安全工程與運(yùn)營(yíng)-V4.2

1、安全工程與運(yùn)營(yíng)講師姓名 機(jī)構(gòu)名稱版本：4.2課程內(nèi)容2安全工程與運(yùn)營(yíng)系統(tǒng)安全工程知識(shí)域知識(shí)子域安全運(yùn)營(yíng)內(nèi)容安全社會(huì)工程學(xué)與培訓(xùn)教育知識(shí)子域：系統(tǒng)安全工程系統(tǒng)安全工程基礎(chǔ)理解系統(tǒng)安全工程的概念及系統(tǒng)安全工程的必要性。系統(tǒng)安全工程理論基礎(chǔ)了解系統(tǒng)工程思想、項(xiàng)目管理方法、質(zhì)量管理體系、能力成熟度模型等基礎(chǔ)理論；理解能力成熟度模型的基本思想及相關(guān)概念；3什么是安全工程采用工程的概念、原理、技術(shù)和方法，來(lái)研究、開發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過(guò)程信息化建設(shè)活動(dòng)中有關(guān)加強(qiáng)系統(tǒng)安全性活動(dòng)的集合良好安全工程的四個(gè)方面策略機(jī)制保證動(dòng)機(jī)4為什么需要系統(tǒng)安全工程信息系統(tǒng)安全保障要素之一解決信息系統(tǒng)生命周期的“過(guò)程安全

2、”問(wèn)題信息安全是信息化的有機(jī)組成部分，必須與信息化同步規(guī)劃、同步建設(shè)信息系統(tǒng)的建設(shè)是一項(xiàng)系統(tǒng)工程，具有復(fù)雜性，安全工程是以最優(yōu)費(fèi)效比提供并滿足安全需求5“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！?中華人民共和國(guó)網(wǎng)絡(luò)安全法系統(tǒng)安全工程理論基礎(chǔ)系統(tǒng)工程項(xiàng)目管理質(zhì)量管理能力成熟度模型6系統(tǒng)安全工程理論基礎(chǔ)-系統(tǒng)工程什么是系統(tǒng)工程以大型復(fù)雜系統(tǒng)為研究對(duì)象，按一定目的進(jìn)行設(shè)計(jì)、開發(fā)、管理與控制，以期達(dá)到總體效果最優(yōu)的理論與方法系統(tǒng)工程的概念系統(tǒng)工程不是基本理論，也不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論系統(tǒng)工程是一門高度綜合性的管理工程技術(shù)

3、，不同于一般的工程技術(shù)學(xué)科，如水利工程、機(jī)械工程等“硬”工程；系統(tǒng)工程偏重于工程的組織與經(jīng)營(yíng)管理一類“軟”科學(xué)的研究7系統(tǒng)安全工程理論基礎(chǔ)-系統(tǒng)工程霍爾三維結(jié)構(gòu)圖時(shí)間維邏輯維知識(shí)維8系統(tǒng)安全工程理論基礎(chǔ)-項(xiàng)目管理什么是項(xiàng)目管理項(xiàng)目管理者在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效管理項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用項(xiàng)目管理的知識(shí)領(lǐng)域范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)和集成項(xiàng)目的過(guò)程控制啟動(dòng)、計(jì)劃、執(zhí)行、控制和收尾9系統(tǒng)安全工程理論基礎(chǔ)-質(zhì)量管理質(zhì)量管理基本概念質(zhì)量：是一組固有特性滿足要求的程度質(zhì)量管理：為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管

