- Văn bản
- Lịch sử
0.2 Methods for assessment of techn
0.2 Methods for assessment of technical vulnerabilities
Proactive methods such as information system testing can be used to identify vulnerabilities depending on the
criticality of the Information and Communications Technology (ICT) system and available resources
(e.g. allocated funds, available technology, persons with the expertise to conduct the test). Test methods
include:
• Automated vulnerability scanning tool
• Security testing and evaluation
• Penetration testing
• Code review
The automated vulnerability scanning tool is used to scan a group of hosts or a network for known vulnerable
services (e.g. system allows anonymous File Transfer Protocol (FTP), sendmail relaying). It should be noted,
however, that some of the potential vulnerabilities identified by the automated scanning tool may not represent
real vulnerabilities in the context of the system environment. For example, some of these scanning tools rate
potential vulnerabilities without considering the site's environment and requirements. Some of the
vulnerabilities flagged by the automated scanning software may actually not be vulnerable for a particular site
but may be configured that way because their environment requires it. Thus, this test method may produce
false positives.
Security testing and evaluation (STE) is another technique that can be used in identifying ICT system
vulnerabilities during the risk assessment process. It includes the development and execution of a test plan
(e.g. test script, test procedures, and expected test results). The purpose of system security testing is to test
the effectiveness of the security controls of an ICT system as they have been applied in an operational
environment. The objective is to ensure that the applied controls meet the approved security specification for
the software and hardware and implement the organization's security policy or meet industry standards.
Proactive methods such as information system testing can be used to identify vulnerabilities depending on the
criticality of the Information and Communications Technology (ICT) system and available resources
(e.g. allocated funds, available technology, persons with the expertise to conduct the test). Test methods
include:
• Automated vulnerability scanning tool
• Security testing and evaluation
• Penetration testing
• Code review
The automated vulnerability scanning tool is used to scan a group of hosts or a network for known vulnerable
services (e.g. system allows anonymous File Transfer Protocol (FTP), sendmail relaying). It should be noted,
however, that some of the potential vulnerabilities identified by the automated scanning tool may not represent
real vulnerabilities in the context of the system environment. For example, some of these scanning tools rate
potential vulnerabilities without considering the site's environment and requirements. Some of the
vulnerabilities flagged by the automated scanning software may actually not be vulnerable for a particular site
but may be configured that way because their environment requires it. Thus, this test method may produce
false positives.
Security testing and evaluation (STE) is another technique that can be used in identifying ICT system
vulnerabilities during the risk assessment process. It includes the development and execution of a test plan
(e.g. test script, test procedures, and expected test results). The purpose of system security testing is to test
the effectiveness of the security controls of an ICT system as they have been applied in an operational
environment. The objective is to ensure that the applied controls meet the approved security specification for
the software and hardware and implement the organization's security policy or meet industry standards.
