漏洞测试的安全测试计划

Question

详细信息：

我想谈谈安全测试计划的主题。当谈到漏洞测试这个话题时，我很难找到合适的材料。大多数情况下，信息仅限于一般的安全，对于网络来说，或者仅仅是最基本的。

初始情况：

1. 我会对在安全测试计划中寻找哪些漏洞测试感兴趣？
2. 是否有为漏洞测试设计的安全测试计划的示例？

Answer 1

如果您对相关标准感兴趣，最相关的标准可能是IEEE标准1012，这是IEEE系统、软件和硬件验证和验证标准。我注意到了一种趋势，无论是在标准方面还是在审计预期方面，都从计划和描述测试转移到规划和描述所有验证和/或验证活动。

一份计划文件--无论你称其为“测试计划”或“验证计划”或“验证和验证计划”或其他什么东西--指明了感兴趣的系统的范围、各种任务或活动，谁(通常是在角色一级)参与每项任务或活动，需要哪些资源(软件、硬件、基础设施、团队外部人员)，以及何时发生各种活动。

在安全性方面，我将软件归类为“测试”的内容包括使用动态漏洞扫描器和渗透测试。在系统级别上，您可以将定义扩展到包括测试设施的物理安全性或针对员工的钓鱼模拟。如果您从“测试”扩展到包括所有验证和验证活动，您还可以包括对各种工作产品的同行评审、对软件源代码的静态分析、对第三方依赖项中漏洞的监视以及包含安全策略和过程的审计。

一旦你确定了你的计划的范围和哪些活动已经到位，这就变成了描述它们的问题。对于每个活动，确定谁参与了执行，他们使用了什么工具，以及什么触发了它的发生。有些事情可能经常运行--代码评审或提交静态分析扫描。其他情况可能不那么频繁--动态分析可能与日历时间或释放有关，渗透测试可能由日历时间流逝触发。

我不知道任何公开可用的测试计划或验证计划。其中大多数都是针对正在开发的系统高度特定的。但是，IEEE标准1012确实详细介绍了不同的验证和验证活动，包括与安全性相关的验证和验证活动，并举例说明了在规划和执行验证和验证过程活动时应考虑的问题。它可能值得获得它的副本，也许是ISO/IEC/IEEE 12207，它提供了许多不同的SDLC活动和过程区域的高级定义。

Answer 2

IT行业的安全测试服务确保测试应用程序是否存在所有可能的威胁和漏洞，然后实现所有措施，使产品更加安全。

安全测试计划是：

• 通过了解应用程序的安全需求来定义安全目标；
• 确定感兴趣系统的范围，需要哪些资源(软件、硬件、基础设施、团队外部人员)？
• 确定安全威胁；
• 暴露的设计漏洞-可能是由于不成熟的设计或开发过程造成的。
• 文件系统中的安全漏洞；
• 登记册中的安全漏洞；
• 由于实现错误而暴露的实现漏洞：-只开发模块的开发人员可能无意中泄露数据:例如，不正确的验证；

Answer 3

进行安全测试是为了确保信息系统内的数据保持安全，任何未经授权的用户都无法访问。成功的安全测试可以增强web应用程序抵御严重恶意软件和其他可能导致软件或应用程序意外崩溃或行为的恶意威胁。

在安全测试规划期间执行的步骤：

1. 指派安全测试经理，以计划和监督完整的安全测试项目。
2. 定义需要针对的安全测试范围，如网络、应用程序、服务器、安全软件、物理安全等。
3. 估计安全测试项目的成本。
4. 设计策略以处理测试过程中所需的任何数据，例如收集数据、存储、共享和删除测试数据。
5. 为可能与IT基础结构和软件安全测试(e.g.server或网络中断、生产力损失)相关的风险制定一项缓解策略。
6. 优化计划，确保避免不必要的努力和开支。