2021年2月25日
安全评估和测试方案是信息安全团队的基础维护活动。
安全测试:验证某项控制措施是否正常运行。应定期执行。包括:自动化扫描、工具辅助的***测试、试图破坏安全的手动测试。
安全评估:对系统应用程序或其他待测试环境的安全性全面审查,识别处可能造成危害的安全漏洞并提出修复建议,主要工作成果是向管理层提交评估报告(评估结果、建议)
NIST 800-53A,评估包括4个部分:
1.规范是待审计系统有关的文档,政策,规范,要求,设计。
2.机制是信息系统中用于满足规范的控制措施。可基于软硬件。
3.活动是信息系统中人员所采取的的行动,可执行备份,导出日志或审查账户历史记录
4.人员是执行规范、机制和活动的人员。
安全审计:必须有独立审核员执行。
审计报告:由审计员撰写,和评估报告类似,受众不同,董事会、政府、第三方。
内部审计:由组织内部审计人员执行,向高层汇报。
外部审计:四大:安永、德勤、普华永道、毕马威
第三方审计:SSAE16 通用标准。
审计标准:COBIT、ISO27001(建立信息安全管理系统的标准方法)、ISO27002(信息安全控制的细节)
漏洞评估是信息安全专业人员手中最重要的测试工具之一:
1.漏洞描述:CVE、CVSS、CCE、CPE、XCCDF、OVAL。
2.漏洞扫描:
网络发现扫描:使用nmap,TCPSYN扫描、TCP connect扫描、TCP ACK扫描、Xmas扫描。
网络漏洞扫描:使用Nessus漏洞扫描器。误报、漏报,工具:Qualys Guard、NeXpose、OpenVAS
Web应用漏洞扫描:Nessus、Acunetix、Nikto、Wapiti、Burp Suite。PCI DSS要求至少每年扫描一次。
数据库漏洞扫描:sqlmap
漏洞管理工作流程:测试、验证、修复
***测试: Metasploit工具,白盒、灰盒、黑盒***测试。
测试软件:
代码审计(code review)、也叫同行评审(peer review):步骤:规划、概述、准备、审查、返工、追查。
测试方法:
1.静态测试:不运行软件,分析源代码或编译后的应用程序。
2.动态测试:使用扫描工具进行测试,可用于模拟事务方法。
3.模糊测试:项软件提供不同类型的输入来测试。突变模糊测试:从实际操作获取输入值,可改变内容。预生成(智能)模糊测试:设计数据模型,形成新模糊数据。模糊测试不能王全覆盖所有代码,一般用于测试不涉及复杂业务逻辑的简单漏洞。
接口测试:复杂软件系统开发的重要组成部分。
1.应用编程接口(API)
2.用户界面(UI)
3.物理接口
误用例测试:例如:从已经透支的账户取款。
测试覆盖率分析:测试覆盖率=已测用例数量/全部用例的数量。
1.分支覆盖率
2.条件覆盖率
3.函数覆盖率
4.循环覆盖率
5.语句覆盖率
网络监测:
1.被动监测:对被动分析网络流量的检测。
2.综合监测(主动监测):对网站执行伪造的事物活动、从而评估其性能。
实施安全管理流程:
1.日志审查:SIEM、NTP、定期审查。
2.账户管理:全面审查,一般只适用于特权账户;抽样审查一定要使用随机抽取。
3.备份验证:定期检查备份结果,满足数据保护需求。
4.关键绩效和凤霞指标:持续监测、关键安全指标用仪表板显示,定期查看。
课后20题,错了6个。