ISSAF即信息系统安全评估框架(Information Systems Security Assessment Framework)是另外一种开放源代码的安全性测试和安全分析框架。为了解决安全评估工作的逻辑顺序问题,该框架以分为若干个领域(domain),不同领域评估目标系统的不同部分,且可以根据实际情况对每个领域进行相应调整,把这一构架与日常业务的生命周期相结合,可以充分满足企业安全测试的精准性,完整性,高效性的需求。
ISSAF兼顾了安全测试的技术层面和管理层面,在技术方面,他有一整套关键的规则和程序,形成了一套完备的评估程序,在管理层面,它明确了在整个测试过程中应当遵循的管理要择和最佳实践
ISSAF主张安全评估是一个过程,而不是一次审计
渗透框架应当分为计划,评估,修复,评审以及维护阶段
应当有更为完善的标准
ISSAF具有灵活和高效的特点,是审计工作各个阶段的通用准则,可适用于所有企业结构
这一框架的交付报告分为业务活动,安全措施,目标系统中可能存在的安全弱点的完整清单
其评估过程注重分析被侧单位最容易被利用的漏洞,侧重于以通过最短路径尽快完成测试任务
ISSAF可用于渗透测试各种技术和不同流程,但框架需频繁更新,相对而言OSSTMM受技术更新影响的幅度较小
可以和OSSTMM或其他测试方法论一起使用
主要特征与又是:
ISSAF主要测试当前安全措施中的严重漏洞,所以在保障系统安全方面的意义重大
他关注信息安全范畴内的各个关键领域,涵盖了风险评估,业务结构和管理,控制评估,服务管理,安全策略的开发和常规的最佳实践
ISSAF渗透测试方法论评估网络,系统或应用程序的安全性,应用该框架可以无阻碍地把精力重点放在特定技术上,如路由器,交换机,防火墙,入侵检测和防御系统,存储区域网络,虚拟专用网络,各种操作系统,Web应用服务器,数据库等
通过必要的控制和处理,他可以统一技术层和管理层这两方面人员对安全测试的理解
他可以帮助管理人员理解当前边界防御体系的现有风险,并可支出可能影响业务完整性的安全弱点,从而帮助人们主动地减少风险