安全工程和运营

2024-01-02 16:42:09

基础

广义的是系统生命周期上集成的动态过程,

狭义的是规划设计实施网络安全防护措施的过程。

解决系统生命周期过程安全问题:与信息化同步规划、建设、使用

安全工程四个方面:动机、机制、策略、保证

基础:系统工程、项目管理、质量管理、能力成熟度

系统工程---霍尔三维模型:时间维、知识维、逻辑维

项目管理---启动,计划,执行,控制和收尾

质量管理---质量管理体

国际标准ISO9000系列:

四个方面:质量机构、制度程序、质量过程、总结改进

高质量过程控制(PDCA)保证高质量产品和服务(结果)

能力成熟度CMM(Capability Maturity Model)

阶梯式改进框架

SSE-SMM系统安全工程能力成熟模型

美国NSA提出,ISO/IEC 21827

基本特征:全生命周期、系统工程、项目管理、质量管理

可用于所有类型和大小的安全工程机构,商务、政府、学术

三方作用:工程组织-乙方,评估组织-第三方,获取组织-甲方

体系结构:横向域维,纵向能力维

域维:过程类,过程区域,基本实施

过程类---组织、项目、工程---三类--

? ? ? 一共22个PA(11个工程PA,11个项目和组织类PA)

? ?? 工程类:4风险带评估,5工程带安全,2保证带建立核实确认

项目和组织类:5项目,6组织

? ?

? ? 能力维0-5级

通用实践GP---公共特征CF---能力级别0-5级

?— 0级:无特征,129BP活动未完成。

?— 1级:基本执行(129BP均完成)。

?— 2级:规划执行、规范化执行、跟踪计划、验证计划。

?— 3级:制定标准过程、执行过程、协调安全实施。

?— 4级:制定测量标准、客观管理。

?— 5级:改进过程能力、改进组织能力

过程区域---过程的一种单位,PA-Process Area

基本实施---BP-Base Practice

? ?BP是构成PA的单元,是强制实施的,且不重复,贯穿整个生命周期,是经过实践验证的

运营

安全运营标准:COBIT、ITIL、ISO27000

漏洞管理:

? ? ? ? 安全漏洞Vulnerability,有称脆弱性。存在于评估对象TOE中,一定的环境条件下可能违反安全功能要求的弱点。

? ? ? 漏洞管理工作内容:检测、评估、加固、失败回退

? ? ?补丁加固:6步骤---评估补丁、测试补丁、批准补丁、部署补丁、验证补丁,失败回退

变更管理和配置管理

变更管理:申请,审核,实施,验证,失败回退

配置管理:定义部件、做好配置、配置项优化

内容

安全基础:数字资源-以数字形式发布、存取、利用的信息资源总和

内容安全问题:知识产权盗版,信息泄露、非法内容

数字版权:商标、专利、版权、著作权、数字版权、版权管理、保护信息措施

数字版权管理(Digital Rights Management,DRM)

? ? ? ? 主要技术:数字水印、数字签名、数据加密

? ? ? ? DRM六大功能:数字媒体加密、组织非法内容注册、用户环境检测、用户行为监控认证机构、付费机制存储管理

? ? ? ?数字对象标识符(Digital Object Identifier,DOI)

? ? ? ?数字版权标识符(Digital Copyright Identifier,DCI)----唯一标识,唯一性、永久性、不可修性

? ? ? ?数字作品版权登记平台

? ? ? ?数字版权费用结算平台

? ? ? ?数字版权检测取证平台

信息保护

? ? ?泄露途径:个人隐私信息泄露-社交网络、各类单据

? ? ? 分类:国家、组织、个人

? ? ? 国际信息保护法:《国家安全法》、《保守国家秘密法》、《网络安全法》

? ? ? 组织信息保护法:《公司法》、《合同法》、《民法》、《网络安全法》

? ? ? 个人信息保护法:《民法》、《网络安全法》

? ? ?非法内容管理

? ? ? 舆情:一定社会时间和空间,产生的群体效应

? ? ?表现方式:评论、BBS论坛、博客、微博

? ? ?舆情管理:政府主导,媒体监督

? ? ?监控技术:采集、分析、呈现

社工攻击防护

社工攻击:利用人性弱点(本能反应、贪婪、易于信任)进行欺骗获取利益的攻击方法

分类:直接用于攻击,间接用于攻击

? ?直接索取,利用同情或胁迫;口令破解,网络攻击

防御:惩治、个人信息保护、应急处理体系、健全社会保障补偿

文章来源:https://blog.csdn.net/arissa666/article/details/135338564
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。