导图社区 第5章信息系统工程
软考高级第4版教材变化大,为帮助学员尽快理解新内容,记住新内容,以思维导图形式对最新发布教材进行提炼帮助学员降低学习难度。
编辑于2024-05-11 12:43:53一图了解信息技术及其发展的奥秘! 信息技术涵盖计算机软硬件、网络、存储和数据库、信息安全等多个领域。计算机软硬件如同人的身体和思想,相互协作;网络连接世界,实现信息交流;存储和数据库是信息的仓库,保障数据安全与高效管理;信息安全则守护着我们的信息家园。 深入了解信息技术的发展,能让我们更好地适应数字化时代的挑战与机遇。快来探索吧!
想要清晰了解新一代信息技术?快来看看这个思维导图!它涵盖物联网、云计算、大数据、区块链、人工智能、虚拟现实等内容,结构清晰,一目了然! 从原理到应用,从挑战到应对策略,全面剖析新一代信息技术。无论是备考还是深入学习,都能让你快速掌握要点。 简洁明了的呈现方式,让你轻松理解复杂概念。用它助力学习,提升效率,快来体验吧!
今天解锁软考中级新增加的内容 ——《1.3 产业现代化》! 产业现代化包括农业农村现代化、工业现代化和服务现代化。这部分内容在以往软考考试中常作为时事政治题出现,如今被纳入新版教材,请考生务必引起重视。 农业农村现代化让农业更强、农村更美,乡村振兴战略带来新机遇。工业现代化中,两化融合与智能制造推动工业升级。服务现代化则注重融合发展和消费互联网,给我们的生活带来更多便利。
社区模板帮助中心,点此进入>>
一图了解信息技术及其发展的奥秘! 信息技术涵盖计算机软硬件、网络、存储和数据库、信息安全等多个领域。计算机软硬件如同人的身体和思想,相互协作;网络连接世界,实现信息交流;存储和数据库是信息的仓库,保障数据安全与高效管理;信息安全则守护着我们的信息家园。 深入了解信息技术的发展,能让我们更好地适应数字化时代的挑战与机遇。快来探索吧!
想要清晰了解新一代信息技术?快来看看这个思维导图!它涵盖物联网、云计算、大数据、区块链、人工智能、虚拟现实等内容,结构清晰,一目了然! 从原理到应用,从挑战到应对策略,全面剖析新一代信息技术。无论是备考还是深入学习,都能让你快速掌握要点。 简洁明了的呈现方式,让你轻松理解复杂概念。用它助力学习,提升效率,快来体验吧!
今天解锁软考中级新增加的内容 ——《1.3 产业现代化》! 产业现代化包括农业农村现代化、工业现代化和服务现代化。这部分内容在以往软考考试中常作为时事政治题出现,如今被纳入新版教材,请考生务必引起重视。 农业农村现代化让农业更强、农村更美,乡村振兴战略带来新机遇。工业现代化中,两化融合与智能制造推动工业升级。服务现代化则注重融合发展和消费互联网,给我们的生活带来更多便利。
第5章信息系统工程
5.1软件工程
架构设计
软件架构风格
核心问题
架构级软件复用
不同系统中的复用
架构风格分类
数据流风格
批处理序列
管道/过滤器
调用/返回风格
主程序/子程序
数据抽象
面向对象
层次结构
独立构件风格
进程通信
事件驱动系统
虚拟机风格
解释器
基于规则的系统
仓库风格
数据库系统
黑板系统
超文本系统
软件架构评估
设计关键步骤
架构选择影响
系统设计成败
评估关注点
系统质量属性
敏感点
权衡点
评估方式
基于调查问卷
基于场景
ATAM
SAAM
CBAM
基于度量
场景描述要素
刺激
环境
响应
评估实施要求
领域知识
架构了解
需求分析
软件需求定义
用户期望
功能、行为、性能
设计约束
需求文档
合同、标准、规范
文档说明
需求分析重要性
需求转化
用户要求到软件需求
技术实现的桥梁
需求分析过程
需求获取
确定和理解干系人需求
需求获取方法
用户访谈
问卷调查
情节串联板
联合需求计划
需求分析
需求提炼与审查
需求特性
无歧义性
完整性
一致性
可测试性
需求规格说明书编制
SRS重要性
SRS内容
