Entry № 867
OSSTMM
OSSTMM 是什么?
OSSTMM由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。
开源安全测试方法手册(OSSTMM)由 Institute for Security and Open Methodologies(ISECOM)维护,审计人员和渗透测试人员用它来开展可重复、基于证据的评估。它定义了五条测试通道:人员、物理、无线、电信和数据网络;并基于运营控制、限制与信任程度,产出量化指标 Risk Assessment Value(RAV)。OSSTMM 强调测试规则、科学度量与道德,而不是工具清单。它在政府与受监管行业的审计中被广泛引用,可与 PTES 和 NIST SP 800-115 等技术框架互补。
● 示例
- 01
审计人员使用 OSSTMM 评估银行支行的人员与物理攻击面。
- 02
渗透测试人员将 OSSTMM 的 RAV 评分与 PTES 的技术过程结合使用。
● 常见问题
OSSTMM 是什么?
由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。 它属于网络安全的 合规与框架 分类。
OSSTMM 是什么意思?
由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。
如何防御 OSSTMM?
针对 OSSTMM 的防御通常结合技术控制与运营实践,详见上方完整定义。
OSSTMM 还有哪些其他名称?
常见的别称包括: 开源安全测试方法手册。