思维导图:
信息安全工程与运营内容子域:内容安全、社会工程学与培训教育、系统安全工程基础、系统安全成熟度模型(CMM模型)、安全运营
一、系统安全工程基础-针对乙方
良好的安全工程的四个方面:动机(做等保)、保证(人力物力财力的支撑)、策略(如何做的好)、机制
解决信息系统生命周期的“过程安全”问题:信息安全是信息化的有机部分,必须与信息化同步规划,同步建设,同步使用。
最优费效比——安全是为了业务服务
系统工程:系统工程不是基本理论也不是技术实现,是一种方法论。
霍尔三维结构图:时间维,逻辑维,知识维
项目管理
质量管理-ISO9000:机构,程序,过程,总结
*二、系统安全工程成熟度模型(CMM模型)-解决在开发生产中标准混乱问题的模型
能力成熟度模型基础:
现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本的生产处高质量产品。
所有成功企业的共同特点是都具有一组严格定义,管理完善,可控可测从而高度有效的业务流程。
CMM模型基本思想:工程实施组织的能力成熟度等级越高,系统的风险越低
(SSE-CMM)信息安全管理成熟度模型必须包含的基本特征:
SSE-CMM的作用:获取组织(甲方),工程组织(乙方),认证评估组织(第三方)
SSE-CMM体系结构:域维——安全过程区域-过程类(工程类、组织类、项目类)-*工程类(11PA)-基本实施(BP是强制实施)
11个PA分为三个过程:风险过程(4个PA)、工程过程(5个PA)、保证过程(2个PA)
风险过程:评估影响、评估威胁、评估脆弱性、评估安全风险、
工程过程:确定安全需求、提供安全输入、管理安全控制、监控安全态势、协调安全
保证过程:验证和证实安全、建立保证论据
能力维——能力水平
构成:能力级别<—公共特征(CF)<—通用实践(GP)
能力级别:0级(未执行) 非正规执行(I级):执行基本实施
计划与跟踪(II级):计划执行 •规范化执行 •跟踪执行 •验证执行
充分定义(III级):定义标准过程 •协调安全实施 •执行已定义的过程
量化控制(IV级):建立可测量的 质量目标 •客观地管理过程的执行
连续改进(V级):改进组织能力 •改进过程的有效性
三、安全运营
漏洞、补丁、变更等运行维护
1. 漏洞管理
1) 有意或者无意产生的缺陷,包括技术漏洞和管理漏洞。
2) 步骤:漏洞检测、评估、测试、加固、验证、紧急回退(视情况)。
2、 补丁:评估、测试、申请、批准、部署、验证、紧急回退(视情况)。
3、 变更:申请、审核、实施、验证、回退(视情况)。
4、 配置:根据安全要求,做好系统配置基线管理。
四、信息内容安全
1. 知识产权:商标、专利、版权
1)版权和著作权的在法律中是同一语。
2)数字对象标识符DOI和数字版权标识符DCI的颁发机构的不同,共性特点是唯一性。
3)技术:数字水印、数字签名、收费等方式。
2. 信息保护:个人信息、组织信息、国家信息。
3. 网络舆情
1)网络舆情、正能量/负能量、和网络舆情事件的区别。
2)网络舆情事件需要政府及官方媒体进行监督和引导。
3)网络舆情管理方式:宜疏不宜堵,最佳方式进行充分的利用服务于社会建设发展
五、社会工程学攻击及防护
1.社会工程学与社会工程学攻击的区别。
2.社会工程学知识包括:心理、精神、生理、社会学、经济学、金融、法律等。
3.特点:隐蔽性,特征不明显,不具备明确的法律依据,主要是针对个人少部分组织。
4.预防:1-提高打击力度,2-提高意识认知,3-建立应急体系。4-健全补偿保障机制。
霍尔图:
系统安全工程成熟度模型:
信息安全工程基础