范围
引用文件
需求
合格性规定
需求验证与确认
SRS正确性验证
需求特征确保
需求评审与测试
需求层次
业务需求
组织目标与战略
用户需求
用户功能与期望
系统需求
系统功能与性能
需求分析方法
结构化分析
数据字典
模型层次
数据模型
功能模型
行为模型
面向对象分析
用例模型
分析模型
概念类
类-责任-协作者 (CRC)
UML在需求分析中的应用
UML构造块
事物
关系
图
UML图种类
类图
对象图
构件图
组合结构图
用例图
顺序图
通信图
其他图表
需求管理
需求变更控制
跟踪与更新
需求优先级
根据业务价值排序
需求可追溯性
从需求到实现的链接
软件设计
软件设计
是需求分析的延伸与拓展
解决“怎么做”的问题
为系统实施工作做好铺垫。
结构化设计 (Structured Design, SD)
定义
结构化设计是一种面向数据流的方法
基于SRS SA阶段的DFD和数据字典。
类型
概要设计
功能需求分配给软件模块
确定模块功能和调用关系
详细设计
技术手段和处理方法选择
包括输入/输出设计、 处理流程设计、数据存储设计等
内聚与耦合
内聚
模块内的联系程度
耦合
模块间的联系程度
面向对象设计 (OOD)
定义
面向对象设计是OOA方法的延续
包括抽象、封装和可扩展性。
设计原则
单职原则
设计功能单一的类
开闭原则
对扩展开放,对修改封闭
李氏替换原则
子类可以替换父类
依赖倒置原则
依赖于抽象而非具体实现
接口隔离原则
使用多个专门的接口
组合重用原则
使用组合而非继承
迪米特原则
减少对象间的了解
设计模式
定义
设计模式是前人经验的总结
用于复用成功的软件设计。
类模式
处理类和子类之间的关系,通过继承建立。
对象模式
处理对象之间的关系,更具动态性。
类型
创建型模式 (Creational)
工厂方法模式
抽象工厂模式
原型模式
单例模式
建造者模式
结构型模式 (Structural)
适配器模式
桥接模式
组合模式
装饰模式
外观模式
享元模式
代理模式
行为型模式 (Behavioral)
职责链模式
命令模式
解释器模式
迭代器模式
中介者模式
备忘录模式
软件实现
软件配置管理
目的与质量保证
控制产品演进和完整性
密切相关,帮助达成质量目标
活动包括
软件配置管理计划
了解组织结构,明确控制任务
软件配置标识
识别配置项,建立基线
软件配置控制
管理生命周期中的变更
软件配置状态记录
维护报告配置状态信息
软件配置审计
评价遵从性
软件发布管理与交付
创建交付版本,关键在软件库
软件编码
基础概念
编码目的
设计结果转成计算机可识别形式
设计质量影响
决定程序质量
语言特性影响
可靠性、可读性、可测试性、可维护性
程序设计语言
基本工具,选择重要
程序设计风格
源程序文档化
数据说明
语句结构
输入/输出方法
提高可读性,改善质量
程序复杂性度量
估算故障数量
评估工作量
比较设计或算法优劣
编码效率
程序效率
执行速度和内存占用
算法效率
源程序与算法效率相关
存储效率
选择优良编译程序,程序简单化
I/O效率
面向人和设备的输入/输出性能
软件测试
目的
验证软件满足质量要求
提供质量测量和评价依据
发现缺陷
测试方法
静态测试
动态测试
静态测试
文档测试
代码测试
桌前检查
代码走查
代码审查
动态测试
白盒测试(结构测试)
控制流测试
数据流测试
程序变异测试
逻辑覆盖
黑盒测试(功能测试)
等价类划分
边界值分析
判定表
因果图
状态图
随机测试
猜错法
正交试验法
部署交付
软件部署与交付
目的
为用户创造价值
过程
软件打包、安装、配置、测试、集成和更新
挑战
分支冗余和合并困难
缺陷过多阻塞测试
环境不统一导致错误
代码版本混乱
上线周期长
部署操作复杂
紧急回滚需求
架构设计不合理
持续交付
定义
确保代码快速、安全地部署到生产环境
