安全工程和运营

基础

广义的是系统生命周期上集成的动态过程，

狭义的是规划设计实施网络安全防护措施的过程。

解决系统生命周期过程安全问题：与信息化同步规划、建设、使用

安全工程四个方面：动机、机制、策略、保证

基础：系统工程、项目管理、质量管理、能力成熟度

系统工程---霍尔三维模型：时间维、知识维、逻辑维

项目管理---启动，计划，执行，控制和收尾

质量管理---质量管理体

国际标准ISO9000系列：

四个方面：质量机构、制度程序、质量过程、总结改进

高质量过程控制（PDCA）保证高质量产品和服务（结果）

能力成熟度CMM（Capability Maturity Model）

阶梯式改进框架

SSE-SMM系统安全工程能力成熟模型

美国NSA提出,ISO/IEC 21827

基本特征：全生命周期、系统工程、项目管理、质量管理

可用于所有类型和大小的安全工程机构，商务、政府、学术

三方作用：工程组织-乙方，评估组织-第三方，获取组织-甲方

体系结构：横向域维，纵向能力维

域维：过程类，过程区域，基本实施

过程类---组织、项目、工程---三类--

      一共22个PA（11个工程PA，11个项目和组织类PA）

     工程类：4风险带评估，5工程带安全，2保证带建立核实确认

项目和组织类：5项目，6组织

   

    能力维0-5级

通用实践GP---公共特征CF---能力级别0-5级

 — 0级：无特征，129BP活动未完成。

 — 1级：基本执行（129BP均完成）。

 — 2级：规划执行、规范化执行、跟踪计划、验证计划。

 — 3级：制定标准过程、执行过程、协调安全实施。

 — 4级：制定测量标准、客观管理。

 — 5级：改进过程能力、改进组织能力

过程区域---过程的一种单位，PA-Process Area

基本实施---BP-Base Practice

   BP是构成PA的单元，是强制实施的，且不重复，贯穿整个生命周期，是经过实践验证的

运营

安全运营标准：COBIT、ITIL、ISO27000

漏洞管理：

        安全漏洞Vulnerability,有称脆弱性。存在于评估对象TOE中，一定的环境条件下可能违反安全功能要求的弱点。

      漏洞管理工作内容：检测、评估、加固、失败回退

     补丁加固：6步骤---评估补丁、测试补丁、批准补丁、部署补丁、验证补丁，失败回退

变更管理和配置管理

变更管理：申请，审核，实施，验证，失败回退

配置管理：定义部件、做好配置、配置项优化

内容

安全基础：数字资源-以数字形式发布、存取、利用的信息资源总和

内容安全问题：知识产权盗版，信息泄露、非法内容

数字版权：商标、专利、版权、著作权、数字版权、版权管理、保护信息措施

数字版权管理（Digital Rights Management,DRM）

        主要技术：数字水印、数字签名、数据加密

        DRM六大功能：数字媒体加密、组织非法内容注册、用户环境检测、用户行为监控、认证机构、付费机制和存储管理

       数字对象标识符（Digital Object Identifier,DOI）

       数字版权标识符（Digital Copyright Identifier,DCI）----唯一标识,唯一性、永久性、不可修性

       数字作品版权登记平台

       数字版权费用结算平台

       数字版权检测取证平台

信息保护

     泄露途径：个人隐私信息泄露-社交网络、各类单据

      分类：国家、组织、个人

      国际信息保护法：《国家安全法》、《保守国家秘密法》、《网络安全法》

      组织信息保护法：《公司法》、《合同法》、《民法》、《网络安全法》

      个人信息保护法：《民法》、《网络安全法》

     非法内容管理

      舆情：一定社会时间和空间，产生的群体效应

     表现方式：评论、BBS论坛、博客、微博

     舆情管理：政府主导，媒体监督

     监控技术：采集、分析、呈现

社工攻击防护

社工攻击：利用人性弱点(本能反应、贪婪、易于信任）进行欺骗获取利益的攻击方法

分类：直接用于攻击，间接用于攻击

   直接索取，利用同情或胁迫；口令破解，网络攻击

防御：惩治、个人信息保护、应急处理体系、健全社会保障补偿