【CISSP备考】第六章-安全评估与测试

最新推荐文章于 2024-02-18 07:00:00 发布
最新推荐文章于 2024-02-18 07:00:00 发布
阅读量546 收藏
点赞数
分类专栏: CISSP备考 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36019891/article/details/122287109
版权

构建安全评估和测试方案

安全测试

安全测试时验证某项控制措施是否正常运行,包括自动化扫描,工具辅助的渗透测试,试图破坏安全的手动测试

在安排安全控制措施时信息安全管理者主要考虑以下因素

安全测试资源的可用性

待测控制措施所保护系统及应用程序的重要性

待测系统及应用程序所包含信息的敏感性

执行控制措施的机制出现技术故障的可能性

关乎安全的控制措施出现错误配置的可能性

系统可能遭受攻击的风险

控制措施配置变更的频率

技术环境下可能影响控制措施性能的其他变更

执行控制措施的难度及时间

测试对正常业务操作造成的影响

安全评估

安全评估时对系统、应用程序或其他待测环境的安全性进行全面审查。经过训练的信息安全专业人员进行风险评估、识别出可能造成危害的安全漏洞、并且根据需要提出修复建议。

NST评估包括四个部分:

1、规范:包括政策、规程、要求、详细及设计

2、机制是信息系统中用于满足规范的控制措施,机制可以基于硬件软件或者固件

3、人员是执行规范、机制及活动的人员

4、活动是在信息系统中用于满足规范的控制措施、这些行动可能包括执行备份、导出日志文件或审查账户历史记录

安全审计

安全评估期间、安全审计虽然遵循许多相同技术,但是必须由独立审核员执行。审计时为了向第三方证明控制措施有效性而进行的评估,为组织设计、实施和监控控制措施的员工存在内在的利益冲突。

审计员为组织的安全控制状态提供一种客观中立的视角。审计报告和评估报告非常类似,但是适用于不同的受众,可能包括组织的董事会,政府监管机构和其他第三方。

审核主要有:内部审计、外部审计、第三方审计

1、内部审计:

内部审计是由组织内部审计人员执行,通常适用于组织内部。内部审计人员在执行内部审计时,通常完全独立于所评估的职能

2、外部审计:

外部审计通常由外部审计公司执行。安永。德勤、普华永道、毕马威

3、第三方审计:

第三方审计时由另一个组织或者以另一个组织的名义进行的审计,比如监管机构可依据合同或者法律对被监管公司进行审计

SSAE16认证业务第16号声明:

1类报告:描述了被审计组织提供的控制措施,以及审计员基于该描述所形成的意见。

2类报告:至少覆盖6个月的时间,还包括审计员根据实际测试结果对这些控制措施的有效性所形成的意见

通常2类报告比1类报告更可靠

审计标准:在进行审计或者评估时,审计团队应该明确评估组织所采用的标准,标准描述了需要满足的控制目标,审计或评估的目的就是确保组织正确实施控制措施来实现这些目标。

COBIT:描述了组织围绕其信息系统所应具备的通用要求

ISO 27001:描述了建立信息安全管理系统的标准方法

开展漏洞评估:

漏洞描述:

NIST为安全社区提供安全内容自动化协议(SCAP),SCAP是提供讨论的通用框架,也促进不同安全系统之间交互的自动化,SCAP组件包括:

1、通用漏洞披露:(CVE)提供一个描述安全漏洞的命名系统

2、通用漏洞评分系统(CVSS):提供一个描述安全漏洞严重性的标准化评分系统

3、通用配置枚举(CCE):提供一个系统配置问题的命名系统

4、可扩展配置检查表描述格式(XCCDF):提供一种描述安全检查表的语言

5、开放漏洞评估语言(OVAL):提供一种描述安全测试过程的语言

网络发现扫描:TCP SYN扫描、TCP Connect扫描、TCP ACK扫描、Xmas扫描

网络漏洞扫描

web应用漏洞扫描

数据库漏洞扫描

漏洞管理工作流程:检测、验证、修复

渗透测试

渗透测试实际上是在尝试攻击系统、所以渗透测试比漏洞探测技术更进一步

渗透测试过程通常包含以下几个方面:

1、规划阶段:包括测试范围和规则的协议

2、信息收集和发现阶段结合人工和自动化工具来收集目标环境的信息

3、漏洞扫描阶段:探测系统脆弱点

4、漏洞利用阶段:试图利用人工和自动化漏洞利用工具来尝试突破系统安全防线

5、报告总结阶段渗透测试测试结果、并提出改进系统安全的建议

测试软件:

