽤程序所含信息的敏感性

•执⾏控制措施的机制出现技术故障的可能性

•关乎安全的控制措施出现错误配置的可能性

•系统可能遭受攻击的⻛险

•控制措施配置变更的频率

•技术环境下可能影响控制措施性能的其他变更

•执⾏控制措施测试的难度及时间

•测试对正常业务操作造成的影响

安全评估

安全评估是对系统、应⽤程序或其他待测环境的安全性进⾏全⾯审查。

主要成果：向管理层提交的评估报告，具体建议为结论

可以内部⼈员，也可以第三⽅团队

NIST：组成部分：

根据NIST 800-53，评估包括4个组成部分：

•规范(Specification) 是与待审计系统有关的⽂档。规范通常包括政策、规程、要求、详细及设计。

•机制 是信息系统中⽤于满⾜规范的控制措施。机制可以基于硬件、软件或固件。

•活动 是在信息系统中⼈员所采取的⾏动。这些⾏动可能包括执⾏备份，导出⽇志⽂件或审查账户历史记录。

•⼈员 是指执⾏规范、机制及活动的⼈员。

采访个体并进⾏直接测试来确定控制措施的有效性。

安全审计

评估和测试结果仅供内部使⽤，旨在评估控制措施，着眼于发现潜在的改进空间。审计是为了向第三⽅证明控制措施有效

性⽽进⾏的评估。

审计员(uditor)为组织的安全控制状态提供⼀种客观中⽴的视⻆。他们撰写的报告与安全评估报告⾮常相似，但适⽤于不

同的受众，可能包括组织的董事会、政府监管机构和其他第三⽅。

内部审计

内部审计是由组织内部审计⼈员执⾏，通常适⽤于组织内部。

内部审计⼈员在执⾏审计时，通常完全独⽴于所评估的职能。

在许多组织中，审计负责⼈直接向类似总裁、⾸席执⾏官汇报。

审计负责⼈也可直接向组织的董事会报告。

外部审计

外部审计通常由外部审计公司执⾏。

因为执⾏评估的审计员与组织并没有利益冲突，所以外部审计具有很⾼的公信⼒。

最为⼈们所认可的四⼤审计公司

第三⽅审计

向其他组织提供服务的组织通常要求进⾏第三⽅审计。

第16号认证业务标准声明(The Statement on Standards for ttestation Engagements document 16, SSE16)

SOC1 声明

SOC2 声明 保密，可根据保密协议对外公开

SOC3 声明 公开

I类报告

II类报告

审计标准

COBIT

ISO27001

描述了建⽴信息安全管理系统的标准⽅法。

ISO27002

详细介绍了信息安全控制的细节。

开展漏洞评估

漏洞描述

SCP

•通⽤漏洞披露(Common Vulnerabilities and Exposures, CVE)：提供⼀个描述安全漏洞的命名系统。

•通⽤漏洞评分系统(Common Vulnerability Scoring System, CVSS)：提供⼀个描述安全漏洞严重性的标准化评分系

统。

•通⽤配置枚举(Common Configuration Enume