zoukankan      html  css  js  c++  java
  • 【CISSP备考笔记】第6章:安全评估与测试

    第六章:安全评估与测试

    6.1 审计策略

    信息系统的安全审计是对特定范围的人/计算机/过程和信息的各种安全控制所实施的一个系统性评估。
    安全审计流程:确定目标--适合的业务部分领导参与--确定范围--选择审计团队--计划审计--执行审计--记录结果--将结果转达给合适的领导
    内部审计
        优点:熟悉内部系统,更容易发现信息系统中的脆弱性
        缺点:可能存在利益性冲突
    第三方审计
        优点:带来新知识。保持客观,合规审计必须由外部团队来实施
        缺点:成本高
    服务性组织控制审计标准框架(SOC)
        SOC报告类型
            1、SOC1:适用于财务控制
            2、SOC2:适用于信任服务,详细数据,一般不公开
            3、SOC3:适用于信任服务,细节较少,可用于一般公众性目的
    

    6.2 审计技术控制

    技术控制是通过使用IT资产来实现的安全控制
    脆弱性测试:执行脆弱性测试之前,需要拟定一份书面协议。
        黑盒测试:模拟外部攻击者,可能覆盖不全
        白盒测试:评估更完整,但无法代表外部攻击者行为
        灰盒测试:介于其他两种方法之间,减少白盒或黑盒测试中的各种问题
    
    渗透测试:模拟攻击一个网络及其系统的过程。 渗透过程:发现--枚举--脆弱性映射-利用--向管理层报告。
    盲测是评估者仅持有公开可用的数据用于测试,而网络安全人员已获悉测试的发生。
    双盲测试是一项在网络安全人员未被通知的情况下进行的盲测。
    
    战争拨号攻击:拨打大量的电话,搜索可用的调制解调器。
    
    其他脆弱性类型
        内核缺陷: 及时安装安全补丁
        缓冲区溢出:
        符号链接:编写程序和特定的脚本,确保无法绕过文件的完整路径。
        文件描述符攻击:
        竞态条件
        文件和目录许可
    
    日志审查
            检查系统的日志文件,以检测各种安全事件或验证各种安全控制的有效性
            防止日志被篡改:远程日志/单向通信/复制/一次性写入介质/加密散列链
    
    综合事务:编写脚本模拟真实用户,系统的测试关键服务的行为和性能。一种测试关键服务的行为和性能的方法。
    
    误用案例测试:各种威胁角色和他们想要在系统上执行的任务用例。
    
    代码审查:系统地检查组成一个软件各部分的指令,并由该代码作者以外的其他人来执行。遵循编码标准。
    
    接口测试:一个被称为集成测试的特例,评估系统的不同部分彼此之间如何进行交互。
    

    6.3 审计管理控制

    
    管理控制通常主要通过策略或流程来实施
    
    账户管理
        盗用现有特权账户:使用强身份验证(例如强密码或双因素验证)/执行特定任务时使用特权账户
        创建新的特权账户
        提升常规用户账户的权限
            密切关注账户创建/修改/暂停来消减
    
    备份验证
        数据类型:用户数据文件/数据库/邮箱数据
        实施备份验证
    
    灾难恢复和业务连续性
        测试和灾难恢复演练应当至少每年进行一次
        结构化的排练性测试:代表聚在一起对计划进行检查。
        模拟测试:根据一个特定场景练习执行灾难恢复计划。逼真。
        并行测试:主备系统一起同时启动。影响最小。
        全中断测试:将原始站点关闭并将业务处理转移到备用站点完成。
    
    安全培训和安全意识培训
        安全培训通常是提供给安全人员,安全意识培训应该提供给组织的每个成员。
        社会工程:网络钓鱼/鱼叉式网络钓鱼(针对特定个人)/捕鲸(针对高级管理人员)/冒充
        上网安全
        数据保护
        文化
    
    关键绩效和风险指标
        关键绩效指标(KPI):衡量目前情况的进展程度,描述ISMS有效性的一个或多个度量的解释。
        关键风险指标(KRI):衡量未来情况会差到什么程度,将组织相对其风险偏好的位置告知管理者。
    

    6.5 管理评审

    管理评审是高级组织领导层的正式会议,定期发生,并将审计结果作为关键的输入。

  • 相关阅读:
    三行Python代码查询IP
    剑指offer面试题29:数组中出现次数超过一半的数字
    【简】题解 AWSL090429 【数塔问题】
    Re.常系数齐次递推
    Re.多项式除法/取模
    【翻译】A simple stone game
    Re.多项式求逆
    Re.FFT
    题解 P4783 【【模板】矩阵求逆】
    关于win10企业版在极域电子教室软件 v4.0 2015 豪华版的全屏控制下如何取得自由
  • 原文地址:https://www.cnblogs.com/xiaozi/p/14004089.html
Copyright © 2011-2022 走看看