代码审查:规划、概述、准备、审查、返工、追查

静态测试、动态测试、模糊测试(突变模糊测试:从软件实际操作获取输入值、然后操纵输入值来生产模糊输入,预生成模糊测试:设计数据模型、基于对软件所用数据类型的理解创建新的模糊输入)

接口测试:应用编程接口、用户界面(接口测试应该审查所有用户界面、以验证用户界面是否正常工作)、物理接口:存在于操作机械装置,逻辑控制器或其他物理设备的一些应用程序

误用例测试

测试覆盖率分析:

测试覆盖率=已测用例的数量/全部用例的数量

测试覆盖率五个常见标准:

1、分支覆盖率

2、条件覆盖率

3、函数覆盖率

4、循环覆盖率

5、语句覆盖率

网站监测:被动监测、综合监测

实施安全管理流程:

安全管理审查包括:日志审查、账户管理、备份验证、关键性能和风险指标

日志审查:SIME安全信息和事件管理

账户管理通用流程:

1、管理人员要求系统管理员提供具有特殊权限的用户列表以及特权

2、管理人员要求特权审批机构提供授权用户的列表及其分配的权限

3、管理人员对这两份清单进行比较

确保只有经过授权的用户才能保留对系统的访问权限、并且每个用户的访问权限都不应该超过其授权

关键绩效和风险指标:

