CISSP要点操作安全.docx

《CISSP要点操作安全.docx》由会员分享，可在线阅读，更多相关《CISSP要点操作安全.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、操作安全是关于为保持一个网络、计算机系统、应用程序和环境运转，并运行在 一个安全和受保护的方式下所发生的一切事情。它包括确保人员、应用程序和效 劳器仅拥有访问他们所需要的资源的权限，并通过监控、审计和报告掌握实施监 视。操作是在网络己开发并得到实现后才产生的。这包括一个运行环境的持续维 护和那些每天或每周应当发生的行为，这些行为实际上是日常事务，确保网络和 个人计算机持续、正确、安全地运行。操作安全包括确保人员、应用程序、设备和整个环境的安全得到合理、充分的保 障。操作安全包括确保人员、应用程序、设备和整个环境的安全得到合理、充分 的保障。公司和公司中的高级主管很多时候都有法律义务来确保资源是

2、受保护的、确保安 全措施是适当的，还要确保安全机制己被测试过，可以担保它们仍能供给必要的 保护等级。操作安全包括确保物理和环境问题得到适当解决，如温度和湿度掌握、媒介重用、 处理及包含敏感信息的媒介的销毁。总体而言，操作安全涉及配置、性能、容错、安全性、稽核和检查治理，其目的 在于确保适当的操作标准和合规性要求得到满足。行政治理是操作安全中一个格外重要的环节。行政治理的一个方面是处理人员问 题，包括职责分割和岗位轮换。职责分割Separation of Duties）的目的是确保一 个独立行动的人通过任何方法都无法危及公司的安全。组织应建立一个完整的职 位列表，说明与每个职位有关的任务和责任。

3、岗位轮换（Job Rotation）意味着在某个公司里很多人执行同一个岗位的任务，这 使得这个公司挺有不止一个人理解一个特定职位的任务和责任，这样在某个人离 开了公司或不在的状况下便能供给后备人员。岗位轮换也能帮助确定欺诈行为， 因此被认为是一种侦测类的掌握。最小特权LeastPrivilege）和须知（Need-t0AKnow）也是应当在操作环境中执行的 行:政类掌握。最小特权意味着个人应当仅有足够的许可和权限来履行他在公司 的任务而不超出范围。最小特权和须知存在共生关系，每个用户应当对他被允许访 问的资源有须知。一个用户的访问权限可能是最小特权属性、用户安全许可、须 知、资源的敏感级别和计

4、算机操作的模式的混合体。强制休假Mandatory Vacations）是行政掌握的另一种类型，这与确认欺诈行为和促使岗位轮换有关。 安全和网络人员网络治理员应努力确保网络和资源的高可用性及性能，并为用户供给他们需要的 功能。安全治理员应处在一个与网络人员不同的需求链中，以确保安全不会被无 视或处于较低的优先级。下面列出一些应由安全治理员，而非网络治理员执行的任务：安装和维护安全设备与软件进展安全评估作为安全治理员向组织供给的一项保护效劳，安全评估利用安全 治理员的学问和阅历确定组织系统、网络、软件和内部开发的产品中的安全漏洞。 创立和维护用户资料，实施和维护访问掌握机制 配置和维护强制型访问

5、掌握（MAC）环境中的安全标签为用户设定初始密码 检查审计日志用户访问资源的权限必需被限制和被正值地掌握，确保过度的特权不会对公司及 其资源造成损害。公司设置了允许某些类型的误差或错误的最低限度，即在被认 以及了解如何报告可疑活动一一但意外事故可能也确实会发生。安全专家应获得包含所授权测试的范围的授权书。在测试活动中，测试团队成员 需要使用这份授权书或备忘录。这份授权书通常叫做“免死金牌”。授权书中还 应包括关键人员的联系信息和一个列表，以便在消灭意外状况和需要恢复系统 的时候使用。在执行渗透测试时，测试团队完成5个步骤：L觉察搜集和收集目标信息。2 .枚举执行端口扫描和资源识别方法。3 .脆

