网络安全强调“技管并重”,前几天一直在搞sql注入,虽然它相比很多技术而言很简单,但也属于技术范畴嘛,但是不能拉下管理啊,所以它来了——安全工程与运营
一、知识框架
二、系统安全工程基础
安全工程:采用工程的概念、原理、技术和方法,来研究、开发、实施与维护系统安全的过程
安全工程原则:全生命周期的原则,同步规划、建设、使用原则。
良好安全工程的四个方面:1-动机 2-保证 3-策略 4-机制
安全工程是以最优费效比提供并满足安全需求
安全工程理论基础
系统工程:不是基本理论也不属于技术实现而是方法论、软科学;霍尔三维模型
霍尔三维结构:时间维、逻辑维、知识维
项目管理:有限资源约束所有工作管理,包括人力资源、时间、质量、进度和成本等管理。
质量管理:高质量过程控制(PDCA)保证高质量的产品和服务(结果)。
ISO9000质量管理的四个方面:机构-程序-过程-总结
能力成熟度:个人及组织的过程控制质量水平的高低为CMM(1-5级)。
三、能力成熟度模型
SSE-CMM:系统安全工程能力成熟度模型
SSE-CMM发展:美国国家安全局(NSA),ISO/IEC 21827标准。
SSE-CMM范围:即系统工程、项目管理、质量管理、能力成熟度等。
SSE-CMM作用:甲方-获取方,乙方-提供方,第三方-评估方。
SSE-CMM的内容
域维
构成:类(3类:组织、项目、工程)—>PA(过程区域-22个)—>BP(129基本实施)。
内容:
类:工程类(11PA),项目类+组织类(11PA)。
工程类:4PA-风险过程、5PA-工程过程、2PA-保证过程。
风险过程:1-评估影响、2-评估威胁、3-评估脆弱性、4-评估安全风险。
工程过程:1-安全需求、2-安全输入、3-安全控制、4-安全态势、5-安全协调。
保证过程:1-核实确认安全、2-建立保证证据。
能力维
构成:能力级别<—公共特征(CF)<—通用实践(GP)。
内容( 0-1-4-3-2-2 :
0级:无特征。
1级:基本执行(129BP)。
2级:规划执行、规范化执行、跟踪计划、验证计划。
3级:制定标准过程、执行过程、协调安全实施。
4级:制定测量标准、客观管理。
5级:改进过程能力、改进组织能力。
四、漏洞、补丁、变更等运行维护
漏洞管理
1) 有意或者无意产生的缺陷,包括技术漏洞和管理漏洞。
2) 步骤:漏洞检测、评估、测试、加固、验证、紧急回退(视情况)。
补丁:评估、测试、申请、批准、部署、验证、紧急回退(视情况)。
变更:申请、审核、实施、验证、回退(视情况)。
配置:根据安全要求,做好系统配置基线管理。
五、信息内容安全
知识产权:商标、专利、版权
版权和著作权的在法律中是同一语。
数字对象标识符DOI和数字版权标识符DCI的颁发机构的不同,共性特点是唯一性。
技术:数字水印、数字签名、收费等方式。
信息保护:个人信息、组织信息、国家信息。
网络舆情
网络舆情、正能量/负能量、和网络舆情事件的区别。
网络舆情事件需要政府及官方媒体进行监督和引导。
网络舆情管理方式:宜疏不宜堵,最佳方式进行充分的利用服务于社会建设发展。
六、社会工程学攻击及防护
社会工程学与社会工程学攻击的区别。
社会工程学知识包括:心理、精神、生理、社会学、经济学、金融、法律等。
特点:隐蔽性,特征不明显,不具备明确的法律依据,主要是针对个人少部分组织。
预防:1-提高打击力度,2-提高意识认知,3-建立应急体系。4-健全补偿保障机制。