cissp之路开篇杂言357818809.doc

1、J0ker的CISSP之路开篇杂言 2011年9月22日 14:21 JOker 的 CISSP之路 今天离通过ISC2的Endorsement审批差不多有一个月，一直没有写点东西总结一下备考和考试 之中的点点滴滴，自己想想，还是应该写点东西，也当是对自己努力过的一点纪念：） J0ker觉得自己能一次通过 CISSP的考试是相当幸运的，虽然CISSP仍然比较偏重技术方面的 考核，但安全管理方面的知识占了整个考试相当大的份额，而且考试考核的范围之广，可以用令 人发指来形容。不过还好，毕竟过了，在ISC2的官方站点上查过，截至今年4月31号， 国内的CISSP只有371人，加上5月和6月两次考试的

2、通过者，估计也在400之内（每次考试只 有20多人，只有一半多的通过率），算起来J0ker还是Top500 : P 现在打算在IT行业里面有较好的发展，一两个认证也是必不可少的，虽然从业经验同样是很 宝贵的，许多认证本身的参加考试资格就需要有多少多少年的经验，这种认证必然会使持证者的 自身价值上有不小的提升。但不可否认，因为国内认证机构或者代理机构的鱼龙混杂，导致不少 原来含金量挺高的认证近年来大大贬值，不过认证的学习和考试过程，认真学习的参与者肯定能 受益不少。对应届的毕业生来说，持有初级的技术认证也要比其他竞争者在选择工作上要更有竞 争力，尤其是在现在招聘单位都要求求职者有工作经验的情况下

3、。 之前和安全频道的编辑 Joe讨论过出一个安全认证的专题，但 J0ker 一直静不下心来好好总 结。最近事情比较少，所以 J0ker打算用一个系列的文章，给大家介绍下 CISSP相关的知 识，也和大家交流下备考过程的心得，顺便也通过CISSP的课程体系，给大家介绍一下信息安全 的体系和组成。 写在前面：J0ker的CISSP之路将由15到20篇文章组成。其中详细的介绍了CISSP的相关知 识、认证备考经过和心得，另外 J0ker还会从CISSP的角度，向大家简单介绍信息安全的组成。 希望J0ker的CISSP之路能给大家都带来帮助。最后你们的支持就是我不断努力向前的动 力：） 正文 作为J0

4、ker的CISSP之路系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景 知识，下面我们先来看 CISSP认证的颁发机构（ISC）2： 1989年，到现在已经给超过 120个国家 2目前提供如下6种认证： （ISC 2是信息安全领域的顶级认证机构之一，成立于 的五万多名安全专家授予了相关认证。（ISC） 认证系统安全实践者 ）认证和评估专家 SSCP( System Security Certificated Practitioner ) CAP (Certification and Accreditation Professional CISS P (Certificate

5、d In formation System Security P rofessio nal)认证信息系统安全专家 CISSP的升级版本 CISSP-ISSAP(lnformation System Security Architecture Professional)信息系统安全 架构专家 CISS P-ISSMFP In formation System Security Ma nageme nt P rofessio nal )信息系统安全管理专家 CISS P-ISSEP In formation System Security Engineering P rofessio nal )信

6、息系统安全工程专家 （ISC）2的官方网站是 （ISC 2同时也向公众提供信息安全方面的教育和咨询服务。 urlhtt p://url (ISC) 2提供的6种认证中，知名度最高和持有者人数最多的是CISSP截至2007年4月 底，全球共有48598名CISSP其中人数最多的是美国，现有30385名，中国大陆有 371名。因 为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP而且有一定的相关领域工 作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于(ISC) 2较为低端的SSCF和CAP认证，由于其定位和考核内容的原

7、因，在国际上的接受程度不高，所 以除了美加两国外，其他国家的持有者都很少。 CISSPA证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通 过ISO17O24:2OO3标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为 CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专 家。 CISSPA证的考核范围包括 10个方向，称为 CBK( Com mon BodyofK no wledge )以下按首字母 排序： 1、 AccessControl 访问控制

8、2、 8、 ApplicationSecurity应用安全(包括开发) BusinessContinuityandDisasterRecoveryPlanning 业务持续性和灾难恢复计划 Cryptography信息加密 In formatio nSecuritya ndRiskMa nageme nt 信息安全和风险管理 Legal、Regulation、Complianceandinvestigation 法律、法规、调查 Op eratio nsSecurity 操作安全 Physical ( Environment)Security 物理(环境)安全 SecurityArchitec

