CISSP-D6安全评估与测试
2021-07-17 16:08:59 0 举报
AI智能生成
CISSP八大领域之安全评估与测试
作者其他创作
大纲/内容
一、相关概述、技术措施评估和测试:D6-1~2
二、管理措施评估和测试::D6-3~4
D6安全评估与测试
D6-1-安全评估与测试概述
三大主要构成
安全测试
验证安全控制措施运行正常
包括自动扫描、工具辅助渗透测试和手动测试
审核测试结果,确保测试成功
安全评估
对系统、应用程序或其他测试环境的综合评价
主要产物通常是一份用于管理的评估报告
安全审计
必须由独立的审计员执行
信息系统的安全审计范围和流程
内部审计
第三方审计
服务性组织控制(SOC)
D6-2-技术控制措施的评估与测试
概述
通过使用IT资产来实现的安全控制
技术控制对那些我们在风险管理流程中所识别到的风险的降低能力
测试
脆弱性测试
经常被攻击者利用的脆弱性包括:
内核缺陷
缓冲区溢出
符号链接
文件描述符攻击
竞态条件
文件和目录许可
黑盒测试
白盒测试
灰盒测试
渗透测试
日志审查
通过检查系统的日志文件,以检测各种安全事件或验证各种安全控制的有效性。
不断调整日志审查系统,以应对持续变化的威胁环境
确保所有联网的设备时间都标准化
归档日志
防止日志被篡改
综合事务
假设事务不是由人所生产的,而是由脚本所产生的
误用案例测试
指威胁我们系统特定部分或合法的案例。
代码审查
接口测试
D6-3-管理控制措施的评估与测试
管理控制措施评测的方法
账户管理
盗用现有特权账号
创建新的特权账户
提升常规用户账号的权限
备份验证
确保备份在需要时能按照其预定的方式运行
数据类型
用户数据文件
数据库
邮箱数据
验证
灾难恢复和业务连续性
流程必须定期被评估,以确保它们仍然有效
环境不断变化而需要定期被测试
测试和灾难恢复演练应当至少每年进行一次
各种类型的演练和测试
结构化的排练性测试
模拟测试
并行测试
全中断测试
D6-4-评估与测试报告和管理
报告的类型
技术报告
威胁
漏洞
利用的可能性
利用后的影响
建议措施
执行摘要
管理评审
高级组织领导层的正式会议,用以确定管理系统是否有效的实现着目标
评审从前面阶段得到的所有信息,决定我们是否需要调整目标、标准或政策,以不断改善我们的安全态势。
0 条评论
回复 删除
下一页