CISSP-D6-安全评估和测试

CISSP-D1-安全与风险管理
CISSP-D2-资产安全
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制
CISSP-D7-运营安全

D6：安全评估与测试

一、相关概述、技术措施评估和测试： D6-1～2

二、网络组建和设备安全： D6-3～4

D6-1-安全评估与测试概述

三大主要构成

1、安全测试

• 验证安全控制措施运行正常
• 包括自动扫描、工具辅助渗透测试和手动测试
• 审核测试结果，确保测试成功

2、安全评估

• 对系统、应用程序或其他测试环境的综合评价
• 主要产物通常是一份用于管理的评估报告

3、安全审计

• 必须由独立的审计员执行
• 信息系统的安全审计范围和流程
• 内部审计
• 第三方审计
• 服务性组织控制（SOC）

D6-2-技术控制措施的评估与测试

1、概述

• 通过使用IT资产来实现的安全控制
• 技术控制对那些我们在风险管理流程中所识别到的风险的降低能力

2、测试

• 脆弱性测试
  经常被攻击者利用的脆弱性：
  • 内核缺陷
  • 缓冲区溢出
  • 符号连接
  • 文件描述符攻击
  • 竞态条件
  • 文件和目录许可
  • 黑盒测试
  • 白盒测试
  • 灰盒测试
• 渗透测试
• 日志审查
  • 通过检查系统的日志文件，以检测各种安全事件或验证各种安全控制的有效性
  • 不断调整日志审查系统，以应对持续变化的威胁环境
  • 确保所有联网的设备时间都标准化
  • 防止日志被篡改
  • 归档日志
• 综合事务
  • 假设事务不是由人所生产的。而是由脚本所生产的
• 误用案例测试
  • 指威胁我们系统特定部分或合法的案例
• 代码审查
• 接口测试

D6-3-管理控制措施的评估与测试

1、管理控制措施评测的方法

• 账户管理
  • 盗用现有特权账号
  • 创建新的特权账号
  • 提升常规用户账号是权限
• 备份验证
  • 确保备份在需要时能够按照其预定的方式运行
  • 数据类型
    • 用户数据文件
    • 数据库
    • 邮箱数据
  • 验证
• 灾难护肤和业务连续性
  • 流程必须定期被评估，以确保它仍然有效
  • 环境不断变化而需要定期被测试
  • 测试和灾难恢复演练应当至少每年进行一次
  • 各种类型的演练和测试
    • 结构化的排练性测试
    • 模拟测试
    • 并行测试
    • 全中断测试

D6-4-评估与测试报告和管理

1、报告类型

• 技术报告
  • 威胁
  • 漏洞
  • 利用的可能行
  • 利用后的影响
  • 建议措施
• 执行摘要

2、管理评审

• 高级组织领导层的正式会议，用以确定管理系统是否有效实现着目标
• 评审从前面阶段的到的所有信息，决定我们师傅要调整目标、标准或政策以不断改善我们的安全态势。