安全意識教育可以作爲組織安全計劃中的一部分來進行,CISSP在設計並開始安全意識教育計劃之前,應該先確定安全意識教育項目的目的。目的可以簡單定義爲“所有的組織成員必須瞭解自己最基本的安全責任”或“組織成員必須瞭解組織所面臨的信息安全威脅,並養成良好的使用習慣來防禦這些風險並保護信息系統”,不過很多時候設定更詳細的目標更有利於安全意識教育項目的進行,CISSP Official Guide提供了一個較爲詳細的sample:
Sample——意識教育的目標:
企業員工必須有理解以下條目的安全意識:
1、安全策略、標準、流程、底線和指導
2、物理和信息資產所面臨的安全威脅
3、開放網絡環境面臨的安全威脅
4、需要遵守的法律法規
5、需要遵守的組織或部門制定的規章制度
6、如何辨識和保護敏感(或保密)信息
7、如何存儲、標記和傳輸信息
8、如果發生可疑或已確認的安全事件,應該向誰報告
9、電子郵件和互聯網安全使用策略和流程
10、社會工程學
1、安全策略、標準、流程、底線和指導
2、物理和信息資產所面臨的安全威脅
3、開放網絡環境面臨的安全威脅
4、需要遵守的法律法規
5、需要遵守的組織或部門制定的規章制度
6、如何辨識和保護敏感(或保密)信息
7、如何存儲、標記和傳輸信息
8、如果發生可疑或已確認的安全事件,應該向誰報告
9、電子郵件和互聯網安全使用策略和流程
10、社會工程學
安全意識教育的目標應該和組織所制定的信息安全目標相配合,並密切結合組織信息安全計劃,否則就達不到它預定的效果。CISSP考試中對安全意識教育這個章節的考察不多,不過朋友們還是需要留意一下上面所列出Sample的8和10的內容。8中的向誰報告主要是涉及安全責任和應急響應的概念,而10中的社會工程學則是一個很重要的概念,Official Guide中還專門闢出一個章節進行講解,所以接下去J0ker打算提一下社會工程學及其相關的知識。
信息安全,或者更準確的說是從事信息安全的人,關注的主要是信息技術和資產的可用性、完整性和保密性這三者(AIC三角),同時我們也知道,如果一個安全項目存在着某一個致命的弱點,那要獲得項目實施的成功是不可能的。在這一點上,信息安全可以用鐵鏈理論或木桶理論來解釋,鐵鏈的強度是由在它上面最弱的一環而決定,木桶能裝多少水也是由組成它的最短的木板所確定。
常常在安全項目中看到項目實施需要什麼軟件硬件,要部署什麼技術,防禦什麼漏洞,也可以從各種來源找到相關的安全方案和材料,但最終這些安全項目的組成部分都是由人去使用、安裝、部署和維護的,所以除了信息安全與技術有關的方面之外,人的行爲同樣也應該是信息安全關注的要點,CISSP CBK引入了一個名詞——Wetware,“溼件”,便是指代“人”這一個關鍵因素,而社會工程學正是專門針對人進行的***。
在Official Guide中,是這樣定義社會工程學的:
Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.
Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.
也就是說,社會工程學***的目的是爲了未經授權訪問、使用和泄漏信息系統、網絡及數據,而使用的手段則是以欺騙目標人物(通常是經過授權的合法用戶)爲主。
在Official Guide中將社會工程學的***分成三類,Ego Attack、Sympathy Attack和Intimidation Attack,Ego Attack中***者往往會利用目標用戶的自尊心和表現欲來套取其所掌握的信息;Sympathy Attack中***者會將自己僞裝成目標組織中的新用戶或合作伙伴等角色,騙取有權限用戶的信任來獲取信息(***者僞裝的身份等級通常低於目標的身份);而Intimidation Attack中***者會將自己僞裝成身份等級高於欺騙目標的人,然後要求對方提供所需要的信息。這三種不同***方式的區別也請朋友們留意。
要防禦社會工程學***,最有效的方式是通過管理上的手段(Administrative Control,安全策略、標準和流程等)來對合法用戶的日常操作進行規範,並加強用戶安全意識的教育。因爲內容較多,大家可以參考一下Official guide的相關內容。
至此,J0ker就基本把CISSP的第一個CBK——Information Security Management的內容給大家介紹完了。這一章的內容在CISSP CBK體系裏面並不算多,但它卻是整個CISSP CBK知識體系的基礎,後面章節中所涉及到的知識都可以認爲是爲這一章中所提到的內容服務的。
在CISSP考試中,這一章的內容的考覈,除了少數幾個在Official Guide中提供有實例分析的概念有可能會用實例來出分析題之外,其他有關的題大多以考察概念或名詞本身的含義以及在信息安全體系中的意義爲主,所以在複習這個章節的時候,尤其是對技術出身的朋友,接觸這方面內容比較少,所以J0ker建議多閱讀下相關的複習資料,並弄明白各個名詞、概念之間的聯繫和區別,多做練習題倒是次要的。朋友們也可以將這個CBK的內容和日常工作中所接觸到的內容相聯繫,或應用到日常工作中去,這樣就更容易對這個CBK的內容融會貫通,畢竟CISSP的內容說到底是爲了應用,單純爲考試而準備就沒有太大意義。
另外複習的時候還有個小技巧,朋友們可以將Official Guide這個章節後面所列出的CBK要點及Allin One中對應章節末尾的Quick Tips打印出來,裝訂成小冊子,有空的時候就看一看,這樣對鞏固關鍵概念的掌握很有好處的。