2022年資訊安全工程師考試知識點：資訊系統安全測評

為大家整理了2022年資訊安全工程師考試知識點：資訊系統安全測評，希望對大家備考資訊安全工程師考試會有幫助。

資訊系統安全測評

【考法分析】

本知識點主要是對資訊系統安全測評相關内容的考查。

【要點分析】

1．資訊系統安全是指對資訊系統及其處理的資訊采取适當的安全保障措施，防止未授權的通路、使用、洩露、中斷、修改、破壞，進而確定資訊系統及其資訊的機密性、完整性和可用性，保證資訊系統功能的正确實作。

2．資訊系統安全測評是依據資訊安全測評的要求，在風險評估的基礎上，對在資訊系統生命周期中采取的技術類、管理類、過程類和人員類的安全保證措施進行測評和檢查。

3．資訊系統是由資訊技術系統以及包含了人、管理、環境的運作環境組成。對資訊系統的安全保障的評估，首先需要根據資訊系統運作環境及相關的資訊系統安全保障需求進行描述，資訊系統安全測評準則提供了對安全保障需求描述的公共語音、結構和方法，這就是資訊系統安全保障要求（ISPP）；然後就可以依據資訊安全保障要求（ISPP）編制滿足使用者需求的資訊系統安全保障方案（ISST）對資訊系統安全保障要求（ISPP）的負荷情況進行評估，并在整個資訊系統生命周期中對資訊系統安全保障方案的執行情況和執行能力進行評估，最終确定組織機構的資訊系統安全保障能力的級别。

4．資訊系統安全測評的基本原則：① 标準型原則；② 關鍵業務原則；③ 可控性原則。

5．根據機密性、完整性和可用性特征以及資訊和資訊系統價值，可以将資訊系統劃分為5類；一般将資訊系統的威脅分為7級。

6．模糊測試（Fuzzing）是一種黑盒測試技術，它将大量的畸形資料輸入到目标程式中，通過監測程式的異常來發現被測試程式中可能存在安全漏洞。模糊測試的思想相對較簡單直覺，易于實作自動化，并且運用其發掘軟體安全漏洞，從漏洞發現到重制和定位漏洞比較容易，不存在漏洞誤報，目前正廣泛應用于對檔案格式、網絡協定、Web程式、環境變量和COM對象等的安全測試中。模糊測試技術是一種發掘安全漏洞的有效方法。

7．模糊測試是一種基于去屑注入的自動化測試技術，沒有具體的執行規則，旨在預測軟體中可能存在的錯誤以及什麼樣的輸入瘋狗出發錯誤。與基于源代碼的白盒測試相比，模糊測試的測試對象是二進制目标檔案。

8．完整的模糊測試都要經曆以下幾個基本的階段：識别目标 → 識别輸入 → 生産模糊測試資料 → 執行模糊測試資料 → 監視異常 → 确定可利用性。

9．模糊器劃分為随機模糊器、基于變異的模糊器和基于生成技術的模糊器。

10．為了避免産生大量的無效的測試資料，基于變異的模糊器使用樣本檔案來得到畸形資料集合。

11．基于生成技術的模糊器是目前應用範圍最廣的一類模糊器。

12．目前模糊測試對象主要有以下五類：① 環境變量和參數；② Web應用程式和伺服器；③ 檔案格式；④ 網絡協定；⑤ Web浏覽器。

13．模糊測試的優點：第一，模糊測試不需要程式的源代碼即可發現問題。第二，模糊測試不受限于被測系統的内部實作細節和複雜程度。第三，使用模糊測試的可複用性較好，一個測試用例可适用于多種産品。

14．模糊測試有兩個關鍵的操作：産生畸形資料和觀察應用程式是否出現異常。但進行兩個操作時存在如下問題：首先，目前理論上還未出現能成熟、優化生成畸形資料的方式。其次，需要有一個監控器觀察應用程式是否出現異常。

15．代碼審計工具幫助軟體開發團隊快速查找、定位、修複和管理軟體代碼安全問題。

16．靜态代碼★分析是軟體缺陷檢測的重要方法，是指在不執行程式的情況下，以程式源代碼、可執行檔案序列或進階語言中的中間代碼等為對象，通過預先定義屬性規約，自動地檢查目标代碼對屬性規約的違反情況。

17．安全代碼審計的第一步就是對每一個源代碼檔案的所有者配置設定權限、相關所有檔案等建立一個資料庫；下一步就是明确評審優先級。

18．從方法論的角度出發，宏觀來看代碼審計的主要方法可分為自頂向下、自底向上和兩者結合的三種方法。

19．代碼靜态分析采用的方法★主要有模式比對、定理證明、模型檢測。

20．模式比對主要步驟是依據統計及經驗，定義和抽象缺陷及錯誤特征，對目标代碼采用行走檢查、模式比對等方法過濾已知缺陷。

21．定理證明是代碼形式化驗證的重要技術，也屬于靜态代碼分析的範疇。定理證明技術是将軟體系統和性質都用邏輯方法來規約，通過基于公裡和推理規則組成的形式系統，以定理證明的方法來證明軟體系統是否具備所期望的關鍵性質。

22．模型檢測是今年來研究的熱點。該技術是通過搜尋待驗證軟體系統模型的有窮狀态空間來檢驗系統的行為是否具備預期性質的一種有窮狀态系統自動驗證技術。

23．資訊系統安全評測由三個階段組成：① 安全評估階段；② 安全認證階段；③ 持續監督階段。

24．資訊系統安全評估階段按工作内容又劃分幾個子階段：靜态評估階段、現場檢測階段、綜合安全評估階段。

25．在靜态評估階段資訊系統資産所有者提出申請，與系統評估方簽署協定，所有者送出文檔，所有者為主提出評估對象的保護輪廓。

26．在現場檢測階段，評估項目組前往資訊系統運作現場進行實地檢測。

27．在綜合安全評估階段，現場檢測工作結束後，項目組對檢測資料和結果進行分析，完成《資訊系統安全現場核查報告》及《資訊系統安全測試報告》。

28．通過安全評估的資訊系統将進入安全認證階段，首先資訊系統需要試運作6個月，評估機構将派出從業人員進行複審，并向認證委員會出示複審報告。認證委員會依據前面各個階段報告做出認證決定，認證機構将對通過認證的資訊系統簽發認證證書。