希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（三十六）：信息系統(tǒng)安全測(cè)評(píng)，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

信息系統(tǒng)安全測(cè)評(píng)

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)信息系統(tǒng)安全測(cè)評(píng)相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．信息系統(tǒng)安全是指對(duì)信息系統(tǒng)及其處理的信息采取適當(dāng)?shù)陌踩Ｕ洗胧?，防止未授?quán)的訪問、使用、泄露、中斷、修改、破壞，從而確保信息系統(tǒng)及其信息的機(jī)密性、完整性和可用性，保證信息系統(tǒng)功能的正確實(shí)現(xiàn)。

2．信息系統(tǒng)安全測(cè)評(píng)是依據(jù)信息安全測(cè)評(píng)的要求，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)在信息系統(tǒng)生命周期中采取的技術(shù)類、管理類、過程類和人員類的安全保證措施進(jìn)行測(cè)評(píng)和檢查。

3．信息系統(tǒng)是由信息技術(shù)系統(tǒng)以及包含了人、管理、環(huán)境的運(yùn)行環(huán)境組成。對(duì)信息系統(tǒng)的安全保障的評(píng)估，首先需要根據(jù)信息系統(tǒng)運(yùn)行環(huán)境及相關(guān)的信息系統(tǒng)安全保障需求進(jìn)行描述，信息系統(tǒng)安全測(cè)評(píng)準(zhǔn)則提供了對(duì)安全保障需求描述的公共語音、結(jié)構(gòu)和方法，這就是信息系統(tǒng)安全保障要求（ISPP）；然后就可以依據(jù)信息安全保障要求（ISPP）編制滿足用戶需求的信息系統(tǒng)安全保障方案（ISST）對(duì)信息系統(tǒng)安全保障要求（ISPP）的負(fù)荷情況進(jìn)行評(píng)估，并在整個(gè)信息系統(tǒng)生命周期中對(duì)信息系統(tǒng)安全保障方案的執(zhí)行情況和執(zhí)行能力進(jìn)行評(píng)估，最終確定組織機(jī)構(gòu)的信息系統(tǒng)安全保障能力的級(jí)別。

4．信息系統(tǒng)安全測(cè)評(píng)的基本原則：① 標(biāo)準(zhǔn)型原則；② 關(guān)鍵業(yè)務(wù)原則；③ 可控性原則。

5．根據(jù)機(jī)密性、完整性和可用性特征以及信息和信息系統(tǒng)價(jià)值，可以將信息系統(tǒng)劃分為5類；一般將信息系統(tǒng)的威脅分為7級(jí)。

6．模糊測(cè)試（Fuzzing）是一種黑盒測(cè)試技術(shù)，它將大量的畸形數(shù)據(jù)輸入到目標(biāo)程序中，通過監(jiān)測(cè)程序的異常來發(fā)現(xiàn)被測(cè)試程序中可能存在安全漏洞。模糊測(cè)試的思想相對(duì)較簡(jiǎn)單直觀，易于實(shí)現(xiàn)自動(dòng)化，并且運(yùn)用其發(fā)掘軟件安全漏洞，從漏洞發(fā)現(xiàn)到重現(xiàn)和定位漏洞比較容易，不存在漏洞誤報(bào)，目前正廣泛應(yīng)用于對(duì)文件格式、網(wǎng)絡(luò)協(xié)議、Web程序、環(huán)境變量和COM對(duì)象等的安全測(cè)試中。模糊測(cè)試技術(shù)是一種發(fā)掘安全漏洞的有效方法。

7．模糊測(cè)試是一種基于去屑注入的自動(dòng)化測(cè)試技術(shù)，沒有具體的執(zhí)行規(guī)則，旨在預(yù)測(cè)軟件中可能存在的錯(cuò)誤以及什么樣的輸入瘋狗出發(fā)錯(cuò)誤。與基于源代碼的白盒測(cè)試相比，模糊測(cè)試的測(cè)試對(duì)象是二進(jìn)制目標(biāo)文件。

8．完整的模糊測(cè)試都要經(jīng)歷以下幾個(gè)基本的階段：識(shí)別目標(biāo) → 識(shí)別輸入 → 生產(chǎn)模糊測(cè)試數(shù)據(jù) → 執(zhí)行模糊測(cè)試數(shù)據(jù) → 監(jiān)視異常 → 確定可利用性。

9．模糊器劃分為隨機(jī)模糊器、基于變異的模糊器和基于生成技術(shù)的模糊器。

10．為了避免產(chǎn)生大量的無效的測(cè)試數(shù)據(jù)，基于變異的模糊器使用樣本文件來得到畸形數(shù)據(jù)集合。

11．基于生成技術(shù)的模糊器是當(dāng)前應(yīng)用范圍最廣的一類模糊器。

12．目前模糊測(cè)試對(duì)象主要有以下五類：① 環(huán)境變量和參數(shù)；② Web應(yīng)用程序和服務(wù)器；③ 文件格式；④ 網(wǎng)絡(luò)協(xié)議；⑤ Web瀏覽器。

13．模糊測(cè)試的優(yōu)點(diǎn)：第一，模糊測(cè)試不需要程序的源代碼即可發(fā)現(xiàn)問題。第二，模糊測(cè)試不受限于被測(cè)系統(tǒng)的內(nèi)部實(shí)現(xiàn)細(xì)節(jié)和復(fù)雜程度。第三，使用模糊測(cè)試的可復(fù)用性較好，一個(gè)測(cè)試用例可適用于多種產(chǎn)品。

