CISSP考点拾遗——区分检查Examine和测试Test

之前一篇《CISSP考点拾遗——安全评估方法assessment methods》中谈到：

评估活动的对象有四类：规格specifications 、机制mechanisms、活动activities和个人individuals；

评估的方法有三种：检查examine、访谈interview、测试test；

访谈interview是针对人的，很容易跟其他的区分；检查examine的对象是规范 、机制和活动，在评估规范时，采用的是文件评审(Documentation Review)的方法，跟其他活动也容易区分；但评估机制和活动时，检查examine方法和测试test方法都可能被运用，并且由于都会涉及对系统的实际操作和交互，可能比较难区分所采取的行动究竟属于检查方法还是测试方法，自然就成为了一个受欢迎的出题点，俗称“坑点”~~

测试方法大多会从目标系统的外部发起，并会涉及对目标系统的较多的交互，比如扫描、渗透测试等；如果基于系统本身发起，意图是观察系统的“反应reaction”（而不是状态status）。在安全评估中，测试方法主要涉及目标识别和分析(Target Identification and Analysis)以及目标脆弱性验证(Target Vulnerability Validation)，典型活动如下：

• 网络发现

• 端口扫描和服务指纹识别

• 漏洞扫描

• 渗透测试

• 口令破解

• 默认值尝试(尝试默认用户名口令登录，或尝试能否按默认的弱配置实现未授权访问等)

• 违背值尝试(比如策略说口令至少8位，就试下配或者改个6位的口令看系统是否通过)

• 社会工程学(虽然也是对人的但不至于跟访谈interview搞混吧~~)

检查方法所采取的行动一般对目标系统没有影响，即使有一些“交互”如登录、点击、输入命令获得返回等，意图也只是直接从目标系统本身读取配置和状态信息，不涉及系统的“反应”，也不会涉及类似“试试看这样行不行”的想法。其典型活动如下：

• 文件评审 Documentation Review

• 日志评审 Log Review

• 规则集评审 Ruleset Review

• 系统配置评审 System Configuration Review

• 网络嗅探 Network Sniffing(注意正常的网络嗅探算检查方法，用arp欺骗等手段实现的不算哈)

• 文件完整性校对 File Integrity Checking

强调！！网络嗅探和文件完整性校对属于检查方法而不是测试方法的说法，见于NIST SP 800-115，嘎嘎权威~~

补充知识：文件完整性校对

文件完整性校对File Integrity Checking是一种识别关键文件是否被更改的方法。方法是先计算并存储每个受保护文件的校验和(或哈希)，并建立文件校验和(或哈希)的基准数据库。将系统文件的当前值与存储的基准值进行比较，能识别出关键文件是否被修改。

必须保证参考数据库（基准值数据库）不是在已受损文件的基础上构建的；参考数据库应该离线存储；此外，由于修补程序和其他更新会更改文件，因此参考数据库应被变更管理所覆盖，保持最新。