本文同時(shí)發(fā)表在：[url]http://netsecurity.51cto.com/art/200711/59827.htm[/url] 在《J0ker的CISSP之路》系列的上幾篇文章里，J0ker給大家介紹了CISSP學(xué)習(xí)內(nèi)容的第一個(gè)CBK—— Information Security Management的內(nèi)容，接下去J0ker將給大家介紹第二個(gè)CBK—— Security Architecture and Design，安全架構(gòu)和設(shè)計(jì)。 如果把信息安全管理比作指引組織進(jìn)行安全項(xiàng)目的路標(biāo)，那么安全架構(gòu)和設(shè)計(jì)便是組織通往信息安全這個(gè)目標(biāo)所用的交通工具的基本結(jié)構(gòu)，它包括用于設(shè)計(jì)、實(shí)施、監(jiān)控和保護(hù)操作系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用以及用以實(shí)施各種級(jí)別保密性、完整性和可用性控制的概念、原則、結(jié)構(gòu)和標(biāo)準(zhǔn)。 安全架構(gòu)和設(shè)計(jì)CBK的內(nèi)容大概可以分為四個(gè)部分：概念部分、保護(hù)機(jī)制、安全模型和系統(tǒng)測(cè)評(píng)，J0ker打算用5到6個(gè)文章的篇幅，逐一介紹這些內(nèi)容并總結(jié)CISSP考試的重點(diǎn)。本文先從第一部分： 概念部分開(kāi)始。 在進(jìn)行一個(gè)信息系統(tǒng)的設(shè)計(jì)時(shí)，我們需要對(duì)目標(biāo)系統(tǒng)的眾多需求進(jìn)行平衡，這些需求包括功能、靈活性、性能、易用性、成本、業(yè)務(wù)需求和安全。這里強(qiáng)調(diào)一下，安全應(yīng)該在系統(tǒng)設(shè)計(jì)中的開(kāi)始階段就作為一個(gè)關(guān)鍵因素進(jìn)行考慮，使用了超過(guò)業(yè)務(wù)需求的安全性能，就會(huì)導(dǎo)致用戶體驗(yàn)的惡化，但降低的安全性能也會(huì)系統(tǒng)的部署和運(yùn)行維護(hù)成本將會(huì)大大增加。系統(tǒng)設(shè)計(jì)的過(guò)程就是平衡多種需求的過(guò)程，設(shè)計(jì)者通常需要根據(jù)組成構(gòu)架的每個(gè)元素的重要性，來(lái)確定如何Trade-off。在設(shè)計(jì)階段考慮安全性，并不會(huì)對(duì)架構(gòu)的設(shè)計(jì)增加太多的勞動(dòng)量，它可以平滑的嵌入到架構(gòu)設(shè)計(jì)的各個(gè)階段，這樣就可以保證安全性可以隨著架構(gòu)逐漸的設(shè)計(jì)完成而完成。 安全架構(gòu)從概念上說(shuō)，便是從安全角度審視整個(gè)系統(tǒng)架構(gòu)，它主要提供系統(tǒng)架構(gòu)所需要的安全服務(wù)、機(jī)制、技術(shù)和功能，并提供如何進(jìn)行安全設(shè)施部署的建議。CISSP CBK中在安全架構(gòu)概念部分的安排里面，還要求CISSP對(duì)最基本的架構(gòu)有了解，它所指出的就是Layered Approach，也就是分層結(jié)構(gòu)。請(qǐng)看下圖：

圖1

在這個(gè)架構(gòu)中，用戶只與應(yīng)用程序進(jìn)行交流，而操作系統(tǒng)向上負(fù)責(zé)與應(yīng)用程序，向下負(fù)責(zé)與硬件、網(wǎng)絡(luò)層進(jìn)行聯(lián)絡(luò)。
為了更好的理解安全架構(gòu)，CISSP還需要進(jìn)一步的了解分層結(jié)構(gòu)包含的底層架構(gòu)，列表如下：
Platform Architecture 平臺(tái)架構(gòu)
Network Environment 網(wǎng)絡(luò)環(huán)境
Enterprise Architecture 企業(yè)架構(gòu)
Security Model 安全模型
Protection Mechanisms 保護(hù)機(jī)制 在深入討論這些組成安全架構(gòu)的元素之前，朋友們還要了解一點(diǎn)，安全架構(gòu)的設(shè)計(jì)應(yīng)該和組織的安全策略相吻合，否則就不能實(shí)現(xiàn)組織的安全目標(biāo)。關(guān)于安全策略的詳細(xì)內(nèi)容大家可參與CISSP Official Guide、All in One或本系列文章的之前內(nèi)容。 ??? 平臺(tái)架構(gòu)主要指馮諾依曼的經(jīng)典計(jì)算機(jī)模型，CISSP需要了解操作系統(tǒng)軟件和工具的概念和功能、組成計(jì)算機(jī)的CPU、內(nèi)存、存儲(chǔ)設(shè)備的類型和輸入輸出設(shè)備的概念和功能、針對(duì)內(nèi)存攻擊的類型等。從CISSP考試的模擬題和J0ker自己參加過(guò)的考試來(lái)看，關(guān)于平臺(tái)架構(gòu)的題目一般只會(huì)簡(jiǎn)單的考察概念。
????網(wǎng)絡(luò)環(huán)境方面主要是對(duì)常見(jiàn)的網(wǎng)絡(luò)威脅進(jìn)行分類，在Telecommunication and Network Security CBK中有更深入的介紹。
??? 企業(yè)架構(gòu)主要是指組織本身對(duì)人員和職能的劃分，在Official Guide中定義了六個(gè)角色和?? 與其相對(duì)應(yīng)的職能，朋友們?cè)趶?fù)習(xí)時(shí)也需要記住。
??? 安全模型指的是一些常見(jiàn)的保證信息安全的保密性完整性可用性(CIA)三角的控制模型，這是本CBK的考察重點(diǎn)，J0ker在后面的文章還將詳細(xì)講述。 另外，在這一節(jié)中，有以下的一些概念在復(fù)習(xí)時(shí)也需要理解一下：
◆CPU的狀態(tài)
◆內(nèi)存管理中的分頁(yè)技術(shù)、虛擬內(nèi)存技術(shù)以及相應(yīng)的內(nèi)存保護(hù)、攻擊技術(shù)
◆TOU/TOC Time of use/Time of check
◆多種類型的操作系統(tǒng)類型的概念及其安全性
◆共享環(huán)境(Shared environment)下的攻擊概念
◆系統(tǒng)五種安全模式的概念
Dedicated Security mode
System high-security mode
Multi-level security mode
Controlled mode
Compartmentalized security mode 這一個(gè)CBK里的概念比較多也比較抽象，但因?yàn)檫@一章里面的內(nèi)容對(duì)后面的CBK起了技術(shù)方面的總領(lǐng)作用，CISSP考試也以考概念為主，建議朋友們?cè)趶?fù)習(xí)這個(gè)CBK時(shí)盡量靜下心來(lái)看。 下篇預(yù)告：《安全架構(gòu)和設(shè)計(jì)之安全模型》，J0ker將向大家介紹這個(gè)CBK里安全模型方面的內(nèi)容，敬請(qǐng)期待！




本文轉(zhuǎn)自J0ker51CTO博客，原文鏈接：http://blog.51cto.com/J0ker/50441，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的J0ker的CISSP之路：复习-安全架构和设计1的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。