4、理性質(zhì)的活動(dòng)質(zhì)量管理體系指揮和控制一個(gè)組織質(zhì)量相關(guān)的管理體系國(guó)際標(biāo)準(zhǔn)ISO9000系列10ISO9000規(guī)范質(zhì)量管理的四個(gè)方面機(jī)構(gòu)標(biāo)準(zhǔn)明確規(guī)定了為保證產(chǎn)品質(zhì)量而必須建立的管理機(jī)構(gòu)及職責(zé)權(quán)限程序?qū)M織的產(chǎn)品生產(chǎn)必須制定規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、質(zhì)量手冊(cè)、質(zhì)量體系和操作檢查程序，并使之文件化過(guò)程質(zhì)量控制是對(duì)生產(chǎn)的全部過(guò)程加以控制，是面的控制，不是點(diǎn)的控制總結(jié)不斷地總結(jié)、評(píng)價(jià)質(zhì)量管理體系，不斷地改進(jìn)質(zhì)量管理體系，使質(zhì)量管理呈螺旋式升11系統(tǒng)安全工程理論基礎(chǔ)-能力成熟度模型能力成熟度模型（Capability Maturity Model）一種衡量工程實(shí)施能力的方法建立在統(tǒng)計(jì)過(guò)程控制理論基礎(chǔ)上的能力成熟度模

5、型基礎(chǔ)現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論表明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點(diǎn)是都具有一組嚴(yán)格定義、管理完善、可測(cè)可控從而高度有效的業(yè)務(wù)過(guò)程；CMM模型抽取了這樣一組好的工程實(shí)踐并定義了過(guò)程的“能力”；12能力成熟度模型基本思想工程實(shí)施組織的能力成熟度等級(jí)越高，系統(tǒng)的風(fēng)險(xiǎn)越低CMM為工程的過(guò)程能力提供了一個(gè)階梯式的改進(jìn)框架13能力成熟模型SW-CMM軟件能力成熟模型SE-CMM系統(tǒng)工程能力成熟模型SSE-CMM信息系統(tǒng)安全工程能力成熟模型軟件工程傳統(tǒng)制造業(yè)安全工程知識(shí)子域：系統(tǒng)安全工程系統(tǒng)安全工程能力成熟度模型了解系統(tǒng)安全工程能力成熟度模型

6、基本概念；了解系統(tǒng)安全工程能力成熟度模型的體系結(jié)構(gòu)及域維、能力維相關(guān)概念；14系統(tǒng)安全工程能力成熟度模型什么是系統(tǒng)安全工程能力成熟模型（SSE-CMM）一種衡量SSE實(shí)施能力的方法為信息安全工程過(guò)程改進(jìn)建立一個(gè)框架模型SSE-CM描述了一個(gè)組織的系統(tǒng)安全工程過(guò)程必須包含的基本特征這些特征是完善的安全工程保證也是系統(tǒng)安全工程實(shí)施的度量標(biāo)準(zhǔn)還是一個(gè)易于理解的評(píng)估系統(tǒng)安全工程實(shí)施的框架15SSE-CMM的作用獲取組織（系統(tǒng)、產(chǎn)品的采購(gòu)方）幫助選擇合格的投標(biāo)者，以統(tǒng)一的標(biāo)準(zhǔn)對(duì)安全工程過(guò)程進(jìn)行監(jiān)管提高工程實(shí)施質(zhì)量，減少爭(zhēng)議工程組織（系統(tǒng)開發(fā)和集成商）通過(guò)可重復(fù)、可預(yù)測(cè)的過(guò)程減少返工、提高質(zhì)量、降低成本；

7、改進(jìn)安全工程實(shí)施能力；獲得證明安全工程實(shí)施能力的資質(zhì)認(rèn)證評(píng)估組織獲得獨(dú)立于系統(tǒng)和產(chǎn)品的可重用的過(guò)程評(píng)估標(biāo)準(zhǔn)，用來(lái)確定被評(píng)估者將安全工程集成在系統(tǒng)工程之中，并且其系統(tǒng)安全工程是可信的16SSE-CMM體系結(jié)構(gòu)“域維” 由所有定義的安全工程過(guò)程區(qū)構(gòu)成“能力維”代表組織實(shí)施這一過(guò)程的能力能力維（Capability Dimension）域維（Domain Dimension）公共特征2.4跟蹤執(zhí)行PA 05評(píng)估脆弱性17域維-過(guò)程區(qū)域過(guò)程區(qū)域（PA，Process Area）過(guò)程區(qū)域是過(guò)程的一種單位基本實(shí)施（BP，Base Practice）過(guò)程區(qū)域由BP組成BP是強(qiáng)制實(shí)施過(guò)程類SSE-CMM包含2

