CISSP的CBK在14年的时候,进了一个比较大的一个变化,从以前的十个知识域变成了八个知识域,把原来的知识点重新进行了组合,比方说把BCP的需求的那一部分搬到安全与风险管理这一个章节。
CISSP CBK的重新划分,有其内在的逻辑的,这个逻辑到底是什么呢?如果说我们把这个逻辑我们搞清楚的话,就更有利于我们从一个整体上去把握。我重新对它一个排序,这样这个排序排在最前面的是安全风险管理,排在最后的是安全评估与测试这里中间的这个环节我就不一一去说了,这八个知识域的思维视角我们到底以怎样去看他?
1. 安全与风险管理-顶层思维
我们首先来看到,安全与风险管理它实际上是顶层思维。这里讲的是说如何去发现归纳总结企业自身安全需求上,需求决定一切,需求一般来自与业务的安全需求,合规需求,业务连续性续期,风险评估的结果等。如果说你不知道你的问题,你的需求在哪里,你所谓的安全防护都是扯淡。第二个就你有了需求之后,要去满足需求,接下来就是所谓的安全规划,安全顶层设计,包括安全组织的设置,定义安全角色、明确安全策略目标等。这就是所谓的什么安全与风险管理,它是一个顶层思维。
2. 资产安全-业务思维
资产到底需要怎样等级或强度的安全防护呢,如何判定。这需要安全专业人员要有业务思维,我们一定要站在业务的角度去看,安全到底在里面起什么作用?我们看互联网公司,他们的信息安全基本上走在行业的前列。这一点是毋庸置疑的,就是因为它的安全跟业务绑得非常的紧密。电子商务正是如此,云计算平台也是如此。业务思维能够帮助我们更好的去理解安全对于业务的这种价值作用,也就是说进一步明确我们的安全保护的对象。企业业务有关键业务和辅助业务之分,这也是我们为什么要把资产分个三六九等去区别对待的原因。同时企业在安全投入的资源也是有限的,区分对待也是必然。
3. 安全架构与工程(身份与访问管理、通信与网络安全、软件开发安全)-设计思维
明白了要是保护的对象,接下来要去设计你整个安全防护体系。就是安全工程与架构,身份与访问管理,通信与网络安全以及软件开发安全等四个知识域的内容。如何去设计一种安全的机制,去保障这些资产获得适当的保护。安全工程与架构,安全模型和防护机制的选择;身份与访问管理主要是围绕着身份和权限去展开的;通信与网络安全主要讲述网络分层、协议的安全和设备的安全;软件开发安全是从安全的内生长的角度来看的,系统自身具备的基本的安全措施,比如登录身份验证,防SQL注入等。
4. 安全运营-运营思维
安全设计弄完,相关系统和机制的部署。接下来就是安全的运营,这就比方说你安全制度有了,安全设备有了,你要去保证你的这些安全制度能够被有效执行,你的安全设备要会用和用好。它是持续的保障安全。
5. 安全的评估与测试-第三方思维
安全工作到底做得如何,不能自说自话,除了是否发生安全事件的终极检验之外,需要及时的第三方的客观评价。另外,企业利益很多时候涉及第三方的利益。比方说集团公司总部会关心下面的分子公司的安全,物流关心供应链安全;监管部门要依法履行安全检查评估与测评之职责,用第三方的思维来看这个事情。更客观的验证测试安全的有效性。
最后简单总结一下:
对于整个CISSP来说,这八个知识域我们可以从顶层思维,业务思维、设计思维、运营思维和第三方的思维这样的视角来看整个安全知识体系。后续的进一步安全思维模型的讲解和刻意练习,帮助大家建立结构化、系统的安全认知体系。