6、弱性映射在确定的系统和资源中识别脆弱性。4 .利用尝试利用脆弱性进展未授权访问。5 .向治理层报告向治理层提交测试结果报告文件，并供给应对措施建议。对一个环境进展安全测试可以实行不同的方式，既可以基于测试员对环境的了解 程度，也可以基于环境对测试员的了解程度测试还应在外部（从一个远程地点进 展测试）或内部进展指测试员在网络中进展测试）。组织应全部进展这两种测 试，以了解任何一个领域1内部和外部）的威逼。测试可能是盲目、双盲或有针对性的。盲目测试BUndTest）是指评估者只能利 用公开的数据。网络人员知道将进展这种测试。双盲测试（Double-BlindTest,也叫隐蔽评估）对评估者而言也是

7、一种盲目测试（如前所述），只是安全人员不会收到测试通知。因此，这种测试能够评估网络 的安全等级以及员工的响应力量、日志监控和上报流程，更加现实地说明白某起 攻击的成功或失败几率。针对性的测试（TargetedTest）是指由外部参谋和内部员工共同对特别感兴趣的 区域进展集中测试。事后检查公司应制定一个监视打算，确保减轻风险的工作按预期进展，并依据每一种减轻 风险的行为的估量本钱严密追踪实际的执行本钱。为可疑之前可以产生肯定数量的这些错误。最低限度是违规行为的基线，在警报 没有响之前，对于一个用户犯这些行为可能是正常的。这条基线被称为限制级(Clipping Level)o 一旦超越了这个限制级

8、，进一步的违规将被记录下来以备以 后回忆。限制级、审计和监控是在主要损失消灭之前觉察问题的期望，并且在网 络内部可能存在攻击活动时能够准时报警。当对产品供给的可信度和安全等级进展评估时，通常操作保险(Operational Assurance)和生命周期保险(Life Cycle Assurance)都是评估的一局部。操作保险 关注的是产品的体系构造及嵌入的特征和功能，当使用此产品时，这些可以使顾 客持续地获得必要的安全等级。在评估过程中，检查操作保险的实例是访问掌握 机制、特权和用户程序代码的分别、审计和监控力量、隐蔽通道分析(Covert Channel Analysis),还有产品运行在

9、不期望的环境下时的可信恢复。生命周期保险是关于产品的体系构造及它是如何开发和维护的。在产品可以被认 为是高度可信之前，这个产品的生命周期的每个阶段都有必需满足的标准和期望值。 生命周期保险标准的实例是设计标准、限制级配置、单元和综合测试、配置治理 和可信任的分发。当对产品供给的可信度和安全等级进展评估时，通常操作保险(Operational Assurance)和生命周期保险(Life Cycle Assurance)都是评估的一局部。操作保险 关注的是产品的体系构造及嵌入的特征和功能，当使用此产品时，这些可以使顾 客持续地获得必要的安全等级。在评估过程中，检查操作保险的实例是访问掌握 机制、

10、特权和用户程序代码的分别、审计和监控力量、隐蔽通道分析(Covert Channel Analysis),还有产品运行在不期望的环境下时的可信恢复。生命周期保险是关于产品的体系构造及它是如何开发和维护的。在产品可以被认 为是高度可信之前，这个产品的生命周期的每个阶段都有必需满足的标准和期望值。 生命周期保险标准的实例是设计标准、限制级配置、单元和综合测试、配置治理 和可信任的分发。操作部门操作安全包含了安全措施和对策来保护资源、信息以及保存信息和资源的硬件。 它的目标是降低可能由非授权访问或滥用造成损失的可能性。操作安全包含了安全措施和对策来保护资源、信息以及保存信息和资源的硬件。 它的目标是

