J0ker的CISSP之路:复习-Information Security Management(1)

本文同时发表在: [url]http://netsecurity.51cto.com/art/200709/56531.htm[/url]

 

    在《J0ker的CISSP之路》系列的上一篇文章《 复习流程和资源》里，J0ker给你们介绍了通常的复习流程和对复习比较有帮助的资源。从本文开始，J0ker将带你们进入CISSP考试的正式复习过程：2007年(ISC)2修改过CISSP考试的各CBK名称和内容，虽然新内容绝大部分和原来的CISSPCBK相同，但仍是增长了一些新内容。J0ker手上只有比较老的CISSP Official Guide和CISSPAllin One3rd（J0ker准备考试时也是用这两本资料，对增长新内容的考试还能够应付），因此在本系列文章中依然沿用(ISC)2修改前的CBK名称和内容，J0ker会按照CISSP Official Guide的内容安排给你们介绍一下复习中的心得和要点，限于J0ker本身水平和各人的状况不一样可能有所不足，请你们原谅。

    

      CISSP复习的第一章Information Security Management

      安全行业有句行话，“三分技术，七分管理”，意为安全技术应该从属于管理。很多安全厂商在推销本身的产品时，经常只顾鼓吹说本身的产品有多好，却没有向客户说明产品是否适用于目标企业的实际环境。CISSP须要明白，安全技术也好，安全产品也好，都是必须从属于安全管理，只能因管理而技术，从安全技术和产品的使用去推导安全管理应该怎么作，就是本末倒置了。所以CISSP CBK中引入了Information Security Management这一律念，假如把企业的信息安全计划比做一艘船，信息安全管理就如同灯塔，指挥着船往哪里走，怎么走，若是舵手（CISSP）不按照灯塔（Information Security Management）的指示走，船就极可能触礁沉没（安全项目失败，或达不到想要的效果）

     

      信息安全管理，或者说全部的信息安全项目，都是围绕着实现信息资产的A-I-C三角而设计和实施的。所谓的A-I-C三角，也即信息资产的三个重要属性：

      Availability，可用性，保证信息资产对受权的用户随时可用；

      Integrity，完整性，保证信息资产不受有意或无心的未受权修改；

      Confidentiality，保密性，保证信息资产不受未经受权的访问。

      A-I-C三角也是贯穿整个CISSPCBK内容的宗旨。所以，对一个组织实体来讲，信息安全管理的内容就是识别信息资产的类型价值，并经过开发、记录和实施安全策略（Policies）、标准（Standards）、流程（Procedures）和指导（Guidelines）来确保信息资产的A-I-C属性。在这个过程当中，须要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估，咱们可使用数据分级（Dataclassification）、安全意识教育(Security Awareness Training)、风险评估(Risk Assessment)和风险分析（Risk Analysis）这些工具来完成。J0ker将在接下去的文章里面再给你们详细解释上面提到的各个名词。

 

     在CISSP CBK中还能够看到一个和信息安全管理类似的名词——风险管理(Risk Management)，信息安全管理是从管理流程的角度实现信息资产的保护，而风险管理则是从风险防范的角度出发，将风险对信息资产的损害降到最低。风险管理是识别、评估、控制和最小化风险或未肯定因素对信息资产的损害的过程，它包括总体安全评估（Overall Security Reviews）、风险分析（Risk Analysis）、防护方案的选择和评估（Evaluationand Selectionof Safeguard）、效能分析（Cost/Benefit Analysis）、管理决策（Management Decision）、防护方案部署（Safeguard Implementation）和效能评估（Effectiveness Reviews）等步骤。

     

     A-I-C三角是贯穿CISSP CBK的宗旨，这也是咱们在CISSP复习中遇到的第一个重点，如何把抽象的A-I-C概念，转化成具体的知识？J0ker打算用实际应用中的例子说明一下：

     Availability，是确保信息资产对受权用户随时可用的能力，在实际应用中，咱们能够把有可能损害可用性的威胁分红2类：
     一、Denial of Service拒绝服务
     二、会形成数据处理所需设备损失的天然灾害（火灾、水灾、地震等）或人为因素（恐怖袭击等）
     拒绝服务一般指由于用户或***者的缘由致使某个数据服务没法向其用户提供服务的故障，好比计算资源的耗尽致使的计算机锁死、存储器资源的耗尽致使的文件读写失败、网络资源耗尽致使的网站没法访问等，但拒绝服务一般不会物理损坏数据服务所依靠的设备，进行释放资源之类的相关处理即可恢复正常。而天然灾害和人为因素则是物理损坏，只能从新购置部署设备才能使数据服务恢复正常。咱们能够制定业务持续性计划（Contingency Planning），并经过物理（Physical Control，物理安全及设备备份）、技术（Technical Control，设备冗余、数据备份及访问控制）和管理(Administrative Control，各类策略流程等管理措施)手段来保证可用性。

     

      Integrity，是确保信息资产不被有意或无心的未受权修改的能力，完整性一般由访问控制（Access Control，各类验证、受权手段）和安全程序（Security Program，保证信息和处理流程按照设计好的来执行，并提供数据完整性检查能力）这二者提供。另外，完整性控制还有如下三个原则：
      一、Need to know/Least Privilege，最低权限策略，用户应该只得到完成其工做的最低限度的资源访问和操做权限。
      二、Separation of Duties，职权分离，确保较为重要的工做流程由多人完成，防止出现欺诈行为。好比常见的财务人员和审计人员分属于不一样的部门即是职权分离的例子。
      三、Rotation of Duties，职务轮换，按期轮换重要职务上的人员，有助于防止出现欺诈，也能够在当前人员缺席的状况下很快使用其余人员替代。

 

      Confidentiality，是确保信息资产不被未受权用户访问的能力，最近几年很受关注的身份管理和隐私问题也属于保密性这一范畴。常见的保密性威胁有：

      一、Hacker/Cracker，系统的未受权访问一般是因为***或骇客的***形成的。
      二、Masqueraders，受权用户假装成另一个受权用户，或未受权用户假装成受权用户的非法访问行为。
      三、Unauthorized User Activity，受权或未受权用户对不属于其受权范围的资源的访问行为。
      四、Unprotecteddownloadedfiles，用户违规把保密文件下载并存储在没有保护措施的地方。
      五、Networks，保密文件未经加密便在网络上传输。
      六、Trojan Horses，***病毒盗取保密文件是近年来发生比较多的安全事故
      七、Social Engineering，社会工程欺骗是这两年的一个关注热点。

 

下篇预告:《Information Security Management(2)》，J0ker将继续给你们讲述信息安全管理的风险评估和分析、信息分级。