5.4 安全工程

~

在《信息系统项目管理师第四版攻略》的章节中，我们深入探讨了5.4节——安全工程的奥秘。

随着信息技术的飞速发展，单纯依赖操作系统、数据库系统和网络管理系统来保障信息安全已显得捉襟见肘。为此，一项独立且前沿的工程实践——信息安全系统工程应运而生。它作为信息系统工程不可或缺的一部分，需与业务应用同步推进，核心围绕“信息安全”的核心议题展开。

安全工程术语描绘了一个立体的“安全空间”

以X、Y、Z轴构建的三维信息安全系统，犹如信息系统的庇护所，随着网络的扩展，其范围和内涵日益丰富。这里的“安全空间”具备五大要素：认证、权限控制、数据完整性、加密保护以及不可否认性，共同构建了坚实的防护体系。

在基础设施安全层面，机房、场地、设施与动力系统的保护是基石；在平台安全上，包括操作系统漏洞修复、网络基础设施维护，以及通用应用的漏洞管理和网络安全产品的部署。数据安全则涉及介质保护、访问控制、数据备份和监控，确保信息的宝贵性与完整性。

通信安全涉及线路测试、网络加密设施的部署，确保通信的可靠和安全。应用安全则涵盖性能测试、应急处理和系统安全性评估，而管理安全则涵盖人员培训、系统管理和权限管理等关键环节。

工程基础：跨领域的协同作战

信息安全系统工程并非孤立存在，它紧密关联着硬件、软件、通信网络、数据存储等多领域的工程。这些工程协同作业，共同构建一个全方位的安全防护网。

同时，工程应遵循安全管理的成熟规范，涵盖物理、计算机、网络、通信等全方位的安全管理，确保各个层面的安全无虞。

工程体系架构：系统化风险管理和控制

信息安全系统工程，作为系统工程学的一个分支，其核心任务是识别并管理安全风险，目标是将风险降至最低或得到有效控制。通过ISSE-CMM模型，它衡量并提升组织在信息安全工程实施上的能力成熟度，确保系统工程和获取过程的无缝融合。

ISSE-CMM框架下的过程管理

ISSE过程强调过程能力对项目成功的影响，分为工程过程、风险过程和保证过程三个基本部分。通过ISSE-CMM的体系结构域，六个核心实施活动被组织成11个安全工程过程域，覆盖了信息安全工程的全貌，构建了一套成熟的工程能力模型，衡量组织在信息安全上的成熟度等级。

总结来说，信息安全系统工程是信息技术时代的关键驱动力，它通过跨领域的整合和严谨的流程管理，为信息系统的安全保驾护航，确保数据和业务的顺利运行。