描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787302525059丛书名: 21世纪高等学校网络空间安全专业规划教材
本教材首先介绍安全工程基础,涉及到软件/系统工程基础、质量管理基础、能力成熟度模型基础以及项目管理基础等内容;其次介绍安全工程过程实践,涉及到信息系统安全工程ISSE、系统安全工程能力成熟度模型(SSE—CMM)、信息安全工程实施、信息安全风险评估内容;*后介绍项目管理过程和实践,涉及到数据备份与灾难恢复,生命周期安全支持以及信息安全工程管理等内容。
本教材概念清晰明了,层次清晰,内容涉及的范围比较广,不仅适合作为信息安全专业及相关专业教学试用,还适合广大对安全工程技术感兴趣的读者阅读。
第1章绪论
1.1信息安全基础
1.1.1信息安全的基本概念
1.1.2信息安全发展过程
1.1.3信息安全现状及发展趋势
1.1.4ISO/OSI安全体系结构
1.2信息安全工程的相关概念
1.2.1信息安全工程的发展由来
1.2.2信息安全工程的定义
1.3信息安全体系模型
1.4小结
习题
第2章信息安全工程基础
2.1系统工程基础
2.1.1系统的定义、特征及类型
2.1.2系统工程的概念和特点
2.1.3系统工程的形成与发展
2.1.4系统工程的方法与步骤
2.2质量管理基础
2.2.1质量概述
2.2.2质量管理概述
2.2.3质量管理的发展历程
2.2.4质量管理的原则
2.3项目管理基础
2.3.1项目的定义、特征及分类
2.3.2项目管理概述
2.3.3项目管理的过程
2.3.4项目管理的要素
2.4小结
习题
第3章信息系统安全工程
3.1概述
3.1.1信息系统安全工程的定义
3.1.2信息系统安全工程与系统工程的关系
3.2信息系统安全工程过程
3.2.1发掘信息保护需求
3.2.2定义信息保护系统
3.2.3设计信息保护系统
3.2.4实施信息保护需求
3.2.5评估信息保护有效性
3.3基于ISSE的公文流转系统安全解决方案
3.3.1公文流转系统概述
3.3.2安全需求分析
3.3.3定义信息保护系统
3.3.4设计信息保护系统
3.3.5实施信息保护系统
3.3.6评估信息保护有效性
3.4小结
习题
第4章SSECMM
4.1CMM
4.1.1CMM简介
4.1.2CMM的体系结构
4.2SSECMM概述
4.2.1SSECMM的概念
4.2.2SSECMM体系结构
4.2.3SSECMM的应用
4.3SSECMM的过程域
4.3.1SSECMM过程域的分类
4.3.2工程过程域
4.3.3项目过程域和组织过程域
4.4SSECMM能力级别
4.4.1SSECMM能力级别简介
4.4.2能力级别与通用实施的确定
4.5小结
习题
第5章信息安全风险管理与风险评估
5.1信息安全风险管理
5.1.1信息安全风险管理概述
5.1.2生命周期各阶段的风险管理
5.2信息安全风险评估
5.2.1风险评估概述
5.2.2风险评估策略
5.2.3风险评估方法
5.2.4风险评估实施流程
5.3小结
习题
第6章信息安全管理
6.1信息安全管理的基本概念
6.1.1安全管理的概念
6.1.2安全管理的重要性
6.1.3信息安全管理策略
6.1.4信息安全管理体系
6.2信息安全管理模型
6.2.1安全要素关系模型
6.2.2风险要素关系模型
6.2.3基于过程的风险管理模型
6.2.4PDCA模型
6.3基于PDCA的信息安全管理实践
6.3.1背景分析
6.3.2前期分析
6.3.3PDCA实施
6.4小结
习题
第7章安全层次划分
7.1安全的密码算法
7.1.1密码算法安全性概述
7.1.2对称加密算法
7.1.3非对称加密算法
7.1.4不可逆加密算法
7.2安全协议