过程
自动化,一键部署
优势
缩短部署时间,降低风险
快速反馈,及时修复缺陷
软件始终可部署
简化部署步骤,版本清晰
交付过程可靠、可预期、可视化
指标
代码改动到上线的时间
交付的可重复性和可靠性
部署频率
互联网组织以分钟为单位
持续部署
重要性
对持续交付至关重要
持续部署方案
容器技术
Kubernetes+Docker
优点
简单轻量
集合性好
环境依赖打包
部署原则
统一存储库
相同部署方式和脚本
阶梯式晋级
运维人员执行
流水线改变生产环境
不可变服务器
蓝绿部署或金丝雀部署
部署层次
Build
软件编译
Ship
第三方依赖安装
Run
环境启动
不可变服务器
部署模式
除更新外不更改服务器
蓝绿部署和金丝雀部署
蓝绿部署
新旧版本并存,快速切换
金丝雀部署
小范围测试,逐步推广
部署与交付的新趋势
工作职责转变
开发人员负责更多运维工作
基础设施变革
大数据和云计算的普及
研发运维融合
减轻运维压力,融合研发与运维
过程管理
软件过程能力
定义
组织达成业务目标的综合能力
方面
治理、开发与交付、管理与支持、组织管理
CSMM 模型
提升组织软件开发能力,增加业务价值
目的
组成
能力域
能力子域
能力要求
领域
治理战略与治理、目标管理
开发与交付需求、设计、开发、测试、部署、服务、开源应用
管理与支持项目策划、监控、结项、质量保证、风险管理、配置管理、供应商管理
组织管理过程管理、人员能力管理、组织资源管理、过程能力管理
软件过程能力成熟度
定义
组织软件产品开发或服务能力的发展阶段
方法和实践
CMMI
CMMI (Capability Maturity Model Integration)
CSMM
CSMM (Software Process Capability Maturity Model)
成熟度等级
1级初始级
不确定性,初步交付和项目管理
2级项目规范级
按计划执行,规范支持
3级组织改进级
稳定实现项目目标,持续改进
4级量化提升级
量化管理,统计分析技术,质量与过程绩效目标
5级创新引领级
技术和管理创新,持续提升,行业引领
5.2数据工程
数据建模
定义
目的
将现实世界数据抽象成计算机可处理的形式
应用
利用关系数据库设计理论,建立数据模型
数据模型分类
概念模型
信息模型
按用户视角对数据和信息建模
模型元素
实体
现实世界中事物的抽象
属性
实体的特性
域
属性取值范围
键
唯一标识实体的属性或属性组合
关联
实体间的关系
概念模型要求
真实性
反映现实世界事物和联系
简洁性
易于理解和交流
易变性
便于修改和补充
转换性
易于转换为其他数据模型
逻辑模型
关系模型
基于概念模型构建,包括关系、属性、视图
完整性约束
实体完整性、参照完整性、用户定义的完整性
物理模型组成
表和列
确定所有表和列的结构
外键
定义表之间的关系
反规范化
基于性能需求的处理
基本元素
表、字段、视图、索引、存储过程、触发器
技术实现
数据库体系结构设计
关系模型与 概念模型对应
实体
概念模型中的实体转换为关系模型中的关系
属性
实体的属性成为关系中的属性
关联
实体间的关联转化为关系模式连接
一对一
单一关系模式
一对多
主键和外键之间的关系
多对多
通过关联表实现的关系模式
键
唯一标识实体的键成为关系模型的主键
关联其他关系的键成为外键
数据建模过程
数据需求分析
用户需求和要求分析
使用数据流图描述数据流动
概念模型设计
抽象用户需求为信息世界结构
确定实体、属性和关联
逻辑模型设计
将概念模型转换为关系模型结构
实体、属性和关联转换为关系模式
物理模型设计
针对DBMS进行设计
命名、字段类型、存储过程与触发器编写
数据标准化
定义
基础
实现数据共享
目的
简化信息表达、分类、定位
结果
信息可理解、可比较、可共享
元数据标准化