9、tureandDesign 安全架构和设计 10、TelecommunicationandNetworkSecurity 通讯和网络安全 CISSP认证以考察考生对信息安全技术掌握的全面程度而著称，这10个CBK里面几乎全部包 含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难，排除语言的原 因之外(CISSP试题是全英文的)，几年安全从业经验再加上考前抽时间认真复习，一次通过考 试的几率还是挺大的。用一个最恰当的句子来形容CISSP的考试，就是 “On emilewide, Oneinchdeep，“考试范围之广和试题的难易程度可见一斑。 但试题的简单并不说明 CIS

10、SP的试题可以轻松搞定，因为，即使没有语言障碍，考前也经过 充分的复习，拿到试卷后考生会发现CISSP的考试将是一场严峻的考验一一在6个小时内，考生 需要完成250道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于CISSP考试使 用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题 的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的，大部分题目都是 给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不是4选 1，而只能凭感觉在 2个相似答案中选其一。 每次CISSP考试的通过率都不算低，但还是有大概一半的

11、考生无法通过考试。他们并不是说 个人能力有问题，很大程度上还是因为CISSP考试考察的范围太广。尽管如此，JOker依然相 信，即使他们没有通过 CISSP的考试，但通过学习 CISSP勺课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵经验。 在上一篇文章 Whats CISSP里，JOker简单介绍了 CISSP及认证机构（ISC）2的背景。相对于 知道CISSP或者（ISC） 2这两个抽象的概念，读者肯定对为什么要获得CISSP认证、获得 CISSP 有什么好处和 CISSP主要从事什么工作这样的问题更感兴趣，J0ker将在本文

12、中结合自己的经历 给读者解答一下。 第一个问题，为什么要获得CISSP呢? 信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对 象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑 客，现在随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追 求转化为对金钱的追逐一一越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的 高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在IT技术 领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解 决如何保护企

13、业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而 CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验，保 持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为 信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如： 1、 适应市场中越来越热的对信息安全人才的需求 2、 增加对信息安全的知识和概念的理解 为当前的工作增加信息安全的理念 在日益激烈的职场竞争中增强自身优势 在薪水增长和职务提升上更有优势 J0ker是2004年听朋友（国内最早的CISSP之一）说起CISSP是国际上最权

14、威的信息安全认 证，也觉得应该要提升一下自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到 今年才考。之前一直认为CISSP只是单纯的技术认证，但接触上之后才发现，CISSP其实是涵盖 了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，J0ker在学 习CISSP的过程中受益颇多，不单巩固了和自己工作相关的Access Co ntrol、Op eration Security和 Telecommunication 如果车主认为部署防追 尾的设备成本比追尾后修一次车还贵的多，或者因为其他原因而无视追尾危险，这样称之为 Reject the Risk，或Ignor

15、e the Risk，风险并没有减轻，只是被忽略了。还有一种较为常见的情况 是车主通过购买保险，将追尾可能产生的各种费用转移到保险公司身上，这称之为Transfer the Risk，即风险转移。Accept和Transfer是对待风险的常用方式，但在某些不太重要的场合，也可 以选择用不作为的方式。 Risk Management), 风险的识别、分析和评估、消除、转移整个流程我们称之为风险管理（ 在进行风险管理的流程时，以下的关键的问题需要弄清楚： 1、 2、 3、 4、 What could happen （Threat event，风险的具体形式，威胁） If it happen ed,

16、 how bad could it be（ Threat imp act，威胁的影响程度） How often it could happen（ Threat frequency，威胁发生的频率） How certain are the answers to the first three questions （ Recognition of uncertainty ， 威胁发 生的几率和不确定性） 这些问题都可以从风险分析和评估中获得答案，威胁发生的不确定性是风险管理中的核心问 题，当然，谁都希望为所有可能发生的情况做好充分的准备，但现实常常不允许我们这样考虑， 我们只能够保证优先度最高的部

17、位和风险最有可能发生的部位能部署到风险管理方案。通过风险 分析和评估，我们可以从上述4个问题中发现一些无法忽视的风险（Unacceptable Risks），我们需 要部署相应的方案来应对它们，以下的问题需要了解清楚： 1、What can be done （Risk Mitigation，风险消除方案） 2、How much will it cost （ annualized，方案每年平均成本） 3、Is it cost effective （ Cost/Benefit Analysis，费效比分析） 上述问题的解答将最终决定一个实体对风险对象的最终解决方案，并执行管理层批准、财务 提供预算

18、、采购、部署、维护等流程进行实施。对于IT领域，风险管理则更进一步的细化为 In formation Risk Ma nageme nt （ IRM），因为IT技术不断的发展，IRM也是一个没有结束期，需 要持续关注的行为。 在进行下面的内容之前，J0ker打算先向大家列出几个关键的名词： SLE Single Loss Expectancy,风险发生时的单个对象的损失 ARO: Annualized rate of Occurrenee，年内风险发生的几率 ALE Annualized Loss Expectancy,风险发生时每年平均损失，ALE=SLEX ARO即如果一个对象 遭遇风险时

