信息安全管理(CISP)—— 安全工程与运营

网络安全强调“技管并重”,前几天一直在搞sql注入,虽然它相比很多技术而言很简单,但也属于技术范畴嘛,但是不能拉下管理啊,所以它来了——安全工程与运营

一、知识框架

二、系统安全工程基础

安全工程:采用工程的概念、原理、技术和方法,来研究、开发、实施与维护系统安全的过程

安全工程原则:全生命周期的原则,同步规划、建设、使用原则。

良好安全工程的四个方面:1-动机 2-保证 3-策略 4-机制

安全工程是以最优费效比提供并满足安全需求

安全工程理论基础

系统工程:不是基本理论也不属于技术实现而是方法论软科学霍尔三维模型

霍尔三维结构:时间维、逻辑维、知识维

 

项目管理:有限资源约束所有工作管理,包括人力资源、时间、质量、进度和成本等管理。

质量管理:高质量过程控制(PDCA)保证高质量的产品和服务(结果)。

ISO9000质量管理的四个方面:机构-程序-过程-总结

能力成熟度:个人及组织的过程控制质量水平的高低为CMM(1-5级)。

三、能力成熟度模型

SSE-CMM:系统安全工程能力成熟度模型

SSE-CMM发展:美国国家安全局(NSA),ISO/IEC 21827标准。

SSE-CMM范围:即系统工程、项目管理、质量管理、能力成熟度等。

SSE-CMM作用:甲方-获取方,乙方-提供方,第三方-评估方。

SSE-CMM的内容

域维

构成:类(3类:组织、项目、工程)—>PA(过程区域-22个)—>BP(129基本实施)。

内容:

类:工程类(11PA),项目类+组织类(11PA)。

工程类:4PA-风险过程、5PA-工程过程、2PA-保证过程。

风险过程:1-评估影响、2-评估威胁、3-评估脆弱性、4-评估安全风险。

工程过程:1-安全需求、2-安全输入、3-安全控制、4-安全态势、5-安全协调。

保证过程:1-核实确认安全、2-建立保证证据。

能力维

        构成:能力级别<—公共特征(CF)<—通用实践(GP)。

        内容( 0-1-4-3-2-2 :

0级:无特征。

1级:基本执行(129BP)。

2级:规划执行、规范化执行、跟踪计划、验证计划。

3级:制定标准过程、执行过程、协调安全实施。

4级:制定测量标准、客观管理。

5级:改进过程能力、改进组织能力。

四、漏洞、补丁、变更等运行维护

漏洞管理

1)  有意或者无意产生的缺陷,包括技术漏洞和管理漏洞。

2)  步骤:漏洞检测、评估、测试、加固、验证、紧急回退(视情况)。

补丁:评估、测试、申请、批准、部署、验证、紧急回退(视情况)。

变更:申请、审核、实施、验证、回退(视情况)。

配置:根据安全要求,做好系统配置基线管理。

五、信息内容安全

知识产权:商标、专利、版权

版权和著作权的在法律中是同一语。

数字对象标识符DOI和数字版权标识符DCI的颁发机构的不同,共性特点是唯一性。

技术:数字水印、数字签名、收费等方式。

信息保护:个人信息、组织信息、国家信息。

网络舆情

网络舆情、正能量/负能量、和网络舆情事件的区别。

网络舆情事件需要政府及官方媒体进行监督和引导。

网络舆情管理方式:宜疏不宜堵,最佳方式进行充分的利用服务于社会建设发展。

六、社会工程学攻击及防护

社会工程学与社会工程学攻击的区别。

社会工程学知识包括:心理、精神、生理、社会学、经济学、金融、法律等。

特点:隐蔽性,特征不明显,不具备明确的法律依据,主要是针对个人少部分组织。

预防:1-提高打击力度,2-提高意识认知,3-建立应急体系。4-健全补偿保障机制。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值