信息安全工程师信息系统安全测评考点

软工小法师

2024-04-18 14:05

短信预约 信息安全工程师 报名、考试、查分时间动态提醒

　　信息安全工程师信息系统安全测评考点有哪些?为了方便考生及时有效的备考，编程学习网小编为大家精心整理了软考信息安全工程师信息系统安全测评考试知识点，供大家参考和学习。如想获取更多计算机软件水平考试的模拟题及备考资料，请关注编程学习网网站的更新。

　　【考法分析】

　　本考点主要是对信息系统安全测评相关内容的考查。

　　【要点分析】

　　1.信息系统安全是指对信息系统及其处理的信息采取适当的安全保障措施，防止未授权的访问、使用、泄露、中断、修改、破坏，从而确保信息系统及其信息的机密性、完整性和可用性，保证信息系统功能的正确实现。

　　2.信息系统安全测评是依据信息安全测评的要求，在风险评估的基础上，对在信息系统生命周期中采取的技术类、管理类、过程类和人员类的安全保证措施进行测评和检查。

　　3.信息系统是由信息技术系统以及包含了人、管理、环境的运行环境组成。对信息系统的安全保障的评估，首先需要根据信息系统运行环境及相关的信息系统安全保障需求进行描述，信息系统安全测评准则提供了对安全保障需求描述的公共语音、结构和方法，这就是信息系统安全保障要求(ISPP);然后就可以依据信息安全保障要求(ISPP)编制满足用户需求的信息系统安全保障方案(ISST)对信息系统安全保障要求(ISPP)的负荷情况进行评估，并在整个信息系统生命周期中对信息系统安全保障方案的执行情况和执行能力进行评估，最终确定组织机构的信息系统安全保障能力的级别。

　　4.信息系统安全测评的基本原则：① 标准型原则;② 关键业务原则;③ 可控性原则。

　　5.根据机密性、完整性和可用性特征以及信息和信息系统价值，可以将信息系统划分为5类;一般将信息系统的威胁分为7级。

　　6.模糊测试(Fuzzing)是一种黑盒测试技术，它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被测试程序中可能存在安全漏洞。模糊测试的思想相对较简单直观，易于实现自动化，并且运用其发掘软件安全漏洞，从漏洞发现到重现和定位漏洞比较容易，不存在漏洞误报，目前正广泛应用于对文件格式、网络协议、Web程序、环境变量和COM对象等的安全测试中。模糊测试技术是一种发掘安全漏洞的有效方法。

　　7.模糊测试是一种基于去屑注入的自动化测试技术，没有具体的执行规则，旨在预测软件中可能存在的错误以及什么样的输入疯狗出发错误。与基于源代码的白盒测试相比，模糊测试的测试对象是二进制目标文件。

　　8.完整的模糊测试都要经历以下几个基本的阶段：识别目标 → 识别输入 → 生产模糊测试数据 → 执行模糊测试数据 → 监视异常 → 确定可利用性。

　　9.模糊器划分为随机模糊器、基于变异的模糊器和基于生成技术的模糊器。

　　10.为了避免产生大量的无效的测试数据，基于变异的模糊器使用样本文件来得到畸形数据集合。

　　11.基于生成技术的模糊器是当前应用范围最广的一类模糊器。

　　12.目前模糊测试对象主要有以下五类：① 环境变量和参数;② Web应用程序和服务器;③ 文件格式;④ 网络协议;⑤ Web浏览器。

　　13.模糊测试的优点：第一，模糊测试不需要程序的源代码即可发现问题。第二，模糊测试不受限于被测系统的内部实现细节和复杂程度。第三，使用模糊测试的可复用性较好，一个测试用例可适用于多种产品。

　　14.模糊测试有两个关键的操作：产生畸形数据和观察应用程序是否出现异常。但进行两个操作时存在如下问题：首先，目前理论上还未出现能成熟、优化生成畸形数据的方式。其次，需要有一个监控器观察应用程序是否出现异常。

　　15.代码审计工具帮助软件开发团队快速查找、定位、修复和管理软件代码安全问题。

　　16.静态代码★分析是软件缺陷检测的重要方法，是指在不执行程序的情况下，以程序源代码、可执行文件序列或高级语言中的中间代码等为对象，通过预先定义属性规约，自动地检查目标代码对属性规约的违反情况。

　　17.安全代码审计的第一步就是对每一个源代码文件的所有者分配权限、相关所有文件等建立一个数据库;下一步就是明确评审优先级。

　　18.从方法论的角度出发，宏观来看代码审计的主要方法可分为自顶向下、自底向上和两者结合的三种方法。