定义
关于数据的数据 (Data About Data)
信息对象
全文、目录、图像、数值型数据、多媒体等
元数据体系
层次分明、结构开放的体系
元数据类型
信息内容
内容元数据
标记数字对象内容及结构
内容对象
专门元数据
描述数字对象的内容、属性及特征
内容对象集合
资源集合元数据
信息资源集合的描述
对象的管理与保存
管理元数据
数字对象加工、存档等信息描述
对象的服务 服务过程 服务系统
服务元数据
数字资源服务的相关信息描述
元数据的管理
元元数据
元数据的标记语言、格式等描述
数据元标准化
需求
电子商务和贸易发展,开放系统互连 (OSIE) 需求
硬件/软件/通信/数据
数据元
不可再分的最小数据单元
对象
数据事物的集合
特性
对象类共有的特征
表示
值域、数据类型、表示类、计量单位
数据元提取
自上而下提取法
新建系统适用
自下而上提取法
已建系统适用,逆向工程
数据元标准
制定过程
遵循基本过程,确保标准化
过程
描述
界定业务范围
开展业务流程分析与信息建模
借助信息模型,提取数据元, 并按照一定规则规范其属性
对于代码类型的数据元,编制其值域,即代码表
与现有国家的标准或行业标准进行协调
发布实施书元标准并建立相应的动态维护管理机制
数据模式标准化
目的
统一数据模式,促进信息共享与交换
描述方式
图描述方法
如IDEF1X、UML图
数据字典方法
描述模型中的数据集、实体、属性摘要信息
数据分类与编码标准化
分类
按原则和方法区分和归类数据
编码
事物或概念赋予规律性的符号
标准化
简化信息交换,实现信息处理和资源共享
数据标准化管理
确定数据需求
产生数据需求文件
制定数据标准
处理数据需求,制定或修改标准
批准数据标准
审查数据标准建议
实施数据标准
信息系统中实施和改进标准
数据运维
数据存储
定义
将数据保存到物理介质上,并保证有效访问
物理媒介
数据临时或长期驻留的介质,如磁带、光盘、磁盘
存储管理
资源调度管理
提高存储性能,保护数据,满足共享需求
存储资源管理
存储节点管理,故障隔离
负载均衡管理
物理和逻辑资源监控,优化策略
平衡存储资源负载,避免系统瓶颈
安全管理
防止恶意攻击,保护数据安全
数据备份
目的
防止数据丢失,通过复制关键数据到其他介质
备份结构
DAS、LAN-based、LAN-free、SERVER-free
备份策略
完全备份、差分备份、增量备份
硬件基础
备份服务器、RAID、磁带机
软件
操作系统自带备份工具、专业备份软件
数据容灾
定义
防止系统非正常停机,保证数据高可用性
分类
应用容灾、数据容灾
容灾等级
从本地磁带备份到实时切换的异地备份系统
关键指标
RPO (数据丢失量)、RTO (系统恢复时间)
数据质量 评价与控制
概念
数据满足指标、状态和要求的能力
数据质量描述
定量元素、非定量元素
评价过程
产生和报告数据质量结果的步骤
步骤
第一步
范围围限定的数据集 产品规范或用户需求
确定适用的 数据质量定量元素 及数据质量范围
第二步
确定数据质量度量方法
第三步
选择并适用数据质量评价方法
第四步
确定数据质量结果
报告数据质量结果(定量的)
第五步
决定一致性
报告数据质量结果(通过或不通过)
评价方法
直接评价法
与参照信息对比确定数据质量
间接评价法
利用数据相关信息推断数据质量
质量控制
前期控制
数据入库前的错误检查
过程控制
建库过程中的数据质量控制
系统检测
数据入库后的系统自检
精度评价
属性数据的精度分析
数据清理
提高数据质量
数据分析
发现数据规则,定义清理规则
数据检测
检测数据正确性,发现重复记录
数据修正
修正错误数据或重复记录
数据开发利用
数据集成
目标
整合不同数据源中的数据,提供统一视图
数据源
DBMS、XML文档、HTML文档、电子邮件、普通文件等
系统模型
