7.4 評審方法：測試

7.4 評審方法：測試

7.4.1　概要

測試是指在規定條件下對一個或多個評審對象進行演練，并將實際情況與期望的行為進行對比的過程。其結果用來支持確定信息安全控制措施的存在、功能性、正確性、完備性以及潛在的持續改進。測試必須由有能力的專家來執行，且需謹慎，測試對組織的運行可能造成的影響必須在測試開始前得到考慮并經過管理層的批準。并且需要考慮選擇在非運行窗口或低負荷的環境，甚至在復制的測試環境中進行測試。測試造成的系統故障或不可用可能會給組織的正常業務運行造成重大影響，可能會造成經濟損失或影響組織的聲譽。因此，在測試策劃以及簽約時（包括考慮法律方面的事宜）需要特別注意。
在做出任何推斷之前，審核員必須仔細調查測試結果中存在的誤報和漏報。
典型的評審對象包括機理（如硬件、軟件、固件）和過程（如系統的操作、實現、管理以及演練）。
審核員的典型活動可包括：
a） 測試訪問控制、身份鑒別、授權以及審查機制；
b） 測試安全配置設置；
c） 測試物理訪問控制措施設備；
d） 執行關鍵信息系統組件的滲透測試；
e） 測試信息系統的備份操作；
f） 測試事件響應能力；
g） 演練應急策劃能力；
h） 測試安全系統入侵檢測、報警和響應的能力；
i） 測試加密機制和哈希算法；
j） 測試用戶ID和特權管理機制；
k） 測試授權機制；
l） 驗證安全措施的級聯恢復能力。

7.4.2　測試類型

7.4.2.1　盲測（黑盒測試）

盲測（黑盒測試）是指審核員事先未掌握評審對象除公開信息以外的任何其他特性的情況下進行的測試，盲測（黑盒測試）的評審對象已經為評審做好準備，并且提前知道評審的詳細細節。盲測（黑盒測試）主要測試審核員的技能。盲測（黑盒測試）的廣度和深度也只是體現了審核員知識的廣度和工作效率。這種測試在安全評審中的作用是有限的，應該避免使用。該方法通常也被稱為紅客測試。

7.4.2.2　雙盲測試

雙盲測試是指審核員事先未掌握評審對象除公開信息以外的任何其他特性的情況下進行的測試。雙盲的評審對象在評審前也不知道評審的范圍以及將使用的測試向量。雙盲評審測試了評審對象對未知擾動變量的準備程度。

7.4.2.3　灰盒測試

灰盒測試是指審核員對審查對象的防御能力和資產有限的了解，但是對可用的測試向量完全掌握的情況下進行的測試。評審對象已經為評審做好準備，并且提前知道評審的詳細細節。灰盒評審測試了審核員的技能。這種測試的本質是效率。測試的廣度和深度取決于測試前提供給審核員的信息的質量，以及審核員的適用知識。這種測試在安全評審中的作用是有限的，宜避免使用。這種類型的測試經常稱作脆弱性測試，通常由自我評估活動的對象發起。

7.4.2.4　雙灰盒測試

雙灰盒測試是指審核員對審查對象的防御能力和資產有限的了解，但是對可用的測試向量完全掌握的情況下進行的測試。評審對象對評審的范圍以及評審的時間框架已經了解，但測試向量是未知的。雙灰盒評審測試了評審對象對未知擾動變量的準備程度。測試的廣度和深度取決于測試前提供給審核員的信息的質量，以及審核員的適用的知識。

7.4.2.5　透明盒測試（白盒測試）

透明盒測試（白盒測試）是指審核員和評審對象都已經為評審做好了準備，并都提前知道了評審的細節。透明盒測試（白盒測試）評審了對目標的保護和控制情況，但它不能測試未知擾動變量目標的準備程度。當審核員對所有的測試以及響應有全面的評審，這種測試的本質是全面的。測試的廣度和深度取決于測試前提供給審核員的信息的質量，以及審核員的適用知識。這種測試常用于內部評審，審核員往往在全部安全過程中起到積極的作用。

7.4.2.6　逆向測試

逆向測試是指審核員完全了解評審對象的過程和安全操作，但是評審對象不知道審核員將測試什么、如何測試以及何時測試。這種測試真正的本質是評審目標對未知擾動變量和向量的準備程度。測試的廣度和深度取決于測試前提供給審核員的信息的質量，以及審核員的適用知識和創造力。這常被稱為紅隊演練。

7.4.3　擴展的評審規程

除了應用于單個控制措施的評審規程，擴展的評審規程可以適用于整體評審。擴展的評審規程被設計用于和評審規程一起使用并補充該規程，以便為控制措施有效性提供證明。