11、降低可能由非授权访问或滥用造成损失的可能性。治理层负责职员的 行为和责任，而IT部或开发者负责软件的配置和修改，操作部的人负责确保硬 件受到保护并在预期的方式下运行。操作部门的目标通常是防止重复发生硬件问 题、降低硬件故障到一个可承受的级别。网络和在其中的硬件及软件可能是简单的 和动态的。不定期的初始程序加载(重启)初始程序加载Initial Program Load, IPL)是一个计算机术语，马上操作系统的内 核加载到计算机的主内存中。资产标识和治理资产治理的概念很简洁理解，它是指“了解公司拥有哪些资产。” 了解硬件包 括系统和网络)和软件是否安全配置的一个先决条件，是知道环境中存在有哪些

12、 硬件和软件。资产治理包括了解和保持全面的最硬件(系统和网络)和软件信息。 配置标准是指依据它检查实际状态的预期配置。预期配置所发生的任何变化都必 需进展调查，由于这意味着要么预期配置不能保持最，要么对环境的掌握缺乏以防止未授权变更发生。自动资产治理工具能够将预期配置与环境的实际状态进 展比较。回到“简洁”原则，最好是将支持商业需求的配置标准的数量保持在合理的范围 内。变更治理，或配置治理，必需涵盖环境中发生的全部变更，以便正确维护配 置标准。将配置标准的数量保持在合理的范围内有助于降低变更治理的总本钱。 系统掌握系统掌握也是操作安全的一局部。需要制定操作规程，对如何正确操作系统或资 源进展说

13、明。这包括系统启动与关闭挨次、错误处理，以及如何从一个的良好来 源进展恢复。操作系统并不能掌握较低特权的进程直接访问硬件，这些进程通常 是用户应用程序使用的进程。很多输入输出（I/O）指令被定义为特权指令，只能 由操作系统内核进程执行。可信恢复当一个操作系统或应用程序崩溃或死机时，不应让系统处于任何类型的担忧全状 态。系统重启（System Reboot）发生在系统响应一个内核（可信计算根底）故障并通 过一种可控的方式关闭系统之后。紧急系统重启Emergency System Restart）发生在一个系统故障以不受掌握的方 式消灭之后。当发生一个意外的内核或媒介故障，而通常的恢复程序又不能将

14、系统恢复到一个 更协调的状态时，就应当采用系统冷启动（System Cold Start） o系统崩溃后：进入单用户模式-修复问题并恢复文件一确认关键的文件和操作， 治理员必需依据系统文档检验系统配置文件的内容。安全关注引导挨次C:、A:、D:）不得用于重配置不应阻挡将行动写入系统日志中应制止系统被迫关闭应制止输入变更路线输入与输出掌握应用程序本身也应当被编程为只接收某种类型的输入值，并且对收到的输入值进 展某种类型的规律检测。系统强化既不能放弃又不能禁用的组件，必需用最保守的设置进展配置，使得系统仍旧能 够高效运行，满足那些在环境中需要使用系统的商业目标。配置治理每个公司都应当有一套策略来指

15、示如何在一个设备上进展变更、谁能做这些变更、 它们如何被批准，还有这些变更如何归档和传达给其他职员。变更可以发生于网络 配置、系统参数、应用程序、参加技术的设置、应用配置、设备或者修改工具的 环境设备。一些变更可能引起一个严峻的网络混乱并影响系统的可用性，这意味着 变更必需经过认真考虑、被批准，并且需要通过有组织的方式执行。变更掌握流程一个良好的变更治理过程应当尽量帮助全体成员适应环境的诸多转变。变更策略的一局部恳求一个变更发生变更的批准变更的文档测试和提交实施提交变更报告给治理层在对系统或网络实施变更前，操作部门应创立经过批准的复原打算(Backout Plan) 媒介掌握媒介应当被明确地标

16、记和记录，应当核实它的完整性，并且在必要的时候应当可 以正常销毁。清洗媒介(去除其中的内容)的过程叫做“洗带” (Sanitize)o在 军事/政府机构使用的分级系统中，这是指去除媒介上的信息，使得常规操作系 统命令或商业取证/数据恢复软件无法重恢复这些信息。“消磁” (Purging)是 指删除媒介上的信息，这些信息即使在试验室中通过物理取证的方法也无法恢复。 假设媒介从允许访问媒介上的信息的物理环境中删除，或者将在一个不同的区段 重复使用，这时就需要进展消磁。给媒介洗带有各种方法：归零(Zeroization),是用 某种方式覆写媒介，确保它以前保存的数据几乎不行能被恢复)、消磁破坏磁 带