8、2個(gè)PA，分為工程、項(xiàng)目、組織三類過(guò)程類Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本實(shí)施Process AreasProcess AreasProcess Areas過(guò)程區(qū)域18能力維-過(guò)程能力過(guò)程能力（Process Capability）對(duì)過(guò)程控制程度的衡量方法，采用成熟度級(jí)別劃分過(guò)程能力的作用衡量組織達(dá)到過(guò)程目標(biāo)的能力成熟度低，成本、進(jìn)度、功能和質(zhì)量都不穩(wěn)定成熟度高，達(dá)到預(yù)定的成本、進(jìn)度、功能和質(zhì)量目標(biāo)的就越有把握能力維能力級(jí)別GP，Generic Practice 管理、度量和制度方面的

9、活動(dòng)，可用于決定所有活動(dòng)的能力水平CF，Common Feature由GP組成的邏輯域由公共特征組成的過(guò)程能力水平的級(jí)別劃分。0-5共6個(gè)級(jí)別公共特征通用實(shí)踐19SSE-CMM能力成熟度評(píng)價(jià)體系通過(guò)設(shè)置這兩個(gè)相互依賴的維，SSE-CMM在各個(gè)能力級(jí)別上覆蓋了整個(gè)安全活動(dòng)范圍。給每個(gè)PA賦予一個(gè)能力級(jí)別評(píng)分，所得到的兩維圖形便形象地反映一個(gè)工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力級(jí)別安全過(guò)程區(qū)域20知識(shí)子域：系統(tǒng)安全工程SSE-CMM安全工程過(guò)程掌握風(fēng)險(xiǎn)過(guò)程包括的評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響

10、及評(píng)估安全風(fēng)險(xiǎn)這四個(gè)過(guò)程區(qū)域及其基本實(shí)施；掌握工程過(guò)程包括的確定安全需求、提供安全輸入、管理安全控制、監(jiān)控安全態(tài)勢(shì)及協(xié)調(diào)安全五個(gè)過(guò)程區(qū)域及其基本實(shí)施；掌握保證過(guò)程中驗(yàn)證和證實(shí)安全及建立保證論據(jù)兩個(gè)過(guò)程區(qū)域及其基本實(shí)施。21域維-SSE-CMM的過(guò)程控制工程類11個(gè)PA，描述了系統(tǒng)安全工程中實(shí)施的與安全直接相關(guān)的活動(dòng)組織和項(xiàng)目過(guò)程類11個(gè)PA，并不直接同系統(tǒng)安全相關(guān)，但常與11個(gè)工程過(guò)程區(qū)域一起用來(lái)度量系統(tǒng)安全隊(duì)伍的過(guò)程能力成熟度核實(shí)和確認(rèn)安全PA11明確安全需求PA10提供安全輸入PA09監(jiān)視安全態(tài)勢(shì)PA08協(xié)調(diào)安全PA07建立保證論據(jù)PA06評(píng)估脆弱性PA05評(píng)估威脅PA04評(píng)估安全風(fēng)險(xiǎn)PA

11、03評(píng)估影響PA02管理安全控制PA01風(fēng)險(xiǎn)過(guò)程工程過(guò)程保證過(guò)程22工程類過(guò)程之間關(guān)系11個(gè)PA分為風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、保證過(guò)程保證論據(jù)風(fēng)險(xiǎn)信息產(chǎn)品或服務(wù)工程過(guò)程Engineering保證過(guò)程Assurance風(fēng)險(xiǎn)過(guò)程Risk23風(fēng)險(xiǎn)過(guò)程PA04：評(píng)估威脅威脅信息threat脆弱性信息vulnerability影響信息impact風(fēng)險(xiǎn)信息PA05：評(píng)估脆弱性PA02：評(píng)估影響PA03：評(píng)估安全風(fēng)險(xiǎn)24調(diào)查和量化風(fēng)險(xiǎn)的過(guò)程PA04：評(píng)估威脅識(shí)別和描述系統(tǒng)面臨的安全威脅及其特征BP.04.01識(shí)別由自然因素所引起的有關(guān)威脅BP.04.02識(shí)別由人為因素所引起的有關(guān)威脅BP.04.03制定評(píng)判威脅的

