1, 系统安全工程能力成熟度模型(SSE-CMM)是一个过程参考模型

定义了6个能力级别，分别是不可重复级，初始级，可重复级，已定义级、已管理级、优先级。

达到SSE-CMM最高级后，是第5级：连续改进，因此每次自行的结果质量都会提高

风险过程有4个：评估威胁、评估虽弱行、评估影响、评估安全风险。

SSE-CMM强调系统安全工程与其他工程学的联系与融合

2，微软漏洞补丁最优方案：

对于总要的服务，应在测试环境中安装并确认补丁兼容性问题后再再正式生产环境中部署

3，能力成熟度模型（CNM）：

CNM的思想源于项目和质量管理。

CNM是一种衡量工程实施能力的方法，是以中面向工程过程的方法。

CNM是建立在系统过程控制理论基础上的，他基于这样一个假设，即“生产过程的高质量和在过程中组织实施的成熟型可以低成本生产出高质量产品”

4，基于对（权威）的信任，当一个请求或命令来自一个“权威”人士时，这个请求就可能被毫不怀疑的（执行）。在（电信诈骗）中，攻击者伪装成“公安部门”人员，要求受害者。。。

5，SSE-CNM将运维中的工程类的（11）个过程区域划分为（三个）过程区，分别为（风险过程、工程过程、保证过程）

（风险过程）识别出所开发的产品或系统的风险

6，SEE-CMM中的基本实施（Base Practices）:

BP不限定于特定的方法或工具，不同的业务背景中可以使用不同的方法

7，充分定义级包括三个公共特征：

定义标准化过程：

执行已定义过程：

协调安全实施：

8，信息安全集成的特点：

信息系统集成项目只要以满足客户和用户的需求的根本出发点。

信息系统集成项目的指导方法：总体规划，分步实施

信息系统集成包含技术，管理和商务等方面，是一项综合性质的系统工程

9，SABSA模型包括（六层），他是一个（分层模型），他在第一层从安全的角度定义了（业务需求）

系统安全工程能力成熟模型（SSE-CMM）定义6个能力级别：不可重复级、初始级、可重复级、已定义级、已管理级、优先级

BP（基本实施）：

GP：

风险过程：评价威胁、评价脆弱性、评价影响、评估安全风险

SSE-CMM强调系统安全工程与其他工程学科的联系和融合

系统工程：

有关额能力成熟度模型（CMM）：

信息系统集成项目特点：

系统工程模型：

SSAM评估过程分为四个阶段：信息和方向、规划、准备、现场、报告

SSE-CMM将域维中的工程过程类的（11个）过程区域划分为 （三个）过程区，分别是 （风险过程、工程过程、保证过程）它们互相独立。（风险过程）识别出开发的产品或系统的风险，并对这些风险进行优先级排序，针对风险所面临的安全问题，系统安全工程过程要与其他工程一起来确定和实施解决方案，最后，由安全保证过程建立超解决方案的可信性并向用户转达这种(安全可信性)。这三个过程共同实现了安全工程过程结果所要达到的安全目标

SE-CMM体系结构的设计是可在整个安全工程范用内决定（安全工程）组织的（成熟性）。这体系结构的目标是清浙地合理和制度化特征中分离出安全工程的基本持征。为了保证这种分离，这个模型是两维的，分别称为域维(Doman"能力维 (Capabity。城维由所有定义安全工程的 （过程区）构成，能力维Capblty代表织能力，它由过程管理和（制度化）能力构成，这些实施活动被称作公共特征“，可在广泛的场中应用。能否执行某一个特定的公共持征是一个组织能力的标志，通过没置这两个依赖的维，SSECMM在各个能力级别上覆盖了整个安全活动范围

SABSA模型包括 (六层)，它是一个 （分层模型） ，它在第一以安全的角度定义了（业务需求）。模型的每层在抽象方面逐层减少，节逐层加，因此，它的层级是建在其他层之上的，从策略逐渐到技术和解决方案的(实施实践)。其思路上创新提出了一个包括战略、概念、设计、实施、度量和审计层次的()

软件能力成熟度模型是用于评价软件开发机构的软件过程能力成熟度的模型,其基本思想是,采用能力成熟度模型来帮助软件开发机构建立一个有规律的、成熟的软件过程,以开发出质量更好的软件,免受时间和成本超支之苦

6、CMM 的基本思想是,因为问题是由我们管理软件过程的方法引起的,所以新软件技术的运用不会自动提高生产率和利润率

17、规划，准备，现场，报告

19、https://blog.csdn.net/easysec/article/details/120739536

21

23、 基本实施 BP，Base Practice，域维的最小单位，如果选择执行其所属的PA，则必须执行它，共 129 个

24、定义标准过程、执行已定义的过程、协调安全措施