17、或磁盘上表示保存有信息的磁条)，及破坏打碎、粉碎、烧毁)。使用归零和 安全的覆写算法来删除数据。而且，假设包含有高度敏感的信息的媒介的任何一 个局部无法被去除或消磁，那么就必需对它进展销毁。数据剩磷(Data Remanence)是那些保存后以某种方式去除的信息的剩余局部的物理表示法。这些 剩磁足够使数据重组并恢复到可读的形式。媒介保护 现在再问一遍，媒介管理员负责哪些工作呢? *. * *7 二 :人二、二J ：S1 标记。 日志。 , .完整性检验.物理访问保护环境保护.转换,处置数据泄露：由于疏忽而导致的数据泄露最主要是由于转移信息不恰当引起的。网络和资源可用性在网络效劳的三个要素中，可

18、用性是其中一个根本组成局部，其他两个为机密性 和完整性。同时，组织还必需选择设备备份解决方案和其他可用性解决方案来平衡保持信息 可用性的价值与本钱。预备进展“热交换” （HotSwapping）的备用硬件通过供给多个信息（镜像副 本或足量的额外信息，以在局部损失时重建信息，从而保护高度的信息可用性。 热交换允许治理员替换消灭故障的组件，使系统连续运行，信息仍旧有效；虽然 系统性能往往因此降低，但却避开了无法预料的系统中断。容错技术在防止个体存储设备故障甚至是整个系统故障的同时，保证了信息可 用性。容错技术可能是最昂贵的解决方案,通常组织只对最关键的信息承受这种 技术。效劳等级协议SLA）有助于

19、效劳供给商（无论是内部IT运营商还是外包商）打 算承受哪种可用性技术。组织可以依据这个打算设定效劳价格或IT运营预算。 确保信息可用性还需要制定稳健的操作规程。平均故障时间（MTBF） ： MTBF指某一台设备的估量寿命。平均修复时间MTTR）：平均修复时间指修复一台设备并使其重投入生产估量所 需的时间。对于划外的重启，MTTR是指系统发生故障，直到操作系统已经重启动、检查了 它的磁盘状态（期望找不到文件系统无法处理的故障）、重启它的应用程序、应 用程序已经检查了数据的全都性（期望找不到日志无法处理的问题），并再一次 开头处理事务的这段时间。MTBF较高的设备一般价格也更高。不能承受故障的 系

20、统需要使用冗余组件。不能承受中断的系统，或者那些由于冗余组件消灭故障 并进展替换而风险不断增加的系统，可能需要容错功能。单点故障廉价磁盘冗余阵列（RAID）为硬盘供给容错功能并且能够改善系统性能。必需始 终有效的信息一一也就是说，那些MTTR必需根本为零、无法承受性能大幅降低的 信息必需制作镜像或进展双控。在镜像也称作RAID 1）和双控Duplexing）过 程中，每一个写入数据的操作都在几个物理位置同时或几乎同时发生。镜像和双 控之间的区分在于，使用镜像时，写入数据的两个（或多个）物理位置需要依靠 同一个掌握器，因而存储仍旧会受到掌握器本身的单点故障影响；而双控则使用 两个或几个掌握器。镜

21、像和双控可以在几个彼此存在肯定距离的存储设备之间进展, 从而供给肯定程度的容灾（Disaster Tolerance）力量。直接访问存储设备廉价磁盘冗余阵列RAID）就是一种DASAo直接访问和挨次访问存储设备之间的 主要差异在于，在直接访问存储设备时，任何位置都可以马上到达；而挨次访问 存储设备则需要穿越当前位置与目标位置之间的距离才能到达目标位置。磁带驱 动器属于挨次访问存储设备，挨次访问存储设备与直接访问存储设备之间的性能仍 旧存在几个数量级的差异。RAID廉价磁盘冗余阵列（RAID）是一种用于冗余和性能改善的技术。它把几个物理磁 盘组合起来，并将它们合并成规律阵列。在保存数据时，把数据

