CISP 第五章 《安全工程与运营》
CISP相关文档已经上传至Github:https://github.com/Double-q1015/cisp
一、安全工程
(一)安全工程理论基础
- 安全工程概念:广义的工程包括了狭义工程的范围。
- 安全工程的原则:全生命周期的原则,同步规划、建设、使用的原则。
- 安全工程的方面:动机、机制、策略、保证。
-
安全工程理论基础
系统工程是一种对所有系统都具有普遍意义的科学方法
例题
image.png
(1)系统工程:方法论、软科学;霍尔三维模型(时间、知识、逻辑)。
(2)项目管理:有限资源约束对所有的工作管理,包括质量、进度和成本管理。
(3)质量管理:以高质量的过程控制保证高质量的产品和服务(结果)。
例题
image.png
(4)能力成熟度:个人及组织的过程控制质量水平的高低为 CMM(1-5 级)。
(二)安全工程理论模型
-
SSE-CMM 基础
image.png
(1)SSE-CMM 发展:美国国家安全局(NSA)。
(2)SSE-CMM 范围:即项目管理、质量管理、系统工程、能力成熟度等。
(3)SSE-CMM 作用:甲方-获取方,乙方-提供方,第三方-评估方。
2.SSE-CMM 的内容
2.1 域维
image.png
(1)构成:类(3 类)、PA(过程区域-22 个)、BP(基本实施)。
(2)内容:
— 类:工程类、项目类、组织类。
例题
image.png
— 工程类:风险过程、工程过程、保证过程。
— 风险过程:评估影响、评估威胁、评估脆弱性、评估安全风险。
— 工程过程:安全需求、安全输入、安全控制、安全态势、安全协调。
— 保证过程:核实确认安全、建立保证证据。
2.2 能力维
(1)构成:能力级别、公共特征(CF)、通用实践(GP)。
CF是测量成熟度的单位
例题
image.png
(2)内容:
PA具备了哪几个公共特征,此过程区域的能力成熟度达到了某个级别
例题
image.png
— 0 级:无特征。
— 1 级:基本执行。
— 2 级:规划执行、规范化执行、跟踪计划、验证计划。
— 3 级:制定标准过程、执行过程、协调安全实施。
— 4 级:制定测量标准、客观管理。
— 5 级:改进过程能力、改进组织能力。
二、运行维护
- 漏洞管理:有意或者无意产生的缺陷,包括技术漏洞和管理漏洞。步骤:漏
洞检测、漏洞评估、漏洞测试、漏洞加固、漏洞验证。 - 补丁加固:评估、测试、批准、部署、验证。
- 变更管理:申请、审核、实施、验证。
三、信息内容安全
- 知识产权
1)版权和著作权的区别。
2)数字对象标识符 DOI 和数字版权标识符 DCI 的区别。
3)技术:数字水印、数字签名、收费等方式。2. 信息保护
2.1 信息安全分类:个人信息、组织信息、国家信息。
2.2 网络舆情
1)网络舆情和舆情事件的区别。
2)网络舆情事件需要政府及官方媒体进行监督和引导。
四、社会工程学攻击及防护
1.社会工程学与社会工程学攻击的区别
2.社会工程学知识包括:心理、精神、生理、社会学、经济学、金融、法律等。
3.社会工程学攻击预防:学习和提高认知,吸取经验和教训。