19、损失（SLE是10万元，每年发生该风险的几率（ARO）是 1/10 0,那每年平均损失就是 100000 X 0.01=1000 In formation Asset :信息资产，对组织运作起关键作用的信息相关实体，比如客户资料、交易 情况等等，信息资产的价值由许多元素组成，包括最基本的信息本身的价值、信息处理支持软件 的价值、信息的 Availability、Con fide ntiality、I ntegrity属性、信息处理所需的硬件设备也可认为 属于信息资产，信息资产的价值还可以根据损失它后会对组织造成信息本身价值之外的损失的大 小来进行评估。 Qualitative/Quantita

20、tive :质化/量化，对于信息资产价值的评估，通常可以采用量化和质化的 方式，对于能直接算出资产价值的对象，如设备、软件等，可以用量化的方式，直接算出它的价 值。对于另外一些无法量化的对象，如数据、业务流程等，则可以使用质化的方式，请使用该对 象的人员，用分级的方式评估该资产的价值，J0ker觉得简单的五分法可以应付一般的任务， 信息资产按其对组织运营的重要程度，分为非常重要、重要、比较重要、一般、不重要五个级 别，并对应1-5分，分值越高，信息资产的重要程度也越高。 Risk：风险，潜在的损失或伤害，请参考本文前面的内容 Threat :威胁，有可能造成风险的因素，比如各种恶意软件、自然灾

21、害等 Safeguard:风险防御措施，通常也称为Control，风险控制措施 Vulnerability :漏洞，风险防御措施的缺失或弱点，通常出现漏洞就意味着风险发生的频率更 高和风险发生时损失更大。比如没有安装反病毒软件便可认为是一个漏洞，会使恶意软件攻击的 发生几率和损失更大。 信息风险管理是一个复杂的流程，它需要根据每个组织不同的信息资产和业务流程情况，并 综合企业管理、经营预算、员工行为等来进行制定并执行。如果大家有兴趣进一步深入IRM的 领域，请参考 CISSP Official Guide All in One 或其他 CISSP参考书。 在JOker的CISSP之路的上一个文

22、章里，JOker给大家简单介绍了风险分析和评估的一些要 点。我们都知道，如果同时做多个事情，就需要按照事情的轻重缓急来安排好执行的顺序和投 入，实施信息安全项目时也必须如此，需要根据所要保护的信息资产的价值，来部署不同的安全 方案，进行费效比评估，本文J0ker将向大家介绍的In formation Classificatio n (信息分级)，便 是这样一个帮助组织更有效的进行安全项目的重要工具。 什么是信息分级？ 信息分级是组织根据信息的业务风险(Busi ness Risk)、数据本身价值和其他的标准，对信息 进行等级的划分。组织可以通过信息分级，发现影响影响组织业务的最显著因素，并根据

23、信息等 级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自身所有信息的 成本，同时，信息分级对关键信息的标识，也可以增强组织的决策能力。 组织实施信息分级有什么好处？ 信息分级应该在组织级的层次上进行实施，如果在部门级别或更低的层次上进行实施，则体 现不出它的优势。组织实施信息分级的好处有： 1、组织范围的所有数据因为实施了正确的保护措施而提高了保密性、完整性和可用性 2、组织可以尽可能有效的利用信息保护的预算，因为组织可以根据信息等级设计和部署最合 适的保护方案 3、组织的决策能力和准确性得以通过信息分级来增强 此外，组织还能通过信息分级的处理过程，重新整理自身的业务流

24、程和信息处理需求。 信息分级的一般流程 各个组织因为自身的情况不同，信息分级项目的流程都各不相同。CISS P Official Guide中提供了 一个比较有效通用的流程，J0ker将要把它列在下面，并简单说一下CISSP考试中常见的题型和 考察的重点，同时，这些知识点也是一个CISSP应该精通的内容。 一个标准信息分级项目的流程有： 1、初始准备，Official Guide里面把这个阶段概括为” Question to ask,并提供了若干问题，信 息分级项目的主管应保证这个阶段的问题都得到满意解答才继续项目。这些问题分别是： 管理层是否支持这个信息分级项目，不管信息分级项目还是其他更大

25、的安全项目，管理层对 项目的支持是项目成功的首要因素，CISS P CBK一直贯彻这个观点，也反映在CISSP考试的试卷 上； 要保护的信息对象和风险因素是什么，这可以通过接下去的风险分析步骤来得到解答； 是否有法律法规上的要求，信息分级项目主管在实施项目时要优先考虑法律法规方面的因素； 组织的信息是否为整个业务流程所拥有(Has the busi ness accepted owner shi pre spon sibility for the data)，按JOker的理解，这个问题问的应该是组织是否已经意识到，信息是来自于并用于组 织的整个业务流程，而非只存在于各种IT设施中。 是否已经

