20.安全性测试与评估

这篇具有很好参考价值的文章主要介绍了20.安全性测试与评估。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

每年都会涉及;可能会考大题;多记!!!
典型考点:sql注入、xss;
从2个方面记:
1、测试对象的功能、性能;
2、相关设备的工作原理;
如防火墙,要了解防火墙的功能、工作原理;

主要议题:基本安全策略、数据库、操作系统、安全日志考察较多;其他议题偶尔涉及;

20.安全性测试与评估,软考中级,安全性测试,网络,安全

1.安全系统测试策略

基本部分

防火墙:工作原理是数据包通过防火墙,检查数据包是否满足我们制定的访问规则;满足则通过,否则不让通过;2种工作模式:路由模式、交换模式;
防火墙测试:
1、是否满足两种工作模式;
2、防火墙是否是单点故障点,即是否做了冗余设计;
3、功能是否正常,如应用的访问控制;
4、防火墙日志功能,是否提供日志分析功能,是否将日志传到指定的数据库中;
5、防火墙本身是否能对抗常用的网络攻击;受到攻击时,能否产生警报,警报有多个级别,防火墙对多个级别的支持程度;
入侵检测系统:防火墙之后第二道检测的闸门;工作原理是侦听网络通信的数据流信息,将这些信息与攻击库中的攻击特征进行匹配;攻击发生后,提供警报,或者通知防火墙断掉一些连接;
入侵检测系统测试:
1、能否在检测到入侵事件后自动执行一些事情,如通知防火墙断开连接、记录入侵过程、发送邮件给管理员(警报);
2、是否支持攻击信息特征的上传;集中式、发布式的上传;
3、能否同步攻击监测引擎的信息;攻击特征能否及时更新,是否内置了监控和侦听工具;
漏洞扫描:监测漏洞扫描工具能否定期、或不定期的进行漏洞扫描分析;是否能够对所选内容进行漏洞扫描;及时发现漏洞,并反馈给管理员,同时给出修复漏洞的建议;
病毒防治:
常涉及到的病毒扫描的内容:
1、操作系统不一样;2、服务器端和客户端不同;3、文件、电子邮件;
检测时,检测病毒防治体系是否满足上3者的要求:
1、是否支持多种操作系统、文件、邮件;
2、病毒库、病毒特征、病毒引擎能否及时更新;
3、病毒防范是否广泛;
安全审计:收集安全相关的数据,放到某个地方统一管理;
1、安全审计系统是否进行系统数据的手机、统一存储、集中进行安全审计工作;
2、是否支持PTR应用的审计;是否支持xml的数据采集协议;是否支持自定义规则的审计;
web信息防篡改系统:web会采用不同的应用平台,如Windows、linux,
1、对各个操作系统的支持情况;
2、是否支持发布、监控功能;能否区分合法的更新还是非法的篡改;
3、能否实时发布和备份;
4、能否自动发布、自动恢复;
4、是否有日志扫描、更新管理等功能;
20.安全性测试与评估,软考中级,安全性测试,网络,安全

高级部分

2大方面:功能测试、性能测试;
看教程!!!
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全
20.安全性测试与评估,软考中级,安全性测试,网络,安全

故障恢复与容灾备份测试
故障恢复:
1、系统是否存在单点故障;单点故障:这个点失败,系统就会宕机,不具备容错能力;
2、关键的应用系统是否实现双机热备、实现冗余;能否按照规则将请求从一个设备转到另一个设备上,一个服务器宕机后请求能否转到另一台服务器上;对于磁盘来讲,是否采用镜像技术来实现磁盘冗余、实现高速访问;对于主机操作系统一般使用镜像的阵列;
数据备份:
1、 关键的应用系统是否实现双机热备、实现冗余;关键业务要求可靠性较高;
2、用磁带、磁盘进行备份;
容灾备份:
是否建立容灾备份中心,主中心发生灾难,备份中心要接收所有的业务;对于备份中心,考虑带宽是否足够,保证能够实时接收主中心的备份数据,能够满足提供服务的要求;
20.安全性测试与评估,软考中级,安全性测试,网络,安全

2.安全性测试方法

20.安全性测试与评估,软考中级,安全性测试,网络,安全
软件产品安全测试,划√的考的多!!!
20.安全性测试与评估,软考中级,安全性测试,网络,安全

3.用户权限控制测试

20.安全性测试与评估,软考中级,安全性测试,网络,安全

4.操作系统安全性测试

2、是否删除不必要的账户;
重点!!!
20.安全性测试与评估,软考中级,安全性测试,网络,安全

5.数据库权限测试

20.安全性测试与评估,软考中级,安全性测试,网络,安全

6.通信加密测试

20.安全性测试与评估,软考中级,安全性测试,网络,安全

7.安全日志测试

重点!!!
20.安全性测试与评估,软考中级,安全性测试,网络,安全文章来源地址https://www.toymoban.com/news/detail-859370.html

