上承接第二章,我们说了我们信息安全要保护的对象时信息资产,那么如何保护呢,正是我们这第三章的内容,也是整个CISSP的信息安全的核心,从工程学的角度来看如何进行资产保护。
让我们回归本质,重新结构:信息安全的本质,是保护资产按照合理授权进行全生命周期使用。这里我们圈出来一个词:合理授权。这个是信息安全灵魂,What和how的问题引入本章最核心两个内容:what(什么是合理授权),经过大量学术研究和工程实践,我们得到了安全模型(什么biba、blp等等);how(如何实现合理授权),通过密码学的手段来实现。
整个第三章就是围绕着这个开展的。当然,粗看考纲,会稍微有点分裂,因为最后的场所中常考的防火和电等,跟上面内容稍有些分裂