有些朋友想考CISSP，但是看到九百多页的ALL IN ONE和学习指南，就退却了，想着报个班吧，光培训费都6000起步，而且还不一定有时间学。

有些朋友考了安全证书，感觉学到了一些知识，但在工作又感觉没学到知识。

所以我就想做一个CISSP的导读，提高大家备考的效率，同时结合实际工作经验，分享下理论知识的实践应用，方便新入行的同学，在工作中快速地提高自己。

先从第一章开始吧，首先熟悉安全术语和基本原则。

1.1理解安全基本原则的定义、各种机制如何提供这些原则、缺少这些原则会造成怎样的负面影响。

安全基本原则定义：可用性（Availability）、完整性（Integrity）、机密性（Confidentiality），即AIC三元组原则，也称CIA三元组。

1.2理解安全常用的术语，以此与安全团队达成共识，避免沟通混乱。

术语：脆弱性、威胁、风险、暴露。脆弱性是指资产本身的安全缺陷，威胁是指威胁主体对系统的破坏能力，风险是指威胁主体利用脆弱性的可能性以及相应的业务影响，暴露是指造成损失的实例。（后续补充这几个术语之间的逻辑关系）

1.3理解不同的安全控制类型和安全控制措施的不同功能，在应对特定风险时，能够正确的运用它们。

控制类型：管理控制、技术控制、物理控制

不同功能：预防性、检测性、纠正性、威慑性、恢复性、补偿性

当一个单位进行网络安全建设时，首先考虑的是预防性措施（防火墙、IPS等），但是预防一切是不可行的，所以我们必须能够尽快的检测它们（检测性手段），既然能在防火墙等预防性措施后面检测到攻击行为，意味着无法预防，就必须采用纠正性措施，保证下一次发生时能够预防。早期的PDR原则就出来了，protection(保护)、detection(检测)、response(响应)。

注：有部分同学会不理解为什么防火墙属于预防性，这个划分标准是以恶意事件发生的时间点作为界定的，防火墙能够有效预防恶意事件的发生，因此属于预防性，另外，不要把防火墙发散为威慑性，不要让问题复杂化；备份手段为恢复性措施，映像为纠正性。

以上是最基础的部分，因为讲到这里我们已经了解到我们做安全建设的目标是什么（CIA三元组）、所能使用的手段有哪些（三种类型的控制措施）、同时我们也了解到如何讨论安全问题（脆弱性、威胁、风险和控制手段）。

但仅知道这些是不足以支持我们建立一套牢固的安全架构体系的，

这么多控制手段，如何有条理的去实现？

如何确保控制的有效性？

安全建设需要做到“方方面面”的周到，因为攻击者专叮有缝的蛋。安全建设万万不可“东一榔锤，西一棒子”，今天网站被篡改了，就采购一套防篡改系统，明天电脑被种木马了，就再采购一套杀毒软件，这种不断救火的情况，会让安全压力不断增加，并且永远无法满足安全需求，安全建设变得混乱，很容易出安全事故，这对于安全负责人来说，可能会直接丢掉饭碗。因此，我们需要一套经过实践验证的、确实有效的标准、框架或者最佳实践，来指导相关单位进行网络安全体系的规划和建设，这也是为什么国家颁布了《网络安全法》和《等级保护2.0》。

所以，接下来就是讲解安全框架了，主要分为四大类：安全规划开发、企业架构开发、安全控制开发、过程管理开发。

1.4理解各类框架的作用、各类标准之间的关系和具体标准的特点

安全规划开发。CISSP中指ISO/IEC 27000系列，关于如何开发和维护信息安全管理体系（ISMS）的国际标准。是安全控制管理的最佳行业实践，该标准指定了为了能够提供全面安全规划需要部署的各个组成部门，以及如何维护这些组成部门。

摘自《ISO27001标准：2013》摘自《CISSP ALL IN ONE》

企业安全架构开发。具体企业安全机构有SABSA。企业安全架构用全面的、严格的方法描述了组成完整ISMS的所有组件的结构和行为，比如，ISMS指出了需要部署数据保护，企业安全架构则展示了在基础设施、应用程序、组件和业务级别如何实现数据保护，即，包含敏感数据的应用程序必须拥有必要的访问控制和加密功能。

大家需要了解到，企业安全架构开发属于企业架构的子集，企业架构的作用是能够让业务人员和技术人员双方以能理解的方式审视同一个组织。具体企业架构是Zachman，示例如下图：

摘自《CISSP ALL IN ONE》

还有面向军事的架构框架：DoDAF、MODAF。

安全控制开发。具体代表：COBIT、NIST SP 800-53、COSO。用于将企业安全架构中的要求落实到控制目标，以达成安全规划和企业架构所列的目标。

以COBIT来具体举例，为了方便大家理解，这里举例了《IT Control Objectives for Sarbanes-Oxley》，即《塞班斯法案的IT控制目标》的部分内容。该架构是ISACA作为COBIT的推出方，专门裁剪、定制出了一个适合SOX法案的IT风险控制框架。