到了这里,关于20.安全性测试与评估的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 商用密码应用安全性评估----技术层面实现

    网络和通信安全        三个密码产品  SSL VPN IPSEC VPN  安全认证网关-----数字证书---双证书-----SM2签名  SM4加密   D 是否使用这些安全产品   A用的算法是否符合国家密码算法要求       K密钥管理是否安全(商用密码产品检测中心认证的)       对象:一般划分根据

    2024年02月16日
    浏览(53)
  • 商用密码应用与安全性评估要点笔记(FAQ)

    5 商用密码应用安全性评估FAQ汇编 词条 内容 密钥应用基本要求的等级 一般按照信息系统网络安全等级保护的级别确定。对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级。 【宜】测评指标 系统没有密码应用方案或方案未对【宜】指标明确说

    2024年02月02日
    浏览(79)
  • 商用密码应用安全性评估从业人员考核知识点

    1. 密码政策法规(占比10%) 1.1党和国家关于密码工作的方针政策 1.2密码法律法规与规范性文件 1.3涉及密码的网络安全相关法律法规 1.4密码应用政策文件 2. 密码技术基础及相关标准(占比20%) 2.1密码学基础知识 2.2分组密码 2.3序列密码 2.4杂凑密码 2.5公钥密码 2.6实体鉴别协

    2024年02月04日
    浏览(57)
  • 商用密码应用安全性评估(密评)六大基础问题解答

    2021年3月9日,国家市场监管总局、国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》,该标准将于2021年10月1日起正式实施。这是贯彻落实我国《密码法》,指导密评工作的一项基础性标准,对于规范和引导信息系统合规、正

    2024年02月16日
    浏览(42)
  • 商用密码应用与安全性评估要点笔记(密码标准和产品)

    3.5 密码标准和产品 词条 内容 智能IC卡分类 存储器卡,外部可对片内信息任意存储,存放不需要保密的信息 逻辑加密卡,硬件加密逻辑,具备简单的信息处理能力。保密要求较低的场合。 智能CPU卡,如银行卡、门禁卡、护照、身份证、社保卡、手机SIM卡 接触式(多个金属触

    2024年02月09日
    浏览(39)
  • 商用密码应用与安全性评估要点笔记(密码算法ZUC)

    1、ZUC算法简介         ZUC算法属于对称密码算法,具体来说是一种序列密码算法或流密码算法。ZUC算法以中国古代数学家祖冲之首字母命令。         ZUC算法标准包括三个部分:         GMT 0001.1-2012 祖冲之序列密码算法:第1部分:算法描述         GMT 0001.2-201

    2024年02月16日
    浏览(49)
  • 商用密码应用与安全性评估要点笔记(密评测评方法)

    4.3 密评测评方法 词条 内容 密评方法 对密码算法、密码技术、密码产品和密码服务进行核查。 核查前的工作 确认在信息系统中,应当使用密码保护的资产是否采用了密码技术进行保护(默认情况下按照GB/T39786-2021中对应条款判定),如有不适用,信息系统责任方应当在密码

    2024年02月12日
    浏览(41)
  • 商用密码应用与安全性评估要点笔记(密评技术测评要求)

    4.4 密码应用技术测评要求 词条 内容 层面 物理和环境安全(包含3个测评单元) 单元-1 身份鉴别(1-4级) 测评指标:采用密码技术进行物理访问身份鉴别,保证重点区域进入人员身份真实性 测评对象:信息系统所在机房等重要区域及其电子门禁系统 测评实施:算法、技术、

    2024年02月04日
    浏览(64)
  • 商用密码应用与安全性评估要点笔记(SM4算法)

    1、SM4算法简介         SM4是我国发布的分组密码算法,属于对称密码的一种。SM4在2006年公开发布,2012年成为行业标准(GMT 0002-2012 SM4分组密码算法),并于2021年成为国际标准。         SM2分组长度为128bit、密钥长度为128bit、采用32轮非线性迭代结构(非平衡Feistel结构)。

    2024年02月12日
    浏览(41)
  • 安全可信 | 密评合规!天翼云全栈混合云通过商用密码应用安全性评估!

    近日, 天翼云全栈混合云顺利通过商用密码应用安全性评估 (以下简称密评),标志着天翼云全栈混合云密码安全能力达到业内领先水平。   2021年3月,国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021),自

    2024年02月15日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包