CBK-D5-安全测试与开发osg15、20、21
CBK-D5-安全测试与开发osg15、20、21
安全评估与测试
构建安全评估和测试方案
安全测试
旨在验证某项控制措施是否正常运行。
包括自动化扫描、工具辅助的渗透测试、破坏安全性的手动测试。
渗透测试可以每年开展一次,以最大限度地降低费用并减小业务中断的影响。
仅简单执行测试是不够的,还必须仔细审查测试的结果,确保测试成功。
其他审查可依托安全测试工具自动执行,验证测试是否顺利完成,记录结果并在未出现重要发现时保持沉默。
安全评估
是指对系统、应用程序或其他待测环境的安全性进行全面审查。
主要成果是向管理层提交评估报告,报告包括以非技术性语言描述的评估结果,并往往以提高待测环境安全性的具体建议作为结论。
评估可由内部团队执行,也可委托在待评估领域具备经验的第三方评估团队进行。
NIST SP 800-53A描述了实施安全和隐私评估的最佳实践。
安全审计
内部审计
由组织内部审计人员执行,通常适用于组织内部。
审计负责人直接向总裁、首席执行官或其他类似的角色汇报。审计负责人也可直接向组织的董事会报告,
外部审计
通常由外部审计公司执行。
四大审计公司
####### 安永、德勤、普华永道、毕马威
第三方审计
由另一个组织或以另一个组织的名义进行的审计。
比如监管机构可依据合同或法律对被监管公司进行审计。执行审计的组织通常挑选审核员,并设计审计范围。
向其他组织提供服务的组织经常被要求进行第三方审计。
服务组织控制审计SOC
####### SOC1声明:评估可能影响财务报告准确性的组织控制措施。
####### SOC2声明:评估组织的控制措施,包括影响存储在系统中的信息的安全性CIA和隐私的。 其审计结果是保密的,根据保密协议对外共享。
####### SOC3声明:评估组织控制措施中会影响存储信息的安全性CIA和隐私。但是SOC3审计结果旨在公开披露。
####### I类报告:提供的审计员的意见仅涉及管理层提供的描述和控制措施的设计适用性。报告仅涵盖特定时间点,而不是一段持续的时间。视为文件审查,以书面形式检查为主
####### II类报告:进一步提供了审计员对控制措施运行有效性的意见。 实际确认了控制措施是否运行正常。涵盖更长时间,至少6个月的运行时间。不仅检查文档,还深入现场并验证控制功能的正常。
审计标准
在进行审计或评估时,审计团队应清除采用什么标准来评估组织。
信息和相关技术控制目标COBIT是一种开展审计和评估的通用框架。由ISACA负责维护。
国际标准化组织ISO还发布了一套与信息安全相关的标准。
####### ISO 27001-描述了建立信息安全管理系统的标准方法
####### ISO 27002-介绍了信息安全控制措施的更多细节。
####### 组织可以选择获得符合ISO 27001标准的官方认证。
开展漏洞评估
漏洞描述
安全社区需要一套通用标准,为漏洞描述和评估提供一种通用语言。NIST提供了安全内容自动化协议SCAP
SCAP组件包包括:
通用漏洞披露CVE:提供一种描述安全漏洞的命名系统
通用漏洞评分系统CVSS:提供一种描述安全漏洞严重性的标准化评分系统
通用配置枚举CCE:提供一种系统配置问题的命名系统
通用平台枚举CPE:提供一种OS、应用程序及设备的命名系统
可扩展配置检查表描述格式XCCDF:提供一种描述安全检查表的语言。
开放漏洞评估语言OVAL:提供一种描述安全测试过程的语言。
漏洞扫描
网络发现扫描
TCP SYN扫描、TCP Connect扫描、TCP ACK扫描、UDP扫描、Xmas扫描
常用工具是nmap
网络漏洞扫描
利用漏扫工具中数千个已知漏洞的数据库及相应测试,来确认每个系统是否受到漏洞数据库中漏洞的影响。经常会误报和漏报。
默认执行未经身份认证的扫描, 实施身份认证的扫描是另一种有效的方法可提高准确性,仅拥有系统只读权限进行读取待测系统的信息。
OWASP官网维护了完整的漏扫工具列表。OpenVAS开源扫描器也用的越来越多,无线网络进行定制化漏洞评估。常见工具是aircrack-ng,通过测试无线网络的加密算法和其他安全参数进行安全评估。
Web应用程序漏洞扫描
攻击者经常尝试使用SQL注入和其他攻击手段针对Web应用程序的安全设计缺陷攻击Web应用程序。
Web漏洞扫描器事专门检测Web应用程序中已知漏洞的工具。比如Nessus
