《信息安全工程》力圖從工程的角度出發(fā),對信息安全從規(guī)劃與控制、需求與分析、實施與評估全過程的描述,并結(jié)合具體的信息安全工程的實現(xiàn),描述了信息安全工程的內(nèi)容!缎畔踩こ獭分饕榻B了信息安全工程基礎(chǔ)、系統(tǒng)安全工程能力成熟度模型(SSE—CMM)、信息安全工程實施、信息安全風險評估、信息安全策略、信息安全工程與等級保護和數(shù)據(jù)備份與災難恢復,并詳細敘述了安全規(guī)劃與控制、安全需求的定義、安全設(shè)計支持、安全運行分析、生命周期安全支持等信息安全工程的過程。并通過幾個實施案例加強對信息安全工程的認識。通過《信息安全工程》的學習,學生可對信息安全工程的原理與技術(shù)有所了解,并明確信息安全工程過程所包含的內(nèi)容。
《信息安全工程》適合作為信息安全專業(yè)學生的教材,也可供從事相關(guān)工作的技術(shù)人員和對信息安全感興趣的讀者閱讀參考。
第一章 信息安全工程基礎(chǔ)
1.1 信息系統(tǒng)建設(shè)
1.1.1 信息系統(tǒng)建設(shè)的周期階段
1.1.2 信息系統(tǒng)建設(shè)計劃
1.1.3 軟件開發(fā)工作量和時間估算
1.1.4 開發(fā)進度估算
1.2 常見信息安全問題
1.2.1 信息安全問題的層次
1.2.2 信息系統(tǒng)的安全問題
1.2.3 信息安全問題分類
1.3 信息安全工程概念
1.4 信息安全工程建設(shè)流程
1.5 安全工程的生命周期
1.6 安全工程特點
本章小結(jié)
習題一
第二章 系統(tǒng)安全工程能力成熟度模型
2.1 概述
2.1.1 安全工程
2.1.2 CMM介紹
2.1.3 安全工程與其他項目的關(guān)系
2.2 SSE—CMM基礎(chǔ)
2.2.1 系統(tǒng)安全工程能力成熟度模型簡介
2.2.2 系統(tǒng)安全工程過程
2.2.3 SSE—CMM的主要概念
2.3 SSE—CMM的體系結(jié)構(gòu)
2.3.1 基本模型
2.3.2 域維,安全過程區(qū)
2.3.3 能力維,公共特性
2.3.4 能力級別
2.3.5 體系結(jié)構(gòu)的組成
2.4 SSE—CMM應(yīng)用
2.4.1 SSE—CMM應(yīng)用方式
2.4.2 用SSB—CMM改進過程
2.4.3 使用SSE—CMM的一般步驟
2.5 系統(tǒng)安全工程能力評估
2.5.1 系統(tǒng)安全工程能力評估
2.5.2 SSE—CMM實施中的幾個問題
本章小結(jié)
習題二
第三章 信息安全工程實施
3.1 概述
3.2 安全規(guī)劃與控制
3.2.1 商業(yè)決策和工程規(guī)劃
3.2.2 信息安全工程小組
3.2.3 對認證和認可(C&A)的信息安全工程輸入規(guī)劃
3.2.4 信息安全工程報告
3.2.5 技術(shù)數(shù)據(jù)庫和工具
3.2.6 與獲。灱s有關(guān)的規(guī)劃
3.2.7 信息系統(tǒng)安全保證規(guī)劃
3.3 安全需求的定義
3.3.1 系統(tǒng)需求定義概述
3.3.2 安全需求分析的一般課題
3.3.3 安全需求定義概述
3.3.4 先期概念階段和概念階段——信息安全工程的需求活動
3.3.5 需求階段——信息安全工程的需求活動
3.3.6 系統(tǒng)設(shè)計階段——信息安全工程的需求活動
3.3.7 從初步設(shè)計到配置審計階段——信息安全工程的需求活動
3.4 安全設(shè)計支持
3.4.1 系統(tǒng)設(shè)計
3.4.2 信息安全工程系統(tǒng)設(shè)計支持活動
3.4.3 先期概念和概念階段安全設(shè)計支持
3.4.4 需求和系統(tǒng)設(shè)計階段的安全設(shè)計支持
3.4.5 初步設(shè)計階段到配置審計階段的安全設(shè)計支持
3.4.6 運行和支持階段的安全設(shè)計支持
3.5 安全運行分析
3.6 生命周期安全支持
3.6.1 安全的生命期支持的開發(fā)方法
3.6.2 對部署的系統(tǒng)進行安全監(jiān)控
3.6.3 系統(tǒng)安全評估
3.6.4 配置管理
3.6.5 培訓
3.6.6 后勤和維護
3.6.7 系統(tǒng)的修改
3.6.8 報廢處置
3.7 信息安全工程的過程