22、写入全部磁盘。 对应用程序和其他设备来说，RAID就像是一个单独磁盘驱动器。在全部磁盘上 写入数据时，系统使用分储（Striping）技术。它将数据划分开来，写到几个驱 动器上。使用这种技术，写入性能并未受到影响，但读取性能得到显著提高，由 于同时有几个磁头在提取数据。各种RAID级别规定在RAID系统内发生的活动类 型。一些级别只处理性能问题，而其他一些级别则处理性能和容错问题。假设一 个RAID级别供给容错效劳，那它就要用到奇偶校验。假设一个驱动器发生故障，则 主要由奇偶校验供给指令，告知RAID系统如何在硬盘上重建丧失的数据。奇偶校验被用来重建一个驱动器，以恢复全部信息。多数RAID系统

23、都有一个热 切换Hot-Swapping）磁盘，表示它们可以在系统运行时更换驱动器。更换或增 加一个驱动器时，系统使用奇偶校验数据在刚刚增加的磁盘上重建数据。*12-2各种RAID级别RAID级别活动名称0数据分散到几个驱动器上，不具有冗余或奇偶校验.如果一 个磁盘出现故障,整个磁盘都不能使用只用于提高性能分储1驱动器镜像.数据一次写入两个要动器.如果一个驱动器发 生故障，由另一个驱动器提供完全相同的数据镜像2数据按比特分散到所有驱动器上.用确认所有错误的汉明码 建立奇偶校验数据.这个级别规定可以使用多达39个磁盘： 32个用于存储，7个用于错误恢复数据.今天的生产中不使 用这个级别汉明码奇偶

24、校验（续表）RAID级别活动名称3数据分散到所有驱动器上，奇偶校验数据保存在一个驱动器 上.如果一个驱动器出现故障，可以从奇偶校验驱动器重建 数据字节级奇偶校验4除以区组而非字节建立奇偶校验外，其他和级别3相同区组级奇偶校验5数据写入到所有驱动器的磁盘扇区单元.奇偶校验也写入所 有更动器，保证没有单点故障间播奇偶校验6与级别5类似，增加了容错功能，它是写入所有驱动器的第 二生奇,校验数据第二奇偶校验数据（或双奇偈校验）10数据同时在几个翌动器上建立镜像和分布,能移支持多个里动器故障分储和镜像大规模非活动阵列大规模非活动磁盘阵列（MAID）是一种最近才进入中型存储设备市场（数百兆兆 位）的产品。

25、MAID的适用范围相对特别（可能格外广泛），它支持存储数百兆兆 位的数据，但主要执行写入操作。较小的存储要求通常不适于承受MAID,由于这样 会增加购置本钱和操作简单性。至于需要大量写入操作的最高端的存储要求，磁带 驱动器仍旧是最经济的解决方案，由于磁带存储每单元的本钱较低，而且随时需 要保持在线的总媒介量也较少。在MAID中，安装在机架上的磁盘阵列要断开全部 非活动的磁盘的电源，只有磁盘掌握器处于活动状态。独立冗余磁盘阵列（RAITRATT与RAID类似，但它使用磁带驱动器而非磁盘驱动器。在保存大量数据时， 磁带存储的本钱最低，但与磁盘存储相比，它的速度更慢。RAIT适用于使用MAID, 并

26、不划算且需要比传统的磁盘存储更高性能的、格外大型、以写入操作为主的存 储应用。与RAID 1一样，在RAIT中，数据被平均分散到几个磁带驱动器上，并使用或不 使用一台冗余奇偶校验驱动器。这样做可以传统磁带存储的低本钱实现较高的容 量，而且其数据传输速率比寻常的磁带更快，数据完整性更优。存储局域网络SAN存储区域网络（SAN）包含大量存储设备，它们由一个高速专用网络和存储专用交 换机连接起来。这形成了一种构造，允许用户依附于一个透亮的模式并与之交 互。集群集群（Clustering）是一种类似于冗余效劳器的容错效劳器技术，其中的每台服 务器参与供给所需的处理效劳。效劳器集群由一组效劳器构成，用户