12、測(cè)度單位 BP.04.04評(píng)估威脅源的動(dòng)機(jī)和能力BP.04.05評(píng)估威脅事件出現(xiàn)的可能性BP.04.06 監(jiān)控威脅的變化25PA05：評(píng)估脆弱性識(shí)別和描述系統(tǒng)存在的脆弱性及其特征BP.05.01選擇識(shí)別和描述系統(tǒng)脆弱性的方法、技術(shù)和標(biāo)準(zhǔn)BP.05.02識(shí)別系統(tǒng)存在的脆弱性BP.05.03 收集與脆弱性特征有關(guān)的數(shù)據(jù)BP.05.04 對(duì)脆弱性進(jìn)行綜合分析，評(píng)判脆弱性或脆弱性組合可能帶來(lái)的危害BP.05.05 監(jiān)控脆弱性的變化26PA02：評(píng)估影響識(shí)別和描述安全事件造成的影響B(tài)P.02.01 對(duì)運(yùn)行、業(yè)務(wù)或任務(wù)指令進(jìn)行識(shí)別、分析和優(yōu)先級(jí)排列BP.02.02 識(shí)別系統(tǒng)資產(chǎn)BP.02.03 選擇用于評(píng)

13、估影響的度量標(biāo)準(zhǔn)BP.02.04 標(biāo)識(shí)度量標(biāo)準(zhǔn)以及（若需要）度量標(biāo)準(zhǔn)轉(zhuǎn)換因子之間的關(guān)系BP.02.05 識(shí)別影響B(tài)P02.06 監(jiān)控影響中發(fā)生的變化27PA03：評(píng)估安全風(fēng)險(xiǎn)識(shí)別和描述系統(tǒng)面臨的安全風(fēng)險(xiǎn)BP.03.01 選擇風(fēng)險(xiǎn)所依據(jù)的方法、技術(shù)和準(zhǔn)則BP.03.02 識(shí)別威脅/脆弱性/影響三組合（暴露）BP.03.03 評(píng)估與每個(gè)暴露有關(guān)的風(fēng)險(xiǎn)BP.03.04 評(píng)估總體不確定性BP.03.05 風(fēng)險(xiǎn)優(yōu)先級(jí)排列BP.03.06 監(jiān)控風(fēng)險(xiǎn)的變化28工程過(guò)程安全工程是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)、退出的完整過(guò)程。SSE-CMM強(qiáng)調(diào)安全工程是一個(gè)大的項(xiàng)目隊(duì)伍中的一部分，需要與其它

14、科目工程師的活動(dòng)相互協(xié)調(diào)。 29PA10確定安全需求需求、策略等配置信息解決方案、指導(dǎo)等風(fēng)險(xiǎn)信息PA08監(jiān)控安全態(tài)勢(shì)PA07協(xié)調(diào)安全PA01管理安全控制PA09提供安全輸入PA10：確定安全需求本過(guò)程區(qū)域?qū)崿F(xiàn)依賴的7項(xiàng)基本實(shí)施BP.10.01 獲得對(duì)顧客安全需求的理解BP.10.02 識(shí)別可用的法律、策略、標(biāo)準(zhǔn)、外部影響和約束BP.10.03 識(shí)別系統(tǒng)用途，以確定其安全關(guān)聯(lián)性BP.10.04 捕捉系統(tǒng)運(yùn)行的安全視圖BP.10.05 捕捉高層的安全目標(biāo)BP.10.06 定義安全相關(guān)需求BP.10.07 達(dá)成安全協(xié)議30PA09：提供安全輸入此過(guò)程區(qū)域包括以下6項(xiàng)基本實(shí)施BP.09.01 理解安全

