Техника безопасности - Security engineering - Wikipedia
Эта статья нужны дополнительные цитаты для проверка.Июнь 2017 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Техника безопасности это процесс включения мер безопасности в информационную систему, так что меры контроля становятся неотъемлемой частью операционных возможностей системы.[1] Он похож на другие мероприятия по системному проектированию тем, что его основной мотивацией является поддержка доставки инженерных решений, удовлетворяющих заранее определенным функциональным и пользовательским требованиям. требования, но он имеет дополнительное измерение предотвращения злоупотреблений и злонамеренного поведения. Эти ограничения и ограничения часто утверждаются как политика безопасности.
В той или иной форме инженерия безопасности существовала как неформальная область изучения на протяжении нескольких столетий. Например, поля слесарное дело и печать безопасности существуют уже много лет.
Недавние катастрофические события, в первую очередь 9/11, сделали технику безопасности быстро развивающейся областью. Фактически, в отчете, завершенном в 2006 году, было подсчитано, что глобальная индустрия безопасности оценивается в 150 миллиардов долларов США.
Инженерия безопасности включает аспекты социальная наука, психология (например, разработка системы "терпеть неудачу "вместо того, чтобы пытаться устранить все источники ошибок), и экономика а также физика, химия, математика, криминология архитектура, и озеленение.[2]Некоторые из используемых методов, например анализ дерева отказов, получены из техника безопасности.
Другие методы, такие как криптография ранее были ограничены военными приложениями. Одним из пионеров превращения инженерии безопасности в формальную область исследований является Росс Андерсон.
Квалификация
Не существует единой квалификации, чтобы стать инженером по безопасности.
Тем не менее, степень бакалавра и / или магистра, часто в Информатика, компьютерная инженерия, или степени, ориентированные на физическую защиту, такие как наука о безопасности, в сочетании с практическим опытом работы (системы, сетевая инженерия, разработка программного обеспечения, моделирование системы физической защиты и т. д.) наиболее подходит для достижения успеха в этой области. Существуют и другие квалификации с акцентом на безопасность. Несколько сертификаты, такой как Сертифицированный специалист по безопасности информационных систем, или сертифицированный специалист по физической безопасности, который может продемонстрировать опыт в данной области. Независимо от квалификации, курс должен включать в себя базу знаний для диагностики драйверов системы безопасности, теорию и принципы безопасности, включая глубокую защиту, глубокую защиту, ситуационное предупреждение преступности и предотвращение преступности с помощью экологического проектирования для определения стратегии защиты (профессиональный вывод) , а также технические знания, включая физику и математику, для разработки и ввода в эксплуатацию решения для инженерной очистки. Инженер по безопасности также может извлечь выгоду из знаний в области кибербезопасности и информационной безопасности. Любой предыдущий опыт работы, связанный с конфиденциальностью и информатикой, также ценится.
Все эти знания должны быть подкреплены профессиональными качествами, включая сильные коммуникативные навыки и высокий уровень грамотности для написания инженерных отчетов. Техника безопасности также известна как Security Science.
Связанные поля
- См. Особенно Компьютерная безопасность
- защита данных от несанкционированного доступа, использования, раскрытия, уничтожения, изменения или нарушения доступа.
- удерживать злоумышленников от доступа к объектам, ресурсам или информации, хранящейся на физических носителях.
- экономические аспекты экономики конфиденциальности и компьютерной безопасности.
Методологии
Технологические достижения, в основном в области компьютеры, позволили создать гораздо более сложные системы с новыми и сложными проблемами безопасности. Поскольку современные системы затрагивают многие области человеческих усилий, инженерам по безопасности необходимо учитывать не только математические и физические свойства систем; им также необходимо учитывать атаки на людей, которые используют и составляют части этих систем, использующих социальная инженерия атаки. Защищенные системы должны противостоять не только техническим атакам, но и принуждение, мошенничество, и обман к мошенники.
