信息安全工程 / 高等学校网络空间安全专业规划教材
¥39.00定价
作者: 严承华、陈璐等
出版时间:2017年6月
出版社:清华大学出版社
- 清华大学出版社
- 9787302468783
- 1-1
- 128465
- 16开
- 2017年6月
- 工学
- 计算机科学与技术
- TP3
- 计算机
- 本专科、高职高专
内容简介
本书从工程应用的角度出发,针对信息安全从规划与控制、需求与分析、实施与评估全过程进行阐述,并结合具体信息安全工程的实现,描述了信息安全工程的内容。主要介绍信息安全工程基础、信息安全系统工程、系统安全工程能力成熟度模型、信息安全工程实施、信息安全策略、信息安全风险管理与评估、信息安全等级保护、容灾备份与数据恢复、信息安全管理,并通过信息安全工程案例加强对信息安全工程的认识。通过本书的学习,读者可对信息安全工程的原理与技术有所了解,并明确信息安全工程过程所包含的内容。本书适合作为信息安全专业学生的教材,也可供从事相关工作的技术人员和对信息安全感兴趣的读者阅读参考。
目录
目录
第1章信息安全工程基础/1
1.1信息与信息系统1
1.1.1信息的概念1
1.1.2信息系统2
1.2系统工程与软件工程5
1.2.1系统工程的概念与发展5
1.2.2软件工程9
1.3常见信息安全问题12
1.3.1信息安全问题的层次12
1.3.2信息系统的安全问题13
1.3.3信息安全问题分类13
1.4信息安全工程概述15
1.4.1信息安全工程的基本概念15
1.4.2信息安全工程建设流程16
1.4.3安全工程的生命周期18
1.4.4安全工程的特点19
本章小结20
习题20
第2章信息安全系统工程/21
2.1信息安全系统工程概述21
2.1.1信息安全系统工程的概念21
2.1.2信息安全系统工程的要求28
2.1.3信息安全系统工程过程描述28
2.1.4信息安全系统工程中的开发工作29
2.2信息安全系统工程过程30
2.2.1信息保护需求的发掘30
2.2.2定义信息保护系统34
2.2.3设计信息保护系统35
2.2.4实施信息保护系统36〖1〗信息安全工程目录[3]〖3〗2.2.5评估信息保护系统的有效性38
2.3ISSE与其他过程的联系52
2.3.1引言52
2.3.2系统采办过程53
2.3.3风险管理过程55
2.3.4生命周期支持过程59
2.3.5认证与认可60
2.3.6CC与ISSE64
本章小结68
习题69
第3章系统安全工程能力成熟度模型/70
3.1概述70
3.1.1安全工程70
3.1.2CMM介绍71
3.1.3安全工程与其他项目的关系73
3.2SSECMM基础74
3.2.1系统安全工程能力成熟度模型简介74
3.2.2系统安全工程过程78
3.2.3SSECMM的主要概念80
3.3SSECMM的体系结构83
3.3.1基本模型83
3.3.2域维/安全过程区84
3.3.3能力维/公共特性86
3.3.4能力级别87
3.3.5体系结构的组成88
3.4SSECMM应用89
3.4.1SSECMM应用方式89
3.4.2用SSECMM改进过程92
3.4.3使用SSECMM的一般步骤96
3.5系统安全工程能力评估98
3.5.1系统安全工程能力评估98
3.5.2SSECMM实施中的几个问题102
本章小结104
习题105
第4章信息安全工程实施/106
4.1概述106
4.2安全需求的定义110
4.2.1系统需求定义概述110
4.2.2安全需求分析的一般课题112
4.2.3安全需求定义概述116
4.2.4先期概念阶段和概念阶段——信息安全工程的需求活动118
4.2.5需求阶段——信息安全工程的需求活动119
4.2.6系统设计阶段——信息安全工程的需求活动120
4.2.7从初步设计到配置审计阶段——信息安全工程的需求活动120
4.3安全设计支持120
4.3.1系统设计121
4.3.2信息安全工程系统设计支持活动122
4.3.3先期概念和概念阶段安全设计支持124
4.3.4需求和系统设计阶段的安全设计支持124
4.3.5初步设计阶段到配置审计阶段的安全设计支持126
4.3.6运行和支持阶段的安全设计支持126
4.4安全运行分析126
4.5生命周期安全支持128
4.5.1安全的生命期支持的开发方法128
4.5.2对部署的系统进行安全监控130
4.5.3系统安全评估130
4.5.4配置管理131
4.5.5培训131