15、輸入需求BP.09.02 確定安全約束和需要考慮的問(wèn)題BP.09.03 識(shí)別安全解決方案BP.09.04 分析工程可選方案的安全性BP.09.05 提供安全工程指南BP.09.06 提供運(yùn)行安全指南31PA01：管理安全控制此過(guò)程區(qū)域包括以下4項(xiàng)基本實(shí)施BP.01.01 建立安全職責(zé)BP.01.02 管理安全配置BP.01.03 管理安全意識(shí)、培訓(xùn)和教育大綱BP.01.04 安全服務(wù)及控制機(jī)制的管理32PA08：監(jiān)控安全態(tài)勢(shì)此過(guò)程區(qū)域包括以下7項(xiàng)基本實(shí)施BP.08.01 分析事件記錄BP.08.02 監(jiān)視變化BP.08.03 識(shí)別安全突發(fā)事件BP.08.04 監(jiān)控安全防護(hù)措施的有效性BP.08

16、.05 審核安全態(tài)勢(shì)BP.08.06 管理對(duì)安全突發(fā)事件的響應(yīng)BP.08.07 保護(hù)安全監(jiān)視的記錄數(shù)據(jù)33PA07：協(xié)調(diào)安全此過(guò)程區(qū)域包括以下4項(xiàng)基本實(shí)施BP.07.01 定義協(xié)調(diào)目標(biāo)BP.07.02 識(shí)別協(xié)調(diào)機(jī)制BP.07.03 促進(jìn)協(xié)調(diào)BP.07.04 協(xié)調(diào)安全決定和建議34保證過(guò)程保證是指安全需要得到滿足的信任程度SSE-CMM的信任程度來(lái)自于安全工程過(guò)程可重復(fù)性的結(jié)果質(zhì)量證據(jù)證據(jù)保證論據(jù)PA11驗(yàn)證和證實(shí)安全指定安全要求其他多個(gè)PAPA06建立保證論據(jù)35PA11：驗(yàn)證和證實(shí)安全此過(guò)程區(qū)域包括以下5項(xiàng)BPBP.11.01 識(shí)別驗(yàn)證和證實(shí)的目標(biāo)BP.11.02 定義驗(yàn)證和證實(shí)方法BP.1

17、1.03 執(zhí)行驗(yàn)證BP.11.04 執(zhí)行證實(shí)BP.11.05 提供驗(yàn)證和證實(shí)的結(jié)果36PA06：建立保證論據(jù)本過(guò)程區(qū)域包括以下5項(xiàng)基本實(shí)施BP.06.01 識(shí)別保證目標(biāo)BP.06.02 定義保證策略BP.06.03 控制保證證據(jù)BP.06.04 分析證據(jù)BP.06.05 提供保證論據(jù)37知識(shí)子域：系統(tǒng)安全工程SSE-CMM安全工程能力理解能力成熟度級(jí)別的概念；掌握15級(jí)不同成熟度級(jí)別應(yīng)具有的公共特征。38組織的過(guò)程管理和制度化能力的強(qiáng)弱能力級(jí)別：表示了過(guò)程的成熟性39公共特征能力級(jí)別計(jì)劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗(yàn)證執(zhí)行定義標(biāo)準(zhǔn)過(guò)程協(xié)調(diào)安全實(shí)施執(zhí)行已定義的過(guò)程建立可測(cè)量的質(zhì)量目標(biāo)客觀地管理過(guò)程的執(zhí)

