本文同时发表在: [url]http://netsecurity.51cto.com/art/200709/56531.htm[/url]
 
    在《J0ker的CISSP之路》系列的上一篇文章《 复习流程和资源》里,J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源。从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:2007年(ISC)2修改过CISSP考试的各CBK名称和内容,虽然新内容绝大部分和原来的CISSPCBK相同,但还是增加了一些新内容。J0ker手上只有比较老的CISSP Official Guide和CISSPAllin One3rd(J0ker准备考试时也是用这两本资料,对增加新内容的考试还可以应付),所以在本系列文章中依然沿用(ISC)2修改前的CBK名称和内容,J0ker会按照CISSP Official Guide的内容安排给大家介绍一下复习中的心得和要点,限于J0ker自己水平和各人的情况不同可能有所不足,请大家原谅。
    
      CISSP复习的第一章Information Security Management
      安全行业有句行话,“三分技术,七分管理”,意为安全技术应该从属于管理。不少安全厂商在推销自己的产品时,常常只顾鼓吹说自己的产品有多好,却没有向客户说明产品是否适用于目标企业的实际环境。CISSP需要明白,安全技术也好,安全产品也好,都是必须从属于安全管理,只能因管理而技术,从安全技术和产品的使用去推导安全管理应该怎么做,就是本末倒置了。因此CISSP CBK中引入了Information Security Management这一概念,假如把企业的信息安全计划比作一艘船,信息安全管理就如同灯塔,指挥着船往哪里走,怎么走,如果舵手(CISSP)不按照灯塔(Information Security Management)的指示走,船就很可能触礁沉没(安全项目失败,或达不到想要的效果)
     
      信息安全管理,或者说所有的信息安全项目,都是围绕着实现信息资产的A-I-C三角而设计和实施的。所谓的A-I-C三角,也即信息资产的三个重要属性:
      Availability,可用性,保证信息资产对授权的用户随时可用;
      Integrity,完整性,保证信息资产不受有意或无意的未授权修改;
      Confidentiality,保密性,保证信息资产不受未经授权的访问。
      A-I-C三角也是贯穿整个CISSPCBK内容的宗旨。因此,对一个组织实体来说,信息安全管理的内容就是识别信息资产的类型价值,并通过开发、记录和实施安全策略(Policies)、标准(Standards)、流程(Procedures)和指导(Guidelines)来确保信息资产的A-I-C属性。在这个过程中,需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估,我们可以使用数据分级(Dataclassification)、安全意识教育(Security Awareness Training)、风险评估(Risk Assessment)和风险分析(Risk Analysis)这些工具来完成。J0ker将在接下去的文章里面再给大家详细解释上面提到的各个名词。
 
     在CISSP CBK中还可以看到一个和信息安全管理相似的名词——风险管理(Risk Management),信息安全管理是从管理流程的角度实现信息资产的保护,而风险管理则是从风险防范的角度出发,将风险对信息资产的损害降到最低。风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程,它包括整体安全评估(Overall Security Reviews)、风险分析(Risk Analysis)、防御方案的选择和评估(Evaluationand Selectionof Safeguard)、效能分析(Cost/Benefit Analysis)、管理决策(Management Decision)、防御方案部署(Safeguard Implementation)和效能评估(Effectiveness Reviews)等步骤。
     
     A-I-C三角是贯穿CISSP CBK的宗旨,这也是我们在CISSP复习中遇到的第一个重点,如何把抽象的A-I-C概念,转化成具体的知识?J0ker打算用实际应用中的例子说明一下:
     Availability,是确保信息资产对授权用户随时可用的能力,在实际应用中,我们可以把有可能损害可用性的威胁分成2类:
     1、Denial of Service拒绝服务
     2、会造成数据处理所需设备损失的自然灾害(火灾、水灾、地震等)或人为因素(恐怖袭击等)
     拒绝服务通常指因为用户或***者的原因导致某个数据服务无法向其用户提供服务的故障,比如计算资源的耗尽导致的计算机锁死、存储器资源的耗尽导致的文件读写失败、网络资源耗尽导致的网站无法访问等,但拒绝服务通常不会物理损坏数据服务所依靠的设备,进行释放资源之类的相关处理便可恢复正常。而自然灾害和人为因素则是物理损坏,只能重新购置部署设备才能使数据服务恢复正常。我们可以制定业务持续性计划(Contingency Planning),并通过物理(Physical Control,物理安全及设备备份)、技术(Technical Control,设备冗余、数据备份及访问控制)和管理(Administrative Control,各种策略流程等管理措施)手段来保证可用性。
     
      Integrity,是确保信息资产不被有意或无意的未授权修改的能力,完整性通常由访问控制(Access Control,各种验证、授权手段)和安全程序(Security Program,保证信息和处理流程按照设计好的来执行,并提供数据完整性检查能力)这两者提供。另外,完整性控制还有以下三个原则:
      1、Need to know/Least Privilege,最低权限策略,用户应该只获得完成其工作的最低限度的资源访问和操作权限。
      2、Separation of Duties,职权分离,确保较为重要的工作流程由多人完成,防止出现欺诈行为。比如常见的财务人员和审计人员分属于不同的部门便是职权分离的例子。
      3、Rotation of Duties,职务轮换,定期轮换重要职务上的人员,有助于防止出现欺诈,也可以在当前人员缺席的情况下很快使用其他人员替代。
 
      Confidentiality,是确保信息资产不被未授权用户访问的能力,最近几年很受关注的身份管理和隐私问题也属于保密性这一范畴。常见的保密性威胁有:
      1、Hacker/Cracker,系统的未授权访问通常是由于***或骇客的***造成的。
      2、Masqueraders,授权用户伪装成另外一个授权用户,或未授权用户伪装成授权用户的非法访问行为。
      3、Unauthorized User Activity,授权或未授权用户对不属于其授权范围的资源的访问行为。
      4、Unprotecteddownloadedfiles,用户违规把保密文件下载并存储在没有保护措施的地方。
      5、Networks,保密文件未经加密便在网络上传输。
      6、Trojan Horses,***病毒盗取保密文件是近年来发生比较多的安全事故
      7、Social Engineering,社会工程欺骗是这两年的一个关注热点。
 
下篇预告:《Information Security Management(2)》,J0ker将继续给大家讲述信息安全管理的风险评估和分析、信息分级。