第一章 安全工程与运营
1.1 系统安全工程
1.1.1 系统安全工程理论基础
v 系统工程
v 项目管理
v 质量管理
v 能力成熟度模型
1.1.1.1 系统工程
v 什么是系统工程
§以大型复杂系统为研究对象,按一定目的进行设计、开发、管理与控制,以期达到总体效果最优的理论与方法
v 系统工程的概念
§系统工程不是基本理论,也不属于技术实现,而是一种方法论
§系统工程是一门高度综合性的管理工程技术,不同于一般的工程技术学科,如水利工程、机械工程等“硬”工程;系统工程偏重于工程的组织与经营管理一类“软”科学的研究
v 霍尔三维结构图
§时间维
§逻辑维
§知识维
1.1.1.2 项目管理
v 什么是项目管理
§项目管理者在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的全部工作进行有效管理
§项目管理是系统工程思想针对具体项目的实践应用
v 项目管理的知识领域
§范围、时间、成本、质量、人力资源、沟通、风险、采购和集成
v 项目的过程控制
§启动、计划、执行、控制和收尾
1.1.1.3 质量管理
v 质量管理基本概念
§质量:是一组固有特性满足要求的程度
§质量管理:为了实现质量目标,而进行的所有管理性质的活动
v 质量管理体系
§指挥和控制一个组织质量相关的管理体系
§国际标准ISO9000系列
1.1.1.4 能力成熟度模型
v 能力成熟度模型(Capability Maturity Model)
§一种衡量工程实施能力的方法
§建立在统计过程控制理论基础上的
v 能力成熟度模型基础
§现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品;
§所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程;
§CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”;
1.1.2 系统安全功能成熟度模型 SSE-CMM
v 过程区域(PA,Process Area)
§过程区域是过程的一种单位
v 基本实施(BP,Base Practice)
§过程区域由BP组成
§BP是强制实施
v 过程类
§SSE-CMM包含22个PA,分为工程、项目、组织三类
1.1.2.1 能力级别:表示了过程的成熟性
1.2 安全运营
v 安全运营的概念
§建立机制对信息系统运行状况进行监控,对运行中的问题进行分析,发现问题的根源并协调资源进行解决以实现安全目标
§安全运营面向组织机构业务,与IT运营相辅相成;
v 安全运营参考标准
§COBIT:IT控制和IT度量评价
§ITIL: IT过程管理、强调IT支持和IT交付
§ISO27000:IT安全控制
漏洞管理、补丁管理、变更管理与配置管理、事件管理
1.3 内容安全
信息保护、网络舆情
1.4 社会工程学与培训教育
v 人性的弱点(Robert B Cialdini)
§信任权威
§信任共同爱好
§获得好处后报答
§期望守信
§期望社会认可
§短缺资源的渴望
§……