26、准备好进行项目所需的各种资源，这些资源包括项目各步骤的规划和准备、人员的培 训等 2、制定指导信息分级项目的各种策略，包括： 信息安全策略(In formation Security P olicy )，规定了组织对自身所有数据的所有权、数据的保 护需求、管理层对信息安全项目的支持等。信息安全策略是一个从总体上而非细节上确定组织信 息安全需求的文档，组织的所有安全项目都围绕它来进行。 数据管理策略(Data Management Policy )，规定信息分级是保护信息资产的一个处理流程， 并确定了每一个信息分级的定义、安全需求以及各角色对分级信息的责任。 信息管理策略(In formatio

27、n Man ageme nt Policy )，作为信息安全策略的补充，信息管理策略 规定了以下几点： 信息是其所属业务单元的资产； 业务单元的管理者是信息的所有者； IT设施和部门是信息的持有人； 定义信息分级和所有权之中使用到的各种角色和责任； 定义各信息等级和其对应的标准； 定义每个信息等级的最小安全需求范围。 CISS P 其中，第一、第二点是 CISSP考试中常考察到的点，信息分级中的各种角色和责任也是 内容中一个重要的内容，好几个CBK中的知识体系都与它有直接的关系。 3、风险分析：制定好信息分级项目所需的各种策略和流程之后，项目就可以进入到下一个阶 段一一风险分析，风险分析需要组

28、织的各个部门的代表组成一个联合工作小组进行操作，如果资 源或其他原因不允许，也应该由对组织中最重要的部门的代表组成工作小组。J0ker在这次再次 提醒一下，风险分析步骤成功的一个最重要因素依然是来自管理层的支持，CISSP考试中也经常 考察这点。 4、实施信息分级：在信息分级标准确定和风险分析完成后，项目就进入到信息分级的实施阶 段。从成本和控制难度的角度来说，一个组织对其信息使用太多的信息等级是不明智的，这样除 了会增加部署、管理成本和控制的难度外，也会因为分级太多而导致人员责任不清、效率低下等 弊端，所以可以采用适当数量的信息等级并给每个等级赋予简单易记的名字。 Official Guid

29、e中提供的信息分级示例可供参考，在一个公司里面，信息可以根据业务和风险分 为3个等级： P ublic，可公开的信息； Internal Use Only ,仅限公司内部使用的各种信息(但不保密)； Com pany Con fide ntial，公司机密文档。 此外，在复习信息分级这个部分时，还有角色及责任的定义这个知识点也需要着重复习一 下，信息分级中的角色可以根据组织的具体情况来定义，最常见的有： 、 、 、 、 、 In formation Owner，组织中信息所属部门的经理或管理者 In formation Custodia n，通常是IT部门，负责进行信息的日常维护 Applic

30、ation Owner，组织中拥有某个处理信息的应用程序的部门的经理或管理者 User Manager，组织中对用户和员工进行管理的部门或人，HR部门便是一个例子 Security Administrator，负责管理组织中人员的系统帐户等使用情况的人员，通常是组织 中的网管 (6)、Security Analyst，负责制定组织的各种级别的信息安全计划、各种安全文档等，通常是 CIO、CISO CSO之类的人物 (7) 、Data Analyst，负责根据组织业务进行数据结构或类型的设计、维护等操作的人员 (8) 、Solution Provider和DataAnalyst协作，提供数据处理

31、方案的人员 (9) 、End User，最终用户 关于各角色及其责任的定义可以在CISSP Oficial Guide中找到更详细的解释。根据JOker的复 习经验，角色1、2、4、5的定义和责任在 CBK复习时是需要着重看一下。 在J0ker的CISSF之路系列的上一篇文章里，J0ker给大家介绍了 In formation Classificatio n的 相关内容，作为使组织的安全计划得以更有效进行的工具，In formation Classification在安全计划 制定前期有不可替代的重要作用。完成风险分析和信息分级之后，安全计划的下一步需要做什 么？这便是本文将要介绍的P oli

32、cy/Sta ndard/Basel in e/Guideli ne/P rocedure等一系列安全文档的准 备工作。 一个信息安全计划的最终目标，就是要保护目标组织信息资产的完整性、保密性和可用性， 而各种针对信息资产的威胁，诸如非授权访问、篡改、毁坏和泄漏等，却常常会破坏组织的信息 资产。这样的状况就要求组织把信息安全计划纳入整个组织的资产保护计划中去，此外，信息安 全技术并不能完全彻底的保护信息资产免受各种威胁的损害，对组织而言，更多的保护工作应该 或只能通过管理上的手段来达到目的。因此，要成功实施一个安全计划，就必须确保组织中的每 一个人都理解和支持安全计划，这时，就需要使用安全策略