7.2.1安全套接层协议
7.2.2传输层安全协议
7.2.3IPSec协议
7.3网络安全
7.3.1计算机网络面临的威胁
7.3.2网络安全策略
7.4系统安全
7.4.1操作系统安全
7.4.2数据库系统安全
7.5应用安全
7.5.1Web安全
7.5.2电子邮件安全
7.6小结
习题
第8章信息安全事件应急处理与灾难恢复
8.1信息安全事件
8.1.1信息安全事件的定义
8.1.2信息安全事件的分类
8.1.3信息安全事件分级
8.2信息安全事件应急响应与处置过程
8.2.1应急响应的概念
8.2.2应急响应计划及流程
8.2.3信息安全应急响应流程
8.2.4信息安全事件应急处理方法
8.3信息系统灾难恢复
8.3.1灾难与灾难恢复
8.3.2灾难恢复的发展
8.4信息系统灾难恢复工作过程
8.4.1灾难恢复的需求分析
8.4.2灾难恢复策略的制定
8.4.3灾难恢复策略的实现及管理
8.5小结
习题
第9章信息安全标准与法律法规
9.1信息安全标准
9.1.1信息安全标准化的概述
9.1.2信息安全的国际标准
9.1.3信息安全国内标准
9.1.4计算机信息系统安全保护等级划分准则(GB 17859—1999)
9.1.5信息安全等级保护其他相关标准
9.2信息安全法律法规及道德规范
9.2.1信息安全涉及的相关法律问题
9.2.2我国的信息安全法律规范
9.2.3我国的信息安全法律法规
9.2.4信息安全从业人员的道德规范
9.3小结
习题
第10章信息安全工程案例
10.1系统概要
10.2系统结构
10.2.1系统体系结构
10.2.2系统功能结构
10.3系统安全风险分析
10.3.1系统主要资产和关键业务信息
10.3.2可能攻击源综合性分析
10.3.3系统对威胁存在的脆弱性分析
10.3.4系统面临的安全风险综述
10.4BookApp系统安全需求
10.4.1计算机安全
10.4.2网络层安全需求
10.4.3应用层安全需求
10.4.4后台管理的安全需求
10.4.5BookApp交易安全需求
10.5安全技术手段和方法
10.5.1网络服务层
10.5.2加密技术层
10.5.3安全认证层
10.5.4交易协议层
10.5.5应用系统层
10.6系统安全管理机构及制度
10.6.1BookApp系统安全机构设置
10.6.2岗位职责
10.6.3管理制度
10.7小结
参考文献
随着经济和信息化的发展,信息资源已成为社会发展的重要战略资源,信息技术和信息产业正在改变传统的生产和生活方式,逐步成为国家经济增长的主要推动力之一。信息化、网络化的发展已成为不可阻挡、不可回避、不可逆转的历史潮流,信息技术和信息的开发应用已渗透到国家政治、经济、军事和社会生活的各个方面,成为生产力的重要因素。
信息时代人们在享受其所带来的种种物质和文化享受的同时,也受到日益严重的来自网络的安全威胁,如数据窃取、黑客入侵、病毒发布。尽管人们正在广泛地使用各种复杂的软件技术,如防火墙、入侵检测、访问控制,但黑客活动越来越猖狂,无孔不入,对社会造成了严重的危害。可以说,信息化发展程度越高,面临的信息安全风险就越大。信息安全的建设实际上是一个复杂的系统工程。它要综合利用数学、物理、通信和计算机等诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的、协同的解决方案。安全问题的解决,不能只依靠纯粹的技术和简单的安全产品的堆砌,也不能仅靠安全管理体系建设。安全问题的解决也是一个复杂的系统工程,需要采用工程的概念、原理、技术和方法来研究、开发、实施与维护信息系统安全。因此,把信息安全作为一个整体的工程进行研究,具有重要的现实意义。