14．模糊測(cè)試有兩個(gè)關(guān)鍵的操作：產(chǎn)生畸形數(shù)據(jù)和觀察應(yīng)用程序是否出現(xiàn)異常。但進(jìn)行兩個(gè)操作時(shí)存在如下問題：首先，目前理論上還未出現(xiàn)能成熟、優(yōu)化生成畸形數(shù)據(jù)的方式。其次，需要有一個(gè)監(jiān)控器觀察應(yīng)用程序是否出現(xiàn)異常。

15．代碼審計(jì)工具幫助軟件開發(fā)團(tuán)隊(duì)快速查找、定位、修復(fù)和管理軟件代碼安全問題。

16．靜態(tài)代碼★分析是軟件缺陷檢測(cè)的重要方法，是指在不執(zhí)行程序的情況下，以程序源代碼、可執(zhí)行文件序列或高級(jí)語言中的中間代碼等為對(duì)象，通過預(yù)先定義屬性規(guī)約，自動(dòng)地檢查目標(biāo)代碼對(duì)屬性規(guī)約的違反情況。

17．安全代碼審計(jì)的第一步就是對(duì)每一個(gè)源代碼文件的所有者分配權(quán)限、相關(guān)所有文件等建立一個(gè)數(shù)據(jù)庫；下一步就是明確評(píng)審優(yōu)先級(jí)。

18．從方法論的角度出發(fā)，宏觀來看代碼審計(jì)的主要方法可分為自頂向下、自底向上和兩者結(jié)合的三種方法。

19．代碼靜態(tài)分析采用的方法★主要有模式匹配、定理證明、模型檢測(cè)。

20．模式匹配主要步驟是依據(jù)統(tǒng)計(jì)及經(jīng)驗(yàn)，定義和抽象缺陷及錯(cuò)誤特征，對(duì)目標(biāo)代碼采用行走檢查、模式匹配等方法過濾已知缺陷。

21．定理證明是代碼形式化驗(yàn)證的重要技術(shù)，也屬于靜態(tài)代碼分析的范疇。定理證明技術(shù)是將軟件系統(tǒng)和性質(zhì)都用邏輯方法來規(guī)約，通過基于公里和推理規(guī)則組成的形式系統(tǒng)，以定理證明的方法來證明軟件系統(tǒng)是否具備所期望的關(guān)鍵性質(zhì)。

22．模型檢測(cè)是今年來研究的熱點(diǎn)。該技術(shù)是通過搜索待驗(yàn)證軟件系統(tǒng)模型的有窮狀態(tài)空間來檢驗(yàn)系統(tǒng)的行為是否具備預(yù)期性質(zhì)的一種有窮狀態(tài)系統(tǒng)自動(dòng)驗(yàn)證技術(shù)。

23．信息系統(tǒng)安全評(píng)測(cè)由三個(gè)階段組成：① 安全評(píng)估階段；② 安全認(rèn)證階段；③ 持續(xù)監(jiān)督階段。

24．信息系統(tǒng)安全評(píng)估階段按工作內(nèi)容又劃分幾個(gè)子階段：靜態(tài)評(píng)估階段、現(xiàn)場(chǎng)檢測(cè)階段、綜合安全評(píng)估階段。

25．在靜態(tài)評(píng)估階段信息系統(tǒng)資產(chǎn)所有者提出申請(qǐng)，與系統(tǒng)評(píng)估方簽署協(xié)議，所有者提交文檔，所有者為主提出評(píng)估對(duì)象的保護(hù)輪廓。

26．在現(xiàn)場(chǎng)檢測(cè)階段，評(píng)估項(xiàng)目組前往信息系統(tǒng)運(yùn)行現(xiàn)場(chǎng)進(jìn)行實(shí)地檢測(cè)。

27．在綜合安全評(píng)估階段，現(xiàn)場(chǎng)檢測(cè)工作結(jié)束后，項(xiàng)目組對(duì)檢測(cè)數(shù)據(jù)和結(jié)果進(jìn)行分析，完成《信息系統(tǒng)安全現(xiàn)場(chǎng)核查報(bào)告》及《信息系統(tǒng)安全測(cè)試報(bào)告》。

28．通過安全評(píng)估的信息系統(tǒng)將進(jìn)入安全認(rèn)證階段，首先信息系統(tǒng)需要試運(yùn)行6個(gè)月，評(píng)估機(jī)構(gòu)將派出工作人員進(jìn)行復(fù)審，并向認(rèn)證委員會(huì)出示復(fù)審報(bào)告。認(rèn)證委員會(huì)依據(jù)前面各個(gè)階段報(bào)告做出認(rèn)證決定，認(rèn)證機(jī)構(gòu)將對(duì)通過認(rèn)證的信息系統(tǒng)簽發(fā)認(rèn)證證書。

29．認(rèn)證監(jiān)督階段的三方面工作：① 配置管理和控制；② 對(duì)安全保證措施的監(jiān)督檢查；③ 認(rèn)證監(jiān)督?jīng)Q定。

【備考點(diǎn)撥】

了解并理解相關(guān)知識(shí)點(diǎn)內(nèi)容。