《信息安全工程》力圖從工程的角度出發(fā),對(duì)信息安全從規(guī)劃與控制、需求與分析、實(shí)施與評(píng)估全過程的描述,并結(jié)合具體的信息安全工程的實(shí)現(xiàn),描述了信息安全工程的內(nèi)容。《信息安全工程》主要介紹了信息安全工程基礎(chǔ)、系統(tǒng)安全工程能力成熟度模型(SSE—CMM)、信息安全工程實(shí)施、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全策略、信息安全工程與等級(jí)保護(hù)和數(shù)據(jù)備份與災(zāi)難恢復(fù),并詳細(xì)敘述了安全規(guī)劃與控制、安全需求的定義、安全設(shè)計(jì)支持、安全運(yùn)行分析、生命周期安全支持等信息安全工程的過程。并通過幾個(gè)實(shí)施案例加強(qiáng)對(duì)信息安全工程的認(rèn)識(shí)。通過《信息安全工程》的學(xué)習(xí),學(xué)生可對(duì)信息安全工程的原理與技術(shù)有所了解,并明確信息安全工程過程所包含的內(nèi)容。
《信息安全工程》適合作為信息安全專業(yè)學(xué)生的教材,也可供從事相關(guān)工作的技術(shù)人員和對(duì)信息安全感興趣的讀者閱讀參考。
第一章 信息安全工程基礎(chǔ)
1.1 信息系統(tǒng)建設(shè)
1.1.1 信息系統(tǒng)建設(shè)的周期階段
1.1.2 信息系統(tǒng)建設(shè)計(jì)劃
1.1.3 軟件開發(fā)工作量和時(shí)間估算
1.1.4 開發(fā)進(jìn)度估算
1.2 常見信息安全問題
1.2.1 信息安全問題的層次
1.2.2 信息系統(tǒng)的安全問題
1.2.3 信息安全問題分類
1.3 信息安全工程概念
1.4 信息安全工程建設(shè)流程
1.5 安全工程的生命周期
1.6 安全工程特點(diǎn)
本章小結(jié)
習(xí)題一
第二章 系統(tǒng)安全工程能力成熟度模型
2.1 概述
2.1.1 安全工程
2.1.2 CMM介紹
2.1.3 安全工程與其他項(xiàng)目的關(guān)系
2.2 SSE—CMM基礎(chǔ)
2.2.1 系統(tǒng)安全工程能力成熟度模型簡(jiǎn)介
2.2.2 系統(tǒng)安全工程過程
2.2.3 SSE—CMM的主要概念
2.3 SSE—CMM的體系結(jié)構(gòu)
2.3.1 基本模型
2.3.2 域維,安全過程區(qū)
2.3.3 能力維,公共特性
2.3.4 能力級(jí)別
2.3.5 體系結(jié)構(gòu)的組成
2.4 SSE—CMM應(yīng)用
2.4.1 SSE—CMM應(yīng)用方式
2.4.2 用SSB—CMM改進(jìn)過程
2.4.3 使用SSE—CMM的一般步驟
2.5 系統(tǒng)安全工程能力評(píng)估
2.5.1 系統(tǒng)安全工程能力評(píng)估
2.5.2 SSE—CMM實(shí)施中的幾個(gè)問題
本章小結(jié)
習(xí)題二
第三章 信息安全工程實(shí)施
3.1 概述
3.2 安全規(guī)劃與控制
3.2.1 商業(yè)決策和工程規(guī)劃
3.2.2 信息安全工程小組
3.2.3 對(duì)認(rèn)證和認(rèn)可(C&A)的信息安全工程輸入規(guī)劃
3.2.4 信息安全工程報(bào)告
3.2.5 技術(shù)數(shù)據(jù)庫和工具
3.2.6 與獲取/簽約有關(guān)的規(guī)劃
3.2.7 信息系統(tǒng)安全保證規(guī)劃
3.3 安全需求的定義
3.3.1 系統(tǒng)需求定義概述
3.3.2 安全需求分析的一般課題
3.3.3 安全需求定義概述
3.3.4 先期概念階段和概念階段——信息安全工程的需求活動(dòng)
