CISSP CBK的重新劃分,有其內(nèi)在的邏輯的,這個(gè)邏輯到底是什么呢?如果說我們把這個(gè)邏輯我們搞清楚的話,就更有利于我們從一個(gè)整體上去把握。我重新對(duì)它一個(gè)排序,這樣這個(gè)排序排在最前面的是安全風(fēng)險(xiǎn)管理,排在最后的是安全評(píng)估與測試這里中間的這個(gè)環(huán)節(jié)我就不一一去說了,這八個(gè)知識(shí)域的思維視角我們到底以怎樣去看他?
1. 安全與風(fēng)險(xiǎn)管理-頂層思維
我們首先來看到,安全與風(fēng)險(xiǎn)管理它實(shí)際上是頂層思維。這里講的是說如何去發(fā)現(xiàn)歸納總結(jié)企業(yè)自身安全需求上,需求決定一切,需求一般來自與業(yè)務(wù)的安全需求,合規(guī)需求,業(yè)務(wù)連續(xù)性續(xù)期,風(fēng)險(xiǎn)評(píng)估的結(jié)果等。如果說你不知道你的問題,你的需求在哪里,你所謂的安全防護(hù)都是扯淡。第二個(gè)就你有了需求之后,要去滿足需求,接下來就是所謂的安全規(guī)劃,安全頂層設(shè)計(jì),包括安全組織的設(shè)置,定義安全角色、明確安全策略目標(biāo)等。這就是所謂的什么安全與風(fēng)險(xiǎn)管理,它是一個(gè)頂層思維。
2. 資產(chǎn)安全-業(yè)務(wù)思維
資產(chǎn)到底需要怎樣等級(jí)或強(qiáng)度的安全防護(hù)呢,如何判定。這需要安全專業(yè)人員要有業(yè)務(wù)思維,我們一定要站在業(yè)務(wù)的角度去看,安全到底在里面起什么作用?我們看互聯(lián)網(wǎng)公司,他們的信息安全基本上走在行業(yè)的前列。這一點(diǎn)是毋庸置疑的,就是因?yàn)樗陌踩鷺I(yè)務(wù)綁得非常的緊密。電子商務(wù)正是如此,云計(jì)算平臺(tái)也是如此。業(yè)務(wù)思維能夠幫助我們更好的去理解安全對(duì)于業(yè)務(wù)的這種價(jià)值作用,也就是說進(jìn)一步明確我們的安全保護(hù)的對(duì)象。企業(yè)業(yè)務(wù)有關(guān)鍵業(yè)務(wù)和輔助業(yè)務(wù)之分,這也是我們?yōu)槭裁匆奄Y產(chǎn)分個(gè)三六九等去區(qū)別對(duì)待的原因。同時(shí)企業(yè)在安全投入的資源也是有限的,區(qū)分對(duì)待也是必然。
3. 安全架構(gòu)與工程(身份與訪問管理、通信與網(wǎng)絡(luò)安全、軟件開發(fā)安全)-設(shè)計(jì)思維
明白了要是保護(hù)的對(duì)象,接下來要去設(shè)計(jì)你整個(gè)安全防護(hù)體系。就是安全工程與架構(gòu),身份與訪問管理,通信與網(wǎng)絡(luò)安全以及軟件開發(fā)安全等四個(gè)知識(shí)域的內(nèi)容。如何去設(shè)計(jì)一種安全的機(jī)制,去保障這些資產(chǎn)獲得適當(dāng)?shù)谋Wo(hù)。安全工程與架構(gòu),安全模型和防護(hù)機(jī)制的選擇;身份與訪問管理主要是圍繞著身份和權(quán)限去展開的;通信與網(wǎng)絡(luò)安全主要講述網(wǎng)絡(luò)分層、協(xié)議的安全和設(shè)備的安全;軟件開發(fā)安全是從安全的內(nèi)生長的角度來看的,系統(tǒng)自身具備的基本的安全措施,比如登錄身份驗(yàn)證,防SQL注入等。
4. 安全運(yùn)營-運(yùn)營思維
安全設(shè)計(jì)弄完,相關(guān)系統(tǒng)和機(jī)制的部署。接下來就是安全的運(yùn)營,這就比方說你安全制度有了,安全設(shè)備有了,你要去保證你的這些安全制度能夠被有效執(zhí)行,你的安全設(shè)備要會(huì)用和用好。它是持續(xù)的保障安全。
5. 安全的評(píng)估與測試-第三方思維
安全工作到底做得如何,不能自說自話,除了是否發(fā)生安全事件的終極檢驗(yàn)之外,需要及時(shí)的第三方的客觀評(píng)價(jià)。另外,企業(yè)利益很多時(shí)候涉及第三方的利益。比方說集團(tuán)公司總部會(huì)關(guān)心下面的分子公司的安全,物流關(guān)心供應(yīng)鏈安全;監(jiān)管部門要依法履行安全檢查評(píng)估與測評(píng)之職責(zé),用第三方的思維來看這個(gè)事情。更客觀的驗(yàn)證測試安全的有效性。
最后簡單總結(jié)一下:
對(duì)于整個(gè)CISSP來說,這八個(gè)知識(shí)域我們可以從頂層思維,業(yè)務(wù)思維、設(shè)計(jì)思維、運(yùn)營思維和第三方的思維這樣的視角來看整個(gè)安全知識(shí)體系。后續(xù)的進(jìn)一步安全思維模型的講解和刻意練習(xí),幫助大家建立結(jié)構(gòu)化、系統(tǒng)的安全認(rèn)知體系。