摘自《塞班斯法案的IT控制目标》

流程管理开发。具体代表：ITIL、六西格玛、能力成熟度模型集成（CMMI）。流程管理开发的理论知识是为了描述如何使用“安全控制”手段，它提供了目标、实现这些目标需要的一般活动，以及满足既定目标的每个过程的输入和输出。

ITIL。该最佳实践是为了公司内部的IT部门与其所服务的业务部门之间的服务水平协议，当然也包含了处理安全的相关最佳实践。它以流程为导向、以客户为中心，通过整合IT 服务与企业业务，提高企业的IT服务提供和服务支持的能力和水平。

六西格玛。一中过程改进方法论。由摩托罗拉公司开发。

能力成熟度模型集成。CMMI为更好地安全规划提供了明确指标，知道从什么地方开始，到什么地方结束，以及两者之间应采取的步骤。

第四小节讲述了多个标准框架，他们是很好的参考工具，不过在国内，我们使用最多的还是等级保护2.0，这个是国内安全建设的基线，等级保护2.0所涉及的框架包括：安全规范开发、企业安全架构开发、安全控制开发，当然考虑到国情和各行业的安全建设进度不一致，等级保护2.0作为一个国内所有行业的安全建设基线，要求的并不像以上这些框架那么细致，所以当你所服务的单位不满足于等级保护2.0时，可以参考ISO27001，COBIT等。

而当我们参考这些标准对所在企业安全进行安全规划开发时，我们要谨记两个原则：“自顶而下”、“不断改进”。

“自顶而下”，即安全建设的启动、支持和方向都来自于高层，这是安全建设的基石，不然注定是失败的安全建设。

“不断改进”，安全建设不是一个项目，有始有终，虽然在实际的建设过程中，安全建设确实由一个个项目组成，但作为安全负责人，一定不要将安全建设当成项目来建设，安全是一个持续性工作，需要保障安全管理的持续进行和不断改进。

通常，建议使用以下步骤进行安全建设：

计划和组织。简单来说，指定高层负责人，评估受保护的资产，确定每个架构层面的解决方案

实现。搭建安全团队，制定“蓝图”以满足各种安全需求，为蓝图制定解决方案。

蓝图：资产识别和管理、风险管理、脆弱性管理、合规、身份管理和访问控制、变更控制、软件开发生命周期、业务连续性计划、意识教育和培训、物理安全

操作和维护。遵照蓝图的解决方案，满足日常工作的基线，进行内网部审计

监控和评估。审查日志和记结果，月度会议，制定改进计划。

解释下这里提到的蓝图，蓝图需要列出安全解决方案、过程和组件，供组织用于满足自身的安全和业务需求。蓝图就是对企业安全架构中所要求的安全组件进行详细的实现描述。

蓝图是实现阶段和操作维护阶段之间的桥梁，如果蓝图没有规划好，客户体验就会差，这也是为什么所有的安全厂家都在提安全运营，因为之前只做产品交付和运维，再加一些标准的渗透测试和应急响应服务，现在客户对安全交付结果的预期越来越高，安全交付正在转向服务结果而非项目。

最后，引用ALL IN ONE的两段话，做一个总结。

为将这些紧密联系在一起，可以考虑 ISO/IEC 27000，它主要在策略层工作，就像说明想建造房屋的类型(牧场式、 间卧室和 间浴室)。企业安全框架像是房子的建筑布局(基础、墙壁和天花板)。蓝图好比房子特定组件(窗户类型、安全系统、电气系统和管道等)的详细说明。控制目标好比为保障安全而规定的建设规范和条款(包括电气接地、布线、建材、保温和防火等)。建筑检查员将使用他的检查列表(建筑规范)以确保安全地建造自己的房子。这就如同审计师用他的检查列表(COBIT SP 800-53)确保安全地建立和维护安全程序。
一旦房子建成，你的家人就会搬进去，将会设置时间表和日常生活的流程，这些事情的发生是可预见的，而且是高效的(如爸爸接孩子放学，妈妈做饭，大一点的孩子洗衣服，爸爸支付账单，每个人都做院子里的工作)。这类似于 ITIL一一流程管理和改进。假如家庭由一些优秀工作人员组成，而他们的目标是尽可能高效地优化日常活动，因此很可能会采纳六西格码方法，该方法以持续过程改进为重点。

CISSP中的安全框架内容，在日常工作很少遇到，但各框架里的原理我们在日常工作中都会遇到，像等级保护、网络安全法，其实很多内容都是相通的，而且这节内容并不是讲解框架具体内容的，所以如果小伙伴想学习具体的框架，还是需要自行学习标准框架的。该章节只是让大家了解有哪些最佳实践，这些最佳实践是解决什么问题的，当我们在工作中遇到相应的问题时，知道有最佳实践可参考。