Проектирование безопасности — это процесс включения мер безопасности в информационную систему , чтобы эти меры стали неотъемлемой частью эксплуатационных возможностей системы. [1] Он похож на другие виды деятельности по системному проектированию в том, что его основной целью является поддержка предоставления инженерных решений, которые удовлетворяют заранее определенные функциональные и пользовательские требования , но он имеет дополнительный аспект предотвращения неправильного использования и вредоносного поведения. Эти ограничения и ограничения часто утверждаются как политика безопасности .
В той или иной форме инженерия безопасности существовала как неформальная область обучения на протяжении нескольких столетий. Например, слесарное дело и охранная печать существуют уже много лет. Проблемы современной техники безопасности и компьютерных систем были впервые сформулированы в статье RAND 1967 года «Безопасность и конфиденциальность в компьютерных системах», написанной Уиллисом Х. Уэром. [2] В этой статье, позже расширенной в 1979 году, [3] были представлены многие фундаментальные концепции информационной безопасности, называемые сегодня кибербезопасностью, которые влияют на современные компьютерные системы, от облачных реализаций до встроенного Интернета вещей.
Недавние катастрофические события, в первую очередь 11 сентября , привели к тому, что инженерия безопасности быстро стала быстро развивающейся областью. Фактически, в отчете, завершенном в 2006 году, было подсчитано, что глобальная индустрия безопасности оценивается в 150 миллиардов долларов США.
Проектирование безопасности включает в себя аспекты социальных наук , психологии (например, проектирование системы, которая « хорошо работает », вместо того, чтобы пытаться устранить все источники ошибок) и экономики , а также физики , химии , математики , криминологии, архитектуры и ландшафтного дизайна . [4] Некоторые из используемых методов, такие как анализ дерева отказов , взяты из техники безопасности .
Другие методы, такие как криптография, ранее были ограничены военными приложениями. Одним из пионеров, сделавших инженерию безопасности официальной областью обучения, является Росс Андерсон .
Не существует единой квалификации, позволяющей стать инженером по безопасности.
Тем не менее, степень бакалавра и/или магистратуры, часто в области компьютерных наук , компьютерной инженерии или степеней, ориентированных на физическую защиту, таких как наука о безопасности, в сочетании с практическим опытом работы (системное проектирование, сетевое проектирование, разработка программного обеспечения , моделирование систем физической защиты и т. д.) больше всего подходит человеку для достижения успеха в этой области. Существуют и другие степени квалификации, ориентированные на безопасность. Доступны несколько сертификатов , таких как сертифицированный специалист по безопасности информационных систем или сертифицированный специалист по физической безопасности, которые могут подтвердить опыт в этой области. Независимо от квалификации, курс должен включать базу знаний для диагностики драйверов системы безопасности, теории и принципов безопасности, включая глубокоэшелонированную защиту, глубокоэшелонированную защиту, ситуативное предотвращение преступлений и предотвращение преступлений посредством проектирования окружающей среды для определения стратегии защиты (профессиональный вывод). и технические знания, включая физику и математику, для разработки и ввода в эксплуатацию инженерного решения по очистке. Инженер по безопасности также может извлечь выгоду из знаний в области кибербезопасности и информационной безопасности. Также ценится любой предыдущий опыт работы, связанный с конфиденциальностью и информатикой.
Все эти знания должны быть подкреплены профессиональными качествами, включая сильные коммуникативные навыки и высокий уровень грамотности для написания инженерных отчетов. Инженерия безопасности также называется Security Science.
Технологические достижения, главным образом в области компьютеров , теперь позволили создать гораздо более сложные системы с новыми и сложными проблемами безопасности. Поскольку современные системы затрагивают многие области человеческой деятельности, инженерам по безопасности необходимо учитывать не только математические и физические свойства систем; им также необходимо рассмотреть возможность атак на людей, которые используют и составляют части этих систем, с использованием атак социальной инженерии . Безопасные системы должны противостоять не только техническим атакам, но и принуждению , мошенничеству и обману со стороны мошенников .
По данным Microsoft Developer Network, шаблоны и методы разработки безопасности состоят из следующих действий: [5]
Эти действия призваны помочь достичь целей безопасности на протяжении жизненного цикла программного обеспечения .
Проектирование безопасности продукта — это проектирование безопасности, применяемое специально к продуктам, которые организация создает, распространяет и/или продает. Разработка безопасности продукта отличается от корпоративной/корпоративной безопасности, [6] которая фокусируется на защите корпоративных сетей и систем, которые организация использует для ведения бизнеса.
Безопасность продукта включает в себя технику безопасности, применяемую к:
Такие инженеры по безопасности часто работают в командах, отдельных от групп корпоративной безопасности, и тесно сотрудничают с командами разработки продуктов.
Какой бы ни была цель, существует множество способов предотвратить проникновение нежелательных или неавторизованных лиц. Методы включают размещение в Джерси заграждений , лестниц или других прочных препятствий возле высоких или политически чувствительных зданий, чтобы предотвратить взрывы автомобилей и грузовиков . Улучшение метода управления посетителями и некоторые новые электронные замки используют такие технологии, как сканирование отпечатков пальцев , сканирование радужной оболочки глаза или сетчатки , а также идентификация по голосовому отпечатку для аутентификации пользователей.
{{cite web}}
: CS1 maint: multiple names: authors list (link)