0/5000
0.2 các phương pháp để đánh giá về kỹ thuật lỗ hổngCác phương pháp chủ động như thông tin hệ thống thử nghiệm có thể được sử dụng để xác định các lỗ hổng phụ thuộc vào cáccriticality của hệ thống thông tin và công nghệ truyền thông (ICT) và nguồn lực sẵn có(ví dụ: phân bổ quỹ, có công nghệ, người có chuyên môn để tiến hành các thử nghiệm). Phương pháp thử nghiệmbao gồm:• Lỗ hổng bảo mật tự động công cụ quét• Bảo mật thử nghiệm và đánh giá• Thâm nhập thử nghiệm• Mã số nhận xétLỗ hổng bảo mật tự động quét công cụ được sử dụng để quét một nhóm máy chủ hoặc mạng cho biết là dễ bị tổn thươngDịch vụ (ví dụ như hệ thống cho phép ẩn danh File Transfer Protocol (FTP), bảo vệ rơ le sendmail). Cần lưu ý,Tuy nhiên, rằng một số các lỗ hổng tiềm năng được xác định bởi các công cụ quét tự động có thể không đại diện chothực tế các lỗ hổng trong bối cảnh môi trường hệ thống. Ví dụ, một số các chức năng quét công cụ tỷ lệlỗ hổng tiềm năng mà không xem xét môi trường và yêu cầu của trang web. Một số cáclỗ hổng được đánh dấu bởi phần mềm quét tự động có thể thực sự không dễ bị tổn thương cho một trang web cụ thểnhưng có thể được cấu hình như vậy bởi vì môi trường của họ đòi hỏi nó. Vì vậy, phương pháp kiểm tra này có thể sản xuấtdương tính giả.An ninh kiểm tra và đánh giá (STE) là một kỹ thuật có thể được sử dụng trong việc xác định hệ thống ICTlỗ hổng trong quá trình đánh giá rủi ro. Nó bao gồm việc phát triển và thực hiện một kế hoạch thử nghiệm(ví dụ: thử nghiệm kịch bản, thủ tục kiểm tra và kết quả kiểm tra dự kiến). Mục đích của hệ thống bảo mật thử nghiệm là để kiểm trahiệu quả của an ninh kiểm soát của một hệ thống ICT như họ đã được áp dụng trong một hoạt độngmôi trường. Mục tiêu là để đảm bảo rằng các điều khiển ứng dụng đáp ứng các đặc điểm kỹ thuật đã được phê duyệt bảo mật nhấtphần mềm và phần cứng và thực hiện của tổ chức bảo mật chính sách hoặc đáp ứng tiêu chuẩn công nghiệp.
đang được dịch, vui lòng đợi..
0.2 Các phương pháp đánh giá của các lỗ hổng kỹ thuật
phương pháp chủ động như kiểm tra hệ thống thông tin có thể được sử dụng để xác định các lỗ hổng tùy thuộc vào
quan trọng của các Sở Thông tin và Truyền thông Công nghệ hệ thống thông (ICT) và nguồn lực sẵn có
(ví dụ như kinh phí, công nghệ sẵn có, người có chuyên môn để tiến hành các thử nghiệm). Phương pháp thử nghiệm
bao gồm:
• lỗ hổng tự động công cụ quét
kiểm tra • An ninh và đánh giá
• Thâm nhập thử nghiệm
• Mã xét
Lỗ hổng công cụ quét tự động được sử dụng để quét một nhóm các máy chủ hoặc mạng cho dễ bị tổn thương được biết đến
dịch vụ (ví dụ như hệ thống cho phép anonymous File Transfer Protocol (FTP ), sendmail chuyển tiếp). Cần lưu ý,
tuy nhiên, một số các lỗ hổng tiềm năng được xác định bởi các công cụ quét tự động có thể không đại diện cho
các lỗ hổng thực sự trong bối cảnh môi trường hệ thống. Ví dụ, một số trong những công cụ quét đánh giá
lỗ hổng tiềm năng mà không xem xét môi trường và các yêu cầu của trang web. Một số các
lỗ hổng đánh dấu bởi các phần mềm quét tự động có thể thực sự không phải là dễ bị tổn thương đối với một trang web cụ thể
nhưng có thể được cấu hình theo cách đó bởi vì môi trường của họ đòi hỏi nó. Vì vậy, phương pháp thử nghiệm này có thể sản xuất ra
dương tính giả.
