在51CTO安全頻道特別策劃的系列的上一篇文章《》里，J0ker給大家介紹了一般的復習流程和對復習比較有幫助的資源。從本文開始，J0ker將帶大家進入CISSP考試的正式復習過程：2007年(ISC)2修改過CISSP考試的各CBK名稱和內容，雖然新內容絕大部分和原來的CISSPCBK相同，但還是增加了一些新內容。J0ker手上只有比較老的CISSP Official Guide和CISSPAllin One3rd（J0ker準備考試時也是用這兩本資料，對增加新內容的考試還可以應付），所以在本系列文章中依然沿用(ISC)2修改前的CBK名稱和內容，J0ker會按照CISSP Official Guide的內容安排給大家介紹一下復習中的心得和要點，限于J0ker自己水平和各人的情況不同可能有所不足，請大家原諒。

CISSP復習的第一章Information Security Management

安全行業有句行話，“三分技術，七分管理”，意為安全技術應該從屬于管理。不少安全廠商在推銷自己的產品時，常常只顧鼓吹說自己的產品有多好，卻沒有向客戶說明產品是否適用于目標企業的實際環境。CISSP需要明白，安全技術也好，安全產品也好，都是必須從屬于安全管理，只能因管理而技術，從安全技術和產品的使用去推導安全管理應該怎么做，就是本末倒置了。因此CISSP CBK中引入了Information Security Management這一概念，假如把企業的信息安全計劃比作一艘船，信息安全管理就如同燈塔，指揮著船往哪里走，怎么走，如果舵手（CISSP）不按照燈塔（Information Security Management）的指示走，船就很可能觸礁沉沒（安全項目失敗，或達不到想要的效果）

信息安全管理，或者說所有的信息安全項目，都是圍繞著實現信息資產的A-I-C三角而設計和實施的。所謂的A-I-C三角，也即信息資產的三個重要屬性：

Availability，可用性，保證信息資產對授權的用戶隨時可用；

Integrity，完整性，保證信息資產不受有意或無意的未授權修改；

Confidentiality，保密性，保證信息資產不受未經授權的訪問。

A-I-C三角也是貫穿整個CISSPCBK內容的宗旨。因此，對一個組織實體來說，信息安全管理的內容就是識別信息資產的類型價值，并通過開發、記錄和實施安全策略（Policies）、標準（Standards）、流程（Procedures）和指導（Guidelines）來確保信息資產的A-I-C屬性。在這個過程中，需要對信息資產進行識別和分級、識別可能威脅信息資產的威脅、并對可能存在的漏洞進行評估，我們可以使用數據分級（Dataclassification）、安全意識教育(Security Awareness Training)、風險評估(Risk Assessment)和風險分析（Risk Analysis）這些工具來完成。J0ker將在接下去的文章里面再給大家詳細解釋上面提到的各個名詞。

在CISSP CBK中還可以看到一個和信息安全管理相似的名詞——風險管理(Risk Management)，信息安全管理是從管理流程的角度實現信息資產的保護，而風險管理則是從風險防范的角度出發，將風險對信息資產的損害降到最低。風險管理是識別、評估、控制和最小化風險或未確定因素對信息資產的損害的過程，它包括整體安全評估（Overall Security Reviews）、風險分析（Risk Analysis）、防御方案的選擇和評估（Evaluationand Selectionof Safeguard）、效能分析（Cost/Benefit Analysis）、管理決策（Management Decision）、防御方案部署（Safeguard Implementation）和效能評估（Effectiveness Reviews）等步驟。

A-I-C三角是貫穿CISSP CBK的宗旨，這也是我們在CISSP復習中遇到的第一個重點，如何把抽象的A-I-C概念，轉化成具體的知識？J0ker打算用實際應用中的例子說明一下：

Availability，是確保信息資產對授權用戶隨時可用的能力，在實際應用中，我們可以把有可能損害可用性的威脅分成2類：
1、Denial of Service拒絕服務
2、會造成數據處理所需設備損失的自然災害（火災、水災、地震等）或人為因素（恐怖襲擊等）
拒絕服務通常指因為用戶或入侵者的原因導致某個數據服務無法向其用戶提供服務的故障，比如計算資源的耗盡導致的計算機鎖死、存儲器資源的耗盡導致的文件讀寫失敗、網絡資源耗盡導致的網站無法訪問等，但拒絕服務通常不會物理損壞數據服務所依靠的設備，進行釋放資源之類的相關處理便可恢復正常。而自然災害和人為因素則是物理損壞，只能重新購置部署設備才能使數據服務恢復正常。我們可以制定業務持續性計劃（Contingency Planning），并通過物理（Physical Control，物理安全及設備備份）、技術（Technical Control，設備冗余、數據備份及訪問控制）和管理(Administrative Control，各種策略流程等管理措施)手段來保證可用性。

Integrity，是確保信息資產不被有意或無意的未授權修改的能力，完整性通常由訪問控制（Access Control，各種驗證、授權手段）和安全程序（Security Program，保證信息和處理流程按照設計好的來執行，并提供數據完整性檢查能力）這兩者提供。另外，完整性控制還有以下三個原則：
1、Need to know/Least Privilege，最低權限策略，用戶應該只獲得完成其工作的最低限度的資源訪問和操作權限。
2、Separation of Duties，職權分離，確保較為重要的工作流程由多人完成，防止出現欺詐行為。比如常見的財務人員和審計人員分屬于不同的部門便是職權分離的例子。
3、Rotation of Duties，職務輪換，定期輪換重要職務上的人員，有助于防止出現欺詐，也可以在當前人員缺席的情況下很快使用其他人員替代。

Confidentiality，是確保信息資產不被未授權用戶訪問的能力，最近幾年很受關注的身份管理和隱私問題也屬于保密性這一范疇。常見的保密性威脅有：

1、Hacker/Cracker，系統的未授權訪問通常是由于黑客或駭客的入侵造成的。
2、Masqueraders，授權用戶偽裝成另外一個授權用戶，或未授權用戶偽裝成授權用戶的非法訪問行為。
3、Unauthorized User Activity，授權或未授權用戶對不屬于其授權范圍的資源的訪問行為。
4、Unprotecteddownloadedfiles，用戶違規把保密文件下載并存儲在沒有保護措施的地方。
5、Networks，保密文件未經加密便在網絡上傳輸。
6、Trojan Horses，木馬病毒盜取保密文件是近年來發生比較多的安全事故
7、Social Engineering，社會工程欺騙是這兩年的一個關注熱點。

下篇預告:《Information Security Management(2)》，J0ker將繼續給大家講述信息安全管理的風險評估和分析、信息分級。