1.5.1　OSSTMM

OSSTMM的定义在其官方网站https://www.isecom.org/OSSTMM.3.pdf可以找到：

这是一本经过同行评审的安全测试和分析手册，可提供经过验证的事实。这些事实提供了具有可操作性的信息，可以显著提高你在安全方面的操作能力。

使用OSSTMM，将在运营层面通过审计提供准确的安全评估，以清除假设和不可靠的证据。它适用于全面的安全性测试，并且旨在保持一致性和可重复性。作为一个开源项目，它对所有安全测试贡献者开放，鼓励进行越来越准确、可行和高效的安全测试。

OSSTMM包括以下关键部分：

·运营安全指标（operational security metric）。

·信任度分析（trust analysis）。

·人性安全测试（human security testing）。

·物理安全测试（physical security testing）。

·无线安全测试（wireless security testing）。

·通信安全测试（telecommunications security testing）。

·数据网络安全测试（data network security testing）。

·合规要求（compliance regulation）。

·使用安全测试审计报告（Security Test Audit Report，STAR）进行交付。

1.5.1.1　运营安全指标

OSSTMM的这一部分涉及需要保护的内容以及攻击面的暴露情况。可以通过创建RAV（对攻击面的无偏离事实描述）来衡量。

1.5.1.2　信任度分析

在运营安全中，信任是通过活动范围内目标之间的相互影响来衡量的，任何有恶意的人都可以利用这种信任。为了量化信任度，我们需要理解并进行分析，以做出更合理和合乎逻辑的决策。

1.5.1.3　人性安全测试

人性安全（Human Security，HUMSEC）是物理安全（Physical Security，PHYSSEC）的一个组成部分，并加入了对心理活动（Psychological Operation，PSYOPS）的利用。要测试这一方面的安全性，需要与可以物理访问受保护资产的个人（例如，门卫）进行沟通。

1.5.1.4　物理安全测试

物理安全是指物理区域内的物质安全。要进行这方面的测试，需要与为保护资产而设置的障碍和人员（如守卫人员）进行非直接的沟通和交互。

1.5.1.5　无线安全测试

频谱安全（Spectrum Security，SPECSEC）是一种安全类别，包括电子安全（Electronics Security，ELSEC）、信号安全（Signals Security，SIGSEC）和辐射安全（Emanations Security，EMSEC）。进行这方面的测试时，需要让测试人员处于距离目标的一定范围之内。

1.5.1.6　通信安全测试

通信安全是ELSEC的子集，它描述了组织的有线通信情况。这方面的测试涵盖了分析师与目标之间的互动。

1.5.1.7　数据网络安全测试

在数据网络安全性（通信安全性[COMSEC]）测试中，测试人员需要与有权访问运营数据（用来控制访问资产）的个人进行交互。

1.5.1.8　合规要求

所需的合规类型取决于地区和当前的政府、行业和业务类型以及支持性法规。简而言之，合规性是立法或行业定义的一组通用要求，这些要求是强制性的。

1.5.1.9　使用STAR进行报告

STAR（Security Test Audit Report，安全测试审计报告）的目的是作为执行摘要，阐明在特定范围内测试的目标所暴露的攻击面。