33、(policy)、安全标准(standard)、安全 底线(Baseline卜安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段来帮助每一 个组织成员理解安全计划，并规范组织成员的行为。 IT技术 作为安全计划的负责人，组织的信息安全主管通常要负责制定和部署组织的安全策略、标 准、指引和安全流程，而他常常会从IT部门中抽调人手进行这些安全文档的制定工作。 背景有时能对信息安全主管理解安全计划的技术方面提供帮助，但过多的技术人员组成却会对安 全主管理解组织的业务目标和战略造成困难。安全主管在安全文档的制定过程中，也常常会从各 种资料或咨询企业中寻求帮助，但从这些

34、途径中所收集到的信息往往只能作为怎么做”的参考， 而不能回答为什么要这样做”因此安全文档的制定和执行还需要安全主管如同进行风险分析和 信息分级 项目那样，汇集来自组织各个部门的负责人员一起进行。 另外，组织的运作常常还有法律法规方面的要求，这也需要反映到安全策略和流程中去，而法 律法规规定了在组织的运作中，谁应该对什么负责和应该怎么做去满足组织的运作要求，这又引 入了 CISSP CBK中的另外几个重要概念： Duty of loyalty、Due Care和 Due Diligenee。 Due Duty of loyalty主要是道德及法律上的要求，要求组织成员不应该利用自己所处地位及自己

35、的 优势去获得好处；Due Care是要求组织的管理层应该诚实、审慎、对自己及组织负责；而 Diligenee则是要求组织的管理层必须要做的若干使组织符合法律法规、一致性、安全或程序上要 求的事情，ISM CBK提供了 Due Diligenee的七个要点。根据 JOker的理解，Due Care主要是主观 上需要，而 Due Diligenee则是客观上需要的。CISSP考试常常会考察 Due Care和Due Diligenee的 概念，或利用一个例子来让考生判断是Due Care还是Due Diligenee或其他什么概念，在复习时 应该多留意一下这几个概念的具体内容和区别。 说完了安全

36、文档对安全计划的意义及相关的内容，我们重新把注意力集中回这些文档本身上， 先来看一下各文档的定义： P olicy: 个组织级的信息安全策略包含了组织管理层对一个安全项目的目标、评价、责任等 属性的指导，还定义了一个组织对信息安全的理解。信息安全策略是简短的，并不来自于技术或 解决方案的，并为进一步的基于技术或解决方案的Standard (安全标准)等提供管理层的授权。 另外如果组织规模较大，还会制定和部署部门级的安全策略文档，它和组织级的安全策略相类 似，但也针对部门的职能进行了进一步的描述和规定。在Official Guide中有关于Policy的示例， 有需要的朋友可以参考一下。 Sta

37、 ndard :安全标准是支持安全策略实施，并通过规定具体的标准和实施的方向来支持使安全 策略能更为有效执行的文档，它规定了强制性的活动、行为、规则和制度等，通常会规定具体的 技术手段、产品或解决方案等，并在组织内部整体实施。 Baseli ne：安全底线和安全标准相类似，也是通过强制性的手段和规定来支持安全策略实施的 文档，但安全底线和安全标准不同的地方在于，安全标准更偏重于宏观上要达到或者要实现什么 目的，而安全底线则是根据同一类型信息资产中不同子类型的特点分别制定的强制规则，如组织 客户端使用的操作系统包括 Windows 2000、Windows XP和Windows 2003，要求所

38、有的客户端系 统都按照某个厂商某一个版本的反病毒软件，就是安全标准；而Windows 2000/XP/2003分别进 行什么安全配置，则是安全底线。 Guideline :安全指导是非强制性的，带有建议性质的安全文档，它通过建议组织及其成员，进 行建议的行为或活动，来获得更高的安全级别，或对信息安全有更深入了解。 P rocedure :安全流程是通过给组织及其成员提供在操作环境中切实可行并具体的每步操作流 程和标准，以达到安全策略、安全标准和安全底线等文档规定要求的文档。 在CISSP Official Guide中，还对每一个安全文档都举出了简单的例子，并对它们进行了比较， 建议有时间的朋

39、友分别阅读一下，并仔细对比它们之间的联系和差别。J0ker做了一个图，简单 的归纳了这些安全文档的联系，图如下： 图1 安全策略、标准、底线、指导和安全流程是确保组织中的每一个成员都理解和遵守组织的安 全计划，并完成制定的工作任务的关键元素。CISSP考试中通常会出与这些文档的定义有关的题 目，朋友们在复习中可以多留意下这些知识点之间的联系和区别，并通过复习材料中的例子来记 忆每一种文档的写法。 在JOker的CISSP之路系列的上一篇文章里，JOker给大家介绍了信息安全管理CBK中各种安 全文档的定义和区别。我们都知道，各种安全规章制度制定之后，最终也需要组织的每一个成员 都理解并自觉遵守

