描述
开 本: 16开纸 张: 胶版纸包 装: 平装是否套装: 否国际标准书号ISBN: 9787562831891
编辑推荐
吴世忠、江常青、林家骏编著的《信息系统安全保障评估》将在信息系统安全保障模型指导下,在综合考虑各种安全评估尺度基础上,通过安全保障控制措施和安全保障能力级来定义安全作为度量信息系统安全的尺度。本书将风险和安全性联系起来评估作为出发点,提出基于证据理论和评估用例、基于系统安全性差距分析等评估方法。信息系统安全保障是信息安全风险评估的延伸,通过评估识别信息系统在运行中所面临的各种风险,并针对性地制定信息安全保障策略;在保障策略指导下,设计并实现信息安全保障架构或模型,采取保障措施,将风险减少至预定可接受的程度,*终实现对信息系统使命要求的保障。
内容简介
《信息系统安全保障评估》主要介绍了信息安全模型、信息安全评估方法与标准;提供了可支持GB/T20274的信息安全保障能力评估工具及其测评实例。
吴世忠、江常青、林家骏编著的《信息系统安全保障评估》可供有关研究人员、工程人员阅读,也可作为研究生与大学高年级学生的教材与参考用书。
吴世忠、江常青、林家骏编著的《信息系统安全保障评估》可供有关研究人员、工程人员阅读,也可作为研究生与大学高年级学生的教材与参考用书。
目 录
0 导论
第1章 信息系统安全保障
1.1 信息安全
1.1.1 信息安全概念
1.1.2 信息安全发展
1.1.3 信息安全模型
1.2 信息安全保障
1.2.1 信息安全保障概念
1.2.2 信息安全保障技术
1.2.3 信息安全保障过程
1.2.4 信息安全保障模型
1.3 信息系统安全保障
1.3.1 信息系统安全保障概念
1.3.2 信息系统安全保障模型
参考文献
第2章 信息系统安全评估
2.1 信息安全评估理论
2.1.1 基于风险的安全评估
2.1.2 基于安全审计的评估
2.1.3 基于能力成熟度的评估
2.1.4 基于安全测评的评估
2.2 信息安全评估标准
2.2.1 国际标准
2.2.2 国内标准
2.3 《信息系统安全保障评估框架》(GB/T 20274)系列标准
2.3.1 《信息系统安全保障评估框架》
2.3.2 《信息系统保护轮廓和安全目标产生指南》
2.3.3 《信息系统安全保障通用评估方法》
2.3.4 GB/T 20274系列标准的应用
参考文献
第3章 信息系统安全保障评估模型
3.1 信息系统安全保障评估
3.1.1 信息系统安全保障评估概述
3.1.2 信息系统安全保障评估方式
3.1.3 信息系统安全保障符合性评估
3.1.4 信息系统安全保障级评估
3.2 信息系统安全保障评估模型
3.2.1 基于安全测度的评估模型
3.2.2 基于证据推理的评估模型(CAE)
参考文献
第4章 信息系统安全保障评估方法
4.1 基于访问路径的评估方法
4.1.1 要素及度量
4.1.2 评估模型
4.1.3 评估算法
4.2 基于证据推理的评估方法
4.2.1 评估指标结构
4.2.2 评估流程
4.2.3 评估方法
4.3 基于证据合成的评估方法
4.3.1 证据理论基础
4.3.2 证据理论评估方法及其局限
4.3.3 两极比例法的引入
4.3.4 专家权重的判定
4.3.5 证据合成示例
4.4 基于差距分析的评估方法
4.4.1 分析模型
4.4.2 评估流程
参考文献
第5章 信息系统安全保障评估实践
5.1 评估工具
5.1.1 工具简介
5.1.2 功能模块
5.1.3 评估流程
5.1.4 用户角色
5.1.5 评估方法
5.2 评估准备
5.2.1 任务设定
5.2.2 编写评估信息
5.2.3 评估项设置
5.3 用例生成
5.3.1 评估用例
5.3.2 测试用例
5.4 现场测试
5.5 核查与推理
5.5.1 专家核查
5.5.2 推理(综合评估)
5.6 评估结果
5.6.1 评估结论
5.6.2 报告生成
5.6.3 报告样张
参考文献
第1章 信息系统安全保障