有些情况下,需要满足合规性的要求,例如PCI DSS需要企业至少每年执行一次Web应用程序漏洞扫描,或安装专业的Web应用程序防火墙。
数据库漏洞扫描
安全人员扫描数据库和Web应用程序,以寻找影响数据库安全的漏洞。sqlmap是一种常用的开源数据库漏洞扫描工具,帮助安全专业人员检测Web应用程序的数据库漏洞。
漏洞管理工作流程
组织采用漏洞管理系统,应该形成一套工作流程来管理漏洞。包括检测、验证、修复。
漏洞修复可能包括:采用供应商提供的补丁、修改设备配置、执行规避漏洞的折中方法、安装Web应用程序防火墙、采取阻止漏洞利用的其他控制措施。
工作流程方法的目标是确保组织能有条不絮地检测和修复漏洞。
渗透测试
渗透测试过程通常包含以下几个阶段:规划阶段、信息收集和发现阶段、攻击阶段、报告阶段。经常使用Metasploit工具。
渗透测试可以是公司员工,也可以是公司聘请的外部顾问。通常分以下三种渗透测试
白盒渗透测试
灰盒渗透测试
黑盒渗透测试
渗透测试可能中断系统访问或损坏系统存储的数据,因此在测试规划期间明确指出规则,并从高管层获得充分授权,这点非常重要。
合规性检查
是被监管公司安全测试和评估计划的重要组成部分。
验证合规计划列出的所有控制措施是否正常运行并有效满足监管要求。
精明的组织创建并维护合规计划,记录每项监管义务,并将其映射到满足目标的明确的安全控制措施。定期执行合规性检查,避免不可预见的监管问题。
测试软件
代码审查与测试
是软件测试方案最关键的组成部分。在应用程序上线前,可发现应用程序在安全、性能、可靠性方面的缺陷,以免这些缺陷对业务运营产生负面影响。
代码审查
是软件评估的基础。也称同行评审
最正式的代码审查过程被称为范根检查法Fagan inspection
####### 1.规划
####### 2.总览
####### 3.准备
####### 4.审查
####### 5.返工
####### 6.追踪
大多数组织采用稍微宽松的代码审查流程,即同行评审方法
####### 开发人员在会议上与一个或多个其他团队成员走查代码
####### 高级开发人员执行手动代码审查,在将代码移植到生产环境之前签署所有代码
####### 在将代码移植到生产环境之前使用自动化代码审查工具检测常见的应用缺陷。
静态测试
SAST在
相关文章:
CBK-D5-安全测试与开发osg15、20、21
CBK-D5-安全测试与开发osg15、20、21 安全评估与测试 构建安全评估和测试方案 安全测试 旨在验证某项控制措施是否正常运行。 包括自动化扫描、工具辅助的渗透测试、破坏安全性的手动测试。 渗透测试可以每年开展一次,以最大限度地降低费用并减小业务中断的影响。 仅简…...
期权杠杆与期货杠杆的区别是什么?
期权与股指期货在杠杆性上展现出截然不同的特性,这些特性对投资者的策略选择具有深远影响。首先,股指期货采用保证金制度,其杠杆比例是恒定的,无论市场如何波动,投资者在月初设定的十倍杠杆到月尾仍保持不变。相比之下…...
数字人解决方案——音频驱动机器人
音频集成 机器人 标志着 人工智能(AI)。 想象一下,机器人可以通过视觉和听觉导航并与周围环境互动。音频驱动的机器人使这成为可能,提高了它们更高效、更直观地执行任务的能力。这一发展可能会影响到各个领域,包括家庭…...
Linux Tcp 连接 状态 检测 处理
查看不同状态的链接数 netstat -na | awk /^tcp/ {S[$NF]} END {for(a in S) print a, S[a]} 输出如下: TIME_WAIT 2 CLOSE_WAIT 2149 LISTEN 18 ESTABLISHED 214...
;)
String respIson = objectMapper.writeValueAsString(response);
**一、代码解释** 这段代码的作用是使用ObjectMapper(假设是 Jackson 的ObjectMapper)将一个 Java 对象response转换为 JSON 格式的字符串。 1. ObjectMapper: 它是 Jackson 库中用于在 Java 对象和 JSON 之间进行序列化和反序列化的核心类。…...
git squash、merge 、 rebase
Git Merge、Rebase 和 Squash 之间的区别_git squash-CSDN博客...
