ISTQB CT-SEC

描述

ISTQB® CT - 安全测试员认证面向已获得 ISTQB® 基础证书并希望深入了解软件测试以成为安全测试员的软件专业人员。

安全测试员资格认证的目标人群是在软件测试职业生涯中已达到高级阶段，并希望进一步发展自动化测试专业知识的人员。

第 1 章：安全测试的基础

第 2 章：安全测试的目的、目标和策略

第 3 章：安全测试流程

第4章：贯穿软件生命周期的安全测试

第5章：测试安全机制

第 6 章：测试安全机制安全测试中的人为因素

第7章：安全测试评估和报告

第 8 章：安全测试工具

第9章：标准和行业趋势

业务成果

通过本级别，表明考生能够:

• 了解风险评估在为安全测试规划和设计提供信息以及使安全测试与业务需求相一致方面的作用。
• 确定需要保护的重要资产、每种资产的价值，以及评估每种资产所需安全级别所需的数据。
• 分析在特定情况下如何有效使用风险评估技术，以识别当前和未来的安全威胁。
• 理解安全策略和程序的概念以及如何在信息系统中应用。
• 分析给定的安全策略和程序以及安全测试结果，以确定其有效性。
• 了解安全审计的目的。
• 了解企业需要安全测试的原因，包括对企业的好处，如降低风险、提高信心和信任度。
• 了解项目实际情况、业务限制、软件开发生命周期和其他考虑因素如何影响安全测试团队的任务。
• 解释为什么安全测试的目标和目的必须与组织的安全策略和组织中的其他测试目标保持一致。
• F针对给定的项目场景，展示根据功能、技术属性和已知漏洞确定安全测试目标的能力。
• 了解信息保障与安全测试之间的关系。
• 针对给定项目，证明有能力界定安全测试目标与敏感数字和物理资产完整性需求之间的关系。
• 分析特定情况，确定最有可能成功的安全测试方法。
• 分析特定安全测试方法失败的情况，确定失败的可能原因。
• 针对给定情景，展示识别各利益相关者的能力，并说明安全测试对各利益相关者群体的益处。
• 分析 KPI（关键绩效指标），确定需要改进的安全测试实践和不需要改进的要素。
• 针对给定项目，展示定义有效安全测试程序要素的能力。
• 分析给定的安全测试计划，反馈计划的优缺点。
• 针对给定项目，根据给定的安全测试方法和已识别的功能和结构安全风险，实施概念（抽象）安全测试。
• 实施测试用例以验证安全策略和程序。
• 了解有效安全测试环境的关键要素和特征。
• 了解在执行任何安全测试前进行规划和获得批准的重要性。
• 分析安全测试结果，以确定以下内容:
  • 安全漏洞的性质
  • 安全漏洞的程度
  • 安全漏洞的潜在影响
  • 建议的补救措施
• 了解在技术和威胁不断发展的情况下，保持安全测试流程的重要性。
• 解释为什么在生命周期过程中实现安全的效果最好。
• 针对给定的软件生命周期（如迭代、顺序），实施适当的安全相关活动。
• 从安全角度分析给定的需求集，找出不足之处。
• 从安全角度分析给定的设计文档，找出缺陷。
• 理解安全测试在组件测试中的作用。
• 根据定义的编码规范，实施组件级安全测试（抽象）。
• 分析给定组件级测试的结果，从安全角度确定代码的适当性。
• 理解安全测试在组件集成测试中的作用。
• 根据已定义的系统规范，实施组件集成安全测试（抽象）。
• 实施端到端安全测试方案，验证一个或多个给定的安全要求，并测试描述的功能流程。
• 展示为给定验收测试的安全方面定义一套验收标准的能力。
• 根据给定情景，实施端到端安全重测/回归测试方法。
• AS-5.1.2 (K3) 展示如何测试常用系统加固机制的有效性。
• 了解身份验证和授权之间的关系，以及它们在确保信息系统安全中的应用。
• 演示如何测试常见身份验证和授权机制的有效性。
• 理解加密的概念及其在确保信息系统安全中的应用。
• 演示如何测试常用加密机制的有效性。
• 了解防火墙的概念和网络区域的使用，以及如何将其应用于保护信息系统。
• 演示如何测试现有防火墙实施和网络区域的有效性。
• 了解入侵检测工具的概念，以及如何将其用于保护信息系统。
• 演示如何测试现有入侵检测工具的实施效果。
• 了解恶意软件扫描工具的概念，以及如何将其用于保护信息系统安全。
• 演示如何测试现有恶意软件扫描工具的实施效果。
• 了解数据混淆工具的概念，以及如何将其用于保护信息系统。
• 演示如何测试数据混淆方法的有效性。
• 了解安全培训作为软件生命周期活动的概念，以及为什么需要它来确保信息系统的安全。
• 演示如何测试安全培训的有效性。
• 解释人类行为如何导致安全风险，以及人类行为如何影响安全测试的有效性。
• 针对给定情景，演示识别攻击者发现目标关键信息的方式，并采取措施保护环境的能力。
• 解释实施计算机系统攻击的常见动机和来源（K4） 分析攻击场景（实施的攻击和发现的攻击），确定攻击的可能来源和动机。
• 解释社会工程学如何破坏安全防御。
• 了解整个组织提高安全意识的重要性。
• 鉴于某些测试结果，采取适当行动提高安全意识。
• 了解随着项目范围和目标的变化，修改安全预期和验收标准的必要性。
• 了解安全测试结果保密和安全的重要性。
• 了解创建适当控制和数据收集机制的必要性，以便及时、准确、精确地为安全测试状态报告提供源数据（如安全测试仪表板）。
• 分析给定的临时安全测试状态报告，以确定其准确性、可理解性和利益相关者的适当性。
• 解释静态和动态分析工具在安全测试中的作用。
• 分析并记录一个或多个工具要满足的安全测试需求（K2） 了解开源工具的问题。
• 了解需要评估供应商经常更新工具的能力，以适应最新的安全威胁。
• 了解安全测试结果保密和安全的重要性。
• 了解创建适当控制和数据收集机制的必要性，以便及时、准确、精确地为安全测试状态报告提供源数据（如安全测试仪表板）。
• 分析给定的临时安全测试状态报告，以确定其准确性、可理解性和利益相关者的适当性。
• 解释静态和动态分析工具在安全测试中的作用。
• 分析并记录一个或多个工具要满足的安全测试需求（K2） 了解开源工具的问题。
• 了解需要评估供应商经常更新工具的能力，以适应最新的安全威胁。