4.5.6后勤和维护132
4.5.7系统的修改132
4.5.8报废处置133
本章小结133
习题134
第5章信息安全风险管理与评估/135
5.1信息安全风险管理135
5.1.1定义与基本性质135
5.1.2分类136
5.1.3信息安全风险控制与管理方案136
5.2信息安全风险评估基础139
5.2.1与风险评估相关的概念139
5.2.2风险评估的基本特点139
5.2.3风险评估的内涵140
5.2.4风险评估的两种方式141
5.3风险评估的过程142
5.3.1风险评估基本步骤142
5.3.2风险评估准备143
5.3.3风险因素评估144
5.3.4风险确定147
5.3.5风险评价147
5.3.6风险控制147
5.4风险评估过程中应注意的问题149
5.4.1信息资产的赋值149
5.4.2评估过程的文档化152
5.5风险评估方法153
5.5.1正确选择风险评估方法153
5.5.2定性风险评估和定量风险评估153
5.5.3结构风险因素和过程风险因素153
5.5.4通用风险评估方法154
5.6几种典型的信息安全风险评估方法157
5.6.1OCTAVE法157
5.6.2层次分析法(AHP法)160
5.6.3威胁分级法166
5.6.4风险综合评价166
5.7风险评估实施167
5.7.1风险评估实施原则167
5.7.2风险评估流程167
5.7.3评估方案定制168
5.7.4项目质量控制171
本章小结172
习题172
第6章信息安全策略/173
6.1信息安全策略概述173
6.1.1基本概念173
6.1.2特点174
6.1.3信息安全策略的制定原则174
6.1.4信息安全策略的制定过程175
6.1.5信息安全策略的框架175
6.2信息安全策略规划与实施176
6.2.1确定安全策略保护的对象176
6.2.2确定安全策略使用的主要技术177
6.2.3安全策略的实施180
6.3环境安全策略181
6.3.1环境保护机制182
6.3.2电源183
6.3.3硬件保护机制183
6.4系统安全策略183
6.4.1WWW服务策略183
6.4.2电子邮件安全策略184
6.4.3数据库安全策略184
6.4.4应用服务器安全策略185
6.5病毒防护策略186
6.5.1病毒防护策略具备的准则186
6.5.2建立病毒防护体系186
6.5.3建立病毒保护类型187
6.5.4病毒防护策略要求187
6.6安全教育策略187
本章小结189
习题189
第7章信息安全等级保护/190
7.1等级保护概述190
7.1.1信息安全等级保护制度的原则190
7.1.2信息安全等级保护的工作内容191
7.1.3信息安全等级保护的划分及特征191
7.2等级保护在信息安全工程中的实施193
7.2.1新建系统的安全等级保护规划与建设193
7.2.2系统改建实施方案设计197
7.3等级保护标准的确定198
7.3.1确定信息系统安全保护等级的一般流程198
7.3.2信息系统安全等级的定级方法200
本章小结203
习题203
第8章容灾备份与数据恢复/204
8.1容灾备份204
8.1.1容灾备份概念与分类204
8.1.2容灾备份的等级与关键技术206
8.1.3容灾备份的技术指标与应用207
8.2数据恢复209
8.2.1数据恢复的原理与方法210
8.2.2数据恢复种类212
8.2.3数据恢复应用212
本章小结222
习题222
第9章信息安全管理/224
9.1信息安全管理概述224
9.1.1信息安全管理的意义225
9.1.2信息安全管理的相关概念227
9.1.3信息安全管理模型227
9.2信息安全保障228
9.2.1信息安全保障发展过程228
9.2.2信息保障技术框架229
9.3信息安全管理体系230
9.3.1信息安全管理现状231
9.3.2信息安全管理标准233
9.3.3信息安全管理体系ISMS标准内容简介233
9.3.4如何建立ISMS235
9.4信息安全管理控制规范239
9.4.1信息安全管理控制规范的形成过程239
9.4.2信息安全管理控制规范的组织结构246
9.4.3信息安全管理控制规范中的物理和环境安全251
9.4.4信息安全管理控制规范中的通信和操作安全管理254
本章小结256
习题256
第10章信息安全工程案例/257
10.1涉密网安全建设规划设计257
10.1.1安全风险分析257
