原創]OSSTMM安全測試技術概述--開源安全測試方法手冊
開源安全測試方法手冊OSSTMM 經過多年持續的更新及改善 ,已經成爲安全界主流的安全測試技術框架;但國內尚無詳細說明文檔可供參考。筆者將自己對於OSSTMM的學習及實踐心得進行整理,形成了這篇說明文檔,供安全同行參考
1 引言
爲了保障企業信息系統安全,在處理安全問題,進行風險管理時,安全工作者有着統一的觀點:必須從可能性和可預測性方面着手, 前瞻性地瞭解信息系統當前的安全風險,再有針對性地進行安全防護及運維工作。
但是,當開始分析風險時 ,我們一定會問:系統存在哪些風險?威脅來源在哪?會發生哪類事故?攻擊事件的可能性、生概率是多少?怎麼樣去預測到事件將發生?怎麼才能主動防禦並處理未知和不可預測的攻擊?
簡單的幾個問題,需要進行大量分析纔可以得出結論,例如:
Ø 需要有可靠的測試手段來支撐態勢評估和風險評估
Ø 需要有固定標準來框架測試內容及範圍,使專業人員和非專業人員可以針對安全測試的過程和結果達成共識
Ø 需要培養專業的安全人員可以進行風險分析和態勢預測
Ø 需要形成並持續更新信息系統自身的風險庫
Ø 需要……
只有滿足了這些根本的需求,展開科學有效的安全測試,形成量化的測試結論,並將其融入到整體信息安全管理體系中,這樣的信息安全管理體系纔是可以落地的真正意義上有效降低風險的信息安全管理體系。安全測試能夠:
ü 作爲信息安全體系管理制度的輸入依據
ü 作爲應急響應技術儲備的輸入依據
ü 作爲企業安全基線的輸入依據
ü 作爲企業安全紅線的輸入依據
ü 作爲企業信息安全人員招聘及技術培養方向的輸入依據
ü 作爲企業信息安全防護資源投入的說明依據
綜上所述,能夠開展持續有效地進行安全測試是企業信息安全管理體系成敗的決定性因素,所以科學地做好安全測試工作,已經成爲信息安全體系的重中之重。開源安全測試方法手冊——Open Source Security Testing Methodology Manual(以下簡稱:OSSTMM)無疑是一個最爲合適的參考依據。