Kiểm tra an ninh và đánh giá (STE) là một kỹ thuật có thể được sử dụng trong việc xác định hệ thống công nghệ thông tin
lỗ hổng trong quá trình đánh giá rủi ro. Nó bao gồm việc phát triển và thực hiện một kế hoạch thử nghiệm
(ví dụ như kịch bản thử nghiệm, thủ tục kiểm tra, và kết quả kiểm tra dự kiến). Mục đích của việc kiểm tra an ninh hệ thống là để kiểm tra
hiệu quả của việc kiểm soát an ninh của một hệ thống công nghệ thông tin như họ đã được áp dụng trong một hoạt động
môi trường. Mục tiêu là để đảm bảo rằng các điều khiển áp dụng đáp ứng các đặc điểm kỹ thuật an ninh đã được phê duyệt cho
các phần mềm và phần cứng và thực hiện các chính sách bảo mật của tổ chức, đáp ứng tiêu chuẩn công nghiệp.
phương pháp chủ động như kiểm tra hệ thống thông tin có thể được sử dụng để xác định các lỗ hổng tùy thuộc vào
quan trọng của các Sở Thông tin và Truyền thông Công nghệ hệ thống thông (ICT) và nguồn lực sẵn có
(ví dụ như kinh phí, công nghệ sẵn có, người có chuyên môn để tiến hành các thử nghiệm). Phương pháp thử nghiệm
bao gồm:
• lỗ hổng tự động công cụ quét
kiểm tra • An ninh và đánh giá
• Thâm nhập thử nghiệm
• Mã xét
Lỗ hổng công cụ quét tự động được sử dụng để quét một nhóm các máy chủ hoặc mạng cho dễ bị tổn thương được biết đến
dịch vụ (ví dụ như hệ thống cho phép anonymous File Transfer Protocol (FTP ), sendmail chuyển tiếp). Cần lưu ý,
tuy nhiên, một số các lỗ hổng tiềm năng được xác định bởi các công cụ quét tự động có thể không đại diện cho
các lỗ hổng thực sự trong bối cảnh môi trường hệ thống. Ví dụ, một số trong những công cụ quét đánh giá
lỗ hổng tiềm năng mà không xem xét môi trường và các yêu cầu của trang web. Một số các
lỗ hổng đánh dấu bởi các phần mềm quét tự động có thể thực sự không phải là dễ bị tổn thương đối với một trang web cụ thể
nhưng có thể được cấu hình theo cách đó bởi vì môi trường của họ đòi hỏi nó. Vì vậy, phương pháp thử nghiệm này có thể sản xuất ra
dương tính giả.
Kiểm tra an ninh và đánh giá (STE) là một kỹ thuật có thể được sử dụng trong việc xác định hệ thống công nghệ thông tin
lỗ hổng trong quá trình đánh giá rủi ro. Nó bao gồm việc phát triển và thực hiện một kế hoạch thử nghiệm
(ví dụ như kịch bản thử nghiệm, thủ tục kiểm tra, và kết quả kiểm tra dự kiến). Mục đích của việc kiểm tra an ninh hệ thống là để kiểm tra
hiệu quả của việc kiểm soát an ninh của một hệ thống công nghệ thông tin như họ đã được áp dụng trong một hoạt động
môi trường. Mục tiêu là để đảm bảo rằng các điều khiển áp dụng đáp ứng các đặc điểm kỹ thuật an ninh đã được phê duyệt cho
các phần mềm và phần cứng và thực hiện các chính sách bảo mật của tổ chức, đáp ứng tiêu chuẩn công nghiệp.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Phạm Trí Dũng, is at the top of the clas
- triển lãm thương mại
- sandy
- About this matter. I checked with DN2 wa
- coming soon
- But the end of all worst forms of child
- When we hear the name Nobel, we immediat
- vui lòng thông báo cho tôi biết khi bạn
- Phù hợp cho mọi đối tượng
- tôi chưa luyện bài tập bởi vì tôi bận qu
- Phạm Trí Dũng, is at the top of the clas
- Except as set forth in section 6.5; IP i
- fairly international
- Khái niệm thất nghiệp
- keep falling
- CONTINUED
- Early Start Computers have been around f
- When we hear the name Nobel, we immediat
- 4. Applying the Framework to the Data Pu
- activity
- Mỗi một thành viên là một thế giới thú v
- 4. Applying the Framework to the Data Pu
- trạm biến áp
- Make sure your bid submission document i