10.1.2规划设计258
10.2信息系统网络安全工程实施261
10.2.1制定项目计划261
10.2.2项目组织机构262
10.2.3工程具体实施263
10.3政府网络安全解决方案265
10.3.1概述265
10.3.2网络系统分析265
10.3.3网络安全风险分析266
10.3.4网络安全需求及安全目标267
10.3.5网络安全方案总体设计268
10.3.6网络安全体系结构269
本章小结274
习题274
参考文献/275
第1章信息安全工程基础/1
1.1信息与信息系统1
1.1.1信息的概念1
1.1.2信息系统2
1.2系统工程与软件工程5
1.2.1系统工程的概念与发展5
1.2.2软件工程9
1.3常见信息安全问题12
1.3.1信息安全问题的层次12
1.3.2信息系统的安全问题13
1.3.3信息安全问题分类13
1.4信息安全工程概述15
1.4.1信息安全工程的基本概念15
1.4.2信息安全工程建设流程16
1.4.3安全工程的生命周期18
1.4.4安全工程的特点19
本章小结20
习题20
第2章信息安全系统工程/21
2.1信息安全系统工程概述21
2.1.1信息安全系统工程的概念21
2.1.2信息安全系统工程的要求28
2.1.3信息安全系统工程过程描述28
2.1.4信息安全系统工程中的开发工作29
2.2信息安全系统工程过程30
2.2.1信息保护需求的发掘30
2.2.2定义信息保护系统34
2.2.3设计信息保护系统35
2.2.4实施信息保护系统36〖1〗信息安全工程目录[3]〖3〗2.2.5评估信息保护系统的有效性38
2.3ISSE与其他过程的联系52
2.3.1引言52
2.3.2系统采办过程53
2.3.3风险管理过程55
2.3.4生命周期支持过程59
2.3.5认证与认可60
2.3.6CC与ISSE64
本章小结68
习题69
第3章系统安全工程能力成熟度模型/70
3.1概述70
3.1.1安全工程70
3.1.2CMM介绍71
3.1.3安全工程与其他项目的关系73
3.2SSECMM基础74
3.2.1系统安全工程能力成熟度模型简介74
3.2.2系统安全工程过程78
3.2.3SSECMM的主要概念80
3.3SSECMM的体系结构83
3.3.1基本模型83
3.3.2域维/安全过程区84
3.3.3能力维/公共特性86
3.3.4能力级别87
3.3.5体系结构的组成88
3.4SSECMM应用89
3.4.1SSECMM应用方式89
3.4.2用SSECMM改进过程92
3.4.3使用SSECMM的一般步骤96
3.5系统安全工程能力评估98
3.5.1系统安全工程能力评估98
3.5.2SSECMM实施中的几个问题102
本章小结104
习题105
第4章信息安全工程实施/106
4.1概述106
4.2安全需求的定义110
4.2.1系统需求定义概述110
4.2.2安全需求分析的一般课题112
4.2.3安全需求定义概述116
4.2.4先期概念阶段和概念阶段——信息安全工程的需求活动118
4.2.5需求阶段——信息安全工程的需求活动119
4.2.6系统设计阶段——信息安全工程的需求活动120
4.2.7从初步设计到配置审计阶段——信息安全工程的需求活动120
4.3安全设计支持120
4.3.1系统设计121
4.3.2信息安全工程系统设计支持活动122
4.3.3先期概念和概念阶段安全设计支持124
4.3.4需求和系统设计阶段的安全设计支持124
4.3.5初步设计阶段到配置审计阶段的安全设计支持126
4.3.6运行和支持阶段的安全设计支持126
4.4安全运行分析126
4.5生命周期安全支持128
4.5.1安全的生命期支持的开发方法128
4.5.2对部署的系统进行安全监控130
4.5.3系统安全评估130
4.5.4配置管理131
4.5.5培训131
4.5.6后勤和维护132
4.5.7系统的修改132
4.5.8报废处置133
本章小结133
习题134
第5章信息安全风险管理与评估/135
5.1信息安全风险管理135
5.1.1定义与基本性质135
5.1.2分类136
5.1.3信息安全风险控制与管理方案136
5.2信息安全风险评估基础139
5.2.1与风险评估相关的概念139
5.2.2风险评估的基本特点139
5.2.3风险评估的内涵140
5.2.4风险评估的两种方式141
