J0ker的CISSP之路：复习-Information Security Management（终）

本文同时还发表在： [url]http://netsecurity.51cto.com/art/200710/58626.htm[/url]

     在《J0ker的CISSP之路》系列的上一篇文章里，J0ker给你们介绍了信息安全管理CBK中各类安全文档的定义和区别。咱们都知道，各类安全规章制度制定以后，最终也须要组织的每个成员都理解并自觉遵照才能发挥其应有的做用，要达到这个目的，就要用到本文将介绍的安全意识教育（Security Awareness）这一工具。

    安全意识教育能够做为组织安全计划中的一部分来进行，CISSP在设计并开始安全意识教育计划以前，应该先肯定安全意识教育项目的目的。目的能够简单定义为“全部的组织成员必须了解本身最基本的安全责任”或“组织成员必须了解组织所面临的信息安全威胁，并养成良好的使用习惯来防护这些风险并保护信息系统”，不过不少时候设定更详细的目标更有利于安全意识教育项目的进行，CISSP Official Guide提供了一个较为详细的sample：

  

    Sample——意识教育的目标：

    企业员工必须有理解如下条目的安全意识：
    一、安全策略、标准、流程、底线和指导
    二、物理和信息资产所面临的安全威胁
    三、开放网络环境面临的安全威胁
    四、须要遵照的法律法规
    五、须要遵照的组织或部门制定的规章制度
    六、如何辨识和保护敏感（或保密）信息
    七、如何存储、标记和传输信息
    八、若是发生可疑或已确认的安全事件，应该向谁报告
    九、电子邮件和互联网安全使用策略和流程
    十、社会工程学

    安全意识教育的目标应该和组织所制定的信息安全目标相配合，并密切结合组织信息安全计划，不然就达不到它预约的效果。CISSP考试中对安全意识教育这个章节的考察很少，不过朋友们仍是须要留意一下上面所列出Sample的8和10的内容。8中的向谁报告主要是涉及安全责任和应急响应的概念，而10中的社会工程学则是一个很重要的概念，Official Guide中还专门辟出一个章节进行讲解，因此接下去J0ker打算提一下社会工程学及其相关的知识。

    信息安全，或者更准确的说是从事信息安全的人，关注的主要是信息技术和资产的可用性、完整性和保密性这三者(AIC三角)，同时咱们也知道，若是一个安全项目存在着某一个致命的弱点，那要得到项目实施的成功是不可能的。在这一点上，信息安全能够用铁链理论或木桶理论来解释，铁链的强度是由在它上面最弱的一环而决定，木桶能装多少水也是由组成它的最短的木板所肯定。

     经常在安全项目中看到项目实施须要什么软件硬件，要部署什么技术，防护什么漏洞，也能够从各类来源找到相关的安全方案和材料，但最终这些安全项目的组成部分都是由人去使用、安装、部署和维护的，因此除了信息安全与技术有关的方面以外，人的行为一样也应该是信息安全关注的要点，CISSP CBK引入了一个名词——Wetware,“湿件”，即是指代“人”这一个关键因素，而社会工程学正是专门针对人进行的***。

     在Official Guide中，是这样定义社会工程学的：
     Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.

     也就是说，社会工程学***的目的是为了未经受权访问、使用和泄漏信息系统、网络及数据，而使用的手段则是以欺骗目标人物（一般是通过受权的合法用户）为主。

在Official Guide中将社会工程学的***分红三类，Ego Attack、Sympathy Attack和Intimidation Attack，Ego Attack中***者每每会利用目标用户的自尊心和表现欲来套取其所掌握的信息；Sympathy Attack中***者会将本身假装成目标组织中的新用户或合做伙伴等角色，骗取有权限用户的信任来获取信息（***者假装的身份等级一般低于目标的身份）；而Intimidation Attack中***者会将本身假装成身份等级高于欺骗目标的人，而后要求对方提供所须要的信息。这三种不一样***方式的区别也请朋友们留意。

      要防护社会工程学***，最有效的方式是经过管理上的手段(Administrative Control，安全策略、标准和流程等)来对合法用户的平常操做进行规范，并增强用户安全意识的教育。由于内容较多，你们能够参考一下Official guide的相关内容。

     至此，J0ker就基本把CISSP的第一个CBK——Information Security Management的内容给你们介绍完了。这一章的内容在CISSP CBK体系里面并不算多，但它倒是整个CISSP CBK知识体系的基础，后面章节中所涉及到的知识均可以认为是为这一章中所提到的内容服务的。

     在CISSP考试中，这一章的内容的考核，除了少数几个在Official Guide中提供有实例分析的概念有可能会用实例来出分析题以外，其余有关的题大多以考察概念或名词自己的含义以及在信息安全体系中的意义为主，因此在复习这个章节的时候，尤为是对技术出身的朋友，接触这方面内容比较少，因此J0ker建议多阅读下相关的复习资料，并弄明白各个名词、概念之间的联系和区别，多作练习题却是次要的。朋友们也能够将这个CBK的内容和平常工做中所接触到的内容相联系，或应用到平常工做中去，这样就更容易对这个CBK的内容融会贯通，毕竟CISSP的内容说究竟是为了应用，单纯为考试而准备就没有太大意义。

另外复习的时候还有个小技巧，朋友们能够将Official Guide这个章节后面所列出的CBK要点及Allin One中对应章节末尾的Quick Tips打印出来，装订成小册子，有空的时候就看一看，这样对巩固关键概念的掌握颇有好处的。

 

下篇预告：《Security Architecture and Models（1）》，J0ker将向你们介绍安全架构和模型CBK的第一部分——基础知识，敬请期待！