本書包括信息安全工程基礎(chǔ)、信息安全系統(tǒng)工程���、系統(tǒng)安全工程能力成熟度模型�、信息安全工程實施�����、信息安全風(fēng)險管理與評估�����、信息安全策略�����、信息安全等級保護、容災(zāi)備份與數(shù)據(jù)恢復(fù)�����、信息安全管理�����、信息安全工程案例���。
第1章信息安全工程基礎(chǔ)/1
1.1信息與信息系統(tǒng)1
1.1.1信息的概念1
1.1.2信息系統(tǒng)2
1.2系統(tǒng)工程與軟件工程5
1.2.1系統(tǒng)工程的概念與發(fā)展5
1.2.2軟件工程9
1.3常見信息安全問題12
1.3.1信息安全問題的層次12
1.3.2信息系統(tǒng)的安全問題13
1.3.3信息安全問題分類13
1.4信息安全工程概述15
1.4.1信息安全工程的基本概念15
1.4.2信息安全工程建設(shè)流程16
1.4.3安全工程的生命周期18
1.4.4安全工程的特點19
本章小結(jié)20
習(xí)題20
第2章信息安全系統(tǒng)工程/21
2.1信息安全系統(tǒng)工程概述21
2.1.1信息安全系統(tǒng)工程的概念21
2.1.2信息安全系統(tǒng)工程的要求28
2.1.3信息安全系統(tǒng)工程過程描述28
2.1.4信息安全系統(tǒng)工程中的開發(fā)工作29
2.2信息安全系統(tǒng)工程過程30
2.2.1信息保護需求的發(fā)掘30
2.2.2定義信息保護系統(tǒng)34
2.2.3設(shè)計信息保護系統(tǒng)35
2.2.4實施信息保護系統(tǒng)36〖1〗信息安全工程目錄[3]〖3〗2.2.5評估信息保護系統(tǒng)的有效性38
2.3ISSE與其他過程的聯(lián)系52
2.3.1引言52
2.3.2系統(tǒng)采辦過程53
2.3.3風(fēng)險管理過程55
2.3.4生命周期支持過程59
2.3.5認證與認可60
2.3.6CC與ISSE64
本章小結(jié)68
習(xí)題69
第3章系統(tǒng)安全工程能力成熟度模型/70
3.1概述70
3.1.1安全工程70
3.1.2CMM介紹71
3.1.3安全工程與其他項目的關(guān)系73
3.2SSECMM基礎(chǔ)74
3.2.1系統(tǒng)安全工程能力成熟度模型簡介74
3.2.2系統(tǒng)安全工程過程78
3.2.3SSECMM的主要概念80
3.3SSECMM的體系結(jié)構(gòu)83
3.3.1基本模型83
3.3.2域維/安全過程區(qū)84
3.3.3能力維/公共特性86
3.3.4能力級別87
3.3.5體系結(jié)構(gòu)的組成88
3.4SSECMM應(yīng)用89
3.4.1SSECMM應(yīng)用方式89
3.4.2用SSECMM改進過程92
3.4.3使用SSECMM的一般步驟96
3.5系統(tǒng)安全工程能力評估98
3.5.1系統(tǒng)安全工程能力評估98
3.5.2SSECMM實施中的幾個問題102
本章小結(jié)104
習(xí)題105
第4章信息安全工程實施/106
4.1概述106
4.2安全需求的定義110
4.2.1系統(tǒng)需求定義概述110
4.2.2安全需求分析的一般課題112
4.2.3安全需求定義概述116
4.2.4先期概念階段和概念階段——信息安全工程的需求活動118
4.2.5需求階段——信息安全工程的需求活動119
4.2.6系統(tǒng)設(shè)計階段——信息安全工程的需求活動120
4.2.7從初步設(shè)計到配置審計階段——信息安全工程的需求活動120
4.3安全設(shè)計支持120
4.3.1系統(tǒng)設(shè)計121
4.3.2信息安全工程系統(tǒng)設(shè)計支持活動122
4.3.3先期概念和概念階段安全設(shè)計支持124
4.3.4需求和系統(tǒng)設(shè)計階段的安全設(shè)計支持124
4.3.5初步設(shè)計階段到配置審計階段的安全設(shè)計支持126
4.3.6運行和支持階段的安全設(shè)計支持126
4.4安全運行分析126
4.5生命周期安全支持128
4.5.1安全的生命期支持的開發(fā)方法128
4.5.2對部署的系統(tǒng)進行安全監(jiān)控130
4.5.3系統(tǒng)安全評估130
4.5.4配置管理131
4.5.5培訓(xùn)131
4.5.6后勤和維護132
4.5.7系統(tǒng)的修改132
4.5.8報廢處置133
本章小結(jié)133
習(xí)題134
第5章信息安全風(fēng)險管理與評估/135
5.1信息安全風(fēng)險管理135
5.1.1定義與基本性質(zhì)135
5.1.2分類136
5.1.3信息安全風(fēng)險控制與管理方案136
5.2信息安全風(fēng)險評估基礎(chǔ)139
5.2.1與風(fēng)險評估相關(guān)的概念139
5.2.2風(fēng)險評估的基本特點139
5.2.3風(fēng)險評估的內(nèi)涵140
5.2.4風(fēng)險評估的兩種方式141
5.3風(fēng)險評估的過程142
5.3.1風(fēng)險評估基本步驟142
5.3.2風(fēng)險評估準(zhǔn)備143
5.3.3風(fēng)險因素評估144
5.3.4風(fēng)險確定147
5.3.5風(fēng)險評價147
5.3.6風(fēng)險控制147
