J0ker的CISSP之路：複習-Information Security Management（終）

     在《J0ker的CISSP之路》系列的上一篇文章裡，J0ker給大家介紹了資訊安全管理CBK中各種安全文檔的定義和差別。我們都知道，各種安全規章制度制定之後，最終也需要組織的每一個成員都了解并自覺遵守才能發揮其應有的作用，要達到這個目的，就要用到本文将介紹的安全意識教育（Security Awareness）這一工具。

    安全意識教育可以作為組織安全計劃中的一部分來進行，CISSP在設計并開始安全意識教育計劃之前，應該先确定安全意識教育項目的目的。目的可以簡單定義為“所有的組織成員必須了解自己最基本的安全責任”或“組織成員必須了解組織所面臨的資訊安全威脅，并養成良好的使用習慣來防禦這些風險并保護資訊系統”，不過很多時候設定更詳細的目标更有利于安全意識教育項目的進行，CISSP Official Guide提供了一個較為詳細的sample：

    Sample——意識教育的目标：

    企業員工必須有了解以下條目的安全意識：

    1、安全政策、标準、流程、底線和指導

    2、實體和資訊資産所面臨的安全威脅

    3、開放網絡環境面臨的安全威脅

    4、需要遵守的法律法規

    5、需要遵守的組織或部門制定的規章制度

    6、如何辨識和保護敏感（或保密）資訊

    7、如何存儲、标記和傳輸資訊

    8、如果發生可疑或已确認的安全事件，應該向誰報告

    9、電子郵件和網際網路安全使用政策和流程

    10、社會工程學

    安全意識教育的目标應該群組織所制定的資訊安全目标相配合，并密切結合組織資訊安全計劃，否則就達不到它預定的效果。CISSP考試中對安全意識教育這個章節的考察不多，不過朋友們還是需要留意一下上面所列出Sample的8和10的内容。8中的向誰報告主要是涉及安全責任和應急響應的概念，而10中的社會工程學則是一個很重要的概念，Official Guide中還專門辟出一個章節進行講解，是以接下去J0ker打算提一下社會工程學及其相關的知識。

    資訊安全，或者更準确的說是從事資訊安全的人，關注的主要是資訊技術和資産的可用性、完整性和保密性這三者(AIC三角)，同時我們也知道，如果一個安全項目存在着某一個緻命的弱點，那要獲得項目實施的成功是不可能的。在這一點上，資訊安全可以用鐵鍊理論或木桶理論來解釋，鐵鍊的強度是由在它上面最弱的一環而決定，木桶能裝多少水也是由組成它的最短的木闆所确定。

     常常在安全項目中看到項目實施需要什麼軟體硬體，要部署什麼技術，防禦什麼漏洞，也可以從各種來源找到相關的安全方案和材料，但最終這些安全項目的組成部分都是由人去使用、安裝、部署和維護的，是以除了資訊安全與技術有關的方面之外，人的行為同樣也應該是資訊安全關注的要點，CISSP CBK引入了一個名詞——Wetware,“濕件”，便是指代“人”這一個關鍵因素，而社會工程學正是專門針對人進行的攻擊。

     在Official Guide中，是這樣定義社會工程學的：

     Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.

     也就是說，社會工程學攻擊的目的是為了未經授權通路、使用和洩漏資訊系統、網絡及資料，而使用的手段則是以欺騙目标人物（通常是經過授權的合法使用者）為主。

在Official Guide中将社會工程學的攻擊分成三類，Ego Attack、Sympathy Attack和Intimidation Attack，Ego Attack中攻擊者往往會利用目标使用者的自尊心和表現欲來套取其所掌握的資訊；Sympathy Attack中攻擊者會将自己僞裝成目标組織中的新使用者或合作夥伴等角色，騙取有權限使用者的信任來擷取資訊（攻擊者僞裝的身份等級通常低于目标的身份）；而Intimidation Attack中攻擊者會将自己僞裝成身份等級高于欺騙目标的人，然後要求對方提供所需要的資訊。這三種不同攻擊方式的差別也請朋友們留意。

      要防禦社會工程學攻擊，最有效的方式是通過管理上的手段(Administrative Control，安全政策、标準和流程等)來對合法使用者的日常操作進行規範，并加強使用者安全意識的教育。因為内容較多，大家可以參考一下Official guide的相關内容。

     至此，J0ker就基本把CISSP的第一個CBK——Information Security Management的内容給大家介紹完了。這一章的内容在CISSP CBK體系裡面并不算多，但它卻是整個CISSP CBK知識體系的基礎，後面章節中所涉及到的知識都可以認為是為這一章中所提到的内容服務的。

     在CISSP考試中，這一章的内容的考核，除了少數幾個在Official Guide中提供有執行個體分析的概念有可能會用執行個體來出分析題之外，其他有關的題大多以考察概念或名詞本身的含義以及在資訊安全體系中的意義為主，是以在複習這個章節的時候，尤其是對技術出身的朋友，接觸這方面内容比較少，是以J0ker建議多閱讀下相關的複習資料，并弄明白各個名詞、概念之間的聯系和差別，多做練習題倒是次要的。朋友們也可以将這個CBK的内容和日常工作中所接觸到的内容相聯系，或應用到日常工作中去，這樣就更容易對這個CBK的内容融會貫通，畢竟CISSP的内容說到底是為了應用，單純為考試而準備就沒有太大意義。

另外複習的時候還有個小技巧，朋友們可以将Official Guide這個章節後面所列出的CBK要點及Allin One中對應章節末尾的Quick Tips列印出來，裝訂成小冊子，有空的時候就看一看，這樣對鞏固關鍵概念的掌握很有好處的。

下篇預告：《Security Architecture and Models（1）》，J0ker将向大家介紹安全架構和模型CBK的第一部分——基礎知識，敬請期待！

本文轉自J0ker51CTO部落格，原文連結：http://blog.51cto.com/J0ker/47512，如需轉載請自行聯系原作者