复习-Information Security Management（终）

                                                                 作者：安言咨询 J0ker

我们都知道，各种安全规章制度制定之后，最终也需要组织的每一个成员都理解并自觉遵守才能发挥其应有的作用，要达到这个目的，（ISC）2在CISSP CBK中引入了安全意识教育（Security Awareness）这一工具。

安全意识教育的定义及示例：

    安全意识教育可以作为组织安全计划中的一部分来进行，CISSP在设计并开始安全意识教育计划之前，应该先确定安全意识教育项目的目的。目的可以简单定义为“所有的组织成员必须了解自己最基本的安全责任”或“组织成员必须了解组织所面临的信息安全威胁，并养成良好的使用习惯来防御这些风险并保护信息系统”，不过很多时候设定更详细的目标更有利于安全意识教育项目的进行，CISSP Official Guide 提供了一个较为详细的sample：

Sample——意识教育的目标：

企业员工必须有理解以下条目的安全意识：

安全策略、标准、流程、底线和指导

物理和信息资产所面临的安全威胁

开放网络环境面临的安全威胁

需要遵守的法律法规

需要遵守的组织或部门制定的规章制度

如何辨识和保护敏感（或保密）信息

如何存储、标记和传输信息

如果发生可疑或已确认的安全事件，应该向谁报告

电子邮件和互联网安全使用策略和流程

社会工程学

   安全意识教育的目标应该和组织所制定的信息安全目标相配合，并密切结合组织信息安全计划，否则就达不到它预定的效果。CISSP考试中对安全意识教育这个章节的考察不多，不过朋友们还是需要留意一下上面所列出Sample的8和10的内容。8中的向谁报告主要是涉及安全责任和应急响应的概念，而10中的社会工程学则是另外一个很重要的概念，Official Guide中还专门辟出一个章节进行讲解，所以接下去J0ker打算提一下社会工程学及其相关的知识。

什么是社会工程学：

    信息安全，或者更准确的说是从事信息安全的人，关注的主要是信息技术和资产的可用性、完整性和保密性这三者(AIC三角)，同时我们也知道，如果一个安全项目存在着某一个致命的弱点，那要获得项目实施的成功是不可能的。在这一点上，信息安全可以用铁链理论或木桶理论来解释，铁链的强度是由在它上面最弱的一环而决定，木桶能装多少水也是由组成它的最短的木板所确定。

我们常可以在安全项目中看到项目实施需要什么软件硬件，要部署什么技术，防御什么漏洞，也可以从各种来源找到相关的安全方案和材料，但最终这些安全项目的组成部分都是由人去使用、安装、部署和维护的，所以除了信息安全与技术有关的方面之外，人的行为同样也应该是信息安全关注的要点，CISSP CBK引入了一个名词—— Wetware, “湿件”，便是指代“人”这一个关键因素，而社会工程学正是专门针对人进行的攻击。

在Official Guide中，是这样定义社会工程学的：

Successful or unsuccessful attempts to influence a person(s) into either revealing information or acting in a manner that would result in unauthorized access to, unauthorized use of, or unauthorized disclosure of an information system, a network, or data.