3.3.5 需求階段——信息安全工程的需求活動(dòng)
3.3.6 系統(tǒng)設(shè)計(jì)階段——信息安全工程的需求活動(dòng)
3.3.7 從初步設(shè)計(jì)到配置審計(jì)階段——信息安全工程的需求活動(dòng)
3.4 安全設(shè)計(jì)支持
3.4.1 系統(tǒng)設(shè)計(jì)
3.4.2 信息安全工程系統(tǒng)設(shè)計(jì)支持活動(dòng)
3.4.3 先期概念和概念階段安全設(shè)計(jì)支持
3.4.4 需求和系統(tǒng)設(shè)計(jì)階段的安全設(shè)計(jì)支持
3.4.5 初步設(shè)計(jì)階段到配置審計(jì)階段的安全設(shè)計(jì)支持
3.4.6 運(yùn)行和支持階段的安全設(shè)計(jì)支持
3.5 安全運(yùn)行分析
3.6 生命周期安全支持
3.6.1 安全的生命期支持的開發(fā)方法
3.6.2 對(duì)部署的系統(tǒng)進(jìn)行安全監(jiān)控
3.6.3 系統(tǒng)安全評(píng)估
3.6.4 配置管理
3.6.5 培訓(xùn)
3.6.6 后勤和維護(hù)
3.6.7 系統(tǒng)的修改
3.6.8 報(bào)廢處置
3.7 信息安全工程的過程
本章小結(jié)
習(xí)題三
第四章 信息安全風(fēng)險(xiǎn)評(píng)估
4.1 信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)
4.1.1 與風(fēng)險(xiǎn)評(píng)估相關(guān)的概念
4.1.2 風(fēng)險(xiǎn)評(píng)估的基本特點(diǎn)
4.1.3 風(fēng)險(xiǎn)評(píng)估的內(nèi)涵
4.1.4 風(fēng)險(xiǎn)評(píng)估的兩種方式
4.2 風(fēng)險(xiǎn)評(píng)估的過程
4.2.1 風(fēng)險(xiǎn)評(píng)估基本步驟
4.2.2 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備
4.2.3 風(fēng)險(xiǎn)因素評(píng)估
4.2.4 風(fēng)險(xiǎn)確定
4.2.5 風(fēng)險(xiǎn)評(píng)價(jià)
4.2.6 風(fēng)險(xiǎn)控制
4.3 風(fēng)險(xiǎn)評(píng)估過程中應(yīng)注意的問題
4.3.1 信息資產(chǎn)的賦值
4.3.2 評(píng)估過程的文檔化
4.4 風(fēng)險(xiǎn)評(píng)估方法
4.4.1 正確選擇風(fēng)險(xiǎn)評(píng)估方法
4.4.2 定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估
4.4.3 結(jié)構(gòu)風(fēng)險(xiǎn)因素和過程風(fēng)險(xiǎn)因素
4.4.4 通用風(fēng)險(xiǎn)評(píng)估方法
4.5 幾種典型的信息安全風(fēng)險(xiǎn)評(píng)估方法
4.5.1 OCTAVE法
4.5.2 層次分析法(AHP法)
4.5.3 威脅分級(jí)法
4.5.4 風(fēng)險(xiǎn)綜合評(píng)價(jià)
4.6 風(fēng)險(xiǎn)評(píng)估實(shí)施
4.6.1 風(fēng)險(xiǎn)評(píng)估實(shí)施原則
4.6.2 風(fēng)險(xiǎn)評(píng)估流程
4.6.3 評(píng)估方案定制
4.6.4 項(xiàng)目質(zhì)量控制
本章小結(jié)
習(xí)題四
第五章 信息安全策略
5.1 信息安全策略概述
5.1.1 基本概念
5.1.2 特點(diǎn)
5.1.3 信息安全策略的制定原則
