问题5：安全和风险管理

你的新工作是一个安全工程师，当你登录Win10操作系统后，会有一个弹屏信息，它显示这样的内容：

欢迎来到Rymar Tech！为了远程管理我们的防火墙，你需要首先生成公钥和私钥。要做到上述要求，请按照以下步骤操作：

1、打开你桌面上面的PuTTYgen程序；

2、点击“Generate”；

3、在盒子里挥动鼠标以增加复杂性；

4、输入用于保护你私钥的密码（请永远不要将此密码告诉别人！）；

5、保存公钥，然后把公钥发送给安全部门：[email protected]；

6、保存私钥到你的电脑中；

请问：这个例子是公司那种类型的文档？

A、Policy 策略

B、 Standard 标准

C、Guideline 指南

D、 Procedure 程序

考试策略和心态

这是一个明确的问题，选项也很直接。策略Policy是使用高级别语言的高级别文档。标准和指南则会更详细，程序是官方的步骤顺序。

弹出的屏幕信息很可能是由IT运营部门的系统管理员配置的。在选择中给定的所有文档可能被技术人员经常查看，然而，他们实际为完成任务会使用这些文档吗？

像管理者一样思考

登录计算机后遇到的弹出屏幕是您需要做的还是您可以选择做的？你的工作需要这样做吗？

了解这四种文档的不同之处，因为它们为公司如何运作制定了书面指示。这些文档从高级的管理指令转化为低级的技术指令。它们从策略、标准、基线、指南和程序以自上而下的方式一起工作。

CISSP核心概念：

并不总是向用户提供所有的公司文件。为了确保有用和有效性，必须让所有用户都能随时获得文件。

所有类型的内部公开文件都必须主动更新，以便查看。如果用户需要SSH密钥来完成他们的工作，公司必须为此提供相关文档。

线索：其中一个选项是一个不需要强制执行的文档，它一个强烈的建议。

问题解析：

A、 Policy 策略

策略是高级管理人员编写的高级文档。它们可以从本组织领导人就安全的重要性和承诺发表一般性声明开始。安全策略并不是通过命名个人或他们的特定角色来进行详细说明，而是更多地说明他们的职责、为什么需要它以及如果不遵循它会发生什么。您在策略文档中不会看到创建公钥/私钥对的步骤。策略是标准、基线、程序和指南所基于的主要安全框架。策略是官方的，策略必须被遵守。其他的文档将被设计成只能支持和遵循该策略。可以有三种类型的策略：监管型、咨询型和信息型。

公司文档常见例子：

策略：

例子：通过Rymar Tech的计算机网络传输的信息应支持业务功能的可用性。

标准：

例子：防火墙必须使用高可用性的主备两台集群模式部署。

程序：

例子：打开两个防火墙的PuTTY会话

在主防火墙上配置VRRP

在从防火墙上配置VRRP

设置主防火墙优先级为100

设置从防火墙优先级为90

主防火墙保存配置