Веб-приложения
Согласно Microsoft Сеть разработчиков Паттерны и методы проектирования безопасности состоят из следующих действий:[3]
- Цели безопасности
- Рекомендации по проектированию безопасности
- Моделирование безопасности
- Обзор архитектуры и дизайна безопасности
- Проверка кода безопасности
- Тестирование безопасности
- Настройка безопасности
- Обзор развертывания безопасности
Эти действия предназначены для достижения целей безопасности в жизненный цикл программного обеспечения.
Физический
- Понимание типичный угроза и обычные риски для людей и имущества.
- Понимание стимулов, создаваемых как угрозой, так и контрмерами.
- Понимание методологии анализа рисков и угроз и преимуществ эмпирического исследования физической безопасности объекта.
- Понимание того, как применять методологию к зданиям, критической инфраструктуре, портам, общественному транспорту и другим объектам / объектам.
- Обзор общих физических и технологических методов защиты и понимание их роли в сдерживание, обнаружение и смягчение последствий.
- Определение и приоритезация потребностей в безопасности и их согласование с предполагаемыми угрозами и доступным бюджетом.
Товар
Проектирование безопасности продукта - это проектирование безопасности, применяемое специально к продуктам, которые организация создает, распространяет и / или продает. Инженерия безопасности продукта отличается от корпоративной / корпоративной безопасности,[4] который фокусируется на защите корпоративных сетей и систем, которые организация использует для ведения бизнеса.
Безопасность продукта включает проектирование безопасности, применяемое к:
- Аппаратные устройства, такие как сотовые телефоны, компьютеры, Интернет вещей устройства и камеры.
- Программное обеспечение, такое как операционные системы, приложения и прошивки.
Такие инженеры по безопасности часто работают в отдельных группах от групп корпоративной безопасности и работают в тесном сотрудничестве с группами разработчиков продукта.
Целевое упрочнение
Какой бы ни была цель, существует множество способов предотвращения проникновения нежелательных или посторонних лиц. Методы включают размещение Барьеры из джерси, лестницы или другие прочные препятствия за пределами высоких или политически важных зданий, чтобы предотвратить появление автомобилей и взрывы грузовиков. Совершенствование метода управление посетителями и немного новой электронной замки воспользоваться такими технологиями, как отпечаток пальца сканирование, радужная оболочка или сканирование сетчатки, и идентификация голосового отпечатка для аутентификации пользователей.
Смотрите также
Рекомендации
- ^ «Инженерия безопасности - обзор | Темы ScienceDirect». www.sciencedirect.com. Получено 2020-10-27.
- ^ «Ландшафтный дизайн для безопасности». Закат солнца. 1988. Архивировано с оригинал на 2012-07-18.
- ^ шаблоны и практики инженерии безопасности
- ^ Уотсон, Филип (20 мая 2013 г.). «Корпоративная безопасность или безопасность продукции». Читальный зал Института информационной безопасности SANS. Институт SANS. Получено 13 октября, 2020.
дальнейшее чтение
- Росс Андерсон (2001). Инженерия безопасности. Вайли. ISBN 0-471-38922-6.
- Росс Андерсон (2008). Разработка безопасности - руководство по созданию надежных распределенных систем. Вайли. ISBN 0-470-06852-3.
- Росс Андерсон (2001). "Почему информационная безопасность - это сложная задача - экономическая перспектива "
- Брюс Шнайер (1995). Прикладная криптография (2-е изд.). Вайли. ISBN 0-471-11709-9.
- Брюс Шнайер (2000). Секреты и ложь: цифровая безопасность в сетевом мире. Вайли. ISBN 0-471-25311-1.
- Дэвид А. Уиллер (2003). "Безопасное программирование для Linux и Unix HOWTO". Проект документации Linux. Получено 2005-12-19.
- Рон Росс, Майкл МакЭвилли, Джанет Кэрриер Орен (2016). "Инжиниринг системной безопасности" (PDF). Интернет вещей. Получено 2016-11-22.CS1 maint: несколько имен: список авторов (связь)