Introduction

国际对象管理组织（OMG）KDM分析部门CTO和CEO共同执笔，美国国土安全部、国家网络安全部、全球网络安全管理组的软件质量保证总监鼎力推荐！ 本书描述的对象管理组（OMG）的软件安全保证体系，向协作式的网络安全自动化管理迈出了重要的一步，它提供了一种基于标准的方案以便在计算机系统中建立安全性和还原能力。 ——Joe Jarzombek 美国国土安全部，国家网络安全部门，全球网络安全管理组，软件质量保证总监 系统安全保证是一个非常复杂、非常困难的主题。本书详细地描述了如何将不同的现有工具组合起来，以可行的方式系统地开发系统安全保证文档，并可以进行调整以便用于特定的领域。本书还提供了非常有用的实例指导，可供安全评估领域的技术人员和管理人员使用，也可供其他领域的技术人员参考。 ——John P. Hopkinson Kwictech公司安全战略师 当今社会，企业兼并时有发生，应用整合也持续进行着，系统通常包含多种编程语言和运行平台，既包含新内容，也有遗留内容。这样的混合系统有更多的缺陷，且更容易被攻破。 本书针对这些问题提出了系统化的解决方案，是参与系统安全保证的安全分析师和开发人员的重要参考资源。本书介绍如何使用OMG的专家意见和独特标准以整合现有软件，并构造系统安全保证的客观方案。OMG的安全保证体系提供了一个通用框架，以发现、整合、分析并发布企业软件的问题。它的基础是系统事实交换标准协议，由OMG知识发现元模型（KDM）定义。此外，业务词汇和规则的语义(SBVR)定义了一个标准协议，以交换安全策略规则和安全保证模式。将这些标准结合起来，可以学会如何利用网络安全社区的知识，并实现自动化地保护系统。 本书特点：  揭示黑客为何更了解我们的系统  用黑屋子里抓黑猫的示例说明发现系统安全问题的过程与方法  提供了系统的、可重复的、可支付的安全保证方案  用螺栓与螺母的关系生动讲解通用系统安全保证内容的事实模型  对OMG软件安全保证体系协议进行概述，该协议在安全保证论据的指导下，整合了风险、架构和代码分析  完整的案例研究，演示OMG软件安全保证体系协议的应用  提供在线的案例学习，阐释了使用自动化工具实现系统安全保证的步骤

Chapter