阅读提示

本文主要介绍如何快速去学习CISP第一知识域：信息安全保障，本知识域包括信息安全保障基本概念、信息安全保障模型、保障工作内容及工作方法，同时包括信息安全保障要素中的安全工程相关内容及新技术领域信息安全保障相关知识。通过对这个知识领域的学习，信息安全从业人员应理解信息安全问题产生的根源，信息安全基本概念。了解PPDR、IATF、信息系统安全保障评估框架等安全保障框架，并理解我国信息安全保障工作内容及方法、信息系统安全工程（ISSE）及信息系统安全工程能力成熟度模型（SSE-CMM）等相关知识。

 第一知识域共分为五个知识子域：信息安全保障基础、安全保障框架、信息安全保障工作、信息安全工程、信息安全保障新领域，CISP中考试主要重点考到：信息安全概念、安全保障框架、信息安全保障工作知识子域。

1.信息安全保障基础

 本知识子域主要由信息安全概念、信息安全属性、信息安全视角、信息安全发展阶段、国家信息安全战略组成。

本知识子域重点学习：1.信息安全定义及理解，理解信息安全定义及信息安全问题狭义、广义两层概念及区别；理解信息安全问题的根因和内因；理解信息安全是系统的安全、动态的安全、无边界的安全、非传统的安全等相关概念；2.信息安全属性，理解信息安全属性的概念及CIA三元组（保密性、完整性、可用性）的概念；了解真实性、不可否认性、可问责、可控性等其他不可缺少的信息安全属性概念；

一、信息安全的定义：

1.国际标准化组织（英文太长入乡随俗简称：ISO）对信息安全的定义为：“为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。”

2.美国法典（United States Code 还好英文不长还能拼）中给出的信息安全的定义为：‘信息安全，是防止未经授权的访问、使用、披露、中断、修改、检查、记录或破坏信息的做法。它是一个可以用于任何形式数据（例如电子、物理）的通用术语’

3.欧盟（英文不长也入乡随俗简称：EU）将信息安全定义为：‘在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力，这些时间和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性。（简称：CIA）’

二、信息安全问题：

信息安全问题随着信息技术的发展而不断蔓延的发展，业务对于信息化的依懒性催生信息安全问题的复杂化和日益严峻。可以将信息安全问题划分为狭义和广义两层概念。

1.狭义的信息安全问题是建立在以IT技术为主的安全范畴（原文太长入乡随俗精简一下）

2.广义的信息安全问题是一个跨科学领域的安全问题，首先，安全的根本目的是保证组织业务可持续运行，保证利益相关者生命、财产安全的延续。构成业务可持续性问题的不仅仅是信息技术，还包括也业务相关联的生产、财务、人力资源、行政以及供应链等一系列的问题。其次，信息安全应该建立在整个生命周期中所有关联的人、事、物的基础上，综合考虑人、技术、管理和过程控制，是的信息安全不是一个局部而是一个整体。第三，安全要考虑成本因素，财务成本是信息安全必须要考虑的问题，正如我们不会用价值几十万的保险箱去保管一张面值10元的货币一样。第四，随着对信息化的依赖，信息系统所维系的不仅仅是业务的支撑和辅助，而是业务的命脉。

三、信息安全问题的根源

造成信息安全问题的因素很多，技术故障、黑客攻击、病毒、漏洞等因素都可以造成信息系统安全问题。从根源上来说，信息安全问题可以归因于内因和外因

1.信息安全的内因：内因方面主要是信息系统复杂性导致漏洞的存在不可避免，换句话说，漏洞是一种客观存在。这些复杂性包块过程复杂性，结构复杂性和应用复杂性等方面。

2.信息安全的外因：外因主要包括环境因素和人为因素。从自然环境的角度看，雷击、地震、火灾、洪水等自然灾害和极端天气也容易引发信息安全问题；从人为因素来看，有黑客、犯罪团伙、恐怖分子等多种，我们分为个人层面威胁、组织层面威胁、和国家层面威胁三个方面，从所掌握的资源来看和具备的能力，这三个层面依次递增。