数据集成系统提供统一的数据源访问接口
数据集成系统模型
数据挖掘
定义
从大量数据中提取知识
过程
涉及数据库、人工智能、数理统计、可视化、并行计算等技术
区别
与传统数据分析在数据量、分析方法、分析侧重、成熟度上的差异
目标
发现数据后的规律或关系,服务决策
主要任务
数据总结、关联分析、分类和预测、聚类分析、孤立点分析
流程
确定分析对象、数据准备、数据挖掘、结果评估与应用
数据挖掘流程
数据服务
组成
数据目录服务
发现和定位数据资源的检索服务
数据查询与浏览及下载服务
网上数据共享的重要方式
数据分发服务
数据从生产者到用户的数据传送过程
数据可视化
定义
将数据转换为图形或图像的表示方法
技术
计算机图形学、图像处理、CAD、计算机视觉、人机交互
表现方式
信息检索
广义
信息存储与检索技术
狭义
查找特定信息的过程
主要方法
全文检索
基于文本数据内容的检索
字段检索
按字段标准著录,不同字段作为检索依据
基于内容的多媒体检索
图像检索、视频检索、声音检索等
数据挖掘
从大量数据中提取潜在有用信息
常用技术
布尔逻辑检索技术
利用布尔运算符进行检索
截词检索技术
用词的局部进行检索
临近检索技术
规定检索词的相对位置
限定字段检索技术
指定检索词在记录中出现的字段
限制检索技术
通过限制检索范围优化检索
数据库安全
数据库安全威胁
安全后果
非授权信息泄露
未授权用户获取信息,包括推导分析
非授权数据修改
违反数据完整性的行为
拒绝服务
影响用户访问数据或使用资源
威胁方式
无意
自然或意外灾害
可能破坏系统软硬件
系统软硬件中的错误
导致应用实施错误策略
人为错误
无意违反安全策略
有意
授权用户滥用
滥用特权造成威胁
恶意代理
病毒、特洛伊木马、后门
数据库安全对策
访问控制
防止非法数据访问
基于用户授权检查请求
防止推导
防止从统计聚合信息中推导得到原始信息
标识和认证
数据库安全的第一道防线
数据保护
保证数据库完整性
通过访问控制、备份/恢复和安全机制实现
保证操作完整性
并发事务中的数据库逻辑一致性
保证语义完整性
数据值的约束和完整性约束
安全监控与审计
审计和日志
记录数据操作,用于事后调查和分析
机密数据管理
访问控制保证机密数据保密性
多级保护
数据划分不同保密级别,权限对应数据访问
限界
防止程序间非授权信息传递
数据库安全机制
身份认证
确认用户身份
存取控制
管理用户对数据的访问权限
数据库加密
保护数据安全
数据审计
监控和记录数据访问
推理控制
防止未授权信息推导
5.3系统集成
集成基础
定义
计算机系统的集成,实现特定功能组合
组成
硬件平台
计算机硬件的集成
网络系统
网络通信设备的集成
系统软件
操作系统、数据库管理系统等
工具软件
应用软件
系统集成原则
开放性
标准
遵循工业开放标准
互操作性
不同系统间的无缝集成
结构化
方法
自顶向下逐层模块化分解
先进性
技术
采用先进技术确保系统优势
主流化
产品
选择主流产品确保技术支持和升级
网络集成
复杂性
技术与管理问题交织
体系框架
传输子系统
网络核心
网络信息的传输介质
交换子系统
网络分类交换
局域网、城域网、广域网交换技术
安全子系统
防止窃取,解决网络瓶颈问题
防火墙、数据加密、访问控制
网管子系统
保证网络良好运行
网络管理,解决瓶颈问题
服务器子系统
服务器是网络中的关键设备
高处理速度、大内存、高可靠性
网络操作系统
为用户提供使用资源堵上
调度管理网络资源
服务子系统
网络应用最核心的问题
网络应用服务
数据集成
目的
数据按规则组织成为整体
数据集成层次
基本数据集成
问题
通用标识符问题、数据丢失问题
方法
隔离/调和
多级视图集成
机制
对数据源间关系进行集成
模式集成
问题
命名、单位、结构冲突
多粒度数据集成
过程
数据综合与数据细化
异构数据集成
方法