5.1.4 信息安全策略的制定過程
5.1.5 信息安全策略的框架
5.2 信息安全策略規(guī)劃與實(shí)施
5.2.1 確定安全策略保護(hù)的對(duì)象
5.2.2 確定安全策略使用的主要技術(shù)
5.2.3 安全策略的實(shí)施
5.3 環(huán)境安全策略
5.3.1 環(huán)境保護(hù)機(jī)制
5.3.2 電源
5.3.3 硬件保護(hù)機(jī)制
5.4 系統(tǒng)安全策略
5.4.1 WWW服務(wù)策略
5.4.2 電子郵件安全策略
5.4.3 數(shù)據(jù)庫安全策略
5.4.4 應(yīng)用服務(wù)器安全策略
5.5 病毒防護(hù)策略
5.5.1 病毒防護(hù)策略具備的準(zhǔn)則
5.5.2 建立病毒防護(hù)體系
5.5.3 建立病毒保護(hù)類型
5.5.4 病毒防護(hù)策略要求
5.6 安全教育策略
本章小結(jié)
習(xí)題五
第六章 信息安全工程與等級(jí)保護(hù)
6.1 等級(jí)保護(hù)概述
6.1.1 信息安全等級(jí)保護(hù)制度的原則
6.1.2 信息安全等級(jí)的劃分及特征
6.2 等級(jí)保護(hù)在信息安全工程中的實(shí)施
6.2.1 新建系統(tǒng)的安全等級(jí)保護(hù)規(guī)劃與建設(shè)
6.2.2 系統(tǒng)改建實(shí)施方案設(shè)計(jì)
6.3 等級(jí)保護(hù)標(biāo)準(zhǔn)的確定
6.3.1 確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程
6.3.2 信息系統(tǒng)安全等級(jí)的定級(jí)方法
本章小結(jié)
習(xí)題六
第七章 數(shù)據(jù)備份與災(zāi)難恢復(fù)
7.1 數(shù)據(jù)備份的概念
7.2 數(shù)據(jù)備份的常用方法
7.2.1 數(shù)據(jù)備份層次
7.2.2 數(shù)據(jù)備份常用方法分類
7.3 災(zāi)難恢復(fù)概念
7.4 安全恢復(fù)的計(jì)劃
7.4.1 容災(zāi)系統(tǒng)
7.4.2 安全恢復(fù)的實(shí)現(xiàn)計(jì)劃
7.4.3 安全恢復(fù)計(jì)劃
7.5 災(zāi)難恢復(fù)技術(shù)
7.5.1 災(zāi)難預(yù)防制度
7.5.2 數(shù)據(jù)庫的恢復(fù)技術(shù)
本章小結(jié)
習(xí)題七
第八章 信息安全工程案例
8.1 涉密網(wǎng)安全建設(shè)規(guī)劃設(shè)計(jì)
8.1.1 安全風(fēng)險(xiǎn)分析
8.1.2 規(guī)劃設(shè)計(jì)
8.2 信息系統(tǒng)網(wǎng)絡(luò)安全工程實(shí)施
8.2.1 制定項(xiàng)目計(jì)劃
8.2.2 項(xiàng)目組織機(jī)構(gòu)
8.2.3 工程具體實(shí)施
8.3 政府網(wǎng)絡(luò)安全解決方案
8.3.1 概述
8.3.2 網(wǎng)絡(luò)系統(tǒng)分析
8.3.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
8.3.4 網(wǎng)絡(luò)安全需求及安全目標(biāo)
8.3.5 網(wǎng)絡(luò)安全方案總體設(shè)計(jì)
8.3.6 網(wǎng)絡(luò)安全體系結(jié)構(gòu)
習(xí)題八
第九章 信息安全組織
9.1 IEIF(WWW.ietf.org)
9.2 CERT/CC(WWW.cert.org)
9.3 NSA(WWW.nsa.gov)和NIST(WWW.nist.gov)
9.4 ISO
9.5 ITU
參考文獻(xiàn)