为了特定系统与组织需要,我们有必要有效地设计与执行安全测试以减轻安全风险。本文主要介绍了一个完整的安全测试生命周期方法,通过描述项目中每个阶段的安全测试活动。
- 安全测试的目的、目标与策略
在实施安全测试前,我们需要了解安全测试的目的是什么、实现目标及如何实现。那么就需要有一个大致的概况:
1、安全测试的目的
2、组织背景
3、安全测试的目标
4、安全测试的影响
5、安全测试策略
6、安全测试实践改进
7、安全测试校准
8、拥护安全测试 - 安全测试的范围
1、安全风险
2、理解安全测试过程中利益相关者的需要 - 安全测试流程
1、安全测试过程定义
2、安全测试规划
3、安全测试设计
4、安全测试执行 - 测试安全协议
1、认证
2、加密
3、防火墙
4、入侵检测
5、病毒扫描
6、数据模糊
7、信息安全策略和程序 - 安全生命周期阶段
1、理解安全开发生命周期
2、理解早期开发活动中安全测试的角色
3、实现活动中安全测试的角色
4、验证活动中安全测试的角色 - 安全测试中的人为因素
1、了解攻击者
2、社交工程
3、道德攻击 - 安全测试评估与报告
1、安全测试评估
2、安全测试报告
3、设计一个安全测试仪表板
4、安全测试分析与报告 - 安全测试工具
1、安全测试工具的类型与使用目的
2、工具选择
3、工具实现
4、工具维护与支持 - 标准与行业趋势
1、安全标准
2、安全测试标准
3、行业趋势
通过以上这些特定模式理解,你能够做到并实现以下任务:
- 在一个组织、项目或程序中引导安全测试规划与设计,识别和管理安全风险并能符合组织安全策略。
- 评估安全风险现状,设计安全测试与预防步骤以减轻项目生命周期中已识别的风险。
- 评估现有内部控制的有效性,安全协议与安全测试。
- 使项目与组织的安全测试与合适的安全策略与安全风险相符合。
- 集成安全测试活动来支持组织内信息保障流程。
- 设计并执行安全测试为特定的技术与系统背景,比如移动计算、安全关键系统与财务系统。
- 在给定的项目组织背景中,为合适的安全测试工具定义需求与评估标准。
- 建立一个安全测试的战略性政策,并在组织中实现那个政策。
- 创建一个安全测试计划,整合进主测试计划。
- 为安全测试开发创新性概念,包括所需角色、技能、方法学与工具。
- 建立适当的程序控制以缓解业务级别上的系统安全风险。
- 理解并应用相关安全标准到组织的安全测试流程中。
- 理解并有效管理涉及安全测试的人力问题。