Инженерия безопасности

Процесс включения мер безопасности в информационную систему

Проектирование безопасности — это процесс включения мер безопасности в информационную систему , чтобы эти меры стали неотъемлемой частью эксплуатационных возможностей системы. ^[1] Он похож на другие виды деятельности по системному проектированию в том, что его основной целью является поддержка предоставления инженерных решений, которые удовлетворяют заранее определенные функциональные и пользовательские требования , но он имеет дополнительный аспект предотвращения неправильного использования и вредоносного поведения. Эти ограничения и ограничения часто утверждаются как политика безопасности .

В той или иной форме инженерия безопасности существовала как неформальная область обучения на протяжении нескольких столетий. Например, слесарное дело и охранная печать существуют уже много лет. Проблемы современной техники безопасности и компьютерных систем были впервые сформулированы в статье RAND 1967 года «Безопасность и конфиденциальность в компьютерных системах», написанной Уиллисом Х. Уэром. ^[2] В этой статье, позже расширенной в 1979 году, ^[3] были представлены многие фундаментальные концепции информационной безопасности, называемые сегодня кибербезопасностью, которые влияют на современные компьютерные системы, от облачных реализаций до встроенного Интернета вещей.

Недавние катастрофические события, в первую очередь 11 сентября , привели к тому, что инженерия безопасности быстро стала быстро развивающейся областью. Фактически, в отчете, завершенном в 2006 году, было подсчитано, что глобальная индустрия безопасности оценивается в 150 миллиардов долларов США.

Проектирование безопасности включает в себя аспекты социальных наук , психологии (например, проектирование системы, которая « хорошо работает », вместо того, чтобы пытаться устранить все источники ошибок) и экономики , а также физики , химии , математики , криминологии, архитектуры и ландшафтного дизайна . ^[4] Некоторые из используемых методов, такие как анализ дерева отказов , взяты из техники безопасности .

Другие методы, такие как криптография, ранее были ограничены военными приложениями. Одним из пионеров, сделавших инженерию безопасности официальной областью обучения, является Росс Андерсон .

Квалификация

Не существует единой квалификации, позволяющей стать инженером по безопасности.

Тем не менее, степень бакалавра и/или магистратуры, часто в области компьютерных наук , компьютерной инженерии или степеней, ориентированных на физическую защиту, таких как наука о безопасности, в сочетании с практическим опытом работы (системное проектирование, сетевое проектирование, разработка программного обеспечения , моделирование систем физической защиты и т. д.) больше всего подходит человеку для достижения успеха в этой области. Существуют и другие степени квалификации, ориентированные на безопасность. Доступны несколько сертификатов , таких как сертифицированный специалист по безопасности информационных систем или сертифицированный специалист по физической безопасности, которые могут подтвердить опыт в этой области. Независимо от квалификации, курс должен включать базу знаний для диагностики драйверов системы безопасности, теории и принципов безопасности, включая глубокоэшелонированную защиту, глубокоэшелонированную защиту, ситуативное предотвращение преступлений и предотвращение преступлений посредством проектирования окружающей среды для определения стратегии защиты (профессиональный вывод). и технические знания, включая физику и математику, для разработки и ввода в эксплуатацию инженерного решения по очистке. Инженер по безопасности также может извлечь выгоду из знаний в области кибербезопасности и информационной безопасности. Также ценится любой предыдущий опыт работы, связанный с конфиденциальностью и информатикой.

Все эти знания должны быть подкреплены профессиональными качествами, включая сильные коммуникативные навыки и высокий уровень грамотности для написания инженерных отчетов. Инженерия безопасности также называется Security Science.

Связанные поля

• Информационная безопасность

• См. особенно. Компьютерная безопасность
• защита данных от несанкционированного доступа, использования, раскрытия, уничтожения, изменения или нарушения доступа.

• Физическая охрана

• удержать злоумышленников от доступа к объекту, ресурсу или информации, хранящейся на физическом носителе.

• Противодействие техническому надзору
• Экономика безопасности

• экономические аспекты экономики конфиденциальности и компьютерной безопасности.

Методологии

Технологические достижения, главным образом в области компьютеров , теперь позволили создать гораздо более сложные системы с новыми и сложными проблемами безопасности. Поскольку современные системы затрагивают многие области человеческой деятельности, инженерам по безопасности необходимо учитывать не только математические и физические свойства систем; им также необходимо рассмотреть возможность атак на людей, которые используют и составляют части этих систем, с использованием атак социальной инженерии . Безопасные системы должны противостоять не только техническим атакам, но и принуждению , мошенничеству и обману со стороны мошенников .

