在51CTO安全頻道特別策劃的系列的上一篇文章《》里，J0ker給大家介紹了信息安全管理CBK中各種安全文檔的定義和區別。我們都知道，各種安全規章制度制定之后，最終也需要組織的每一個成員都理解并自覺遵守才能發揮其應有的作用，要達到這個目的，就要用到本文將介紹的安全意識教育（Security Awareness）這一工具。

安全意識教育可以作為組織安全計劃中的一部分來進行，CISSP在設計并開始安全意識教育計劃之前，應該先確定安全意識教育項目的目的。目的可以簡單定義為“所有的組織成員必須了解自己最基本的安全責任”或“組織成員必須了解組織所面臨的信息安全威脅，并養成良好的使用習慣來防御這些風險并保護信息系統”，不過很多時候設定更詳細的目標更有利于安全意識教育項目的進行，CISSP Official Guide提供了一個較為詳細的sample：

Sample——意識教育的目標：

企業員工必須有理解以下條目的安全意識：
1、安全策略、標準、流程、底線和指導
2、物理和信息資產所面臨的安全威脅
3、開放網絡環境面臨的安全威脅
4、需要遵守的法律法規
5、需要遵守的組織或部門制定的規章制度
6、如何辨識和保護敏感（或保密）信息
7、如何存儲、標記和傳輸信息
8、如果發生可疑或已確認的安全事件，應該向誰報告
9、電子郵件和互聯網安全使用策略和流程
10、社會工程學

安全意識教育的目標應該和組織所制定的信息安全目標相配合，并密切結合組織信息安全計劃，否則就達不到它預定的效果。CISSP考試中對安全意識教育這個章節的考察不多，不過朋友們還是需要留意一下上面所列出Sample的8和10的內容。8中的向誰報告主要是涉及安全責任和應急響應的概念，而10中的社會工程學則是一個很重要的概念，Official Guide中還專門辟出一個章節進行講解，所以接下去J0ker打算提一下社會工程學及其相關的知識。

信息安全，或者更準確的說是從事信息安全的人，關注的主要是信息技術和資產的可用性、完整性和保密性這三者(AIC三角)，同時我們也知道，如果一個安全項目存在著某一個致命的弱點，那要獲得項目實施的成功是不可能的。在這一點上，信息安全可以用鐵鏈理論或木桶理論來解釋，鐵鏈的強度是由在它上面最弱的一環而決定，木桶能裝多少水也是由組成它的最短的木板所確定。

常常在安全項目中看到項目實施需要什么軟件硬件，要部署什么技術，防御什么漏洞，也可以從各種來源找到相關的安全方案和材料，但最終這些安全項目的組成部分都是由人去使用、安裝、部署和維護的，所以除了信息安全與技術有關的方面之外，人的行為同樣也應該是信息安全關注的要點，CISSP CBK引入了一個名詞——Wetware,“濕件”，便是指代“人”這一個關鍵因素，而社會工程學正是專門針對人進行的攻擊。

在Official Guide中，是這樣定義社會工程學的：
Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.

也就是說，社會工程學攻擊的目的是為了未經授權訪問、使用和泄漏信息系統、網絡及數據，而使用的手段則是以欺騙目標人物（通常是經過授權的合法用戶）為主。

在Official Guide中將社會工程學的攻擊分成三類，Ego Attack、Sympathy Attack和Intimidation Attack，Ego Attack中攻擊者往往會利用目標用戶的自尊心和表現欲來套取其所掌握的信息；Sympathy Attack中攻擊者會將自己偽裝成目標組織中的新用戶或合作伙伴等角色，騙取有權限用戶的信任來獲取信息（攻擊者偽裝的身份等級通常低于目標的身份）；而Intimidation Attack中攻擊者會將自己偽裝成身份等級高于欺騙目標的人，然后要求對方提供所需要的信息。這三種不同攻擊方式的區別也請朋友們留意。

要防御社會工程學攻擊，最有效的方式是通過管理上的手段(Administrative Control，安全策略、標準和流程等)來對合法用戶的日常操作進行規范，并加強用戶安全意識的教育。因為內容較多，大家可以參考一下Official guide的相關內容。

至此，J0ker就基本把CISSP的第一個CBK——Information Security Management的內容給大家介紹完了。這一章的內容在CISSP CBK體系里面并不算多，但它卻是整個CISSP CBK知識體系的基礎，后面章節中所涉及到的知識都可以認為是為這一章中所提到的內容服務的。

在CISSP考試中，這一章的內容的考核，除了少數幾個在Official Guide中提供有實例分析的概念有可能會用實例來出分析題之外，其他有關的題大多以考察概念或名詞本身的含義以及在信息安全體系中的意義為主，所以在復習這個章節的時候，尤其是對技術出身的朋友，接觸這方面內容比較少，所以J0ker建議多閱讀下相關的復習資料，并弄明白各個名詞、概念之間的聯系和區別，多做練習題倒是次要的。朋友們也可以將這個CBK的內容和日常工作中所接觸到的內容相聯系，或應用到日常工作中去，這樣就更容易對這個CBK的內容融會貫通，畢竟CISSP的內容說到底是為了應用，單純為考試而準備就沒有太大意義。

另外復習的時候還有個小技巧，朋友們可以將Official Guide這個章節后面所列出的CBK要點及Allin One中對應章節末尾的Quick Tips打印出來，裝訂成小冊子，有空的時候就看一看，這樣對鞏固關鍵概念的掌握很有好處的。

下篇預告：《Security Architecture and Models（1）》，J0ker將向大家介紹安全架構和模型CBK的第一部分——基礎知識，敬請期待！