四、信息系统的安全特征

1.信息系统安全问题是复杂的问题，具有系统性。

在这个‘人-机’、‘人-网’紧密结合的复杂系统中，某一个分支或某一个要害收到损害，均可能引发全局性的系统危机，从这个角度而言，我们不能孤立的从单一维度或者单个安全因素来看待信息安全，将之视为单纯的技术问题，或者管理问题，而是要系统地从技术、管理、工程和标准法规等各个层面综合保障安全。

2.信息安全问题具有动态性，是动态安全。

信息系统始于需求分析终止于废弃或者退役，具有“生命周期”的概念，在这整个生命周期中，信息安全需求、所面临的问题都不一样的，列如：新的漏洞被发现，新到的攻击手段出现、新的信息技术不断的出现，都会对系统的安全状况产生影响，因此，不能用固话的视角看待信息安全。

3.信息安全是无边界的安全，具有开放性和互通性。

信息化的重要特点是开放性和互通性，信息关键基础设施都是广域覆盖的、大规模复杂的信息系统，往往与互联网通过各种方式连接，各系统之间也日益互联互通，这使得来自信息安全威胁超越了现实地域的限制。

互联网具有传播速度快、覆盖面积广、隐蔽性强和无国界等特点，违法犯罪活动逐步向互联网渗透，利用网络进行各种破坏活动，造成信息安全问题的跨边界特点，这对安全保障提出了更高的要求。

4.信息安全与传统安的安全相比显著不同，是非传统的安全。

信息技术是上世纪最为重要的技术变革，其安全问题与军事安全、政治安全等传统安全相比，有显著不同、国家没有受到武力进攻，国家领土和主权是完整的，但人们却感受到不安全；没有明确的敌对国家，人们却感受到威胁的存在。传统的维护安全的军事和治安手段，无法应对信息安全这种新事物，陛下采用新的信息安全保障手段来治理互联网安全。

五、信息安全属性

1.信息安全属性基本概念

通常情况下，保密性、完整性和可用性（CIA）被称为信息安全基本属性。此外，还可以涉及其他属性，例如真实性、可问责性、不可否认性和可控性。

2.信息安全属性之CIA三元组

CIA三元组是一个著名的安全策略开发模型，用于识别问题领域何必要的信息安全解决方案。

1）保密性（Confidentiality）

保密性亦称机密性，指的是对信息系统资源开放范围的控制，确保信息没有非授权的泄漏， 不被非授权的个人、组织和计算机程序使用。需要保密的信息范畴十分广泛，它可以是国家秘密，可以是企业或研究机构的核心知识产权，也可以是银行帐号等个人信息。因此，信息的保密性问题是人人都需要面对的。

保护机密性取决于为信息定义和实施适当的访问级别。这种做法常常涉及将信息分离为由谁应该访问它以及它是多么敏感的离散集合（即，如果违反保密性，你将遭受多少和什么类型的损害）。在系统上管理机密性的一些最常用的手段包括传统的文件权限、访问控制列表以及文件和卷加密等。

2)完整性（Integrity）

CIA中的I代表完整性，特别是数据完整性。这个属性的关键是保护数据不被未授权方修改或删除，并确保当授权人员进行不恰当的更改时，可以降低损害

3)可用性(Availal)ility）

为了确保数据和系统随时可用，系统。访问通道和身份验证机制等都必须正常的工作，这就是可用性。

4)模型的局限性

CIA三元组关注的重心在信息，虽然这是大多数信息安全的核心因素，但仅仅考虑CIA是不够的，因为信息安全的复杂性决定了还存在其他的重要因素。因此，我们需要了解CIA三元组可被作为原则用于计划、实施良好的安全策略，还应该认识到它的局限性。

3.其他安全属性

1）真实性

实体是他所声称的属性，也可以理解为能对信息的来源进行判断，能对伪造来源的信息予以鉴别。

2）不可否认性

证明要求保护的事件或动作及其发起实体的行为。

3）可问责性

作为治理的一方面，问责是承认和承担行动、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政、治理和实施，以及报告、解释和对所造成的后果负责。

4）可控性

对信息的传播以及内容具有控制能力，任何信息都在一定范围内是可控的。

第一个知识子域学习整理了一下，大概重点关注的也就这些了，原计划是把第一个知识域都整理出来，在整理的时候发现内容太多，只能分开写了，整理内容中如发现错别字或有哪些内容解析不对的地方，请留言作者第一时间进行修正。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界