安全工程与运营

文章目录

• 目录

  文章目录

  一.安全工程理论基础

  安全工程的概念

  安全工程的原则

  安全工程包含的四个方面：

  安全工程理论基础

  总结

---

一.安全工程理论基础

安全工程的概念

• 采用工程的概念，原理，技术和方法，来研究，开发，实施与维护信息系统安全的过程
• 信息化建设活动中有关加强系统安全性活动的集合

广义：

泛指一切技术，管理，人员要素采用工程过程手段和方法论，在系统生命周期上进行继承的动态过程

狭义：

通常指网络安全防护措施的实施，集成的活动

关系：

狭义的工程是广义工程的组成部分，广义的工程组成包括：评估，需求，设计，实施，测试，验收，运维，废弃，体现全生命周期的特性

安全工程的原则

• 坚持全生命周期的原则
• 与信息化同步规划，同步建设

安全工程包含的四个方面：

工程：策略  机制  保证  动机 

安全工程理论基础

系统工程的概念

• 以大型复杂系统为研究对象，按一定目的进行设计，开发，管理与控制，以期达到总体效果最优的理论与方法
• 系统工程是一种方法论
• 系统工程是一门高度综合性的管理工程技术，不同于机械工程等“硬工程”，偏重于工程的组织与经营管理一类“软”科学的研究。

霍尔三位结构图： 

•  时间维：工程开展的时间阶段
• 知识维：工程开展的知识和方法
• 逻辑维：工程开展的内容

系统工程核心思想：在对的时间，遇见对的人，用对的方法，做对的事情

项目管理概念

项目管理者在有限的资源约束下，运用系统的观点，方法和理论，对项目设计的全部工作进行有效管理，包括质量，进度，成本管理（核心三要素）

质量管理：

质量是一组固有特性满足要求的程度

• 质量管理：为了实现质量目标，而进行的所有管理性质的活动
• 思想：高质量的过程控制保证高质量的产品服务
• 项目过程控制采用PDCA方法
• 质量管理体系：国际标准ISO 9000系列

ISO 9000四个方面

首先成立质量机构，制定质量管理的制度程序，开展质量管理的过程控制，针对不足进行总结改进

质量管理的关键：质量控制是对生产的全部过程加以控制，是面的控制不是点的控制

科学的质量管理是以过程为导向不是结果为导向

能力成熟度模型：（CMM）

• 一种衡量工程实施能力的方法
• 建立在现代统计过程控制理论基础上

 

1. 初始级（Initial Level）：表明组织的软件工程实践是无序、不稳定和随意的。

2. 重复级（Repeatable Level）：表明组织已经开始规范软件开发流程，但还没有建立标准化的过程框架。

3. 定义级（Defined Level）：表明组织已经建立了标准化的软件开发流程框架，并将其纳入了组织的管理过程中。

4. 管理级（Managed Level）：表明组织的软件开发流程已经得到了有效的监控和管理，并能够持续地进行改进。

5. 优化级（Optimized Level）：表明组织已经建立了一种能够持续进行改进的软件开发流程，能够快速适应变化和创新。

安全工程理论模型

系统工程能力成熟度模型（SSE-CMM）

系统代表：系统化，体系化

• 一种衡量SSE实施能力的方法
• 为信息安全工程过程改进建立一个框架模型
• 诞生于美国国家安全局（NSA），后来发展为ISO/IEC 21827标准

 SSE-CMM描述了一个组织的系统安全工程必须包含的基本特征

• 这些特征是完善的安全工程的保证
• 是系统安全施工的度量标准
• 是评估系统安全工程实施的框架

 SSE-CMM是建立在全生命周期，系统工程，项目管理，质量管理的基础上

SSE-CMM模型的三方作用

• 帮助甲方（系统，产品采购方）选择合格的投标者，以统一的标准对安全工程过程进行监管提高工程实施质量，减少争议
• 乙方（系统开发集成商）通过该模型来减少返工，提高质量，降低成本，改进安全工程的实施能力，获得证明安全工程实施能力的资质
• 第三方（测评方）通过该模型获得独立于系统和产品的可重用的过程评估标准，用来确定被评估者将安全工程集成于系统工程之后之中，并且其系统安全工程是可信的

SSE-CMM的内容

域维：代表安全工程的内容 (学习的课程内容)

能力维：代表组织实施工程内容的水平（成绩高低）

总结