安全意識教育可以作為組織安全計劃中的一部分來進行,CISSP在設計並開始安全意識教育計劃之前,應該先確定安全意識教育項目的目的。目的可以簡單定義為“所有的組織成員必須瞭解自己最基本的安全責任”或“組織成員必須瞭解組織所面臨的資訊安全威脅,並養成良好的使用習慣來防禦這些風險並保護資訊系統”,不過很多時候設定更具體的目標更有利於安全意識教育項目的進行,CISSP Official Guide提供了一個較為具體的sample:
Sample——意識教育的目標:
企業員工必須有理解以下條目的安全意識:
1、安全性原則、標準、流程、底線和指導
2、物理和資訊資產所面臨的安全威脅
3、開放網路環境面臨的安全威脅
4、需要遵守的法律法規
5、需要遵守的組織或部門制定的規章制度
6、如何辨識和保護敏感(或保密)資訊
7、如何儲存、標記和傳輸資訊
8、假如發生可疑或已確認的安全事件,應該向誰報告
9、電子郵件和互連網安全使用原則和流程
10、社交工程學
安全意識教育的目標應該和組織所制定的資訊安全目標相配合,並密切結合組織資訊安全計劃,否則就達不到它預定的效果。CISSP考試中對安全意識教育這個章節的考察不多,不過朋友們還是需要留意一下上面所列出Sample的8和10的內容。8中的向誰報告主要是涉及安全責任和應急響應的概念,而10中的社交工程學則是一個很重要的概念,Official Guide中還專門辟出一個章節進行講解,所以接下去J0ker打算提一下社交工程學及其相關的知識。
資訊安全,或者更準確的說是從事資訊安全的人,關注的主要是資訊技術和資產的可用性、完整性和保密性這三者(AIC三角),同時我們也知道,假如一個安全項目存在著某一個致命的弱點,那要獲得項目實施的成功是不可能的。在這一點上,資訊安全可以用鐵鏈理論或木桶理論來解釋,鐵鏈的強度是由在它上面最弱的一環而決定,木桶能裝多少水也是由組成它的最短的木板所確定。
經常在安全項目中看到項目實施需要什麼軟體硬體,要部署什麼技術,防禦什麼漏洞,也可以從各種來源找到相關的安全方案和材料,但最終這些安全項目的組成部分都是由人去使用、安裝、部署和維護的,所以除了資訊安全與技術有關的方面之外,人的行為同樣也應該是資訊安全關注的要點,CISSP CBK引入了一個名詞——Wetware,“濕件”,便是指代“人”這一個要害因素,而社交工程學正是專門針對人進行的攻擊。
在Official Guide中,是這樣定義社交工程學的:
Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.
也就是說,社交工程學攻擊的目的是為了未經授權訪問、使用和泄漏資訊系統、網路及資料,而使用的手段則是以欺騙目標人物(通常是經過授權的合法使用者)為主。
在Official Guide中將社交工程學的攻擊分成三類,Ego Attack、Sympathy Attack和Intimidation Attack,Ego Attack中攻擊者往往會利用目標使用者的自尊心和表現欲來套取其所把握的資訊;Sympathy Attack中攻擊者會將自己偽裝成目標組織中的新使用者或夥伴等角色,騙取有許可權使用者的信任來擷取資訊(攻擊者偽裝的身份等級通常低於目標的身份);而Intimidation Attack中攻擊者會將自己偽裝成身份等級高於欺騙目標的人,然後要求對方提供所需要的資訊。這三種不同攻擊方式的區別也請朋友們留意。
要防禦社交工程學攻擊,最有效方式是通過治理上的手段(Administrative Control,安全性原則、標準和流程等)來對合法使用者的日常操作進行規範,並加強使用者安全意識的教育。因為內容較多,大家可以參考一下Official guide的相關內容。
至此,J0ker就基本把CISSP的第一個CBK——Information Security Management的內容給大家介紹完了。這一章的內容在CISSP CBK體系裡面並不算多,但它卻是整個CISSP CBK知識體系的基礎,後面章節中所涉及到的知識都可以認為是為這一章中所提到的內容服務的。
在CISSP考試中,這一章的內容的考核,除了少數幾個在Official Guide中提供有執行個體分析的概念有可能會用執行個體來出分析題之外,其他有關的題大多以考察概念或名詞本身的含義以及在資訊安全體系中的意義為主,所以在複習這個章節的時候,尤其是對技術出身的朋友,接觸這方面內容比較少,所以J0ker建議多閱讀下相關的複習資料,並弄明白各個名詞、概念之間的聯絡和區別,多做練習題倒是次要的。朋友們也可以將這個CBK的內容和日常工作中所接觸到的內容相聯絡,或應用到日常工作中去,這樣就更輕易對這個CBK的內容融會貫通,究竟CISSP的內容說到底是為了應用,單純為考試而預備就沒有太大意義。
另外複習的時候還有個小技巧,朋友們可以將Official Guide這個章節後面所列出的CBK要點及Allin One中對應章節末尾的Quick Tips列印出來,裝訂成小冊子,有空的時候就看一看,這樣對鞏固要害概念的把握很有好處的。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