18、行1非正規(guī)執(zhí)行2計(jì)劃與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行基本實(shí)施改進(jìn)組織能力改進(jìn)過(guò)程的有效性能力級(jí)別-1級(jí)非正規(guī)執(zhí)行級(jí)該級(jí)別過(guò)程區(qū)域的基本實(shí)施均被執(zhí)行，但未經(jīng)過(guò)嚴(yán)格的計(jì)劃和跟蹤，而是基于個(gè)人的知識(shí)和努力該級(jí)別包括一個(gè)公共特征執(zhí)行基本實(shí)施所有BP以某種方式執(zhí)行工作產(chǎn)品的一致性、性能和質(zhì)量會(huì)因?yàn)槿狈m當(dāng)控制而存在極大的差異40能力級(jí)別-2級(jí)規(guī)劃和跟蹤級(jí)該級(jí)別包括四個(gè)公共特征：規(guī)劃執(zhí)行：分配資源、指定責(zé)任、提供工具、將規(guī)劃形成文檔規(guī)范化執(zhí)行：使用標(biāo)準(zhǔn)和規(guī)程、進(jìn)行配置管理跟蹤執(zhí)行：跟蹤過(guò)程實(shí)施、采取修正措施驗(yàn)證執(zhí)行：驗(yàn)證工作過(guò)程、驗(yàn)證工作產(chǎn)品41能力級(jí)別-3級(jí)充分定義級(jí)該級(jí)別包括三個(gè)公共特征：定義

19、標(biāo)準(zhǔn)化過(guò)程：制定標(biāo)準(zhǔn)化過(guò)程，從組織標(biāo)準(zhǔn)化過(guò)程中裁剪出針對(duì)特定需求的過(guò)程執(zhí)行已定義過(guò)程：PA的實(shí)施使用充分定義的過(guò)程，對(duì)執(zhí)行結(jié)果進(jìn)行缺陷評(píng)審，使用充分定義的數(shù)據(jù)協(xié)調(diào)安全實(shí)施：執(zhí)行組內(nèi)協(xié)調(diào)、執(zhí)行組間協(xié)調(diào)、執(zhí)行外部協(xié)調(diào)42能力級(jí)別-4級(jí)量化控制級(jí)該級(jí)別包括兩個(gè)公共特征：建立可測(cè)量的質(zhì)量目標(biāo)：為工作產(chǎn)品建立可測(cè)度的目標(biāo)對(duì)執(zhí)行情況實(shí)施客觀管理：為工作過(guò)程能力建立量化測(cè)量和改進(jìn)的標(biāo)準(zhǔn)43能力級(jí)別-5級(jí)持續(xù)改進(jìn)級(jí)該級(jí)別包括兩個(gè)特征改進(jìn)組織能力：建立過(guò)程有效性目標(biāo)，持續(xù)改進(jìn)標(biāo)準(zhǔn)過(guò)程改進(jìn)過(guò)程有效性：進(jìn)行因果分析，消除缺陷根源，持續(xù)改進(jìn)已定義過(guò)程44知識(shí)子域：安全運(yùn)營(yíng)安全運(yùn)營(yíng)概念了解安全運(yùn)營(yíng)的概念；安全運(yùn)營(yíng)管理了

20、解漏洞的概念及漏洞檢測(cè)、漏洞評(píng)估等漏洞管理工作；了解補(bǔ)丁管理的重要性及補(bǔ)丁管理工作步驟；了解變更管理的作用及工作步驟；了解配置管理的基本概念；了解事件管理的基本概念。45安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)的概念建立機(jī)制對(duì)信息系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控，對(duì)運(yùn)行中的問(wèn)題進(jìn)行分析，發(fā)現(xiàn)問(wèn)題的根源并協(xié)調(diào)資源進(jìn)行解決以實(shí)現(xiàn)安全目標(biāo)安全運(yùn)營(yíng)面向組織機(jī)構(gòu)業(yè)務(wù)，與IT運(yùn)營(yíng)相輔相成；安全運(yùn)營(yíng)參考標(biāo)準(zhǔn)COBIT:IT控制和IT度量評(píng)價(jià)ITIL: IT過(guò)程管理、強(qiáng)調(diào)IT支持和IT交付ISO27000:IT安全控制46安全漏洞的概念什么是安全漏洞（Vulnerability）也被稱為脆弱性，計(jì)算機(jī)系統(tǒng)天生的類似基因的缺陷，在使用和發(fā)展過(guò)

