在2018年4月公布的CISSP考试大纲中,【安全评估与测试】的平均权重为12%。其中本人使用的AIO为第7版,OSG为第8版。
身份和访问管理
内容概述
安全评估和测试知识域涵盖了如何执行和管理安全评估和测试中涉及活动的原则。该知识域内容包括:对管理和技术相关安全措施的评估和测试方法、审计方法,以及结果的报告和评审等方面的内容。
安全评估和测试知识域在CISSP CBK中包括(源自于:CBK5):
一、设计和验证评估、测试和审计策略
理解安全评估和测试方案的重要性。安全评估和测试方案为安全控制措施是否持续有效提供一种重要的验证机制。安全评估和测试方案包括各种工具,如漏洞评估、渗透测试、软件测试、审计和安全管理任务,从而验证控制措施的有效性。每个组织都应该具备一套可定义和可操作的安全评估和测试方案。
二、对安全控制措施进行测试
开展漏洞评估和渗透侧试。漏洞评估使用自动化工具,检测系统、应用程序及网络上存在的已知漏洞。这些漏洞可能包括遗漏的补丁、错误配置或错误代码,导致组织面临安全风险。虽然渗透测试也使用与漏洞扫描相同的工具,但会将攻击技术作为工具的补充,评估人员尝试借助这些攻击技术利用漏洞,并获取系统权限。
执行软件测试来验证部署到生产环境的代码。软件测试技术验证代码功能是否符合设计要求,且不存在安全缺陷。代码审查使用同行评审流程,在部署到生产环境之前以正式或非正式方式验证代码。接口测试通过API测试、用户界面测试和物理接口测试,评估组件和用户之间的交互。
理解静态软件测试和动态软件测试之间的差异。静态测试技术,如代码审查,在未运行软件的情况下通过分析源代码或分析编译后的程序,评估软件的安全性。动态测试技术在软件运行状态下评估软件的安全性,通常是评估部署其他方开发的应用程序的唯一选择。
解读模糊的概念。模糊测试使用修改过的输入来测试软件在意外情况下的表现。突变模糊测试通过修改已知的输入来产生合成的输入,进而可能触发软件的异常行为。预生成模糊测试根据预期输入模型来生成输入,完成与突变模糊测试相同的任务。
三、收集安全过程数据
四、分析测试结果和生成报告
执行安全管理任务,监督信息安全方案的实施。安全管理人员必须执行各种活动,确保对信息安全方案的适度监控。日志审查,特别是针对管理员的活动,确保系统不会被误用。账户管理审查保证仅有授权用户可保留对信息系统的访问权限。备份验证确保组织的数据保护流程正常运行。关键绩效和风险指标为安全方案有效性提供高层次的视角。
五、进行或促进安全审计
开展或促进内部审计和第三方审计。当第三方对组织保护信息资产的安全控制进行评估时,便出现安全审计。内部审计由组织内部人员执行,适用于管理用途。外部审计由第三方审计公司实施,通常适用于企业的理事机构。