J0ker的CISSP之路：複習-Information Security Management（終）

本文同時還發表在： [url]http://netsecurity.51cto.com/art/200710/58626.htm[/url]

     在《J0ker的CISSP之路》系列的上一篇文章裏，J0ker給你們介紹了信息安全管理CBK中各類安全文檔的定義和區別。咱們都知道，各類安全規章制度制定以後，最終也須要組織的每個成員都理解並自覺遵照才能發揮其應有的做用，要達到這個目的，就要用到本文將介紹的安全意識教育（Security Awareness）這一工具。

    安全意識教育能夠做爲組織安全計劃中的一部分來進行，CISSP在設計並開始安全意識教育計劃以前，應該先肯定安全意識教育項目的目的。目的能夠簡單定義爲「全部的組織成員必須瞭解本身最基本的安全責任」或「組織成員必須瞭解組織所面臨的信息安全威脅，並養成良好的使用習慣來防護這些風險並保護信息系統」，不過不少時候設定更詳細的目標更有利於安全意識教育項目的進行，CISSP Official Guide提供了一個較爲詳細的sample：

  

    Sample——意識教育的目標：

    企業員工必須有理解如下條目的安全意識：
    一、安全策略、標準、流程、底線和指導
    二、物理和信息資產所面臨的安全威脅
    三、開放網絡環境面臨的安全威脅
    四、須要遵照的法律法規
    五、須要遵照的組織或部門制定的規章制度
    六、如何辨識和保護敏感（或保密）信息
    七、如何存儲、標記和傳輸信息
    八、若是發生可疑或已確認的安全事件，應該向誰報告
    九、電子郵件和互聯網安全使用策略和流程
    十、社會工程學

    安全意識教育的目標應該和組織所制定的信息安全目標相配合，並密切結合組織信息安全計劃，不然就達不到它預約的效果。CISSP考試中對安全意識教育這個章節的考察很少，不過朋友們仍是須要留意一下上面所列出Sample的8和10的內容。8中的向誰報告主要是涉及安全責任和應急響應的概念，而10中的社會工程學則是一個很重要的概念，Official Guide中還專門闢出一個章節進行講解，因此接下去J0ker打算提一下社會工程學及其相關的知識。

    信息安全，或者更準確的說是從事信息安全的人，關注的主要是信息技術和資產的可用性、完整性和保密性這三者(AIC三角)，同時咱們也知道，若是一個安全項目存在着某一個致命的弱點，那要得到項目實施的成功是不可能的。在這一點上，信息安全能夠用鐵鏈理論或木桶理論來解釋，鐵鏈的強度是由在它上面最弱的一環而決定，木桶能裝多少水也是由組成它的最短的木板所肯定。

     經常在安全項目中看到項目實施須要什麼軟件硬件，要部署什麼技術，防護什麼漏洞，也能夠從各類來源找到相關的安全方案和材料，但最終這些安全項目的組成部分都是由人去使用、安裝、部署和維護的，因此除了信息安全與技術有關的方面以外，人的行爲一樣也應該是信息安全關注的要點，CISSP CBK引入了一個名詞——Wetware,「溼件」，即是指代「人」這一個關鍵因素，而社會工程學正是專門針對人進行的***。

     在Official Guide中，是這樣定義社會工程學的：
     Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.

     也就是說，社會工程學***的目的是爲了未經受權訪問、使用和泄漏信息系統、網絡及數據，而使用的手段則是以欺騙目標人物（一般是通過受權的合法用戶）爲主。

在Official Guide中將社會工程學的***分紅三類，Ego Attack、Sympathy Attack和Intimidation Attack，Ego Attack中***者每每會利用目標用戶的自尊心和表現欲來套取其所掌握的信息；Sympathy Attack中***者會將本身假裝成目標組織中的新用戶或合做夥伴等角色，騙取有權限用戶的信任來獲取信息（***者假裝的身份等級一般低於目標的身份）；而Intimidation Attack中***者會將本身假裝成身份等級高於欺騙目標的人，而後要求對方提供所須要的信息。這三種不一樣***方式的區別也請朋友們留意。

      要防護社會工程學***，最有效的方式是經過管理上的手段(Administrative Control，安全策略、標準和流程等)來對合法用戶的平常操做進行規範，並增強用戶安全意識的教育。由於內容較多，你們能夠參考一下Official guide的相關內容。

     至此，J0ker就基本把CISSP的第一個CBK——Information Security Management的內容給你們介紹完了。這一章的內容在CISSP CBK體系裏面並不算多，但它倒是整個CISSP CBK知識體系的基礎，後面章節中所涉及到的知識均可以認爲是爲這一章中所提到的內容服務的。

     在CISSP考試中，這一章的內容的考覈，除了少數幾個在Official Guide中提供有實例分析的概念有可能會用實例來出分析題以外，其餘有關的題大多以考察概念或名詞自己的含義以及在信息安全體系中的意義爲主，因此在複習這個章節的時候，尤爲是對技術出身的朋友，接觸這方面內容比較少，因此J0ker建議多閱讀下相關的複習資料，並弄明白各個名詞、概念之間的聯繫和區別，多作練習題卻是次要的。朋友們也能夠將這個CBK的內容和平常工做中所接觸到的內容相聯繫，或應用到平常工做中去，這樣就更容易對這個CBK的內容融會貫通，畢竟CISSP的內容說究竟是爲了應用，單純爲考試而準備就沒有太大意義。

另外複習的時候還有個小技巧，朋友們能夠將Official Guide這個章節後面所列出的CBK要點及Allin One中對應章節末尾的Quick Tips打印出來，裝訂成小冊子，有空的時候就看一看，這樣對鞏固關鍵概念的掌握頗有好處的。

 

下篇預告：《Security Architecture and Models（1）》，J0ker將向你們介紹安全架構和模型CBK的第一部分——基礎知識，敬請期待！