CISSP-D1-安全与风险管理
CISSP-D2-资产安全
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制
CISSP-D7-运营安全
D6:安全评估与测试
一、相关概述、技术措施评估和测试: D6-1~2
二、网络组建和设备安全: D6-3~4
D6-1-安全评估与测试概述
三大主要构成
1、安全测试
- 验证安全控制措施运行正常
- 包括自动扫描、工具辅助渗透测试和手动测试
- 审核测试结果,确保测试成功
2、安全评估
- 对系统、应用程序或其他测试环境的综合评价
- 主要产物通常是一份用于管理的评估报告
3、安全审计
- 必须由独立的审计员执行
- 信息系统的安全审计范围和流程
- 内部审计
- 第三方审计
- 服务性组织控制(SOC)
D6-2-技术控制措施的评估与测试
1、概述
- 通过使用IT资产来实现的安全控制
- 技术控制对那些我们在风险管理流程中所识别到的风险的降低能力
2、测试
- 脆弱性测试
经常被攻击者利用的脆弱性:- 内核缺陷
- 缓冲区溢出
- 符号连接
- 文件描述符攻击
- 竞态条件
- 文件和目录许可
- 黑盒测试
- 白盒测试
- 灰盒测试
- 渗透测试
- 日志审查
- 通过检查系统的日志文件,以检测各种安全事件或验证各种安全控制的有效性
- 不断调整日志审查系统,以应对持续变化的威胁环境
- 确保所有联网的设备时间都标准化
- 防止日志被篡改
- 归档日志
- 综合事务
- 假设事务不是由人所生产的。而是由脚本所生产的
- 误用案例测试
- 指威胁我们系统特定部分或合法的案例
- 代码审查
- 接口测试
D6-3-管理控制措施的评估与测试
1、管理控制措施评测的方法
- 账户管理
- 盗用现有特权账号
- 创建新的特权账号
- 提升常规用户账号是权限
- 备份验证
- 确保备份在需要时能够按照其预定的方式运行
- 数据类型
- 用户数据文件
- 数据库
- 邮箱数据
- 验证
- 灾难护肤和业务连续性
- 流程必须定期被评估,以确保它仍然有效
- 环境不断变化而需要定期被测试
- 测试和灾难恢复演练应当至少每年进行一次
- 各种类型的演练和测试
- 结构化的排练性测试
- 模拟测试
- 并行测试
- 全中断测试
D6-4-评估与测试报告和管理
1、报告类型
- 技术报告
- 威胁
- 漏洞
- 利用的可能行
- 利用后的影响
- 建议措施
- 执行摘要
2、管理评审
- 高级组织领导层的正式会议,用以确定管理系统是否有效实现着目标
- 评审从前面阶段的到的所有信息,决定我们师傅要调整目标、标准或政策以不断改善我们的安全态势。