6安全评估与测试

定期进行

6.1 审计策略

审计，对信息系统内部安全控制的系统性评估

信息系统的安全审计时对特定范围的人、计算机、过程和信息的各种安全控制所实施的一个系统性评估

监管或合规要求，信息系统架构的重大变化，或者是组织面临威胁的新发展等方面都会驱动审计的发生

审计的范围应与业务经理协调后确定

信息系统的安全审计流程：确定目标、让合适的业务部门领导参与、确定范围、选择审计团队、计划审计、执行审计、记录结果、将结果传达给合适的领导

任何审计的最终期望状态：审计结果有效地传达给目标受众

内部审计

优点：熟悉组织的内部运作、评估工作更灵活、更容易发现信息系统中的脆弱性

缺点：运用其他方法来保护和利用信息系统的“发现能力”方面较弱、存在利益冲突的可能性（应考虑到政治因素和团队动力）

第三方审计

优点：带来新知识、不了解目标组织的内部动力和政治

缺点：成本高

需签署保密协议NDA

自我审计和独立审计的本质区别是 客观性

SAS70是一项由第三方审计机构进行的内部控制措施审计，以评估服务性组织的内部控制

服务性组织控制审计标准框架SOC Service Organization Controls

服务性组织是提供第三方服务的组织，eg保险和医疗索赔处理商、信托公司、托管数据中心、应用服务提供商等

SOC1：用于财务控制

SOC2：适用于信任服务（安全性、可用性、保密性、过程完整性和隐私）详细数据

SOC3：适用于信任服务，细节较少、可用于一般公众性目的，通常用作批准证明，被放在服务提供商的网站和营销材料上

6.2 审计技术控制

技术控制是通过使用IT资产实现的安全控制

1、脆弱性测试

执行脆弱性测试之前，管理层需拟定一份书面协议，可防止测试人员因为该项工作被起诉

黑盒测试：被测试的系统视为完全不透明，模拟外部攻击者，可能不会覆盖所有的内部控制

白盒测试：审计师完全了解系统的内部工作原理，可锁定特定的内部控制和功能，对系统评估更完整，但无法代表外部攻击者的行为

灰盒测试：介于其他两种方法之间，内部工作信息有一部分提供给测试团队

等价类划分，一种典型的黑盒测试方法，解决如何选择适当的数据子集来代表整个数据集的问题，将程序所有可能的输入数据（有效的和无效的）划分成若干个等价类，然后从每个部分中选取具有代表性的数据当做测试用例进行合理的分类

2、渗透测试

模拟攻击一个网络及其系统的过程，目的是评估组织机构抵御某种攻击的能力，以及暴露环境中存在的任何弱点。

结果应以报告形式提交给管理层，说明脆弱性和严重程度，并给出建议

安全人员应获得包含授权测试范围的授权书是渗透测试的第一步

渗透测试步骤：

发现（搜集和收集目标相关信息）、枚举（端口扫描和资源标识方法）、脆弱性映射（在确定的系统和资源中标识脆弱性）、利用（尝试利用脆弱性进行未授权访问）、向管理层报告

盲目测试：评估人员只能利用公开可用的数据，网络人员知道要进行测试

双盲测试（隐蔽评估）：安全人员不会收到测试通知的盲测，能够评估网络的安全级别以及员工的响应能力