Техника безопасности

Процесс внедрения средств контроля безопасности в информационную систему

Инженерия безопасности — это процесс внедрения элементов управления безопасностью в информационную систему , чтобы элементы управления стали неотъемлемой частью эксплуатационных возможностей системы. ^[1] Она похожа на другие виды деятельности по системной инженерии тем, что ее основной мотивацией является поддержка поставки инженерных решений, которые удовлетворяют заранее определенным функциональным и пользовательским требованиям , но у нее есть дополнительное измерение предотвращения ненадлежащего использования и вредоносного поведения. Эти ограничения и запреты часто утверждаются как политика безопасности .

В той или иной форме инженерия безопасности существовала как неформальная область изучения на протяжении нескольких столетий. Например, области слесарного дела и защищенной печати существуют уже много лет. Проблемы современной инженерии безопасности и компьютерных систем впервые были закреплены в статье RAND от 1967 года «Безопасность и конфиденциальность в компьютерных системах» Уиллиса Х. Уэра. ^[2] Эта статья, позднее расширенная в 1979 году, ^[3] предоставила многие из фундаментальных концепций информационной безопасности, называемых сегодня кибербезопасностью, которые влияют на современные компьютерные системы, от облачных реализаций до встроенного Интернета вещей.

Недавние катастрофические события, особенно 9/11 , быстро превратили инженерию безопасности в быстрорастущую область. Фактически, в отчете, завершенном в 2006 году, было подсчитано, что глобальная индустрия безопасности оценивается в 150 миллиардов долларов США.

Инженерия безопасности включает в себя аспекты социальных наук , психологии (например, проектирование системы, которая « хорошо срабатывает », вместо того, чтобы пытаться устранить все источники ошибок), экономики , а также физики , химии , математики , криминологии , архитектуры и ландшафтного дизайна . ^[4] Некоторые из используемых методов, такие как анализ дерева неисправностей , заимствованы из инженерии безопасности .

Другие методы, такие как криптография, ранее ограничивались военными приложениями. Одним из пионеров создания инженерии безопасности как формальной области изучения является Росс Андерсон .

Квалификации

Не существует единой квалификации, позволяющей стать инженером по безопасности.

Тем не менее, степень бакалавра и/или магистра, часто в области компьютерных наук , компьютерной инженерии или степеней, ориентированных на физическую защиту, таких как наука о безопасности, в сочетании с практическим опытом работы (системы, сетевая инженерия, разработка программного обеспечения , моделирование систем физической защиты и т. д.) в большинстве случаев позволяет человеку добиться успеха в этой области. Существуют и другие квалификации с фокусом на безопасность. Доступны многочисленные сертификаты , такие как Certified Information Systems Security Professional или Certified Physical Security Professional, которые могут продемонстрировать экспертность в этой области. Независимо от квалификации, курс должен включать базу знаний для диагностики драйверов системы безопасности, теорию и принципы безопасности, включая глубокую защиту, глубокую защиту, ситуационную профилактику преступности и профилактику преступности посредством проектирования среды для определения стратегии защиты (профессиональный вывод) и технические знания, включая физику и математику, для проектирования и ввода в эксплуатацию решения по инженерной обработке. Инженер по безопасности также может извлечь пользу из знаний в области кибербезопасности и информационной безопасности. Любой предыдущий опыт работы, связанный с конфиденциальностью и информатикой, также ценится.

Все эти знания должны быть подкреплены профессиональными качествами, включая сильные коммуникативные навыки и высокий уровень грамотности для написания инженерных отчетов. Инженерия безопасности также известна под названием Security Science.

Связанные-поля

• Инженерия кибербезопасности

• См. особенно Информационная безопасность и Компьютерная безопасность.
• защита данных от несанкционированного доступа, использования, раскрытия, уничтожения, изменения или нарушения доступа.

• Физическая безопасность

• предотвратить доступ злоумышленников к объекту, ресурсу или информации, хранящейся на физическом носителе.

• Технические меры противодействия наблюдению
• Экономика безопасности

• экономические аспекты экономики конфиденциальности и компьютерной безопасности.

Методологии

Технологические достижения, в основном в области компьютеров , теперь позволили создать гораздо более сложные системы с новыми и сложными проблемами безопасности. Поскольку современные системы пересекают многие области человеческой деятельности, инженерам по безопасности необходимо не только учитывать математические и физические свойства систем; им также необходимо учитывать атаки на людей, которые используют и формируют части этих систем, используя атаки социальной инженерии . Защищенные системы должны противостоять не только техническим атакам, но и принуждению , мошенничеству и обману со стороны мошенников .