5.4風(fēng)險評估過程中應(yīng)注意的問題149
5.4.1信息資產(chǎn)的賦值149
5.4.2評估過程的文檔化152
5.5風(fēng)險評估方法153
5.5.1正確選擇風(fēng)險評估方法153
5.5.2定性風(fēng)險評估和定量風(fēng)險評估153
5.5.3結(jié)構(gòu)風(fēng)險因素和過程風(fēng)險因素153
5.5.4通用風(fēng)險評估方法154
5.6幾種典型的信息安全風(fēng)險評估方法157
5.6.1OCTAVE法157
5.6.2層次分析法(AHP法)160
5.6.3威脅分級法166
5.6.4風(fēng)險綜合評價166
5.7風(fēng)險評估實施167
5.7.1風(fēng)險評估實施原則167
5.7.2風(fēng)險評估流程167
5.7.3評估方案定制168
5.7.4項目質(zhì)量控制171
本章小結(jié)172
習(xí)題172
第6章信息安全策略/173
6.1信息安全策略概述173
6.1.1基本概念173
6.1.2特點174
6.1.3信息安全策略的制定原則174
6.1.4信息安全策略的制定過程175
6.1.5信息安全策略的框架175
6.2信息安全策略規(guī)劃與實施176
6.2.1確定安全策略保護的對象176
6.2.2確定安全策略使用的主要技術(shù)177
6.2.3安全策略的實施180
6.3環(huán)境安全策略181
6.3.1環(huán)境保護機制182
6.3.2電源183
6.3.3硬件保護機制183
6.4系統(tǒng)安全策略183
6.4.1WWW服務(wù)策略183
6.4.2電子郵件安全策略184
6.4.3數(shù)據(jù)庫安全策略184
6.4.4應(yīng)用服務(wù)器安全策略185
6.5病毒防護策略186
6.5.1病毒防護策略具備的準(zhǔn)則186
6.5.2建立病毒防護體系186
6.5.3建立病毒保護類型187
6.5.4病毒防護策略要求187
6.6安全教育策略187
本章小結(jié)189
習(xí)題189
第7章信息安全等級保護/190
7.1等級保護概述190
7.1.1信息安全等級保護制度的原則190
7.1.2信息安全等級保護的工作內(nèi)容191
7.1.3信息安全等級保護的劃分及特征191
7.2等級保護在信息安全工程中的實施193
7.2.1新建系統(tǒng)的安全等級保護規(guī)劃與建設(shè)193
7.2.2系統(tǒng)改建實施方案設(shè)計197
7.3等級保護標(biāo)準(zhǔn)的確定198
7.3.1確定信息系統(tǒng)安全保護等級的一般流程198
7.3.2信息系統(tǒng)安全等級的定級方法200
本章小結(jié)203
習(xí)題203
第8章容災(zāi)備份與數(shù)據(jù)恢復(fù)/204
8.1容災(zāi)備份204
8.1.1容災(zāi)備份概念與分類204
8.1.2容災(zāi)備份的等級與關(guān)鍵技術(shù)206
8.1.3容災(zāi)備份的技術(shù)指標(biāo)與應(yīng)用207
8.2數(shù)據(jù)恢復(fù)209
8.2.1數(shù)據(jù)恢復(fù)的原理與方法210
8.2.2數(shù)據(jù)恢復(fù)種類212
8.2.3數(shù)據(jù)恢復(fù)應(yīng)用212
本章小結(jié)222
習(xí)題222
第9章信息安全管理/224
9.1信息安全管理概述224
9.1.1信息安全管理的意義225
9.1.2信息安全管理的相關(guān)概念227
9.1.3信息安全管理模型227
9.2信息安全保障228
9.2.1信息安全保障發(fā)展過程228
9.2.2信息保障技術(shù)框架229
9.3信息安全管理體系230
9.3.1信息安全管理現(xiàn)狀231
9.3.2信息安全管理標(biāo)準(zhǔn)233
9.3.3信息安全管理體系ISMS標(biāo)準(zhǔn)內(nèi)容簡介233
9.3.4如何建立ISMS235
9.4信息安全管理控制規(guī)范239
9.4.1信息安全管理控制規(guī)范的形成過程239
9.4.2信息安全管理控制規(guī)范的組織結(jié)構(gòu)246
9.4.3信息安全管理控制規(guī)范中的物理和環(huán)境安全251
9.4.4信息安全管理控制規(guī)范中的通信和操作安全管理254
本章小結(jié)256
習(xí)題256
第10章信息安全工程案例/257
10.1涉密網(wǎng)安全建設(shè)規(guī)劃設(shè)計257
10.1.1安全風(fēng)險分析257
10.1.2規(guī)劃設(shè)計258
10.2信息系統(tǒng)網(wǎng)絡(luò)安全工程實施261
10.2.1制定項目計劃261
10.2.2項目組織機構(gòu)262
10.2.3工程具體實施263
10.3政府網(wǎng)絡(luò)安全解決方案265
10.3.1概述265
10.3.2網(wǎng)絡(luò)系統(tǒng)分析265
10.3.3網(wǎng)絡(luò)安全風(fēng)險分析266
10.3.4網(wǎng)絡(luò)安全需求及安全目標(biāo)267
10.3.5網(wǎng)絡(luò)安全方案總體設(shè)計268
10.3.6網(wǎng)絡(luò)安全體系結(jié)構(gòu)269
本章小結(jié)274
習(xí)題274
參考文獻/275
書單推薦
