原創(chuàng)2024-08-19小艾老師

CISSP信息安全專家認證知識體系考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問

CISSP認證是信息安全領(lǐng)域的權(quán)威認證，由國際信息系統(tǒng)安全認證協(xié)會(ISC)2提供。它評估個人在信息安全領(lǐng)域的知識和技能，包括安全管理、安全架構(gòu)、安全工程、安全運營等方面。獲得CISSP認證可以證明持證人具備專業(yè)的信息安全知識和能力。

中文名CISSP信息安全專家認證
英文名Certified Information Security Systems Professional
英文簡稱CISSP
頒證機構(gòu)(ISC)2（國際信息系統(tǒng)安全認證協(xié)會）
證書類別信息安全
同類認證CISM、CRISC、CISA

信息安全事件到底是啥？簡單來說，就是在組織里出現(xiàn)了不好的信息安全狀況，像信息泄露啦、中了勒索病毒啦、數(shù)據(jù)被損毀啦等等。

總的來講，只要是對機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）這CIA三元素造成破壞的事情，都能算作信息安全事件。信息安全管理呢，就是要全力_信息的機密性、完整性和可用性，這是貫穿整個信息安全管理全局的一個思路。包括在進行信息安全審計和評估的時候，通常也從這三個方向著手進行分析。

01

因為安全管理缺失導(dǎo)致的企業(yè)受影響的案例數(shù)不勝數(shù)，以下是今年上半年發(fā)生在我國的一些信息安全事件：

6 月

香港中文大學(xué)專業(yè)進修學(xué)院遭黑客入侵，20870 名學(xué)生、教職員工和校友個人信息泄露，涵蓋用戶名、真實姓名等詳細內(nèi)容。
名為 Rafel 的開源遠程控制木馬（RAT）攻擊安卓設(shè)備，三星、小米、vivo、華為等品牌受影響，中國用戶成為主要攻擊目標之一。

5 月

太原公安發(fā)布，1 月至今，15 家企業(yè)因信息泄露隱患、數(shù)據(jù)安全隱患，被行政警告并責(zé)令限期整改。
“某客查”平臺依靠大數(shù)據(jù)技術(shù)抓取大規(guī)模售賣國內(nèi)企業(yè)家個人信息，包括農(nóng)夫山泉創(chuàng)始人鐘睒睒等多位知名企業(yè)家。
杭州互聯(lián)網(wǎng)法院審理個人信息保護民事公益訴訟案，犯罪嫌疑人李某非法購入、售賣新生兒個人信息 3 萬余條，被判刑并處罰金。

3 月

我國某高新科技企業(yè)遭境外黑客攻擊，信息化系統(tǒng)及數(shù)據(jù)被加密鎖定，生產(chǎn)經(jīng)營活動被迫停止。
研究人員發(fā)現(xiàn)國內(nèi)某辦公軟件曝出嚴重漏洞，攻擊者能未經(jīng)身份驗證遠程上傳惡意文件到服務(wù)器執(zhí)行任意代碼，北京、廣東等地風(fēng)險資產(chǎn)及關(guān)聯(lián) IP 眾多。

2 月

江蘇常州警方查處新生兒信息泄露案，犯罪嫌疑人販賣 2.6 萬條新生兒信息，非法獲利 30 余萬元。

1 月

中小企業(yè)網(wǎng)絡(luò)安全調(diào)查發(fā)布，中國 42%的中小企業(yè)在過去 12 個月遭到網(wǎng)絡(luò)攻擊，其中 75%的中小企業(yè)客戶信息落入網(wǎng)絡(luò)攻擊者手中。
安全人員發(fā)現(xiàn)，互聯(lián)網(wǎng)上有近 1100 萬臺 SSH 服務(wù)器暴露，中國有近 130 萬臺服務(wù)器存在安全風(fēng)險，易受“水龜攻擊”，且“水龜攻擊”潛伏期長、難以發(fā)現(xiàn)，數(shù)據(jù)安全問題發(fā)現(xiàn)存在滯后性。
網(wǎng)信辦通報，知名火鍋連鎖品牌在收集個人信息和存儲個人信息環(huán)節(jié)存在違法違規(guī)行為，如外送微信小程序強制索取精準位置信息，會員及員工信息未加密存儲。

每年都會出現(xiàn)此類事件，感興趣的都可以自己再搜搜看。這些事件的發(fā)生一次又一次地警示著我們，危機從未停止，務(wù)必要做好信息安全相關(guān)工作。