40、才能发挥其应有的作用，要达到这个目的，就要用到本文将介绍的安全意识教 育（Security Awareness）这一工具。 安全意识教育可以作为组织安全计划中的一部分来进行，CISSP在设计并开始安全意识教育计 划之前，应该先确定安全意识教育项目的目的。目的可以简单定义为所有的组织成员必须了解 自己最基本的安全责任”或 组织成员必须了解组织所面临的信息安全威胁，并养成良好的使用习 惯来防御这些风险并保护信息系统”不过很多时候设定更详细的目标更有利于安全意识教育项 目的进行，CISSP Official Guide提供了一个较为详细的sampie : Sampie意识教育的目标： 企业员工必须有

41、理解以下条目的安全意识： 1、 2、 3、 4、 5、 6、 7、 8 9、 安全策略、标准、流程、底线和指导 物理和信息资产所面临的安全威胁 开放网络环境面临的安全威胁 需要遵守的法律法规 需要遵守的组织或部门制定的规章制度 如何辨识和保护敏感（或保密）信息 如何存储、标记和传输信息 如果发生可疑或已确认的安全事件，应该向谁报告 电子邮件和互联网安全使用策略和流程 10、社会工程学 安全意识教育的目标应该和组织所制定的信息安全目标相配合，并密切结合组织信息安全计 划，否则就达不到它预定的效果。CISSP考试中对安全意识教育这个章节的考察不多，不过朋友 们还是需要留意一下上面所列出 Sam p

42、ie的8和10的内容。8中的向谁报告主要是涉及安全责任 和应急响应的概念，而 10中的社会工程学则是一个很重要的概念，Official Guide中还专门辟出 一个章节进行讲解，所以接下去J0ker打算提一下社会工程学及其相关的知识。 信息安全，或者更准确的说是从事信息安全的人，关注的主要是信息技术和资产的可用性、完 整性和保密性这三者（AIC三角），同时我们也知道，如果一个安全项目存在着某一个致命的弱 点，那要获得项目实施的成功是不可能的。在这一点上，信息安全可以用铁链理论或木桶理论来 解释，铁链的强度是由在它上面最弱的一环而决定，木桶能装多少水也是由组成它的最短的木板 所确定。 常常在安全

43、项目中看到项目实施需要什么软件硬件，要部署什么技术，防御什么漏洞，也可 以从各种来源找到相关的安全方案和材料，但最终这些安全项目的组成部分都是由人去使用、安 装、部署和维护的，所以除了信息安全与技术有关的方面之外，人的行为同样也应该是信息安全 关注的要点，CISSP CB引入了一个名词 一一Wetware,湿件”，便是指代“人”这一个关键因 素，而社会工程学正是专门针对人进行的攻击。 在Official Guide中，是这样定义社会工程学的： Successful or un successful atte mpts to in flue nee a person（s） into either

44、 reveali ng in formatio n or act ing in a manner that would result in un authorized access to, un authorized use of, or un authorized disclosure of an in formati on system, a n etwork, or data. 也就是说，社会工程学攻击的目的是为了未经授权访问、使用和泄漏信息系统、网络及数 据，而使用的手段则是以欺骗目标人物（通常是经过授权的合法用户）为主。 在Official Guide中将社会工程学的攻击分成三类，E

45、go Attack、Sympathy Attack和Intimidation Attack，Ego Attack中攻击者往往会利用目标用户的自尊心和表现欲来套取其所掌握的信息； Sympathy Attack中攻击者会将自己伪装成目标组织中的新用户或合作伙伴等角色，骗取有权限 用户的信任来获取信息（攻击者伪装的身份等级通常低于目标的身份）；而In timidation Attack 中攻击者会将自己伪装成身份等级高于欺骗目标的人，然后要求对方提供所需要的信息。这三种 不同攻击方式的区别也请朋友们留意。 要防御社会工程学攻击，最有效的方式是通过管理上的手段（Administrative Cont

46、rol，安全策 略、标准和流程等）来对合法用户的日常操作进行规范，并加强用户安全意识的教育。因为内容 较多，大家可以参考一下Official guide的相关内容。 至此，JOker就基本把 CISSP的第一个 CBKIn formation Security Ma nageme nt 的内容给大家 介绍完了。这一章的内容在 CISS P CBI体系里面并不算多，但它却是整个 CISS P CB知识体系的 基础，后面章节中所涉及到的知识都可以认为是为这一章中所提到的内容服务的。 在CISSP考试中，这一章的内容的考核，除了少数几个在Oficial Guide中提供有实例分析的概 念有可能会用实