过程式
点对点设计方法
声明式
统一数据表示建模
中间件
作用
协调异构数据库系统
标准
ODBC
开放数据库互联标准
软件集成
趋势
面向对象、分布、异构、集成
标准
CORBA
组织
OMG规范
COM
特点
语言无关性、进程透明性
DCOM与COM+
特性
位置透明性、网络安全性
.NET
组成
通用语言规范、基础类库、运行环境
J2EE
架构
多层应用和Web应用
应用集成
定义
独立软件应用连接,实现协同工作
技术要求
互操作性
信息交换
不同系统间有效交换
可移植性
迁移
系统迁移不破坏服务
透明性
分布
屏蔽分布复杂性
组件
API
功能
应用间通信
事件驱动型操作
触发
事件启动程序
数据映射
过程
数据从一个系统到另一个系统
5.4安全工程
工程概述
信息安全系统工程
定义
建造信息安全系统,是信息系统工程的一部分
与业务应用信息系统工程同步
主要工作
规划
信息安全风险评估
评估潜在的安全风险和威胁。
信息安全策略制定
基于风险评估结果,制定相应的安全策略。
信息安全需求确定
确定系统所需的安全功能和性能需求。
设计
信息安全系统设计
设计满足安全需求的系统架构和组件。
实施
设备选型与招投标
选择合适的安全设备并进行采购。
密钥密码机制确定
设计和选择加密和密钥管理方案。
管理
资源界定和授权
明确资源的访问权限和授权管理。
防泄密和安全测试
实施防止数据泄露的措施并进行安全测试。
运营、维护的安全管
确保系统运营和维护过程中的安全性。
术语关系
信息系统
整个信息系统工程的组成部分
业务应用信息系统
支撑业务运营的计算机应用
信息安全系统
保证业务应用信息系统正常运营的系统
信息系统工程
包括信息安全系统工程和业务应用信息系统工程
关系图
安全系统
信息安全 保障系统
定义
简称信息安全系统,保证业务应用信息系统正常运营
组成
安全空间、安全服务、安全机制
安全空间
信息安全空间
X 轴
安全机制
Y 轴
OSI 网络参考模型
Z 轴
安全服务
安全防范
EISRM
WPDRRC
三维
安全机制
1. 物理与运行安全
基础设施实体安全
物理机房、场地、设施的安全性。
运行安全
应急响应、系统监测、安全产品运行状态。
2. 技术安全
平台安全
操作系统、数据库、网络基础设施的安全措施。
数据安全
数据保护、访问控制、完整性和备份。
通信安全
确保数据在传输过程中的安全和加密。
应用安全
业务软件的安全性,包括防止漏洞和数据泄露。
3. 管理和 审计安全
管理安全
人员、培训、系统、 软件、设备、文档的管理。
授权和审计安全
权限控制、身份验证、审计追踪。
安全防范体系
预警、保护、检测、反应 、恢复和反击能力的构建
安全服务
1. 认证与授权服务
对等实体认证服务
确认实体合法性、真实性
数据源点认证服务
确保数据发自真正的源点
2. 数据保护服务
数据保密服务
密码加密保护,防止数据泄密
数据完整性服务
防止非法修改、插入、删除数据
3. 安全保障与法律支持
禁止否认服务
不得否认发送、不得否认接收
犯罪证据提供服务
提供数字证据、信息线索
工程基础
信息安全 系统建设
基于
OSI 网络参考模型的各个层面
相关工程
1. 硬件与网络工程
硬件工程
涉及计算机硬件和其他物理设备的设计、开发和维护。
通信及网络工程
关注网络基础设施建设、通信设备和网络协议。
2. 数据与系统工程
数据存储与灾备工程
包括数据存储解决方案、备份和灾难恢复策略。
系统工程
系统级的设计、集成和管理,确保系统组件协同工作。
3. 软件开发与测试
软件工程
涵盖软件的设计、开发、测试和维护。
测试工程
专注于软件和系统的测试工作,确保产品符合预定的质量标准。
4. 安全与信息化管理
密码工程
开发和实施加密技术和安全协议。
组织信息化工程
涉及组织内部信息化过程的管理,包括信息技术的应用和优化。
