第六章安全评估与测试 >>CISSP备考流水账

网站监控方式类型

• 合成监控：使用仿真的事务来监控响应时间；
• 被动监控：使用调试端口或其它复制流量来实施监控；
• 日志分析：分析模拟流量或者实际流量产生的日志数据，来发现测试过程中没有发现的问题；
• 综合性能监控：记录的数据，数据库性能监控、流量捕获分析、网站性能监控；

测试类型

• 静态测试：静态测试分析工具，开发人员，可以访问源代码；
• 动态测试：软件运行过程中，执行漏洞扫描、渗透测试、综合事务扫描，旨在为静态分析作为增强补充；
• 模糊测试： 模糊测试软件向软件提供无效的输入， 或是随机生成， 或是特别制作，以触发特殊的软件漏洞；
• 手动测试：逐行查找代码发现问题，具备人类思维扫描问题；
• 突变测试：通过修改程序局部来测试软件是否能够按照预期运行；

模糊测试

• 动态测试方法；
• 变异模糊：软件的实际操作中提取之前的输入值， 对其进行处理(或改变)以创建模糊输入；
• 智能模糊：根据用户操作特点或者程序数据特点，新建生成模糊数据用于测试；

接口测试

• 确保开发模块之间传递具有良好的通讯接口，保证接口规范性能，复杂的系统良好的运行；
• 应用接口测试：对外提供与程序交互的标准化方式，通过WEB服务器向外部公开，这种测试是为了保证应用安全需求；
• 用户接口测试：包括GUI和命令行接口，用于审查所有用户界面来保证功能正常运作；
• 物理接口测试：机器、 逻辑控制器或物理世界中其他对象的应用程序中存在。

渗透测试

• 获得授权
• 信息收集和发现：确定是白盒、灰盒、黑盒测试，来收集不同工具种类；
• 识别漏洞
• 利用漏洞
• 报告组织

Fagan测试

• 描述：详细的代码审查；
• 规划
• 概述
• 准备
• 检查
• 返工
• 后续

审计框架

• SSAE-16： 基于ISAE3402鉴证业务国际准则第3402号；

对运营商进行安全评估的主要方面

• 运营商处理、传输、存储什么类型的敏感数据；
• 运营商具有哪些保护组织信息的安全控制能力；
• 组织信息阻止其他用户访问的安全措施；
• 使用加密来保护信息机密性与完整性，使用什么加密算法，算法复杂度，密钥管理方式；
• 运营商是否外包存储、传输、处理数据方式，合同中安全拓展策略如何约束第三方机构；
• 运营商的事件响应过程是怎样的；
• 如何确保用户数据持续可用性和完整性；

安全评估

服务组织控制报告(SOC)

• SOC1: 财务报告；
• SOC2: 提供业务合作伙伴、监管机构和其它类似组织的安全性、可用性、保密性；
• SOC3: 提供有关组织服务运营方面的完整性，可用性和保密性的保证；