21、程中產(chǎn)生意想不到的問(wèn)題（馮諾依曼）漏洞是存在于評(píng)估對(duì)象（TOE）中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點(diǎn)（ISO/IEC15408）安全漏洞的范疇漏洞本身隨著信息技術(shù)的發(fā)展而具有不同的含義與范疇基于訪問(wèn)控制的定義逐步發(fā)展到涉及系統(tǒng)安全流程、設(shè)計(jì)、實(shí)施、內(nèi)部控制等全過(guò)程的定義47漏洞管理的重要性為什么需要漏洞管理漏洞是信息系統(tǒng)中必然存在的安全問(wèn)題，對(duì)漏洞進(jìn)行管理是保障信息系統(tǒng)安全的重要工作漏洞管理工作漏洞檢測(cè)漏洞評(píng)估48補(bǔ)丁管理基本意義有效的補(bǔ)丁管理程序能夠確保系統(tǒng)安裝當(dāng)前最新的補(bǔ)丁。主要步驟評(píng)估補(bǔ)丁（較為重要）測(cè)試補(bǔ)?。ㄝ^為關(guān)鍵）批準(zhǔn)補(bǔ)?。ǔＥc變更管理聯(lián)動(dòng)）部署補(bǔ)?。ㄈ斯ぁ⒆詣?dòng)）驗(yàn)證

22、補(bǔ)?。ò殡S跟進(jìn)的過(guò)程）49變更管理與配置管理保證項(xiàng)目在變化過(guò)程中始終處于可控狀態(tài)，并隨時(shí)可跟蹤回溯到某個(gè)歷史狀態(tài)變更管理的過(guò)程提交變更申請(qǐng)變更審核變更批準(zhǔn)變更實(shí)施變更記錄配置管理定義和控制服務(wù)與基礎(chǔ)設(shè)施的部件，并保持準(zhǔn)確的配置信息50事件管理減少或消除事件（包括IT事件和安全事件）對(duì)信息系統(tǒng)運(yùn)行帶來(lái)的干擾檢測(cè)事件然后準(zhǔn)確確定正確的支持資源以便盡快解決事件的能力為管理層提供關(guān)于影響組織的事件的準(zhǔn)確信息，以便他們能夠確定必需的支持資源，并為支持資源的供給做好計(jì)劃。事件管理流程涉及運(yùn)營(yíng)的整個(gè)生命周期51知識(shí)子域：內(nèi)容安全內(nèi)容安全基礎(chǔ)了解內(nèi)容安全的概念、重要性及內(nèi)容安全管理的需求。數(shù)字版權(quán)了解著作權(quán)、

23、版權(quán)的概念；了解數(shù)字版權(quán)管理相關(guān)概念及技術(shù)；了解使用數(shù)據(jù)版權(quán)保護(hù)信息的措施。52內(nèi)容安全基礎(chǔ)數(shù)字資源基本概念將計(jì)算機(jī)技術(shù)、通信技術(shù)及多媒體技術(shù)相互融合而形成的以數(shù)字形式發(fā)布、存取、利用的信息資源總和國(guó)家制定多條法律法規(guī)來(lái)保障數(shù)字資源的安全性中華人民共和國(guó)網(wǎng)絡(luò)安全法第十二條中華人民共和國(guó)網(wǎng)絡(luò)安全法第四章第四十條與第四十二條國(guó)務(wù)院關(guān)于授權(quán)國(guó)家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)互聯(lián)網(wǎng)信息內(nèi)容管理工作的通知53內(nèi)容安全需求54內(nèi)容來(lái)源可靠數(shù)字資源來(lái)源可靠，借助數(shù)字版權(quán)管理技術(shù)，對(duì)其加以控制。信息泄露敏感信息泄露控制非法信息不良信息傳播控制版權(quán)與數(shù)字版權(quán)55版權(quán) 我國(guó)現(xiàn)行著作權(quán)法第五條規(guī)定：“著作權(quán)與版權(quán)系同義語(yǔ)”。

