安全工程与运营

最新推荐文章于 2024-05-21 08:20:14 发布

李慕忱LiMuC

最新推荐文章于 2024-05-21 08:20:14 发布

阅读量291

点赞数

CC 4.0 BY-SA版权

本文链接：https://blog.csdn.net/weixin_44839906/article/details/119455075

系统安全工程基础
   理解系统安全工程的概念及系统安全工程的必要性
系统安全工程理论基础
   了解系统工程思想、项目管理方法、质量管理体系、能力成熟度模型等基础理论
   理解能力成熟模型的基本思想及相关概念

采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程
信息化建设活动中有关加强系统安全性活动的集合
良好安全工程的四个方面
   策略
   机制
   保证
   动机

信息系统安全保障要素之一
解决信息系统生命周期的“过程安全”问题
信息安全是信息化的有机组成部分，必须与信息化同步规划、同步建设
信息系统的建设是一项系统工程，具有复杂性，安全工程以最优费效比提供并满足安全需求
（建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用）

系统工程
项目管理
质量管理
能力成熟度模型

什么是系统工程
   以大型复杂系统为研究对象，按一定目的进行设计、开发、管理与控制，以期达到总体效果最优的理论与方法
系统工程的概念
   系统工程不是基本理论，也不属于技术实现，而是一种方法论
   系统工程是一门高度综合性的管理工程技术，不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究

霍尔三维结构图
   时间维
   逻辑维
   知识维

什么是项目管理
   项目管理者在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效管理
   项目管理是系统工程思想针对具体项目的实践应用
项目管理的知识领域
   范围、时间、成本、质量、人力资源、沟通、风险、采购和集成
项目的过程控制
   启动、计划、执行、控制和收尾

质量管理基本概念
   质量：是一组固有特性满足要求的程度
   质量管理：为了实现质量目标，而进行的所有管理性质的活动
质量管理体系
   指挥和控制一个组织质量相关的管理体系
   国际标准IS09000系列

机构
   标准明确规定了为保证产品质量而必须建立的管理机构及职责权限
程序
   对组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系和操作检查程序，并使之文件化
过程
   质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制
总结
   不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式上升

能力成熟度模型
   一种衡量工程实施能力的方法
   建立在统计过程控制理论基础上
能力成熟度模型
   现代统计过程控制理论表面通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品
   所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程
   CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”

工程实施组织的能力成熟度等级越高，系统的风险越低
CMM为工程的过程能力提供了一个阶梯式d0改进框架

系统安全工程能力成熟度模型
了解系统安全工程能力成熟度模型基本概念
了解系统安全工程能力成熟度模型的体系结构及域维、能力维相关概念

什么是系统安全工程能力成熟模型（SSE-CMM）
   一种衡量SSE实施能力的方法
   为信息安全工程过程改进建立一个框架模型
SSE-CMM描述了一个组织的系统安全工程过程必须包含的基本特征
   这些特征是完善的安全工程保证
   也是系统安全工程实施的度量标准
   还是一个易于理解的评估系统安全工程实施的框架

获取组织（系统、产品的采购方）
   帮助选择合格的投标者，以统一的标准对安全工程过程进行监管提高工程实施质量，减少争议
工程组织（系统开发和集成商）
   通过可重复、可预测的过程减少返工、提高质量、降低成本；改进安全工程实施能力；获得证明安全工程实施能力的资质
认证评估组织
   获得独立于系统和产品的可重用的过程评估标准，用来确定被评估者将安全工程集成在系统工程之中，并且其系统安全工程是可信的

“域维”由所有定义的安全工程过程区构成
“ 能力维”代表组织实施这一过程的能力

过程区域
   过程区域是过程的一种单位
基本实施
   过程区域由BP组成
   BP是强制实施
过程类
   SSE-CMM包含22个PA，分为工程、项目、组织三类

过程能力
   对过程控制程度的衡量方法，采用成熟度级别划分
过程能力的作用
   衡量组织达到过程目标的能力
   成熟度低，成本、进度、功能和质量都不稳定
   成熟度高，达到预定的成本、进度、功能和质量目标的就越有把握

通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围
给每个PA赋予了一个能力级别评分，所得到的二维图形便形象地反应一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度

SSE-CMM安全工程过程
   掌握风险过程包括的评估威胁、评估脆弱性、评估影响及评估安全风险这四个过程区域及其基本实施
   掌握工程过程包括的确定安全需求、提供安全输入、管理安全控制、监控安全态势及协调安全五个过程区域及其基本实施
   掌握保证过程中验证和证实安全及建立保证论据两个过程区域及其基本实施

工程类
11个PA，描述了系统安全工程中实施的与安全直接相关的活动
组织和项目过程类
11个PA，并不直接同系统安全相关，但常与11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度