安全工程与运营

系统安全工程

为什么需要系统安全工程

·信息系统安全保障要素之一

·解决信息系统生命周期的“过程安全”问题

信息安全是信息化的有机组成部分，必须与信息化同步规划、同步建设

信息系统的建设是一项系统工程，具有复杂性，安全工程是以最优费效比提供并满足安全需求

什么是系统工程

以大型复杂系统为研究对象，按一定目的进行设计、开发、管理与控制，以期达到总体效果最优的理论与方法

系统工程的概念

系统工程不是基本理论，也不属于技术实现，而是一种方法论

系统工程是一门高度综合性的管理工程技术，不同与一般的工程技术学科，如水利工程，机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究

霍尔三维结构图

·时间

·逻辑

·知识

项目管理

项目管理者在有限的资源约束下，运用系统的观点、方法和理论，对项目设计的全部工作进行有效管理

项目管理是系统工程思想针对具体项目的实践应用

项目管理的知识领域

范围、时间、成本、质量、人力资源、沟通、风险、采购、集成

项目的过程控制

启动、计划、执行、控制、收尾

质量管理

质量：一组固有特性满足要求的程度

质量管理：为实现目标，而进行的所有管理性质的活动

质量管理体系

指挥和控制一个组织质量相关的管理体系

国际标准ISO9000

ISO9000规范质量管理的四个方面

机构

标准明确规定了为保证产品质量而必须建立的管理机构及职责权限

程序

对组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系和操作检查程序，并使之文件化

过程

质量控制是对生产的全部过程加以控制，是面的控制不是点的控制

总结

不断的总结、评价质量管理体系，不断的改进质量管理体系，使质量管理呈螺旋式升

能力成熟度模型（Cpability Matureity Model）

一种衡量工程实施能力的方法

建立在统计过程控制理论基础上的

能力成熟度模型

风险过程

PA04：评估威胁

PA05：评估脆弱性

PA02：评估影响

PA03：评估安全风险

工程过程

PA10：确定安全需求

PA09：提供安全输入

PA01：管理安全控制

PA08：监控安全态势

PA07：协调安全

保证过程

PA11：

PA06：建立保证依据

能力级别

1级

2级

3级

4级

5级

安全运营

概念：建立机制对信息系统运行状况进行监控，对运行中的问题进行分析，发现问题的根源并协调资源进行解决以实现安全目标

安全运营面向组织机构业务，与IT运行相辅相成

安全运营参考标准

COBIT：IT控制和IT度量评价

ITIL：IT过程管理、强调IT支持和IT交付

ISO27000：IT安全控制

安全漏洞

概念：也称脆弱性，计算机系统天生的缺陷，在使用和发展过程中产生意想不到的问题

漏洞是存在于评估对象（TOE）中的，在一定环境条件下可能违反安全工程要求的弱点（ISO/IEC15408）

安全漏洞的范畴

漏洞本身随着信息技术的发展而具有不同含义与范畴

基于访问控制的定义逐步发展到设计系统安全流程、设计、实施、内部控制等全过程定义

漏洞管理

漏洞是信息系统中必然存在的安全问题，对漏洞进行管理是保障信息系统安全的重要工作

漏洞管理工作

漏洞检测与评估

漏洞修复

补丁管理

意义：有效的补丁管理程序能够确保系统安装当前最新补丁

主要步骤

变更管理与配置管理

保证项目在变化过程中时钟处于可控状态，并随时可追踪回溯到某个历史状态

变更管理的过程

提交变更申请

变更审核

变更批准

变更实施

变更记录

配置管理

定义和控制服务与基础设施的部件，并保持准确的配置信息

事件管理

减少或消除事件（包括IT事件和安全事件）对信息系统运行带来的干扰

检测事件然后准确确定正确的支持资源以便尽快解决事件的能力

为管理层提供关于影响组织的事件的准确信息，以便他们能够确定必须的支持资源，并为支持资源的供给做好计划

事件管理流程设计运营的整个生命周期

内容安全

内容安全需求

网络舆情管理措施

舆情监控

社会工程学与培训教育

社会工程学防御

培训教育

·人员培训的重要性

·培训应持续性

·建立培训计划

·培训与发展挂钩

更新: 2025-03-11 10:30:17
原文: http://www.yuque.com/yuhui.net/network/gqu93l12f6uloxpy