【51CTO.com 专家特稿】在51CTO安全频道特别策划的CISSP的成长之路系列的上几篇文章里,J0ker给大家介绍了CISSP学习内容的第一个CBK—— Information Security Management的内容,接下去J0ker将给大家介绍第二个CBK—— Security Architecture and Design,安全架构和设计。
如果把信息安全管理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构,它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。
安全架构和设计CBK的内容大概可以分为四个部分:概念部分、保护机制、安全模型和系统测评,J0ker打算用5到6个文章的篇幅,逐一介绍这些内容并总结CISSP考试的重点。本文先从第一部分: 概念部分开始。
在进行一个信息系统的设计时,我们需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。这里强调一下,安全应该在系统设计中的开始阶段就作为一个关键因素进行考虑,使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低的安全性能也会系统的部署和运行维护成本将会大大增加。系统设计的过程就是平衡多种需求的过程,设计者通常需要根据组成构架的每个元素的重要性,来确定如何Trade-off。在设计阶段考虑安全性,并不会对架构的设计增加太多的劳动量,它可以平滑的嵌入到架构设计的各个阶段,这样就可以保证安全性可以随着架构逐渐的设计完成而完成。
安全架构从概念上说,便是从安全角度审视整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,并提供如何进行安全设施部署的建议。CISSP CBK中在安全架构概念部分的安排里面,还要求CISSP对最基本的架构有了解,它所指出的就是Layered Approach,也就是分层结构。请看下图:
 |
| 图1 |
在这个架构中,用户只与应用程序进行交流,而操作系统向上负责与应用程序,向下负责与硬件、网络层进行联络。
为了更好的理解安全架构,CISSP还需要进一步的了解分层结构包含的底层架构,列表如下:
Platform Architecture 平台架构
Network Environment 网络环境
Enterprise Architecture 企业架构
Security Model 安全模型
Protection Mechanisms 保护机制
在深入讨论这些组成安全架构的元素之前,朋友们还要了解一点,安全架构的设计应该和组织的安全策略相吻合,否则就不能实现组织的安全目标。关于安全策略的详细内容大家可参与CISSP Official Guide、All in One或本系列文章的之前内容。
平台架构主要指冯诺依曼的经典计算机模型,CISSP需要了解操作系统软件和工具的概念和功能、组成计算机的CPU、内存、存储设备的类型和输入输出设备的概念和功能、针对内存攻击的类型等。从CISSP考试的模拟题和J0ker自己参加过的考试来看,关于平台架构的题目一般只会简单的考察概念。
网络环境方面主要是对常见的网络威胁进行分类,在Telecommunication and Network Security CBK中有更深入的介绍。
企业架构主要是指组织本身对人员和职能的划分,在Official Guide中定义了六个角色和与其相对应的职能,朋友们在复习时也需要记住。
安全模型指的是一些常见的保证信息安全的保密性完整性可用性(CIA)三角的控制模型,这是本CBK的考察重点,J0ker在后面的文章还将详细讲述。
另外,在这一节中,有以下的一些概念在复习时也需要理解一下:
◆CPU的状态
◆内存管理中的分页技术、虚拟内存技术以及相应的内存保护、攻击技术
◆TOU/TOC Time of use/Time of check
◆多种类型的操作系统类型的概念及其安全性
◆共享环境(Shared environment)下的攻击概念
◆系统五种安全模式的概念
Dedicated Security mode
System high-security mode
Multi-level security mode
Controlled mode
Compartmentalized security mode
这一个CBK里的概念比较多也比较抽象,但因为这一章里面的内容对后面的CBK起了技术方面的总领作用,CISSP考试也以考概念为主,建议朋友们在复习这个CBK时尽量静下心来看。
下篇预告:《安全架构和设计之安全模型》,J0ker将向大家介绍这个CBK里安全模型方面的内容,敬请期待!
【相关文章】
|
· 28-30日病毒预报:“视.. · LinkProof Branch助某.. · 解析窃听技术:从窃听.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 网络端口安全防护技巧 .. · 19日病毒预报:木马家.. · 实战经验:防火墙设置.. · 软考网工考试经验总结 · 2811和2960的网络设计 · 最新网络工程师考试大纲 |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · C#技术开发指南 · Apache技术专题 |
· Windows集群服务应用 · C#技术开发指南 · 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · C#技术开发指南 · 三层交换技术专题 · Apache技术专题 · C#技术开发指南 |
· Windows远程桌面应用 · 企业数据恢复指南 · Windows集群服务应用 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 |
|||