Веб-приложения

По данным Microsoft Developer Network, шаблоны и методы разработки безопасности состоят из следующих действий: ^[5]

• Цели безопасности
• Рекомендации по проектированию безопасности
• Моделирование безопасности
• Обзор архитектуры и дизайна безопасности
• Проверка кода безопасности
• Тестирование безопасности
• Настройка безопасности
• Обзор развертывания безопасности

Эти действия призваны помочь достичь целей безопасности на протяжении жизненного цикла программного обеспечения .

Физический

Посольство Канады в Вашингтоне, округ Колумбия, демонстрирует использование цветочных горшков в качестве барьеров для транспортных средств, а также барьеров и ворот вдоль въезда в автомобиль.

• Понимание типичной угрозы и обычных рисков для людей и имущества.
• Понимание стимулов, создаваемых как угрозой, так и контрмерами.
• Понимание методологии анализа рисков и угроз и преимуществ эмпирического исследования физической безопасности объекта.
• Понимание того, как применять методологию к зданиям, критически важной инфраструктуре, портам, общественному транспорту и другим объектам/комплексам.
• Обзор распространенных физических и технологических методов защиты и понимание их роли в сдерживании , обнаружении и смягчении последствий.
• Определение и приоритезация потребностей в области безопасности и их согласование с предполагаемыми угрозами и имеющимся бюджетом.

Продукт

Проектирование безопасности продукта — это проектирование безопасности, применяемое специально к продуктам, которые организация создает, распространяет и/или продает. Разработка безопасности продукта отличается от корпоративной/корпоративной безопасности, ^[6] которая фокусируется на защите корпоративных сетей и систем, которые организация использует для ведения бизнеса.

Безопасность продукта включает в себя технику безопасности, применяемую к:

• Аппаратные устройства, такие как сотовые телефоны, компьютеры, устройства Интернета вещей и камеры.
• Программное обеспечение, такое как операционные системы, приложения и встроенное ПО.

Такие инженеры по безопасности часто работают в командах, отдельных от групп корпоративной безопасности, и тесно сотрудничают с командами разработки продуктов.

Целевое упрочнение

Какой бы ни была цель, существует множество способов предотвратить проникновение нежелательных или неавторизованных лиц. Методы включают размещение в Джерси заграждений , лестниц или других прочных препятствий возле высоких или политически чувствительных зданий, чтобы предотвратить взрывы автомобилей и грузовиков . Улучшение метода управления посетителями и некоторые новые электронные замки используют такие технологии, как сканирование отпечатков пальцев , сканирование радужной оболочки глаза или сетчатки , а также идентификация по голосовому отпечатку для аутентификации пользователей.

Смотрите также

Рекомендации

1. «Инженерия безопасности - обзор | Темы ScienceDirect» . www.sciencedirect.com . Проверено 27 октября 2020 г.
2. Уэр, Уиллис Х. (январь 1967 г.). «Безопасность и конфиденциальность в компьютерных системах».
3. Уэр, Уиллис Х. (январь 1979 г.). «Меры безопасности компьютерных систем: отчет целевой группы Совета оборонных наук по компьютерной безопасности».
4. «Ландшафтный дизайн для безопасности». Закат . 1988. Архивировано из оригинала 18 июля 2012 г.
5. «Модели и практики обеспечения безопасности».
6. Уотсон, Филип (20 мая 2013 г.). «Корпоративная безопасность против безопасности продукта». Читальный зал Института Информационной Безопасности SANS . Институт САНС . Проверено 13 октября 2020 г.

дальнейшее чтение

• Росс Андерсон (2001). Инженерия безопасности. Уайли. ISBN 0-471-38922-6.
• Росс Андерсон (2008). Инженерия безопасности. Руководство по построению надежных распределенных систем . Уайли. ISBN 978-0-470-06852-6.
• Росс Андерсон (2001). «Почему информационная безопасность сложна: экономическая перспектива» (PDF) . Учеб. Ежегодная конференция по приложениям компьютерной безопасности . дои : 10.1109/ACSAC.2001.991552.
• Брюс Шнайер (1995). Прикладная криптография (2-е изд.). Уайли. ISBN 0-471-11709-9.
• Брюс Шнайер (2000). Тайны и ложь: цифровая безопасность в сетевом мире . Уайли. ISBN 0-471-25311-1.
• Дэвид А. Уилер (2003). «Безопасное программирование для Linux и Unix HOWTO». Проект документации Linux . Архивировано из оригинала 28 апреля 2007 г. Проверено 19 декабря 2005 г.
• Рон Росс, Майкл МакЭвилли, Джанет Кэрриер Орен (2016). «Инженерия системной безопасности» (PDF) . Интернет вещей . Проверено 22 ноября 2016 г.{{cite web}}: CS1 maint: multiple names: authors list (link)

Статьи и статьи

• шаблоны и практики Инженерия безопасности на Channel9
• шаблоны и практики Security Engineering на MSDN
• Объяснение шаблонов и практик техники безопасности
• Базовое целевое ужесточение от правительства Южной Австралии