我們大家都知道未來所有企業(yè)都要進(jìn)行不同程度的數(shù)字化轉(zhuǎn)型，也就是所有企業(yè)都在信息化的路上。企業(yè)的業(yè)務(wù)對(duì)于信息化的依賴逐年提高，企業(yè)對(duì)信息化的依賴和信息資產(chǎn)自身的復(fù)雜性不斷加大和催生眾多信息安全問題。根據(jù)不完全統(tǒng)計(jì)，軟件信息系統(tǒng)的缺陷的增長速度趨向于與軟件代碼行數(shù)的平方成正比關(guān)系。也就是越是復(fù)雜系統(tǒng)，其由于自身缺陷所帶來的脆弱性越加嚴(yán)重。而脆弱性是風(fēng)險(xiǎn)發(fā)生的關(guān)鍵要素，從安全的視角，風(fēng)險(xiǎn)就是威脅利用資產(chǎn)或一組資產(chǎn)的脆弱性對(duì)組織機(jī)構(gòu)造成傷害的潛在可能。而這種威脅可以來自業(yè)務(wù)資產(chǎn)所屬企業(yè)的內(nèi)部或外部，故而需要考慮對(duì)企業(yè)資產(chǎn)的信息安全采取保障措施。

 CISP認(rèn)證的指定教材《注冊(cè)信息安全專業(yè)人員培訓(xùn)教材》的第一章系統(tǒng)地介紹

了信息安全的意義，以及信息安全保障所涉及的方方面面。

在教材的第35頁，我們可以看到一個(gè)符合國標(biāo)的信息系統(tǒng)安全保障模型。該模型強(qiáng)調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個(gè)信息系統(tǒng)生命周期的全過程。通過綜合技術(shù)、管理、工程和人員的安全保障要求來實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)。技術(shù)涉及到教材的第7-10章的內(nèi)容，分別介紹了密碼學(xué)、物理與網(wǎng)絡(luò)通信安全、操作系統(tǒng)安全和軟件安全開發(fā)等相關(guān)事宜。管理涉及到教材的第2-4章的，涉及網(wǎng)絡(luò)安全法、安全管理和業(yè)務(wù)連續(xù)性管理等核心內(nèi)容。工程涉及第5章，安全工程與運(yùn)營。人員涉及安全文化的建立、安全意識(shí)的培養(yǎng)和持續(xù)培訓(xùn)，并關(guān)聯(lián)網(wǎng)絡(luò)安全道德準(zhǔn)則。

   第一章的信息安全保障所涉及的核心內(nèi)容總結(jié)如下：

   1、信息安全的保障目標(biāo)是對(duì)組織機(jī)構(gòu)有價(jià)值的信息資產(chǎn)的CIA三要素不被破壞；

   2、CIA是指保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）；

   3、保密性：也稱機(jī)密性，保護(hù)敏感的信息不被非授權(quán)的泄漏或竊聽。比如說公司的保密性的郵件或你自己私密的照片不能被不相關(guān)的人看到；

   4、完整性：確保數(shù)據(jù)、信息或軟件的精確和完備。它強(qiáng)調(diào)的是系統(tǒng)相關(guān)數(shù)據(jù)的完整性，沒有被篡改。通常指數(shù)據(jù)庫的數(shù)據(jù)交易失敗的回滾機(jī)制，還有交易的一致性，比如說你在ATM機(jī)上取錢，你所取的金額和實(shí)際上銀行扣除的金額要相符；

   5、可用性：確保信息和重要的IT服務(wù)是在有訪問需求的時(shí)候總是可用的，沒有被惡意破壞。我們都希望當(dāng)你每次想在ATM機(jī)上取錢都能夠取到，尤其是在過節(jié)或過年的時(shí)候，ATM一定要有錢可以??；

   6、我們都知道一個(gè)系統(tǒng)的保密性通常與可用性是一對(duì)矛盾共同體。要想提升保密性，有時(shí)就需要犧牲系統(tǒng)的可用性或訪問的便捷性。比如企業(yè)設(shè)置多重防火墻和嚴(yán)格近乎苛刻的訪問策略（比如只開特定的網(wǎng)絡(luò)訪問端口）就是在提升保密性，但是也無形中降低了一定系統(tǒng)可用性和訪問的便捷性；

7、如果我們把保密性和可用性比喻成蹺蹺板兩頭，那么完整性是蹺蹺板的支點(diǎn)。由完整性引申出更多的安全要素，如真實(shí)性、可問責(zé)性、不可否認(rèn)性和可靠性等；

8、針對(duì)安全，國家倡導(dǎo)技術(shù)和管理并重，保護(hù)和震懾并舉的戰(zhàn)略指導(dǎo)原則。企業(yè)可以通過建立威脅情報(bào)和態(tài)勢(shì)感知平臺(tái)，對(duì)潛在入侵等信息安全事件進(jìn)行主動(dòng)管理，并起到一定的威懾作用。我們也需要做好針對(duì)企業(yè)員工的安全教育，逐步降低社會(huì)工程學(xué)攻擊所帶來的任何負(fù)面影響；

9、社會(huì)工程學(xué)是一種通過對(duì)受害者心理弱點(diǎn)，如本能反應(yīng)、好奇心、信任、貪婪等進(jìn)行利用，實(shí)現(xiàn)對(duì)受害者進(jìn)行欺騙以獲得自身利益的方法；

10、通過信息安全保障框架的諸多模型來對(duì)企業(yè)人員進(jìn)行有針對(duì)性的安全教育。比如PDR（保護(hù)-檢測(cè)-響應(yīng)）模型是基于時(shí)間的安全模型，強(qiáng)調(diào)系統(tǒng)能夠支持的防護(hù)時(shí)間（Pt）一定要大于檢測(cè)時(shí)間(Dt)和響應(yīng)時(shí)間(Rt)之和。檢測(cè)時(shí)間是從發(fā)起攻擊到檢測(cè)到攻擊的時(shí)間。響應(yīng)時(shí)間是從發(fā)現(xiàn)攻擊到做到有效處置的時(shí)間。只有Pt>Dt+Rt,才能證明系統(tǒng)是安全的；

11、信息系統(tǒng)的安全防護(hù)是一個(gè)全方位的系統(tǒng)工程，比如在信息安全保障技術(shù)框架（IATF）中就提到需要關(guān)注三個(gè)核心要素和四個(gè)焦點(diǎn)領(lǐng)域。三個(gè)核心要素分別是指人、技術(shù)和操作。人作為信息系統(tǒng)的主體，是第一要素。人針對(duì)安全需要做到主動(dòng)管理，即操作的要素。比如在企業(yè)內(nèi)部設(shè)置必要的安全策略、發(fā)起安全審計(jì)、定期的風(fēng)險(xiǎn)評(píng)估和信息安全事件的應(yīng)急演練等。

12、安全需要從企業(yè)的戰(zhàn)略和架構(gòu)層面來考量。企業(yè)架構(gòu)我們可以參考開放組織（Open Group）推出的TOGAF架構(gòu)體系，而安全架構(gòu)可以參考舍伍德商業(yè)應(yīng)用安全架構(gòu)，即SABSA。

總之，CISP認(rèn)證的指定教材的第一章介紹了信息安全保障工作的方方面面，對(duì)我們后續(xù)學(xué)習(xí)其他章節(jié)有一個(gè)提綱挈領(lǐng)和宏觀的指引作用。