本章小結(jié)
習題三
第四章 信息安全風險評估
4.1 信息安全風險評估基礎(chǔ)
4.1.1 與風險評估相關(guān)的概念
4.1.2 風險評估的基本特點
4.1.3 風險評估的內(nèi)涵
4.1.4 風險評估的兩種方式
4.2 風險評估的過程
4.2.1 風險評估基本步驟
4.2.2 風險評估準備
4.2.3 風險因素評估
4.2.4 風險確定
4.2.5 風險評價
4.2.6 風險控制
4.3 風險評估過程中應(yīng)注意的問題
4.3.1 信息資產(chǎn)的賦值
4.3.2 評估過程的文檔化
4.4 風險評估方法
4.4.1 正確選擇風險評估方法
4.4.2 定性風險評估和定量風險評估
4.4.3 結(jié)構(gòu)風險因素和過程風險因素
4.4.4 通用風險評估方法
4.5 幾種典型的信息安全風險評估方法
4.5.1 OCTAVE法
4.5.2 層次分析法(AHP法)
4.5.3 威脅分級法
4.5.4 風險綜合評價
4.6 風險評估實施
4.6.1 風險評估實施原則
4.6.2 風險評估流程
4.6.3 評估方案定制
4.6.4 項目質(zhì)量控制
本章小結(jié)
習題四
第五章 信息安全策略
5.1 信息安全策略概述
5.1.1 基本概念
5.1.2 特點
5.1.3 信息安全策略的制定原則
5.1.4 信息安全策略的制定過程
5.1.5 信息安全策略的框架
5.2 信息安全策略規(guī)劃與實施
5.2.1 確定安全策略保護的對象
5.2.2 確定安全策略使用的主要技術(shù)
5.2.3 安全策略的實施
5.3 環(huán)境安全策略
5.3.1 環(huán)境保護機制
5.3.2 電源
5.3.3 硬件保護機制
5.4 系統(tǒng)安全策略
5.4.1 WWW服務(wù)策略
5.4.2 電子郵件安全策略
5.4.3 數(shù)據(jù)庫安全策略
5.4.4 應(yīng)用服務(wù)器安全策略
5.5 病毒防護策略
5.5.1 病毒防護策略具備的準則
5.5.2 建立病毒防護體系
5.5.3 建立病毒保護類型
5.5.4 病毒防護策略要求
5.6 安全教育策略
本章小結(jié)
習題五
第六章 信息安全工程與等級保護
6.1 等級保護概述
6.1.1 信息安全等級保護制度的原則
6.1.2 信息安全等級的劃分及特征
6.2 等級保護在信息安全工程中的實施
6.2.1 新建系統(tǒng)的安全等級保護規(guī)劃與建設(shè)
6.2.2 系統(tǒng)改建實施方案設(shè)計
6.3 等級保護標準的確定
6.3.1 確定信息系統(tǒng)安全保護等級的一般流程
6.3.2 信息系統(tǒng)安全等級的定級方法
本章小結(jié)
習題六
第七章 數(shù)據(jù)備份與災難恢復
7.1 數(shù)據(jù)備份的概念
7.2 數(shù)據(jù)備份的常用方法
7.2.1 數(shù)據(jù)備份層次
7.2.2 數(shù)據(jù)備份常用方法分類
7.3 災難恢復概念
7.4 安全恢復的計劃
7.4.1 容災系統(tǒng)
7.4.2 安全恢復的實現(xiàn)計劃
7.4.3 安全恢復計劃
7.5 災難恢復技術(shù)
7.5.1 災難預防制度
7.5.2 數(shù)據(jù)庫的恢復技術(shù)
本章小結(jié)
習題七
第八章 信息安全工程案例
8.1 涉密網(wǎng)安全建設(shè)規(guī)劃設(shè)計
8.1.1 安全風險分析
8.1.2 規(guī)劃設(shè)計
8.2 信息系統(tǒng)網(wǎng)絡(luò)安全工程實施
8.2.1 制定項目計劃
8.2.2 項目組織機構(gòu)
8.2.3 工程具體實施
8.3 政府網(wǎng)絡(luò)安全解決方案
8.3.1 概述
8.3.2 網(wǎng)絡(luò)系統(tǒng)分析
8.3.3 網(wǎng)絡(luò)安全風險分析
8.3.4 網(wǎng)絡(luò)安全需求及安全目標
8.3.5 網(wǎng)絡(luò)安全方案總體設(shè)計
8.3.6 網(wǎng)絡(luò)安全體系結(jié)構(gòu)
習題八
第九章 信息安全組織
9.1 IEIF(WWW.ietf.org)
9.2 CERT/CC(WWW.cert.org)
9.3 NSA(WWW.nsa.gov)和NIST(WWW.nist.gov)
9.4 ISO
9.5 ITU
參考文獻