渗透测试的理论部分2——OSSTMM的详细描述

昨天休息了一天，今天我要连更两篇博客，作为补充，以下为正文

本章详细描述了OSSTMM内的RAV得分这一理论概念，对日后从事正规安全工作至关重要

OSSTMM为开源安全测试方法论，对OSSTMM不了解的同学可以看我之前发的渗透测试的理论部分1——渗透测试方法论

OSSTMM推广的技术评估框架十分灵活，即使某个项目在逻辑上可分为三个连续的信道与安全组件，我们照样可以使用OSSTMM的框架评估其安全性

OSSTMM体系的测试方法，通过检查访问控制安全，流程安全，数据控制，周界防护，安全意识水平，信任关系，反欺诈控制等诸多过程，全面评估被测单位的安全性

总而言之，这一理论强调测试目标和测试方法，注重在测试前，测试中，测试后采用的相应策略

OSSTMM引用了RAV(Risk Assessment Value,风险评估值）的概念，RAV的基本功能是分析测试结果，进而基于三个要素（运营安全，损耗控制，局限程度）的标称值来计算安全的标称值，最后求得的这个标称值成为RAV得分，再引入RAV得分概念后，审计人员可以量化评估当前的安全状态，并可为企业安全的下一步目标设定里程碑，从商业角度看，RAV有助于优化安全投资，并可助选择更为有效的解决方案

OSSTMM的主要特征与优势

OSSTMM的方法可以从本质上降低假阳性和假阴性的发生率，它推出的测量方法有普遍的应有价值

该构造适用于多种类型的安全测试，可用于渗透测试，白盒测试审计，漏洞评估等其他测试

他能够确保每次评估应进行的全面彻底，还能保证评估过程的一致性，可测性，可靠性

该方法本身可分为四个相对独立的阶段，既定义阶段，信息阶段，调节阶段和控制测试阶段，每个阶段都会获取，评估和验证目标环境中的相关信息

RAV对的运算方式综合衡量了运营安全，损耗控制，局限程度的情况，他的计算结果既RAV得分，可代表目标系统当前的安全状况

这种方法的评估报告均采用安全测试审计报告（STAR，Security Test Audit Report）模板，以这种格式书写的报告同时适合被测单位的管理层和技术层阅读，有助于他们共同理解被测目标，风险评估管（RAV）和每个阶段的测试结果

该方法定期更新，OSSTMM会符合安全测试，法规和法律问题的变化

OSSTMM与行业法规，企业政策，以及政府法规兼容，此外，官方认可的审计都是直接从ISECOM（安全与开放式方法论研究协会）获得的资格认证