CISP 考试教材《第 5 章 知识域：安全工程与运营》知识整理

第 5 章 知识域：安全工程与运营

CISP 考试教材《第 1 章 知识域：信息安全保障》知识整理

CISP 考试教材《第 2 章 知识域：网络安全监管》知识整理

CISP 考试教材《第 3 章 知识域：信息安全管理》知识整理

CISP 考试教材《第 4 章 知识域：业务连续性》知识整理

CISP 考试教材《第 5 章 知识域：安全工程与运营》知识整理

CISP 考试教材《第 6 章 知识域：信息安全评估》知识整理

CISP 考试教材《第 7 章 知识域：信息安全支撑技术》知识整理

CISP 考试教材《第 8 章 知识域：物理与网络通信安全》知识整理

CISP 考试教材《第 9 章 知识域：计算环境安全》知识整理

CISP 考试教材《第 10 章 知识域：软件开发安全》知识整理

目录

5.1 知识子域：系统安全工程

5.1.1 系统安全工程基础

1.系统安全工程概念

2.系统安全工程的必要性

5.1.2 系统安全工程理论基础

1.系统工程思想

2.项目管理方法

3.质量管理体系

4.能力成熟度模型

5.1.3 系统安全工程能力成熟度模型

1.SSE-CMM 基本概念

2.SSE-CMM 的体系结构

5.1.4 SSE-CMM 的安全工程过程

1.风险过程

2.工程过程

3.保证过程

5.1.5 SSE-CMM 的安全工程能力

1.能力级别

2.SSE-CMM 的能力级别

2 级的公共特证有 4 项

3 级的公共特征有 3 项

4 级的公共特征有两项

5 级的公共特征有两项

5.2 知识子域：安全运营

5.2.1 安全运营概述

5.2.2 安全运营管理

1.漏洞管理

2.补丁管理

3.变更管理

4.配置管理

5.事件管理

5.3 知识子域：信息内容安全

5.3.1 内容安全基础

1.内容概念及重要性

2.内容安全需求

5.3.2 数字版权

1.著作权与版权

2.数字版权管理

3.使用数字版权保护信息

5.3.3 信息保护

1.信息的价值

2.信息的泄露途径

3.个人隐私信息保护

4.组织机构敏感信息保护

5.3.4 网络舆情

1.网络舆情的概念

2.网络舆情管理

3.网络舆情监控技术

5.4 知识子域：社会工程学与培训教育

5.4.1 社会工程学

1.社会工程学概念

2.社会工程学利用的人性“弱点”

3.社会工程学攻击防御

5.4.2 培训及教育

---

5.1 知识子域：系统安全工程

5.1.1 系统安全工程基础

1.系统安全工程概念

良好的安全工程要求将 4 个方面集中在一起，第一是策略；第二是机制；第三是保证；第四是动机

2.系统安全工程的必要性

同步规划、同步建设、同步使用

信息安全工程就是要解决信息系统生命周期的“过程安全”问题

5.1.2 系统安全工程理论基础

1.系统工程思想

系统工程（Systems Engineering，SE）

系统工程的目的是实现总体效果最优

系统工程技术通常被应用于复杂工程

从科学体系上讲，系统工程不属于基本理论，也不属于技术基础，它所研究的重点是方法论

霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤，同时还考虑了为完成这些阶段和步骤所需要的各种专业知识和技能。这样就形成了由时间维、逻辑维和知识维所组成的三维空间机构

时间维：阶段、进程

逻辑维：工作步骤

知识维：专业、行业

2.项目管理方法

项目管理（Project Management，PM）

关键路径法（Critical Path Method， CPM）

计划评估和审查技术（Program Evaluation and Review Technique，PERT）

工作分解结构（Work Breakdown Structure，WBS）

涉及项目范围、时间、成本、质量、资源管理、相关方管理、沟通、风险、采购、集成十大知识领域

项目的过程管理，主要包括项目的启动、计划、执行、控制和收尾 5 个过程

3.质量管理体系

质量控制（Quality Control，QC）

质量管理（Quality Management，QM）

质量管理体系将资源与过程结合，以过程管理方法进行的系统管理

ISO 9000 族标准在 4 个方面规范质量管理

（1）机构

（2）程序

（3）过程

（4）总结

4.能力成熟度模型

能力成熟度模型（Capability Maturity Model，CMM）是一种衡量工程实施能力的方法，是一种面向工程过程的方法

CMM 是建立在统计过程控制理论基础上的

能力成熟度（Capability Maturity，CM）

CMM 明确地定义了 5 个不同的“成熟度”等级

初始级、可重复级、已定义级、已管理级、优先级

软件工程领域有软件能力成熟度模型（SW-CMM）

传统制造业领域有系统工程能力成熟度模型（SE-CMM）

安全工程领域有系统安全工程能力成熟度模型（SSE-CMM）和系统安全工程能力成熟性模型评估方法（SSAM）

5.1.3 系统安全工程能力成熟度模型

1.SSE-CMM 基本概念

系统安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model，SSE-CMM）

2.SSE-CMM 的体系结构

SSE-CMM 模型是一个两维的模型，分别称为“域维”和“能力维”

“域维”由所有安全工程定义的过程区域（Process Area，PA）构成

“能力维”代表组织能力，它由过程管理和制度化能力构成

（1）域维

域维由所有安全工程定义的过程活动构成，这些实施活动称为“过程区域”

每个过程区域包括一组表示组织成功执行过程区域的目标。每个过程区域也包括一组集成的基本实施（Base Practice，BP）

基本实施定义了获得过程区域目标的必要步骤，它具有如下特证

• 应用于整个组织生命周期

• 和其他 BP 互补覆盖

• 代表安全业界“最好的实施”

• 在业务环境下不指定特定的方法或工具

SSE-CMM 域维涉及 3 个过程类，即工程过程类、组织过程类和项目过程类

基本实施 BP，Base Practice，域维的最小单位࿰