本文同时还发表在: [url]http://netsecurity.51cto.com/art/200710/58626.htm[/url]
     在《J0ker的CISSP之路》系列的上一篇文章里,J0ker给大家介绍了信息安全管理CBK中各种安全文档的定义和区别。我们都知道,各种安全规章制度制定之后,最终也需要组织的每一个成员都理解并自觉遵守才能发挥其应有的作用,要达到这个目的,就要用到本文将介绍的安全意识教育(Security Awareness)这一工具。
    安全意识教育可以作为组织安全计划中的一部分来进行,CISSP在设计并开始安全意识教育计划之前,应该先确定安全意识教育项目的目的。目的可以简单定义为“所有的组织成员必须了解自己最基本的安全责任”或“组织成员必须了解组织所面临的信息安全威胁,并养成良好的使用习惯来防御这些风险并保护信息系统”,不过很多时候设定更详细的目标更有利于安全意识教育项目的进行,CISSP Official Guide提供了一个较为详细的sample:
  
    Sample——意识教育的目标:
    企业员工必须有理解以下条目的安全意识:
    1、安全策略、标准、流程、底线和指导
    2、物理和信息资产所面临的安全威胁
    3、开放网络环境面临的安全威胁
    4、需要遵守的法律法规
    5、需要遵守的组织或部门制定的规章制度
    6、如何辨识和保护敏感(或保密)信息
    7、如何存储、标记和传输信息
    8、如果发生可疑或已确认的安全事件,应该向谁报告
    9、电子邮件和互联网安全使用策略和流程
    10、社会工程学
    安全意识教育的目标应该和组织所制定的信息安全目标相配合,并密切结合组织信息安全计划,否则就达不到它预定的效果。CISSP考试中对安全意识教育这个章节的考察不多,不过朋友们还是需要留意一下上面所列出Sample的8和10的内容。8中的向谁报告主要是涉及安全责任和应急响应的概念,而10中的社会工程学则是一个很重要的概念,Official Guide中还专门辟出一个章节进行讲解,所以接下去J0ker打算提一下社会工程学及其相关的知识。
    信息安全,或者更准确的说是从事信息安全的人,关注的主要是信息技术和资产的可用性、完整性和保密性这三者(AIC三角),同时我们也知道,如果一个安全项目存在着某一个致命的弱点,那要获得项目实施的成功是不可能的。在这一点上,信息安全可以用铁链理论或木桶理论来解释,铁链的强度是由在它上面最弱的一环而决定,木桶能装多少水也是由组成它的最短的木板所确定。
     常常在安全项目中看到项目实施需要什么软件硬件,要部署什么技术,防御什么漏洞,也可以从各种来源找到相关的安全方案和材料,但最终这些安全项目的组成部分都是由人去使用、安装、部署和维护的,所以除了信息安全与技术有关的方面之外,人的行为同样也应该是信息安全关注的要点,CISSP CBK引入了一个名词——Wetware,“湿件”,便是指代“人”这一个关键因素,而社会工程学正是专门针对人进行的***。
     在Official Guide中,是这样定义社会工程学的:
     Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.
     也就是说,社会工程学***的目的是为了未经授权访问、使用和泄漏信息系统、网络及数据,而使用的手段则是以欺骗目标人物(通常是经过授权的合法用户)为主。
在Official Guide中将社会工程学的***分成三类,Ego Attack、Sympathy Attack和Intimidation Attack,Ego Attack中***者往往会利用目标用户的自尊心和表现欲来套取其所掌握的信息;Sympathy Attack中***者会将自己伪装成目标组织中的新用户或合作伙伴等角色,骗取有权限用户的信任来获取信息(***者伪装的身份等级通常低于目标的身份);而Intimidation Attack中***者会将自己伪装成身份等级高于欺骗目标的人,然后要求对方提供所需要的信息。这三种不同***方式的区别也请朋友们留意。
      要防御社会工程学***,最有效的方式是通过管理上的手段(Administrative Control,安全策略、标准和流程等)来对合法用户的日常操作进行规范,并加强用户安全意识的教育。因为内容较多,大家可以参考一下Official guide的相关内容。
     至此,J0ker就基本把CISSP的第一个CBK——Information Security Management的内容给大家介绍完了。这一章的内容在CISSP CBK体系里面并不算多,但它却是整个CISSP CBK知识体系的基础,后面章节中所涉及到的知识都可以认为是为这一章中所提到的内容服务的。
     在CISSP考试中,这一章的内容的考核,除了少数几个在Official Guide中提供有实例分析的概念有可能会用实例来出分析题之外,其他有关的题大多以考察概念或名词本身的含义以及在信息安全体系中的意义为主,所以在复习这个章节的时候,尤其是对技术出身的朋友,接触这方面内容比较少,所以J0ker建议多阅读下相关的复习资料,并弄明白各个名词、概念之间的联系和区别,多做练习题倒是次要的。朋友们也可以将这个CBK的内容和日常工作中所接触到的内容相联系,或应用到日常工作中去,这样就更容易对这个CBK的内容融会贯通,毕竟CISSP的内容说到底是为了应用,单纯为考试而准备就没有太大意义。
另外复习的时候还有个小技巧,朋友们可以将Official Guide这个章节后面所列出的CBK要点及Allin One中对应章节末尾的Quick Tips打印出来,装订成小册子,有空的时候就看一看,这样对巩固关键概念的掌握很有好处的。
 
下篇预告:《Security Architecture and Models(1)》,J0ker将向大家介绍安全架构和模型CBK的第一部分——基础知识,敬请期待!