24、天賦人權(quán)：凡是中國(guó)公民，法人或者非法人單位的作品，不論是否發(fā)表都享有著作權(quán)數(shù)字版權(quán)指各類出版物、信息資料的網(wǎng)絡(luò)出版權(quán)，可以通過(guò)新興的數(shù)字媒體傳播內(nèi)容的權(quán)利。數(shù)字版權(quán)管理相關(guān)技術(shù)56數(shù)字版權(quán)管理(Digital Rights Management,DRM)用于保護(hù)數(shù)字作品的版權(quán)的一種方式，從技術(shù)上防止數(shù)字媒體的非法復(fù)制和非法使用，確保最終用戶在得到授權(quán)后才能使用的數(shù)字媒體。主要采用的技術(shù)數(shù)字水印、版權(quán)保護(hù)、數(shù)字簽名、數(shù)據(jù)加密DRM六大功能：數(shù)字媒體加密、阻止非法內(nèi)容注冊(cè)、用戶環(huán)境檢測(cè)、用戶行為監(jiān)控、認(rèn)證機(jī)制、付費(fèi)機(jī)制和存儲(chǔ)管理數(shù)字版權(quán)保護(hù)措施數(shù)字對(duì)象標(biāo)識(shí)符（Digital Object Iden

25、tifier，DOI）系統(tǒng)，即在數(shù)字環(huán)境下標(biāo)識(shí)知識(shí)產(chǎn)權(quán)對(duì)象的一種開放性系統(tǒng)。數(shù)字版權(quán)唯一標(biāo)識(shí)符DCI（Digital Copyright Identifier）體系，它是數(shù)字作品權(quán)屬的唯一標(biāo)識(shí)，以有效應(yīng)對(duì)互聯(lián)網(wǎng)版權(quán)保護(hù)面臨的挑戰(zhàn)。數(shù)字作品版權(quán)登記平臺(tái)數(shù)字版權(quán)費(fèi)用結(jié)算平臺(tái)數(shù)字版權(quán)檢測(cè)取證平臺(tái)57知識(shí)子域：內(nèi)容安全信息保護(hù)理解信息的價(jià)值；了解信息泄露的途徑；了解隱私保護(hù)的概念和隱私保護(hù)措施。網(wǎng)絡(luò)輿情了解網(wǎng)絡(luò)輿情的概念；了解網(wǎng)絡(luò)輿情管理措施及網(wǎng)絡(luò)輿情監(jiān)控技術(shù)。58信息保護(hù)信息泛指人類社會(huì)傳播的一切內(nèi)容。任何的信息都是有價(jià)值的信息泄露途徑個(gè)人隱私信息泄漏社交網(wǎng)絡(luò)、各類單據(jù)等組織機(jī)構(gòu)的敏感信息泄漏信息公示過(guò)于細(xì)致缺乏敏感信息標(biāo)記59信息保護(hù)個(gè)人隱私信息保護(hù)如重要證件（身份證、軍官證）等不隨身攜帶，銀行卡、U盾等應(yīng)及時(shí)升級(jí)等組織信息保護(hù)技術(shù)措施敏感信息泄露防護(hù)措施包括數(shù)據(jù)加密、信息攔截、訪問(wèn)控制等具體實(shí)現(xiàn)。管理措施結(jié)合各類管理措施并落實(shí)相關(guān)安全工程60網(wǎng)絡(luò)輿情基本概念在一定的社會(huì)空間內(nèi)，通過(guò)網(wǎng)絡(luò)圍繞中介性社會(huì)事件的發(fā)生、發(fā)展和變化，民眾對(duì)公共問(wèn)題和社會(huì)管理者產(chǎn)生和持有的社會(huì)政治態(tài)度、信念和價(jià)值觀。以網(wǎng)絡(luò)為載體，以事件為核心，廣大網(wǎng)民情感、態(tài)度、意見、觀點(diǎn)的表達(dá)、傳播與互動(dòng)，以及后續(xù)影響力的集合。表現(xiàn)方式新聞評(píng)