案例开发-日程管理2第一期(超详细教程、配备图文和源代码注释,没学过也能看懂)
文章目录 一、 项目前期准备1.数据库准备2.导入依赖3.pojo包处理4.dao包处理5.service包处理6.controller包处理7.加密工具类的使用8.页面文件的导入 总结 一、 项目前期准备 1.数据库准备 创建schedule_system数据库并执行如下语句 SET NAMES utf8mb4; SET FOREIGN_KEY_CHE…...
c# 逻辑运算符和条件运算符
前言 在 C# 中,&&、|| 用于处理布尔值(true 和 false),而&、|、^ 位运算符可以用于按位操作整数。 后者总是计算其两个操作数 而前者可能不会计算第二个操作数,这取决于第一个操作数的值。 非短路逻辑运…...
Linux驱动开发—设备树传递给内核,匹配驱动过程分析
文章目录 总体流程图传递DTB过程编译设备树源文件将 .dtb 文件与内核或引导加载程序集成 内核初始化阶段解析DTB内核启动阶段解析 DTB注册设备树节点驱动程序绑定 内核解析设备树二进制文件(DTB)的过程主要分为几个步骤,从设备树的传递到最终…...
深入理解 Go 语言信号量 Semaphore
1. 什么是信号量 信号量的概念是荷兰计算机科学家 Edsger Wybe Dijkstra 在 1963 年左右提出来的,被广泛应用在不同的操作系统中。在操作系统中,会给每一个进程分配一个信号量,代表每个进程目前的状态。未得到控制权的进程,会在特定的地方被迫停下来,等待可以继续进行的信…...
git——删除远程仓库中的文件或文件夹步骤图解(只是从远程仓库中删除,本地文件不受影响、不会被删除)
目录 一、删除远程仓库中的文件或文件夹1.1、 以删除远程仓库jetcache-demo项目中的logs文件夹为例1.2、 删除远程仓库jetcache-demo项目中的logs文件夹步骤图解 一、删除远程仓库中的文件或文件夹 1.1、 以删除远程仓库jetcache-demo项目中的logs文件夹为例 删除远程仓库jet…...
详解贪心算法
贪心算法(Greedy Algorithm) 概述: 贪心算法是一种在求解最优化问题时采取的一种常用算法策略。贪心算法的基本思想是,每次选择当前情况下的局部最优解,并相信这个局部最优解能够导致全局最优解。贪心算法通过迭代的方式一步步地…...
LabVIEW工件表面瑕疵识别系统
开发了一种利用LabVIEW和IMAQ Vision视觉工具进行工件表面瑕疵识别的系统。该系统通过图像处理技术识别并分类工件表面的裂纹、划痕等缺陷,从而提升生产线的分拣效率和产品质量。 项目背景 工业生产中,工件表面的缺陷直接影响产品质量和生产效率。传统人…...
LabVIEW水下根石监测系统
开发了一种基于LabVIEW平台开发的水下根石监测系统。该系统利用高精度姿态传感器与位移传感器,实现了水下根石状态的实时自动监测,提高了水利工程安全管理的现代化和精细化水平,具有高精度、高稳定性和良好的操作性。 项目背景: …...
探索全光网技术 | 全光网络技术方案选型建议三(医院场景)
目录 一、场景设计需求二、医院场景拓扑三、部署方式四、产品相关规格说明五、方案优势与特点 注:本文章参考资料为:华三官方资料 - “新华三全光网络3.0解决方案(教育)”与 锐捷官方资料 - “【锐捷】高校极简以太全光3.X方案设计…...
【C++语言】vector迭代器与常见oj题
vector迭代器的失效问题 接上篇vector的介绍和使用中最后提到的vector迭代器,我们继续来看vector迭代器的失效问题。 以下代码的功能是删除vector中所有的偶数,请问那个代码是正确的,为什么? #include <iostream> using na…...
高职物联网智慧农业实训室建设方案
一、项目概述 随着物联网技术的迅猛发展及其在农业领域的广泛应用,智慧农业已经成为推动农业现代化的关键力量。近年来,国家高度重视物联网技术在农业领域的应用与发展,出台了一系列相关政策支持智慧农业建设。如《数字乡村发展战略纲要》明…...
Pytorch 高效快速加载大规模数据集
一、前言 最近遇到一个多模态学习任务,原始数据为HDF5 格式,遇到主要两个问题:一是数据量过大无法直接加载到内存,二是HDF5 是基于关键值索引,索引速度非常慢。在使用Pytorch 训练模型时,数据加载速度跟不上模型训练速度,导致GPU使用率低。阅读OLMO 框架关于数据集加载…...
