J0ker的CISSP之路:複習-Information Security Management(1)

本文同時發表在: [url]http://netsecurity.51cto.com/art/200709/56531.htm[/url]

 

    在《J0ker的CISSP之路》系列的上一篇文章《 複習流程和資源》裏，J0ker給你們介紹了通常的複習流程和對複習比較有幫助的資源。從本文開始，J0ker將帶你們進入CISSP考試的正式複習過程：2007年(ISC)2修改過CISSP考試的各CBK名稱和內容，雖然新內容絕大部分和原來的CISSPCBK相同，但仍是增長了一些新內容。J0ker手上只有比較老的CISSP Official Guide和CISSPAllin One3rd（J0ker準備考試時也是用這兩本資料，對增長新內容的考試還能夠應付），因此在本系列文章中依然沿用(ISC)2修改前的CBK名稱和內容，J0ker會按照CISSP Official Guide的內容安排給你們介紹一下複習中的心得和要點，限於J0ker本身水平和各人的狀況不一樣可能有所不足，請你們原諒。

    

      CISSP複習的第一章Information Security Management

      安全行業有句行話，「三分技術，七分管理」，意爲安全技術應該從屬於管理。很多安全廠商在推銷本身的產品時，經常只顧鼓吹說本身的產品有多好，卻沒有向客戶說明產品是否適用於目標企業的實際環境。CISSP須要明白，安全技術也好，安全產品也好，都是必須從屬於安全管理，只能因管理而技術，從安全技術和產品的使用去推導安全管理應該怎麼作，就是本末倒置了。所以CISSP CBK中引入了Information Security Management這一律念，假如把企業的信息安全計劃比做一艘船，信息安全管理就如同燈塔，指揮着船往哪裏走，怎麼走，若是舵手（CISSP）不按照燈塔（Information Security Management）的指示走，船就極可能觸礁沉沒（安全項目失敗，或達不到想要的效果）

     

      信息安全管理，或者說全部的信息安全項目，都是圍繞着實現信息資產的A-I-C三角而設計和實施的。所謂的A-I-C三角，也即信息資產的三個重要屬性：

      Availability，可用性，保證信息資產對受權的用戶隨時可用；

      Integrity，完整性，保證信息資產不受有意或無心的未受權修改；

      Confidentiality，保密性，保證信息資產不受未經受權的訪問。

      A-I-C三角也是貫穿整個CISSPCBK內容的宗旨。所以，對一個組織實體來講，信息安全管理的內容就是識別信息資產的類型價值，並經過開發、記錄和實施安全策略（Policies）、標準（Standards）、流程（Procedures）和指導（Guidelines）來確保信息資產的A-I-C屬性。在這個過程當中，須要對信息資產進行識別和分級、識別可能威脅信息資產的威脅、並對可能存在的漏洞進行評估，咱們可使用數據分級（Dataclassification）、安全意識教育(Security Awareness Training)、風險評估(Risk Assessment)和風險分析（Risk Analysis）這些工具來完成。J0ker將在接下去的文章裏面再給你們詳細解釋上面提到的各個名詞。

 

     在CISSP CBK中還能夠看到一個和信息安全管理類似的名詞——風險管理(Risk Management)，信息安全管理是從管理流程的角度實現信息資產的保護，而風險管理則是從風險防範的角度出發，將風險對信息資產的損害降到最低。風險管理是識別、評估、控制和最小化風險或未肯定因素對信息資產的損害的過程，它包括總體安全評估（Overall Security Reviews）、風險分析（Risk Analysis）、防護方案的選擇和評估（Evaluationand Selectionof Safeguard）、效能分析（Cost/Benefit Analysis）、管理決策（Management Decision）、防護方案部署（Safeguard Implementation）和效能評估（Effectiveness Reviews）等步驟。

     

     A-I-C三角是貫穿CISSP CBK的宗旨，這也是咱們在CISSP複習中遇到的第一個重點，如何把抽象的A-I-C概念，轉化成具體的知識？J0ker打算用實際應用中的例子說明一下：

     Availability，是確保信息資產對受權用戶隨時可用的能力，在實際應用中，咱們能夠把有可能損害可用性的威脅分紅2類：
     一、Denial of Service拒絕服務
     二、會形成數據處理所需設備損失的天然災害（火災、水災、地震等）或人爲因素（恐怖襲擊等）
     拒絕服務一般指由於用戶或***者的緣由致使某個數據服務沒法向其用戶提供服務的故障，好比計算資源的耗盡致使的計算機鎖死、存儲器資源的耗盡致使的文件讀寫失敗、網絡資源耗盡致使的網站沒法訪問等，但拒絕服務一般不會物理損壞數據服務所依靠的設備，進行釋放資源之類的相關處理即可恢復正常。而天然災害和人爲因素則是物理損壞，只能從新購置部署設備才能使數據服務恢復正常。咱們能夠制定業務持續性計劃（Contingency Planning），並經過物理（Physical Control，物理安全及設備備份）、技術（Technical Control，設備冗餘、數據備份及訪問控制）和管理(Administrative Control，各類策略流程等管理措施)手段來保證可用性。

     

      Integrity，是確保信息資產不被有意或無心的未受權修改的能力，完整性一般由訪問控制（Access Control，各類驗證、受權手段）和安全程序（Security Program，保證信息和處理流程按照設計好的來執行，並提供數據完整性檢查能力）這二者提供。另外，完整性控制還有如下三個原則：
      一、Need to know/Least Privilege，最低權限策略，用戶應該只得到完成其工做的最低限度的資源訪問和操做權限。
      二、Separation of Duties，職權分離，確保較爲重要的工做流程由多人完成，防止出現欺詐行爲。好比常見的財務人員和審計人員分屬於不一樣的部門即是職權分離的例子。
      三、Rotation of Duties，職務輪換，按期輪換重要職務上的人員，有助於防止出現欺詐，也能夠在當前人員缺席的狀況下很快使用其餘人員替代。

 

      Confidentiality，是確保信息資產不被未受權用戶訪問的能力，最近幾年很受關注的身份管理和隱私問題也屬於保密性這一範疇。常見的保密性威脅有：

      一、Hacker/Cracker，系統的未受權訪問一般是因爲***或駭客的***形成的。
      二、Masqueraders，受權用戶假裝成另一個受權用戶，或未受權用戶假裝成受權用戶的非法訪問行爲。
      三、Unauthorized User Activity，受權或未受權用戶對不屬於其受權範圍的資源的訪問行爲。
      四、Unprotecteddownloadedfiles，用戶違規把保密文件下載並存儲在沒有保護措施的地方。
      五、Networks，保密文件未經加密便在網絡上傳輸。
      六、Trojan Horses，***病毒盜取保密文件是近年來發生比較多的安全事故
      七、Social Engineering，社會工程欺騙是這兩年的一個關注熱點。

 

下篇預告:《Information Security Management(2)》，J0ker將繼續給你們講述信息安全管理的風險評估和分析、信息分級。