注意
信息安全系统建设是遵从组织所制定的安全策略进行
吸纳安全管理 成熟规范部分
1. 物理与环境安全
物理安全
保护物理位置、建筑和设备不受损害。
辐射安全
防止电磁辐射对人员和设备的影响。
2. 网络与通信安全
网络安全
保护网络不受未授权访问和攻击。
通信安全
确保数据在传输过程中的保密性和完整性。
输入/输出产品安全
涉及计算机输入输出设备的安全性。
3. 数据与系统安全
数据安全
保护数据不被未授权访问和泄露。
数据库系统安全
确保数据库管理系统的安全。
信息审计安全
通过审计确保数据的合规性和安全性。
4. 软件与人员管理安全
计算机安全
涉及计算机系统的安全性。
操作系统安全
保护操作系统免受恶意软件和攻击。
人员安全
涉及员工的安全意识和行为规范。
管理安全
包括安全管理政策、流程和行政控制。
工程体系架构
信息系统安全工程 (ISSE)
目的
确定系统和过程的安全风险,降低风险
ISSE- CMM
基础
概念
信息安全系统工程能力成熟度模型
统计过程控制理论
指导信息安全系统工程的完善和改进
覆盖
生命周期
工程开发、运行、维护和终止
组织
管理、组织和工程活动
规范
与其他规范的相互作用
与外部组织的相互作用
适用
工程组织
系统集成商、应用开发商等
获取组织
采购系统、产品和获取服务的组织
评估组织
认证组织、系统授权组织等
过程
目的
使信息安全系统成为系统工程必要部分
组成
工程过程
概念、设计、实现、测试、 部署、运行、维护、退出
风险过程
降低信息系统运行风险
保证过程
安全需求得到满足的可信程度
体系 结构
设计
两维设计,包括域 (Domain) 和能力 (Capability)
域维/安全过程域
过程域
定义信息安全工程的所有实施活动
能力维/公共特性
通用实施
按成熟性排序,表示组织能力
能力级别
成熟度
代表工程组织的成熟度级别
五级模型
1.非正规实施级
执行基本实施
1.1.1 执行过程
2.规划与跟踪级
规划执行
2.1.1为执行过程域分配足够资源
2.1.2为开发工作产品和(或)提供过程域服务指定责任人
2.1.3将过程域执行的方法形成标准化和(或)程序化文档
2.1.4提供支持执行过程域的有关工具
2.1.5保证过程域执行人员获得适当的过程执行方面的培训
2.1.6对过程域的实施进行规划
规范化执行
2.2.1在执行过程域中,使用文档化的规划、标准和(或)程序
2.2.2在需要的地方将过程域的工作产品置于版本控制和配置管理之下
验证执行
2.3.1验证过程与可用标准和(或)程序的一致性
2 .3.2审计工作产品(验证工作产品遵从可适用标准和()需求的情况)
跟踪执行
2.4.1用测量跟踪过程域相对于规划的态势
2.4.2当进程严重偏离规划时采取必要修正措施
3.充分定义级
定义标准化过程
3.1.1对过程进行标准化
3.1.2对组织的标准化过程族进行裁剪
执行已定义的过程
3.2.1在过程域的实施中使用充分定义的过程
3.2.2对过程域的适当工作产品进行缺陷评审
3.2.3通过使用已定义过程的数据管理该过程
协调安全实施
3.3.1协调工程科目内部的沟通
3.3.2协调组织内不同组间的沟通
3.3.3协调与外部组间的沟通
4.量化控制级
建立可测度的质量目标
4.1.1为组织标准过程族的工作产品建立可测度的质量目标
对执行情况实施客观管理
4.2.1量化地确定已定义过程的过程能力
4.2.2当过程未按过程能力执行时,适当地采取修正行动
5.持续改进级
改进组织能力
5.1.1为改进过程效能,根据组织的业务目标和当前过程能力建立量化目标
5.1.2通过改变组织的标准化过程,从而提高过程效能
改进过程的效能
5.2.1执行缺陷的因果分析
5.2.2有选择地消除已定义过程中缺陷产生的原因
5.2.3通过改变已定义过程来连续地改进实施