47、例来出分析题之外，其他有关的题大多以考察概念或名词本身的含义以及在信息 安全体系中的意义为主，所以在复习这个章节的时候，尤其是对技术出身的朋友，接触这方面内 容比较少，所以JOker建议多阅读下相关的复习资料，并弄明白各个名词、概念之间的联系和区 别，多做练习题倒是次要的。朋友们也可以将这个CBK的内容和日常工作中所接触到的内容相 联系，或应用到日常工作中去，这样就更容易对这个CBK的内容融会贯通，毕竟CISSP的内容说 到底是为了应用，单纯为考试而准备就没有太大意义。 另外复习的时候还有个小技巧，朋友们可以将Official Guide这个章节后面所列出的CBK要点及 Allin One中对

48、应章节末尾的 Quick Tips打印出来，装订成小册子，有空的时候就看一看，这样对 巩固关键概念的掌握很有好处的。 在JOker的CISSP之路系列的上几篇文章里，JOker给大家介绍了 CISSP学习内容的第一个 CBKIn formation Security Man ageme nt的内容，接下去 JOker将给大家介绍第二个 CBK Security Architecture and Design，安全架构和设计。 如果把信息安全管理比作指引组织进行安全项目的路标，那么安全架构和设计便是组织通往信 息安全这个目标所用的交通工具的基本结构，它包括用于设计、实施、监控和保护操作系统、设

49、备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标 准。 安全架构和设计 CBK的内容大概可以分为四个部分：概念部分、保护机制、安全模型和系统测 评，JOker打算用5到6个文章的篇幅，逐一介绍这些内容并总结CISSP考试的重点。本文先从 第一部分： 概念部分开始。 在进行一个信息系统的设计时，我们需要对目标系统的众多需求进行平衡，这些需求包括功 能、灵活性、性能、易用性、成本、业务需求和安全。这里强调一下，安全应该在系统设计中的 开始阶段就作为一个关键因素进行考虑，使用了超过业务需求的安全性能，就会导致用户体验的 恶化，但降低的安全性能也会系统的部署和运行维护

50、成本将会大大增加。系统设计的过程就是平 衡多种需求的过程，设计者通常需要根据组成构架的每个元素的重要性，来确定如何Trade off 。在设计阶段考虑安全性，并不会对架构的设计增加太多的劳动量，它可以平滑的嵌入到架 构设计的各个阶段，这样就可以保证安全性可以随着架构逐渐的设计完成而完成。 安全架构从概念上说，便是从安全角度审视整个系统架构，它主要提供系统架构所需要的安全 服务、机制、技术和功能，并提供如何进行安全设施部署的建议。CISS P CBK中在安全架构概念 部分的安排里面，还要求 CISSP对最基本的架构有了解，它所指出的就是Layered Approach ,也 就是分层结构。请看下

51、图： 图1 在这个架构中，用户只与应用程序进行交流，而操作系统向上负责与应用程序，向下负责与硬 件、网络层进行联络。 为了更好的理解安全架构，CISSP还需要进一步的了解分层结构包含的底层架构，列表如下： Platform Architecture 平台架构 Network Environment 网络环境 Enterprise Architecture 企业架构 Security Model 安全模型 Protection Mechanisms 保护机制 在深入讨论这些组成安全架构的元素之前，朋友们还要了解一点，安全架构的设计应该和组织 的安全策略相吻合，否则就不能实现组织的安全目标。关于安

52、全策略的详细内容大家可参与 CISSP Official Guide All in One或本系列文章的之前内容。 平台架构主要指冯诺依曼的经典计算机模型，CISSP需要了解操作系统软件和工具的概念和功 能、组成计算机的 CPU内存、存储设备的类型和输入输出设备的概念和功能、针对内存攻击的 类型等。从CISSP考试的模拟题和 J0ker自己参加过的考试来看，关于平台架构的题目一般只会 简单的考察概念。 Telecom muni cati on and Network Security 网络环境方面主要是对常见的网络威胁进行分类，在 CBK中有更深入的介绍。 Official Guide中定义了

53、六个角色和与其 企业架构主要是指组织本身对人员和职能的划分，在 相对应的职能，朋友们在复习时也需要记住。 (CIA)三角的控制模型，这是本 安全模型指的是一些常见的保证信息安全的保密性完整性可用性 CBK的考察重点，J0ker在后面的文章还将详细讲述。 另外，在这一节中，有以下的一些概念在复习时也需要理解一下： CPU的状态 内存管理中的分页技术、虚拟内存技术以及相应的内存保护、攻击技术 TOU/TOC Time of use/Time of check 多种类型的操作系统类型的概念及其安全性 共享环境(Shared environment)下的攻击概念 系统五种安全模式的概念 Dedicat

