信息系统工程包括信息安全系统工程和业务应用信息系统工程
信息安全系统是客观的、独立于业务应用信息系统而存在的信息系统
安全系统:
X轴是“安全机制”,Y轴是“OSI网络参考模型”,Z轴是“安全服务”
X,Y,Z三个轴形成的信息安全系统三维空间就是信息系统的"安全空间",五大属性认证 权限 完整 加密和不可否认
安全机制包含:基础设施实体安全,平台安全,数据安全,通信安全,应用安全,运行安全,管理安全,授权和审计安全,安全防范体系等
基础设施实体安全:主要包括机房安全,场地安全,设施安全,动力系统安全,灾难预防与恢复
平台安全:主要包括操作系统漏洞检测与修复,网络基础设施漏洞检测与修复,通用基础应用程序漏洞检测与修复,网络安全产品部署
数据安全:主要包括介质与载体安全保护,数据访问控制,数据完整性,数据可用性,数据监控和审计,数据存储与备份安全等
通信安全:主要包括通信线路和网络基础设施安全性测试与优化,安装网络加密设施,设置通信加密软件,设置身份鉴别机构,设置并测试安全通道,测试各项网络协议运行漏洞
应用安全:关于安全性,抵赖性,访问控制验证,保密性,可靠性,可用性等测试
运行安全:各种配套咨询服务
管理安全:人员 培训 设备 文档 数据 操作管理等
授权和审计安全
安全防范体系:核心是实现组织信息安全资源的综合管理EISRM.六项能力:预警Warn,保护Protect,检测Detect,反应Response,恢复Recover,反击Counter-attack
WPDRRC信息安全保障体系
安全服务包括对等实体认证服务,数据保密服务,数据完整性服务,数据源点认证服务,禁止否认服务和犯罪证据提供服务
对等实体认证服务:两个开放系统同等层的实体建立链或数据传输时,对对方实体的合法性\真实性进行确认,以防假冒
数据保密服务:
数据完整性服务
数据源点认证服务
禁止否认服务
犯罪证据提供服务
信息系统安全工程ISSE,确定系统和过程的安全风险,并且使安全风险降到最低或使其得到有效控制
信息安全系统工程能力成熟度模型(ISSE-CMM),主要适用于工程组织,获取组织和评估组织
ISSE将信息安全系统工程实施过程分解为:工程过程,风险过程和保证过程
威胁,脆弱性,影响是一个有害时间的组成部分
风险管理是安全管理的一个重要部分
评估威胁(威胁信息),评估脆弱性(脆弱性信息),评估影响(影响信息)---->评估安全风险---->风险信息(风险等级:高风险,中风险,低风险)
ISSE0-----CMM体系结构,该模型采用两维设计,其中一维是域,另一维是能力
能力级别代表工程组织的成熟度级别
1 非正规实施级 2 规划与跟踪级 3 充分定义级 4 量化控制级 5 持续改进级
![[SWPUCTF 2021 新生赛]easyupload3.0 Writeup](https://img2024.cnblogs.com/blog/3596444/202501/3596444-20250131161820412-287649955.png)