27、可以把它们 规律地看作一台效劳器，并可将它当作一个单独的规律系统来治理。集群供给可 用性和可扩展性。它把物理配置各不一样的系统集中起来，将它们进展规律组合，从 而供给容错功能，同时改善性能。集群工作起来就像是一个平衡流量的智能单元，访问集群的用户并不知道他 们是在访问不同的系统。对用户而言，集群中的全部效劳器都被看作是一个单元。假 设集群内的一个系统发生故障，由于剩下的系统接收了负载，虽然性能可能会降 低，但处理过程不会中断。集群是使用冗余效劳器的规律产物。集群不仅仅能够 供给可用性。它还可以实现负载平衡（每个系统担当一局部处理工作）、冗余和 故障切换假设一个系统消灭故障，其他系统连续工作。网

28、格计算网格计算（Grid Computing）是另一种负载平衡的大规模并行计算方法，它类似 于集群，但使用的是可随机参加和离开网格的松散耦合的系统。虽然这听起来类 似于集群，但在集群中，有一个中心掌握器负责向用户和集群节点安排资源，集 群中的节点在同一个信任域中）进展集中治理；而在网格计算中，节点并不彼 此信任，也不进展集中掌握。需要在多个工作负载单元之间进展协调调度的应用 程序。这意味着敏感数据不应通过网格进展处理，同时这种技术也不适用于对时 效性要求较高的应用程序。网格计算更适用于财务建模、天气建模和地震模拟等 工程。以上每一个工程都包含数量宏大的变量和输入，需要连续进展计算。备份：软件备

29、份和硬件备份设备是网络可用性的两个主要组成局部。分级存储治理HSM）分级存储治理Hierarchical Storage Management, HSM）供给持续的在线备份 功能。它将硬盘技术与更低廉、更缓慢的光盘或磁带库结合起来。HSM系统可对 复制到速度和本钱各不一样的存储媒介设备中的文件的存储和恢复进展动态治 理。假设一个用户或应用程序访问这个存根，HSM就使用存根中的信息找到文件 的具体位置，然后将它复原，送交给用户。保持网络和资源可用性的技术总结以下是你参加CISSP考试时最可能需要的技术。磁盘映射（镜像）.冗余服务器， .RAID. MAID、RAIT。 隼群， ；,：r. 备份，

30、KJ 匕:二 双重主干.：“ 直接访问存储设备.（DASD解七:；7 ： ； . 几筮电加:. 网状，而非星形、总线或环状网络拓扑/二； * _ 4 , 应急打算在发生事故时，仅仅知道如何从备份中恢复数据是不够的。我们还必需了解一些 具体规程，它们说明保持系统可用性、确保操作和处理不会中断所需实行的活动。应 急治理定义在事故过程中和事故之后应做的事情。为应付紧急大事、保持操作连 贯性及处理重要中断而需要采取的行动必需记录在案，并让操作员工能够随时猎 取。这份文档应至少保存三份：在现场保存原件和一个副本，并在某个异地场所 保存一份防火的保护性副本。应急打算只有在测试后才能信任。BCP说明如何在灾

31、 难发生后保证组织的正常运作。应急打算则处理不能称之为灾难的小型事故，包括 电源中断、效劳器故障、因特网通信连接中断或软件错误。大型机大型机具有高牢靠性和高可用性的特点，这并不是基于它们的硬件体系构造，而 是由于它们承受格外保守（因而格外昂贵）的工程实践。大型机处理得到的结果 往往比常用的效劳器和非定制软件更加准确。鉴于这种牢靠性，大型机更适用于 满足必需始终保持有效的关键数据需求。大型机的牢靠性的另一个好处叫在于他 们不需要常常维护。用户界面是大型机与中等规模的系统或PC之间的另外一个 主要不同。今日，大型机仍旧还是进展批处理而非运行交互式的程序；而且，虽 然这种做法正渐渐削减，但它们有时仍