5.3风险评估的过程142
5.3.1风险评估基本步骤142
5.3.2风险评估准备143
5.3.3风险因素评估144
5.3.4风险确定147
5.3.5风险评价147
5.3.6风险控制147
5.4风险评估过程中应注意的问题149
5.4.1信息资产的赋值149
5.4.2评估过程的文档化152
5.5风险评估方法153
5.5.1正确选择风险评估方法153
5.5.2定性风险评估和定量风险评估153
5.5.3结构风险因素和过程风险因素153
5.5.4通用风险评估方法154
5.6几种典型的信息安全风险评估方法157
5.6.1OCTAVE法157
5.6.2层次分析法(AHP法)160
5.6.3威胁分级法166
5.6.4风险综合评价166
5.7风险评估实施167
5.7.1风险评估实施原则167
5.7.2风险评估流程167
5.7.3评估方案定制168
5.7.4项目质量控制171
本章小结172
习题172
第6章信息安全策略/173
6.1信息安全策略概述173
6.1.1基本概念173
6.1.2特点174
6.1.3信息安全策略的制定原则174
6.1.4信息安全策略的制定过程175
6.1.5信息安全策略的框架175
6.2信息安全策略规划与实施176
6.2.1确定安全策略保护的对象176
6.2.2确定安全策略使用的主要技术177
6.2.3安全策略的实施180
6.3环境安全策略181
6.3.1环境保护机制182
6.3.2电源183
6.3.3硬件保护机制183
6.4系统安全策略183
6.4.1WWW服务策略183
6.4.2电子邮件安全策略184
6.4.3数据库安全策略184
6.4.4应用服务器安全策略185
6.5病毒防护策略186
6.5.1病毒防护策略具备的准则186
6.5.2建立病毒防护体系186
6.5.3建立病毒保护类型187
6.5.4病毒防护策略要求187
6.6安全教育策略187
本章小结189
习题189
第7章信息安全等级保护/190
7.1等级保护概述190
7.1.1信息安全等级保护制度的原则190
7.1.2信息安全等级保护的工作内容191
7.1.3信息安全等级保护的划分及特征191
7.2等级保护在信息安全工程中的实施193
7.2.1新建系统的安全等级保护规划与建设193
7.2.2系统改建实施方案设计197
7.3等级保护标准的确定198
7.3.1确定信息系统安全保护等级的一般流程198
7.3.2信息系统安全等级的定级方法200
本章小结203
习题203
第8章容灾备份与数据恢复/204
8.1容灾备份204
8.1.1容灾备份概念与分类204
8.1.2容灾备份的等级与关键技术206
8.1.3容灾备份的技术指标与应用207
8.2数据恢复209
8.2.1数据恢复的原理与方法210
8.2.2数据恢复种类212
8.2.3数据恢复应用212
本章小结222
习题222
第9章信息安全管理/224
9.1信息安全管理概述224
9.1.1信息安全管理的意义225
9.1.2信息安全管理的相关概念227
9.1.3信息安全管理模型227
9.2信息安全保障228
9.2.1信息安全保障发展过程228
9.2.2信息保障技术框架229
9.3信息安全管理体系230
9.3.1信息安全管理现状231
9.3.2信息安全管理标准233
9.3.3信息安全管理体系ISMS标准内容简介233
9.3.4如何建立ISMS235
9.4信息安全管理控制规范239
9.4.1信息安全管理控制规范的形成过程239
9.4.2信息安全管理控制规范的组织结构246
9.4.3信息安全管理控制规范中的物理和环境安全251
9.4.4信息安全管理控制规范中的通信和操作安全管理254
本章小结256
习题256
第10章信息安全工程案例/257
10.1涉密网安全建设规划设计257
10.1.1安全风险分析257
10.1.2规划设计258
10.2信息系统网络安全工程实施261
10.2.1制定项目计划261
10.2.2项目组织机构262
10.2.3工程具体实施263
10.3政府网络安全解决方案265
10.3.1概述265
10.3.2网络系统分析265
10.3.3网络安全风险分析266
10.3.4网络安全需求及安全目标267
10.3.5网络安全方案总体设计268
10.3.6网络安全体系结构269
本章小结274
习题274
参考文献/275