02

那怎么才能把信息安全工作做好呢？這里給出一個總體思路，供參考：

風(fēng)險管理：包括對風(fēng)險進行分類，采集公司和系統(tǒng)可能存在的風(fēng)險，對采集的風(fēng)險識別以及對風(fēng)險進行跟蹤，管控和處理風(fēng)險；
安全管理：主要以建立網(wǎng)絡(luò)安全體系為主，包括安全技術(shù)架構(gòu)、安全策略、技術(shù)管理和人員管理四個方面；
安全運營：包括安全運維操作、安全體系落地、安全審計工作、安全數(shù)據(jù)分析以及安全績效考核等。

03

風(fēng)險管理：提前預(yù)見并掌控潛在威脅

風(fēng)險管理是信息安全管理的頭一步。這要求企業(yè)得有風(fēng)險意識和危機意識，通過辨認、評估還有控制風(fēng)險，把那些可能的威脅早早解決掉。

同時，通過風(fēng)險管理，搞清楚各種風(fēng)險的類型、各種攻擊手段的原理，把企業(yè)存在的風(fēng)險和可能的漏洞都收集起來辨認清楚，建立起風(fēng)險的生命周期管理，_對企業(yè)現(xiàn)有的風(fēng)險和可能帶來的威脅心里有數(shù)。

1.風(fēng)險分類

風(fēng)險能分成外部風(fēng)險和內(nèi)部風(fēng)險。外部風(fēng)險一般是像網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露這種由外面因素引起的安全問題；內(nèi)部風(fēng)險呢，就是員工不小心操作錯了或者內(nèi)部人員亂用權(quán)限這類情況。

另外，像重要系統(tǒng)、數(shù)據(jù)庫沒有弄好備份驗證機制，缺少高可用支持這些，也都屬于風(fēng)險。

2.風(fēng)險生命周期管理

風(fēng)險管理可不光是識別風(fēng)險，更重要的是建立起風(fēng)險的生命周期管理，這里面包括風(fēng)險收集、辨認、跟蹤還有處理。通過定期做滲透測試和用網(wǎng)絡(luò)安全設(shè)備掃描，企業(yè)就能及時發(fā)現(xiàn)并處理安全風(fēng)險。

04

安全管理：搭建企業(yè)安全體系

安全管理是企業(yè)信息安全體系的基石，它包括安全架構(gòu)、安全策略、技術(shù)管理和人員管理。

安全架構(gòu)主要是結(jié)合企業(yè)的軟硬件設(shè)備和網(wǎng)絡(luò)，搭建信息安全架構(gòu)；
安全策略是安全體系的核心，就是對軟硬件設(shè)備、網(wǎng)絡(luò)、服務(wù)器、應(yīng)用、數(shù)據(jù)庫、客戶端這些 IT 方面日常工作的規(guī)定，后面所有安全體系的落實都得靠它；
安全技術(shù)主要是把安全策略一條一條拆開，制定出相應(yīng)的細則規(guī)范并且實際落實；
人員管理主要是有關(guān)安全組織架構(gòu)、人員還有培訓(xùn)這些方面的管理。

1.安全架構(gòu)

安全架構(gòu)涉及到軟硬件設(shè)備的合理組合，搭建起企業(yè)的信息安全技術(shù)架構(gòu)。這里面有網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)區(qū)域劃分、云防護、防火墻、IPS/IDS、WAF、審計、日志服務(wù)器等等，組成企業(yè)的_道防線。（參考下圖：一些大中型企業(yè)的較為完善的安全架構(gòu)）

2.安全策略

安全策略是安全體系的核心，包含了物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和系統(tǒng)安全的策略制定。這些策略給企業(yè)的安全建設(shè)定了規(guī)矩。

物理安全策略：機房和公司運行相關(guān)的物理安全都有規(guī)范和要求，比如機房建設(shè)和管理、公司的監(jiān)控門禁電話等方面。
數(shù)據(jù)安全策略：根據(jù)業(yè)務(wù)數(shù)據(jù)重要程度分類分級，在數(shù)據(jù)產(chǎn)生到銷毀各環(huán)節(jié)都有相應(yīng)的安全規(guī)定。
網(wǎng)絡(luò)安全策略：網(wǎng)絡(luò)設(shè)備要_安全避免單點故障，無線網(wǎng)絡(luò)、網(wǎng)絡(luò)訪問要管理控制和審計，設(shè)備策略設(shè)置要合理。
系統(tǒng)安全策略：包含終端和服務(wù)器等的安全策略，像密碼設(shè)置、服務(wù)器管理等都有具體要求。

3.技術(shù)管理

技術(shù)管理就是把安全策略變成能執(zhí)行的技術(shù)方案，像服務(wù)器部署的標準、數(shù)據(jù)庫的安全加固、應(yīng)用中間件的配置等等。

4.人員管理

人員管理主要是提高員工的安全意識和技能，通過培訓(xùn)和演練，_每個人在安全事件發(fā)生的時候都能做出正確反應(yīng)。