2019年06月19日
在建立安全標準時,通過保證測試方法覆蓋多個場景,來確保設備在所有環境中都能正常運行非常重要。
網絡由很多定義標準不同的部分組成。這些標準有助于解決從安全性到性能和可用性相關的網絡問題。
開放標準是一種公開可用的標準,人們可以通過多種方式使用它來為網絡部署安全解決方案。人們通過閱讀開放安全標準來了解一項技術如何有助于解決網絡安全問題。開放標準的執行者可以創建解決方案來解決已有的安全問題。網絡運營商通過閱讀這些標準來了解不同的實踐如何協同工作,從而形成一個完整的安全解決方案。
這些網絡解決方案通常出自不同的地方,這導致出現了各種測試流程和方法來確保網絡組件支持用戶的所有安全和性能需求。由于大多數標準也是開放的,所以測試方法也是開放的。但通常情況并非如此,雖然應該如此。
有關開放安全測試標準的案例
經常聽到的反對開放測試標準的觀點是,網絡組件工程師可以看到測試并根據已知的標準創建解決方案。這看起來像是在作弊,因為測試題目是已知的,網絡運營商可以設計他們的產品來通過測試。如果測試完全覆蓋了網絡運營商想要的安全功能,那么他們是否知道測試內容并不重要。測試的結果將是一個網絡組件完全符合測試用例。通過創建一個開放的測試環境,網絡組件工程師可以建立一個滿足網絡運營商需求的解決方案。
在建立安全標準時,保證測試方法覆蓋多個場景,以確保設備在所有環境中都能正常運行非常重要。至于安全測試方法,可能需要隨機化輸入參數來覆蓋所有用例,用來檢測出那些只是調整設備性能以滿足測試用例需求而不是實際需求的設備。例如在測試防火墻是否能檢測到CVEs時,運行一個包含漏洞的流量組合非常重要,這樣才能確保設備能在各種情況下都能檢測到攻擊并阻止攻擊。
開放測試標準的另一個優點是,用戶和網絡運營商能夠了解什么是安全測試以及如何去執行測試。操作人員可以通過了解現在使用的安全測試用例,來確認測試是否滿足特定的需求。如果不滿足,他們可以進行其他測試。
建立反饋循環
如果有組織機構負責維護該標準,那么運營商可以通過信息反饋查漏補缺,這樣將來網絡運營商就不必進行額外的測試了。了解如何對網絡組件進行測試還可以讓網絡運營商和用戶更好地理解測試結果,因為測試結果本身往往無法提供有關測試條件的足夠背景信息。 例如,了解一個設備是否在沒有負載時通過了安全測試,但在有負載時卻沒有檢測到攻擊非常重要。
比較來自不同網絡供應商的安全測試報告也非常重要。這樣可以提高測試方法的透明度,優化決策過程。開放測試標準提供了一個能夠進行比較的機會。例如,在安全性能測試中,防火墻的帶寬測試結果會根據啟用的安全功能不同發生很大變化。如果沒有開放標準明確這些信息,用戶可能對著兩份不同執行結果報告,而不理解結果的不同取決于啟用了哪些功能。
安全標準的執行者可以通過開放測試標準更好地了解網絡運營商感興趣的測試內容。網絡運營商則可以通過開放標準測試進行比較,使網絡決策變得更加容易。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。