本书共分10章。第1章绪论,阐述信息安全基本属性及信息安全工程的发展由来; 第2章信息安全工程基础,介绍信息安全工程相关的一些理论基础,如系统工程思想、项目管理方法及质量管理体系; 第3章信息系统安全工程,详细介绍信息系统安全工程(ISSE)方法论; 第4章SSECMM,详细介绍系统安全工程能力成熟度模型(SSECMM);第5章信息安全风险管理与风险评估,介绍风险管理与风险评估的相关概念及实施流程和方法;第6章信息安全管理,介绍信息安全管理的相关概念及常用的一些信息安全管理模型;第7章安全层次划分,主要介绍如何从安全的密码算法、安全协议、网络安全、系统安全及应用安全等方面来探讨安全解决方案; 第8章信息安全事件应急处理与灾难恢复,介绍信息安全事件应急处理与灾难恢复过程; 第9章信息安全标准与法律法规,介绍信息安全相关标准与信息安全相关法律法规; 第10章信息安全工程案例,以信息安全工程理论为基础,结合一个具体的信息安全工程案例的实现,以实际工程应用为目标,对信息安全从规划与控制、需求与分析、实施与评估等工程过程进行描述。
本书主要总结了多年信息安全工程本科教学的内容,同时还参考了近年来的文献资料。在写作中,力求做到层次清楚,语言简洁流畅,内容丰富,既便于读者循序渐进地系统学习,又能使读者了解信息安全工程理论的新发展。希望本书对读者了解信息安全工程有一定帮助。
本书的第1、3、5、10章由林英执笔完成,第2、4章由康雁执笔完成,第6、7章由张一凡执笔完成,第8、9章由朱艳萍执笔完成,全书由林英、张雁统稿。
本书的完成,得到了云南省“十二五质量工程”项目的资助,在此谨表衷心的感谢。
限于学术水平,书中不妥之处在所难免,敬请读者批评指正,作者将不胜感激。
作者
2019年6月
本章学习目标:
了解信息系统安全工程基本概念。
了解信息系统安全工程过程。
掌握如何基于信息系统安全工程方法开展系统安全工程建设。
3.1概述
信息安全保障问题的解决既不能只依靠纯粹的技术,也不能只靠简单的安全产品的堆砌,它要依赖于复杂的系统工程,即信息安全工程。本章主要介绍由系统工程发展而来,以时间维划定工程元素的方法学——信息系统安全工程。
3.1.1信息系统安全工程的定义
1993年,美国国家安全局制定的《信息系统安全工程手册》中提出了“信息系统安全工程”
(Information Systems Security Engineering,ISSE)的概念,并将其定义为“侧重于信息安全的应用系统工程”。美国国家安全局2000年制定的《国家信息系统安全术语表》(NSTISSI No.4009)中,将ISSE描述为“在信息系统生命周期过程中为实现和维护系统最优的安全性和持续性所做的各种努力”。现在对ISSE的普遍解释为: “信息系统安全工程是采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程,是将经过时间考验证明是正确的工程实践流程、管理技术和当前能够得到的最好的技术方法相结合的过程”。
信息系统安全工程是系统工程在安全空间的映射,它的重点是通过实施系统工程过程来满足信息保护的需求,信息系统安全工程将有助于开发可满足用户信息保护需求的系统产品和过程解决方案,信息系统安全工程的主要目标包括以下6个方面。
(1) 获得对企业安全风险的理解。
(2) 根据已识别的安全风险建立一组平衡的安全需求。
(3) 将安全需求转换成安全的策略,成为信息系统建设基本原则,并落实到项目实施中的各个科目活动、系统配置或运行的定义中。
(4) 通过正确有效的安全机制建立抵御安全威胁和系统正常运营的保证。
(5) 动态监测和判断系统中和系统运行时出现的安全隐患和突发事件,并及时按预先指定的方案,启动紧急事故处理程序进行处理和追踪,遏制危险的发生和蔓延,使系统免除损失或控制在可控制范围之内。
(6) 将所有科目和专业活动集成为一个具有共识的系统安全可信性工程。
评论
还没有评论。