信息安全管理（CISP）—— 安全工程与运营

网络安全强调“技管并重”，前几天一直在搞sql注入，虽然它相比很多技术而言很简单，但也属于技术范畴嘛，但是不能拉下管理啊，所以它来了——安全工程与运营

一、知识框架

二、系统安全工程基础

安全工程：采用工程的概念、原理、技术和方法，来研究、开发、实施与维护系统安全的过程

安全工程原则：全生命周期的原则，同步规划、建设、使用原则。

良好安全工程的四个方面：1-动机 2-保证 3-策略 4-机制

安全工程是以最优费效比提供并满足安全需求

安全工程理论基础

系统工程：不是基本理论也不属于技术实现而是方法论、软科学；霍尔三维模型

霍尔三维结构：时间维、逻辑维、知识维

 

项目管理：有限资源约束所有工作管理，包括人力资源、时间、质量、进度和成本等管理。

质量管理：高质量过程控制（PDCA）保证高质量的产品和服务（结果）。

ISO9000质量管理的四个方面：机构-程序-过程-总结

能力成熟度：个人及组织的过程控制质量水平的高低为CMM（1-5级）。

三、能力成熟度模型

SSE-CMM：系统安全工程能力成熟度模型

SSE-CMM发展：美国国家安全局（NSA），ISO/IEC 21827标准。

SSE-CMM范围：即系统工程、项目管理、质量管理、能力成熟度等。

SSE-CMM作用：甲方-获取方，乙方-提供方，第三方-评估方。

SSE-CMM的内容

域维

构成：类（3类：组织、项目、工程）—>PA（过程区域-22个）—>BP（129基本实施）。

内容：

类：工程类（11PA），项目类+组织类（11PA）。

工程类：4PA-风险过程、5PA-工程过程、2PA-保证过程。

风险过程：1-评估影响、2-评估威胁、3-评估脆弱性、4-评估安全风险。

工程过程：1-安全需求、2-安全输入、3-安全控制、4-安全态势、5-安全协调。

保证过程：1-核实确认安全、2-建立保证证据。

能力维

        构成：能力级别<—公共特征（CF）<—通用实践（GP）。

        内容( 0-1-4-3-2-2 ：

0级：无特征。

1级：基本执行（129BP）。

2级：规划执行、规范化执行、跟踪计划、验证计划。

3级：制定标准过程、执行过程、协调安全实施。

4级：制定测量标准、客观管理。

5级：改进过程能力、改进组织能力。

四、漏洞、补丁、变更等运行维护

漏洞管理

1）  有意或者无意产生的缺陷，包括技术漏洞和管理漏洞。

2）  步骤：漏洞检测、评估、测试、加固、验证、紧急回退（视情况）。

补丁：评估、测试、申请、批准、部署、验证、紧急回退（视情况）。

变更：申请、审核、实施、验证、回退（视情况）。

配置：根据安全要求，做好系统配置基线管理。

五、信息内容安全

知识产权：商标、专利、版权

版权和著作权的在法律中是同一语。

数字对象标识符DOI和数字版权标识符DCI的颁发机构的不同，共性特点是唯一性。

技术：数字水印、数字签名、收费等方式。

信息保护：个人信息、组织信息、国家信息。

网络舆情

网络舆情、正能量/负能量、和网络舆情事件的区别。

网络舆情事件需要政府及官方媒体进行监督和引导。

网络舆情管理方式：宜疏不宜堵，最佳方式进行充分的利用服务于社会建设发展。

六、社会工程学攻击及防护

社会工程学与社会工程学攻击的区别。

社会工程学知识包括：心理、精神、生理、社会学、经济学、金融、法律等。

特点：隐蔽性，特征不明显，不具备明确的法律依据，主要是针对个人少部分组织。

预防：1-提高打击力度，2-提高意识认知，3-建立应急体系。4-健全补偿保障机制。