說明:“考點拾遺”系列基于日常為學員和網友做的答疑整理,主要涉及教材中沒有完全覆寫到的知識點。
本文内容主要依據NIST SP 800-53Ar5,Assessing Security and Privacy Controls in Information Systems and Organizations(評估資訊系統群組織中的安全和隐私控制)。
在談論安全評估活動中的方法之前,首先要知道,NIST SP 800-53Ar5中定義了評估活動的對象objective有四類:規範specifications 、機制mechanisms、活動activities和個人individuals。
規範是與系統或公共控制相關聯的基于檔案的工件document-based artifacts(如政策、程式、計劃、系統安全和隐私要求、功能規格、架構設計等)。
機制是在系統或公共控制中采用的特定硬體、軟體或固件安全措施和對策。
活動是支援涉及人員的系統或公共控制的特定保護相關行動(如執行系統備份操作、監控網絡流量、演練或正式實施應急計劃等)。
個人或群體(groups of individuals)是應用上述規範、機制或活動的人。
評估的方法有三種:檢查examine、訪談interview、測試test。不同的方法适用于不同的對象,但不論用哪一種評估方法,目的都是要找到能幫助認定安全性和隐私控制的存在性existence、功能性 functionality、正确性correctness、完備性completeness以及随時間推移的改進潛力的證據。
1、檢查examine
定義:審查、檢查、觀察、研究或分析一個或多個評估對象(即規範、機制或活動)的過程,以幫助評估者了解、澄清或獲驗證據。
适用對象:規範、機制、活動
典型行動:
審查資訊安全和隐私政策、計劃和程式;
分析系統設計檔案和接口規範;
觀察系統備份操作;
審查應急計劃演習的結果;
觀察事故響應活動;
研究技術手冊和使用者/管理者指南;
檢查、研究或觀察系統硬體和軟體中資訊技術機制的運作;
檢查、研究或觀察與系統操作相關的實體安全或隐私措施。
2、訪談interview
定義:評估者與組織内的個人或群體進行讨論,以促進了解、澄清或者指向證據之所在的過程。
适用對象:個人或群體(groups of individuals)
典型行動:與廣泛采樣的人員訪談,應覆寫各個級别、業務條線和角色。
3、測試test
定義:評估者在特定條件下,針對一個或多個評估對象,比較其實際行為和預期/期望行為的過程。
适用對象:機制、活動
典型行動:
驗證某通路控制是否正常工作;
發起試圖觸發日志的行為;
對關鍵系統元件進行滲透測試;
測試系統備份操作;
![CISSP考點拾遺——軟體保障SwA[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)