渗透测试的理论部分3——ISSAF的详细描述

ISSAF即信息系统安全评估框架（Information Systems Security Assessment Framework）是另外一种开放源代码的安全性测试和安全分析框架。为了解决安全评估工作的逻辑顺序问题，该框架以分为若干个领域（domain），不同领域评估目标系统的不同部分，且可以根据实际情况对每个领域进行相应调整，把这一构架与日常业务的生命周期相结合，可以充分满足企业安全测试的精准性，完整性，高效性的需求。

ISSAF兼顾了安全测试的技术层面和管理层面，在技术方面，他有一整套关键的规则和程序，形成了一套完备的评估程序，在管理层面，它明确了在整个测试过程中应当遵循的管理要择和最佳实践

ISSAF主张安全评估是一个过程，而不是一次审计

渗透框架应当分为计划，评估，修复，评审以及维护阶段

应当有更为完善的标准

ISSAF具有灵活和高效的特点，是审计工作各个阶段的通用准则，可适用于所有企业结构

这一框架的交付报告分为业务活动，安全措施，目标系统中可能存在的安全弱点的完整清单

其评估过程注重分析被侧单位最容易被利用的漏洞，侧重于以通过最短路径尽快完成测试任务

ISSAF可用于渗透测试各种技术和不同流程，但框架需频繁更新，相对而言OSSTMM受技术更新影响的幅度较小

可以和OSSTMM或其他测试方法论一起使用

主要特征与又是：

ISSAF主要测试当前安全措施中的严重漏洞，所以在保障系统安全方面的意义重大

他关注信息安全范畴内的各个关键领域，涵盖了风险评估，业务结构和管理，控制评估，服务管理，安全策略的开发和常规的最佳实践

ISSAF渗透测试方法论评估网络，系统或应用程序的安全性，应用该框架可以无阻碍地把精力重点放在特定技术上，如路由器，交换机，防火墙，入侵检测和防御系统，存储区域网络，虚拟专用网络，各种操作系统，Web应用服务器，数据库等

通过必要的控制和处理，他可以统一技术层和管理层这两方面人员对安全测试的理解

他可以帮助管理人员理解当前边界防御体系的现有风险，并可支出可能影响业务完整性的安全弱点，从而帮助人们主动地减少风险