32、旧通过远程作业登录（RJE）从一个大型机 终端那里批量承受用户工作。大型机还首次实现了对虚拟化的工业规模级利用， 允许将一台“单一”大型机其中可能包括几组内存、存储器和CPU,今日甚至 可以动态添加当作几台独立的计算机使用，且可在它们的几个操作环境之间实 现完全隔离，并依据系统治理员的打算共享物理大型机的总体资源。超级计算机属于一类特别的大型机。它们在体系构造方面存在很多相像之处，但 大型机主要为执行数量极其浩大的常规处理而设计，超级计算机则为进展格外复杂的中心处理（它也需要大型机体系构造的强大I/O力量）而制造。大型机的几 个处理器能够平衡数量。安全一些公司使用 效劳器，这是治理流入和流出的

33、 文档的系统。当 效劳器 收到一条 时，它会正确地路由此 到它指向的某个人，因此它实际上不会被 打印而是保持一种电子的形式。通常收到的 被路由到接收者的电子邮箱中。效劳器让很多用户将文档从他们的计算机中传送到效劳器中，这样不需要 将文档通过一个 设备的扫描器。这削减了需要完全被销毁的敏感文档的数在要 求高安全等级的环境中，打印特性可能会被禁用，因此敏感的文档只能由己认证 的用户存储和扫瞄，而不会被打印。广泛的日志记录和审计可用于 效劳器，在需要这个安全等级的公司中应当得到 实施和监控。Loki攻击是今日常用的一种隐蔽通道，使用ICMP协议进展通信。漏洞测试测试的目标包括： 评估一个环境的真实安

34、全状况（如前所述，并非错误督报）。 确定尽可能多的漏洞，对每个漏洞进展公正的评估并排定优先次序。 测试系统如何应对某些状况和攻击，不仅了解己知的漏洞数据库和操作系统 的版本、一个没有设置密码的用户ID）,并且了解环境中的特别元素如何被滥用（SQL注入攻击、缓冲区溢出及易于患病社会工程攻击的进程设计缺陷）。每一种方法可以提醒环境中存在的不同种类的漏洞，每一种方法所能供给的结果 的完整性也存在肯定限制。人员测试包括检查员工的任务，从而确定要求员工遵 循的标准实践和规程中存在的漏洞，漏洞测试包括审查设施和边界保护机制。 由于安全评估是环境安全状况的时间点快照，因此评估应定期进展。优先级较低、 保护较

35、为完善、风险较小的环境区域可以一年扫描一到两次。高优先级、更加脆 弱的目标，如电子商务Web效劳器组以及它们后面的中间件，应几乎持续进展扫 描。渗透测试渗透测试（Penetration Testing）是指应全部者-高级治理层-的要求模拟攻击一 个网络及其系统的过程。渗透测试应用一组特地进展测试及可能绕过系统安全掌握 的程序和工具。它的目的是评估组织抵抗某种攻击的力量，以及暴露环境中存在 的任何弱点。渗透测试能够评估Web效劳器、DNS效劳器、路由器配置、工作站脆弱性、敏感 信息访问、远程拨号访问、开放端口，以及真正的攻击者可能用来危害公司整体 安全的有效效劳属性。一些测试可能具有很强的破坏性和干扰性，因此应当使这 些测试的时间保持全都，以使公司的生产力不会受到影响，工作人员在必要时可 以使系统重上线。渗透测试的结果应以报告的形式提交给治理层，其中应说明确定的脆弱性和这些 脆弱性的严峻程度，并就如何处理这些脆弱性提出合理的建议。治理层则应依据 这个报告打算处理方法和应对措施。在授权进展渗透测试前，高级治理层应意识到测试中可能包含的风险，这点极为 关键。极少数状况下，使用测试工具和技巧的系统或应用程序可能会发生意外故 障。原来，渗透测试的目的是确定脆弱性，评估环境中安全机制供给的真正保护，