说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。
本文内容主要依据NIST SP 800-53Ar5,Assessing Security and Privacy Controls in Information Systems and Organizations(评估信息系统和组织中的安全和隐私控制)。
在谈论安全评估活动中的方法之前,首先要知道,NIST SP 800-53Ar5中定义了评估活动的对象objective有四类:规范specifications 、机制mechanisms、活动activities和个人individuals。
规范是与系统或公共控制相关联的基于文件的工件document-based artifacts(如策略、程序、计划、系统安全和隐私要求、功能规格、架构设计等)。
机制是在系统或公共控制中采用的特定硬件、软件或固件安全措施和对策。
活动是支持涉及人员的系统或公共控制的特定保护相关行动(如执行系统备份操作、监控网络流量、演练或正式实施应急计划等)。
个人或群体(groups of individuals)是应用上述规范、机制或活动的人。
评估的方法有三种:检查examine、访谈interview、测试test。不同的方法适用于不同的对象,但不论用哪一种评估方法,目的都是要找到能帮助认定安全性和隐私控制的存在性existence、功能性 functionality、正确性correctness、完备性completeness以及随时间推移的改进潜力的证据。
1、检查examine
定义:审查、检查、观察、研究或分析一个或多个评估对象(即规范、机制或活动)的过程,以帮助评估者理解、澄清或获取证据。
适用对象:规范、机制、活动
典型行动:
审查信息安全和隐私政策、计划和程序;
分析系统设计文件和接口规范;
观察系统备份操作;
审查应急计划演习的结果;
观察事故响应活动;
研究技术手册和用户/管理员指南;
检查、研究或观察系统硬件和软件中信息技术机制的运行;
检查、研究或观察与系统操作相关的物理安全或隐私措施。
2、访谈interview
定义:评估者与组织内的个人或群体进行讨论,以促进理解、澄清或者指向证据之所在的过程。
适用对象:个人或群体(groups of individuals)
典型行动:与广泛采样的人员访谈,应覆盖各个级别、业务条线和角色。
3、测试test
定义:评估者在特定条件下,针对一个或多个评估对象,比较其实际行为和预期/期望行为的过程。
适用对象:机制、活动
典型行动:
验证某访问控制是否正常工作;
发起试图触发日志的行为;
对关键系统组件进行渗透测试;
测试系统备份操作;
测试事故响应能力;
演练应急计划。
举个例子,如果评估口令复杂性策略,访谈就是询问管理员和一般用户,记录其口述的、个人所以为的相关策略要求;检查就是去看策略文件的正式描述,或者查看系统配置文件、windows组策略中的相应配置项的取值;测试的话就该新建账号或对原有账号改口令,看究竟怎样的口令是被系统所接受的。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