54、ed Security mode System high-security mode Multi-level security mode Con trolled mode Comp artme ntalized security mode CBK起了技术方面 CBK时尽量静下心来看。 这一个CBK里的概念比较多也比较抽象，但因为这一章里面的内容对后面的 的总领作用，CISSP考试也以考概念为主，建议朋友们在复习这个 1)里，JOker给大家介绍了系 CISSP考试考察的一个重点，同时 J0ker打算在本文中详细 在J0ker的CISSP之路系列的上一篇文章安全架构和设计( 统架构和设计的第一部

55、分，因为这个部分里的安全模型概念是 目前所有的系统和软件都是基于这些安全模型来设计安全原则的，所以 介绍这些安全模型： 我们都知道，信息安全的目的就是要保证信息资产的三个元素：保密性，完整性和可用性 (CIA)，CIA这个也就是这三个元素开始为人们所关注的时间的先后。现在系统设计中所使用的 安全模型的出现的顺序也大概如此，先出现专门针对保密性的BLP模型，然后出现针对完整性的 Biba模型、Clark-Wilson模型等，在访问控制中所使用的访问控制列表/矩阵(Access Control List(ACL)/Access Control Matrix(ACM)，在CISSP的 CBK内容中也

56、把它划分到安全模型的范围 内。顺便说明一下，因为可用性本身涉及到的因素很多，并没有一个被广泛接受的通用安全模 型，所以CISSP勺CBK里只要求掌握针对保密性和完整性的安全模型。 安全模型所依赖的理论基础一一状态机模型和信息流模型 状态机(State Machine)模型是信息安全里用来描述无论何时状态都是安全的系统模型，而 处于特定时刻系统的快照便是一种状态(State)，如果这种状态满足安全策略的要求，我们就可以 认为它是安全的。许多活动会导致系统状态的改变，称之为状态转换(States transaction )，如 果这些活动都是系统所允许而且不会威胁到系统安全的，则系统执行的便是安全

57、的状态机模型 (Secure State Machine)。一个安全状态机模型总是从安全的状态启动，并且在所有状态的转换 中保证安全，并只允许行为的实施者以符合安全策略要求的形式去访问资源。 信息流(In formation flow )模型是状态机模型的具体化，在这个模型中，信息在的传递被抽 象成流的形式，大家可以想象一下水流的样子。信息流模型由对象，状态转换和信息流策略所组 成，其中的对象可以是用户，每个对象都会根据信息流策略分配一个安全等级和具体化的数值。 信息流不单可以处理信息流的流向，同时它还可以处理信息流的种类一一在BLP模型中，信息流 模型处理的便是保密性，而在Biba模型中信息

58、流所处理的则变成完整性。由于信息流动的行为 可以在同安全级别的主体和客体之间发生，也可以在不同一个安全级别的情况下发生，所以信息 流模型主要用于防止未授权的、不安全的或受限制的信息流动，信息只能够在安全策略允许的方 向上流动。 状态机模型和信息流模型的进一步具体化就是CISS P CBK中所包括的安全模型，CISS P CB中所 提到的安全模型有：Bell-Lapadula(BLP模型卜Biba模型、Clark-Wilson模型、访问控制矩阵模 型、China Wall模型、Lattice模型。下面JOker将向大家逐一介绍。 前面说过，在信息安全目标的三个元素里面最先为人们所关注的是保密性，

59、因此，在1973年出 现了第一个针对保密性的安全模型Bell-Lapadula模型，这个模型由David Bell和Len Lapadula 为美国国防部的多级安全策略的具体化而开发。它基于强制访问控制系统(MAC)，以信息的敏 感度作为安全等级的划分标准，它的特点如下： Un classified、 Restricted、 Con fide ntial、 Secret、 Top 分为: 基于状态机和信息流模型 只针对保密性进行处理 基于美国政府信息分级标准 Secret 使用 “ Need to know原则 开始于安全状态，在多个安全状态中进行转换(要求初始状态必须为安全，转换结果才在安全

60、 状态) 图1 上图来自CISSP Official Guide是BLP模型的安全策略示意图，BLP模型规定，信息只能按照 安全等级从下往上流动，或者根据策略的规定在同安全级别间流动。 由于BLP模型存在不保护信息的完整性和可用性，不涉及访问控制等缺点，1977年Biba模型 作为BLP模型的补充而提出，它针对的是信息的完整性保护，主要用于非军用领域。它和BLP模 型相类似，也是基于状态机和信息流模型，也使用了和BLP模型相似的安全等级划分方式，只不 过Biba模型的划分标准是信息对象的完整性。 图2 上图来自于CISSP Official Guide Biba模型规定，信息只能从高完整性的安