遗留的漏洞数量、修复漏洞的时间、漏洞/缺陷重现、被盗用户账户的数量、在移植到生产环境前扫描过程中检测到软件缺陷数量、重复审计的结果、尝试访问已知恶意站点的用户

qq_36019891
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISSP-安全评估测试.pptx
06-20
CISSP-安全评估测试.pptx
CISSP学习笔记 」07. 安全评估测试
网络安全
12-29 1156
美国注册会计师协会(American Institute of Certified Public Accountants, AICPA)发布一个《认证参与标准声明文件 18》(The Statement on Standards for Attestation Engagements document 18, SSAE 18),标题为控制报告,提供了一个通用标准,供审计人员对服务组织进行评估,目的是允许组织进行外部评估,而不是多个第三方评估,然后与客户和潜在客户共享结果报告。最正式的代码审查过程称为。
CISSP知识点汇总(已完结并通过考试)
热门推荐
Vannnnnn
01-16 1万+
CISSP知识点汇总
<网络安全>《37 网络攻防专业课<第三课 - 信息的扫描与嗅探>》
最新发布
Else 的博客
02-18 979
扫描最基本的步骤是在一定的IP地址范围内执行ping扫描,以此来确定目标主机是否存活。Ping命令用于向某个目标主机发送ICMP回应请求(ICMP echo request)分组,并期待目标主机返回ICMP回应应答(ICMP echo reply)演示:SuperScan。
nmap扫描端口_关于nmap端口扫描的haklukes指南仅仅是开始
weixin_26741563的博客
08-18 309
nmap扫描端口A while back, I posted a Twitter thread that described the Nmap features that I actually use. It really blew up! Nearly 80,000 people saw that thread, so I thought it would be good to put it i...
什么是开放式漏洞与评估语言(OVAL)
程序设计与安全 @EVAN-CSS
05-13 3859
OVAL全称是Open Vulnerability and Assessment Language(开放式漏洞与评估语言)。本文介绍了什么是OVAL语言、OVAL语言的结构、组成OVAL文档各个元素的技术细节等内容。本文为原创内容,如果需要转载请注明出处。 本文原文链接地址为:http://oval.scap.org.cn/article_oval_about-oval.html SCAP
python3-端口扫描(TCP_ACK扫描,NULL扫描,windows扫描,xmas扫描)
sinat_40572875的博客
11-15 957
通过设置flags位为ACK,不回复表示端口关闭或被过滤,如果回复的数据包TTL小于等于64表示端口开放,大于64端口关闭(windows)通过设置flags位为ACK,不回复表示端口关闭或被过滤,如果回复的数据包TTL小于等于64表示端口开放,大于64端口关闭(windows)如果返回ICMP状态包,数据类型3,状态码1,2,3,9,10,13表示端口已被过滤。通过设置flags位为空,不回复则表示端口开启,回复并且回复的标志位为RS表示端口关闭。只能测试linux机器。只能测试linux机器。
[na]tcp&udp扫描原理(nmap常用10条命令)
weixin_34372728的博客
03-08 3181
nmap软件使用思路及常见用法 Nmap高级用法与典型场景 namp -sn 4种包 使用nmap -sn 查询网段中关注主机或者整个网段的IP存活状态 nmap -sn nmap针对局域网和广域网(会根据源目的是否在同一网段进行判断)有两种不同的扫描方式 当目标主机与源主机不在同一网段时: Nmap会发送四种不同类型的数据包来探测目标主机是否在线。 1) ICMP echo reque...
网络攻防技术——端口扫描
学习记录
02-27 7855
一、实验题目 本次实验主要对主机扫描和端口扫描原理的理解。使用python(scapy库)编写端口扫描程序,对目标IP(包含IP地址段)进行扫描,完成以下功能: 1)使用icmp协议探测主机是否开启; 2)对本机(关闭防火墙)的开放端口和非开放端口完成半连接、ACK、FIN、Null、Xmas、windows扫描,并与nmap扫描结果进行比较。 3)对远程(有防火墙)主机的开放端口和非开放端口完成半连接、ACK、FIN、Null、Xmas、windows扫描,并与2)进行比较,分析结果。 4)回答问题:样例
CISSP-第一章-通过原则和策略的安全治理记
10-31
CISSP-第一章-通过原则和策略的安全治理记,第一章节的小结要点及重点
CISSP-第二章信息安全治理与风险管理思维导图
04-04
CISSP的时候自己总结的思维导图,中文的,方便理解,是旧版本的(但我考的时候已经改版),所以跟新版本差别应该不大,供参考
CISSP备考经验总结-2019
06-08
本人CISSP备考经验总结 (2019年通过)。供CISSP考友参考。欢迎交流。
2020年-CISSP备考模拟试卷-155题26页
12-12
2020年-CISSP备考模拟试卷-155题26页
安全漏洞SCAP规范标准
HideInTime的博客
02-21 2834
在日常的漏洞研究和管理中,通常会发现,不同漏洞平台、不同团队对于漏洞的编号、严重程度的定义通常会出现差异化。 比如以下为漏洞常见的6个要素: 我们以心脏出血漏洞为例: 这些内容都是描述心脏出血的,可以看到不同的平台有不同的编号,类别也不同,影响组件的、等级、标题都是存在差异的,那么对于安全研究人员或者漏洞管理,就不可避免的需要去识别是不是同一个漏洞,然后需要自己去判定漏洞等级和类型等,不同的人或者团队,常常就会存在如以下的矛盾点: 这缘于不同的知识面、对漏洞的认知、标准,所以才导致的..
信息安全工程师笔记-10种端口扫描技术概念
IT1995的博客
08-24 7244
端口扫描技术分类: 这里都不考虑防火墙的情况。 1. 完全连接扫描 完全连接,利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接,如果建立成功,则表明该端口开放。否则表明该端口关闭。 2. 半连接扫描 半连接扫描是指在源主机和目标主机的三次握手连接过程中,只完成前两次握手,不建立异常完整的连接。 3. SYN扫描 首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。 如果目标主机返回ACK信息,表示目标主机的该端
CISSP考点拾遗——渗透测试的各阶段
single_element的博客
03-11 572
CISSP考试中渗透测试究竟包含哪些阶段
CISSP备考笔记】第6章:安全评估测试
11-19 694
第六章安全评估测试 6.1 审计策略 信息系统的安全审计是对特定范围的人/计算机/过程和信息的各种安全控制所实施的一个系统性评估安全审计流程:确定目标--适合的业务部分领导参与--确定范围--选择审计团队--计划审计--执行审计--记录结果--将结果转达给合适的领导 内部审计 优点:熟悉内部系统,更容易发现信息系统中的脆弱性 缺点:可能存在利益性冲突 第三方审计...
CISSP题达到95%的正确率!备考经验分享
weixin_70101757的博客
11-04 1473
但了解到如果符合谷安参考要求的同学,通过率是很高的,由此下定了决心好好复习!稳稳心神,主要把精力集中在脑图上,结合错题,把自己反复错的知识点在书上圈出来,好好地看书。最后一周,我早早来到上海,手里捧着书,电脑开着脑图,手机开着错题集,我焦虑啊!后来开始做章节题,每周复习的压力比较大,我也出现过没有准备裸做题的尴尬场面,,所以分数持续在75分徘徊,虽然成绩合格是推荐参加考试的,但我仍觉得不够。在这个环节,我着重对脑图中的小红旗进行复习,确实通过几个月的学习,,这也是我最后一个月主要复习的内容。
cissp备考中文详解
05-13
CISSP备考内容包括8个领域:安全和风险管理、资产安全安全工程、通信和网络安全、身份和访问管理、安全评估测试安全操作以及软件开发安全备考者需要掌握分别属于这8个领域的各种知识,如安全组织管理、机密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值