Spring Boot集成protobuf快速入门Demo
1.什么是protobuf? Protobuf(Protocol Buffers)是由 Google 开发的一种轻量级、高效的数据交换格式,它被用于结构化数据的序列化、反序列化和传输。相比于 XML 和 JSON 等文本格式,Protobuf 具有更小的数据体积、更快…...
SpringBoot+Vue 简单小文章项目开发全过程
文章目录 一、项目介绍二、需求设计三、数据库设计四、项目构建项目技术选型:构建项目说明:项目架构mavenMySQLRedis 五、项目开发:项目开发思路:项目开发过程:1. 导入文件包/新建项目2. 新建子模块:common模块pojo模块server模块…...
基于Uniapp开发HarmonyOS 5.0旅游应用技术实践
一、技术选型背景 1.跨平台优势 Uniapp采用Vue.js框架,支持"一次开发,多端部署",可同步生成HarmonyOS、iOS、Android等多平台应用。 2.鸿蒙特性融合 HarmonyOS 5.0的分布式能力与原子化服务,为旅游应用带来…...
MMaDA: Multimodal Large Diffusion Language Models
CODE : https://github.com/Gen-Verse/MMaDA Abstract 我们介绍了一种新型的多模态扩散基础模型MMaDA,它被设计用于在文本推理、多模态理解和文本到图像生成等不同领域实现卓越的性能。该方法的特点是三个关键创新:(i) MMaDA采用统一的扩散架构…...
srs linux
下载编译运行 git clone https:///ossrs/srs.git ./configure --h265on make 编译完成后即可启动SRS # 启动 ./objs/srs -c conf/srs.conf # 查看日志 tail -n 30 -f ./objs/srs.log 开放端口 默认RTMP接收推流端口是1935,SRS管理页面端口是8080,可…...
:爬虫完整流程)
Python爬虫(二):爬虫完整流程
爬虫完整流程详解(7大核心步骤实战技巧) 一、爬虫完整工作流程 以下是爬虫开发的完整流程,我将结合具体技术点和实战经验展开说明: 1. 目标分析与前期准备 网站技术分析: 使用浏览器开发者工具(F12&…...
微信小程序云开发平台MySQL的连接方式
注:微信小程序云开发平台指的是腾讯云开发 先给结论:微信小程序云开发平台的MySQL,无法通过获取数据库连接信息的方式进行连接,连接只能通过云开发的SDK连接,具体要参考官方文档: 为什么? 因为…...
在QWebEngineView上实现鼠标、触摸等事件捕获的解决方案
这个问题我看其他博主也写了,要么要会员、要么写的乱七八糟。这里我整理一下,把问题说清楚并且给出代码,拿去用就行,照着葫芦画瓢。 问题 在继承QWebEngineView后,重写mousePressEvent或event函数无法捕获鼠标按下事…...
Windows安装Miniconda
一、下载 https://www.anaconda.com/download/success 二、安装 三、配置镜像源 Anaconda/Miniconda pip 配置清华镜像源_anaconda配置清华源-CSDN博客 四、常用操作命令 Anaconda/Miniconda 基本操作命令_miniconda创建环境命令-CSDN博客...
uniapp 实现腾讯云IM群文件上传下载功能
UniApp 集成腾讯云IM实现群文件上传下载功能全攻略 一、功能背景与技术选型 在团队协作场景中,群文件共享是核心需求之一。本文将介绍如何基于腾讯云IMCOS,在uniapp中实现: 群内文件上传/下载文件元数据管理下载进度追踪跨平台文件预览 二…...
ubuntu22.04有线网络无法连接,图标也没了
今天突然无法有线网络无法连接任何设备,并且图标都没了 错误案例 往上一顿搜索,试了很多博客都不行,比如 Ubuntu22.04右上角网络图标消失 最后解决的办法 下载网卡驱动,重新安装 操作步骤 查看自己网卡的型号 lspci | gre…...
[特殊字符] 手撸 Redis 互斥锁那些坑
📖 手撸 Redis 互斥锁那些坑 最近搞业务遇到高并发下同一个 key 的互斥操作,想实现分布式环境下的互斥锁。于是私下顺手手撸了个基于 Redis 的简单互斥锁,也顺便跟 Redisson 的 RLock 机制对比了下,记录一波,别踩我踩过…...