CISSP CBK的重新劃分,有其內(nèi)在的邏輯的,這個邏輯到底是什么呢?如果說我們把這個邏輯我們搞清楚的話,就更有利于我們從一個整體上去把握。我重新對它一個排序,這樣這個排序排在最前面的是安全風險管理,排在最后的是安全評估與測試這里中間的這個環(huán)節(jié)我就不一一去說了,這八個知識域的思維視角我們到底以怎樣去看他?
1. 安全與風險管理-頂層思維
我們首先來看到,安全與風險管理它實際上是頂層思維。這里講的是說如何去發(fā)現(xiàn)歸納總結(jié)企業(yè)自身安全需求上,需求決定一切,需求一般來自與業(yè)務的安全需求,合規(guī)需求,業(yè)務連續(xù)性續(xù)期,風險評估的結(jié)果等。如果說你不知道你的問題,你的需求在哪里,你所謂的安全防護都是扯淡。第二個就你有了需求之后,要去滿足需求,接下來就是所謂的安全規(guī)劃,安全頂層設計,包括安全組織的設置,定義安全角色、明確安全策略目標等。這就是所謂的什么安全與風險管理,它是一個頂層思維。
2. 資產(chǎn)安全-業(yè)務思維
資產(chǎn)到底需要怎樣等級或強度的安全防護呢,如何判定。這需要安全專業(yè)人員要有業(yè)務思維,我們一定要站在業(yè)務的角度去看,安全到底在里面起什么作用?我們看互聯(lián)網(wǎng)公司,他們的信息安全基本上走在行業(yè)的前列。這一點是毋庸置疑的,就是因為它的安全跟業(yè)務綁得非常的緊密。電子商務正是如此,云計算平臺也是如此。業(yè)務思維能夠幫助我們更好的去理解安全對于業(yè)務的這種價值作用,也就是說進一步明確我們的安全保護的對象。企業(yè)業(yè)務有關(guān)鍵業(yè)務和輔助業(yè)務之分,這也是我們?yōu)槭裁匆奄Y產(chǎn)分個三六九等去區(qū)別對待的原因。同時企業(yè)在安全投入的資源也是有限的,區(qū)分對待也是必然。
3. 安全架構(gòu)與工程(身份與訪問管理、通信與網(wǎng)絡安全、軟件開發(fā)安全)-設計思維
明白了要是保護的對象,接下來要去設計你整個安全防護體系。就是安全工程與架構(gòu),身份與訪問管理,通信與網(wǎng)絡安全以及軟件開發(fā)安全等四個知識域的內(nèi)容。如何去設計一種安全的機制,去保障這些資產(chǎn)獲得適當?shù)谋Wo。安全工程與架構(gòu),安全模型和防護機制的選擇;身份與訪問管理主要是圍繞著身份和權(quán)限去展開的;通信與網(wǎng)絡安全主要講述網(wǎng)絡分層、協(xié)議的安全和設備的安全;軟件開發(fā)安全是從安全的內(nèi)生長的角度來看的,系統(tǒng)自身具備的基本的安全措施,比如登錄身份驗證,防SQL注入等。
4. 安全運營-運營思維
安全設計弄完,相關(guān)系統(tǒng)和機制的部署。接下來就是安全的運營,這就比方說你安全制度有了,安全設備有了,你要去保證你的這些安全制度能夠被有效執(zhí)行,你的安全設備要會用和用好。它是持續(xù)的保障安全。
5. 安全的評估與測試-第三方思維
安全工作到底做得如何,不能自說自話,除了是否發(fā)生安全事件的終極檢驗之外,需要及時的第三方的客觀評價。另外,企業(yè)利益很多時候涉及第三方的利益。比方說集團公司總部會關(guān)心下面的分子公司的安全,物流關(guān)心供應鏈安全;監(jiān)管部門要依法履行安全檢查評估與測評之職責,用第三方的思維來看這個事情。更客觀的驗證測試安全的有效性。
最后簡單總結(jié)一下:
對于整個CISSP來說,這八個知識域我們可以從頂層思維,業(yè)務思維、設計思維、運營思維和第三方的思維這樣的視角來看整個安全知識體系。后續(xù)的進一步安全思維模型的講解和刻意練習,幫助大家建立結(jié)構(gòu)化、系統(tǒng)的安全認知體系。