Веб-приложения

По данным Microsoft Developer Network, шаблоны и методы проектирования безопасности состоят из следующих видов деятельности: ^[5]

• Цели безопасности
• Руководство по проектированию систем безопасности
• Моделирование безопасности
• Обзор архитектуры и дизайна безопасности
• Обзор кода безопасности
• Тестирование безопасности
• Настройка безопасности
• Обзор развертывания системы безопасности

Эти мероприятия призваны помочь в достижении целей безопасности на протяжении жизненного цикла программного обеспечения .

Физический

Посольство Канады в Вашингтоне, округ Колумбия, демонстрирует кашпо, используемые в качестве ограждений для транспортных средств, а также ограждения и ворота вдоль въезда для транспортных средств

• Понимание типичной угрозы и обычных рисков для людей и имущества.
• Понимание стимулов, создаваемых как угрозой, так и мерами противодействия.
• Понимание методологии анализа рисков и угроз, а также преимуществ эмпирического исследования физической безопасности объекта.
• Понимание того, как применять методологию к зданиям, критически важной инфраструктуре, портам, общественному транспорту и другим объектам/комплексам.
• Обзор распространенных физических и технологических методов защиты и понимание их роли в сдерживании , обнаружении и смягчении последствий.
• Определение и расстановка приоритетов в области безопасности и приведение их в соответствие с предполагаемыми угрозами и имеющимся бюджетом.

Продукт

Проектирование безопасности продукта — это проектирование безопасности, применяемое специально к продуктам, которые организация создает, распространяет и/или продает. Проектирование безопасности продукта отличается от корпоративной/корпоративной безопасности, ^[6] которая фокусируется на обеспечении безопасности корпоративных сетей и систем, которые организация использует для ведения бизнеса.

Безопасность продукции включает в себя инженерию безопасности, применяемую к:

• Аппаратные устройства, такие как мобильные телефоны, компьютеры, устройства Интернета вещей и камеры.
• Программное обеспечение, такое как операционные системы, приложения и прошивки.

Такие инженеры по безопасности часто работают в отдельных командах, не входящих в состав корпоративных служб безопасности, и тесно сотрудничают с командами по разработке продуктов.

Усиление целевого показателя

Независимо от цели, существует множество способов предотвращения проникновения нежелательных или несанкционированных лиц. Методы включают размещение барьеров Jersey , лестниц или других прочных препятствий снаружи высоких или политически чувствительных зданий для предотвращения взрывов автомобилей и грузовиков . Улучшение метода управления посетителями и некоторые новые электронные замки используют преимущества таких технологий, как сканирование отпечатков пальцев , сканирование радужной оболочки или сетчатки глаза и идентификация по отпечатку голоса для аутентификации пользователей.

Смотрите также

Ссылки

1. "Инженерия безопасности - обзор | Темы ScienceDirect". www.sciencedirect.com . Получено 27.10.2020 .
2. Уэр, Уиллис Х. (январь 1967 г.). «Безопасность и конфиденциальность в компьютерных системах».
3. Уэр, Уиллис Х. (январь 1979 г.). «Контроль безопасности компьютерных систем: отчет целевой группы по компьютерной безопасности Совета по оборонной науке».
4. "Озеленение для безопасности". Закат . 1988. Архивировано из оригинала 2012-07-18.
5. «шаблоны и методы инженерии безопасности».
6. Уотсон, Филип (20 мая 2013 г.). «Корпоративная безопасность против безопасности продукта». Читальный зал Института информационной безопасности SANS . Институт SANS . Получено 13 октября 2020 г.

Дальнейшее чтение

• Росс Андерсон (2001). Security Engineering. Wiley. ISBN 0-471-38922-6.
• Росс Андерсон (2008). Инженерная безопасность. Руководство по созданию надежных распределенных систем . Wiley. ISBN 978-0-470-06852-6.
• Росс Андерсон (2001). «Почему информационная безопасность сложна — экономическая перспектива» (PDF) . Труды Ежегодной конференции по применению компьютерной безопасности . doi :10.1109/ACSAC.2001.991552.
• Брюс Шнайер (1995). Прикладная криптография (2-е изд.). Wiley. ISBN 0-471-11709-9.
• Брюс Шнайер (2000). Секреты и ложь: Цифровая безопасность в сетевом мире . Wiley. ISBN 0-471-25311-1.
• Дэвид А. Уилер (2003). "Безопасное программирование для Linux и Unix HOWTO". Linux Documentation Project . Архивировано из оригинала 2007-04-28 . Получено 2005-12-19 .
• Рон Росс, Майкл МакЭвилли, Джанет Кэрриер Орен (2016). "Системная инженерия безопасности" (PDF) . Интернет вещей . Получено 22.11.2016 .{{cite web}}: CS1 maint: multiple names: authors list (link)

Статьи и доклады

• Модели и практики Инженерная безопасность на Channel9
• Модели и практики Инженерная безопасность на MSDN
• Модели и практики. Объяснение техники безопасности
• Базовое укрепление целей от правительства Южной Австралии