1.1 信息安全
1.1.1 信息安全概念
1.1.2 信息安全发展
1.1.3 信息安全模型
1.2 信息安全保障
1.2.1 信息安全保障概念
1.2.2 信息安全保障技术
1.2.3 信息安全保障过程
1.2.4 信息安全保障模型
1.3 信息系统安全保障
1.3.1 信息系统安全保障概念
1.3.2 信息系统安全保障模型
参考文献
第2章 信息系统安全评估
2.1 信息安全评估理论
2.1.1 基于风险的安全评估
2.1.2 基于安全审计的评估
2.1.3 基于能力成熟度的评估
2.1.4 基于安全测评的评估
2.2 信息安全评估标准
2.2.1 国际标准
2.2.2 国内标准
2.3 《信息系统安全保障评估框架》(GB/T 20274)系列标准
2.3.1 《信息系统安全保障评估框架》
2.3.2 《信息系统保护轮廓和安全目标产生指南》
2.3.3 《信息系统安全保障通用评估方法》
2.3.4 GB/T 20274系列标准的应用
参考文献
第3章 信息系统安全保障评估模型
3.1 信息系统安全保障评估
3.1.1 信息系统安全保障评估概述
3.1.2 信息系统安全保障评估方式
3.1.3 信息系统安全保障符合性评估
3.1.4 信息系统安全保障级评估
3.2 信息系统安全保障评估模型
3.2.1 基于安全测度的评估模型
3.2.2 基于证据推理的评估模型(CAE)
参考文献
第4章 信息系统安全保障评估方法
4.1 基于访问路径的评估方法
4.1.1 要素及度量
4.1.2 评估模型
4.1.3 评估算法
4.2 基于证据推理的评估方法
4.2.1 评估指标结构
4.2.2 评估流程
4.2.3 评估方法
4.3 基于证据合成的评估方法
4.3.1 证据理论基础
4.3.2 证据理论评估方法及其局限
4.3.3 两极比例法的引入
4.3.4 专家权重的判定
4.3.5 证据合成示例
4.4 基于差距分析的评估方法
4.4.1 分析模型
4.4.2 评估流程
参考文献
第5章 信息系统安全保障评估实践
5.1 评估工具
5.1.1 工具简介
5.1.2 功能模块
5.1.3 评估流程
5.1.4 用户角色
5.1.5 评估方法
5.2 评估准备
5.2.1 任务设定
5.2.2 编写评估信息
5.2.3 评估项设置
5.3 用例生成
5.3.1 评估用例
5.3.2 测试用例
5.4 现场测试
5.5 核查与推理
5.5.1 专家核查
5.5.2 推理(综合评估)
5.6 评估结果
5.6.1 评估结论
5.6.2 报告生成
5.6.3 报告样张
参考文献
免费在线读
如果将计算机、服务器、路由器及交换设备等信息技术产品比喻成网络空间的细胞,那么,由它们组合而成的信息系统无疑是网络王国的基本构成单元,犹如现实社会中的一家、一村、一镇、一城,是国家管理和社会稳定的重要环节。信息系统是信息化建设的主要内容,同样是信息安全工作的重点所在。美国将能源、交通、电力、食品、供水等事关国计民生的信息系统列为“国家关键基础设施”加以重点管理和保护,西方其他国家纷纷效法,先后制定专门的战略规划和保护计划,强化信息系统的安全保障。我国的党政军各部门和国有企事业单位的信息系统同样也是国家信息化建设的主流,在我国的信息安全保障体系建设工作中,也将民航、铁道、电力、海关、税务、银行、证券和保险等行业的网络系统,列为“重要信息系统”加以重点保护。可以说,信息系统的安全,是信息安全工作的关键所在和重中之重,对信息系统安全相关问题的研究和探索,自然成为信息安全理论和实践中的热点和重点。
然而,信息系统涉及硬件、软件、数据和人员等多种资源和要素,本身具有很高的集成性和复杂性。信息安全问题更是浓缩了太多的复杂性和不确定性。信息系统安全问题的复杂性和挑战性可想而知。为了科学、客观地规范和描述信息安全问题,国际社会一直在做不懈的努力,早在1984年,领先世界信息技术的美国就研究发布了著名的《可信计算机系统评估准则(TCSEC)》,这部俗称“橘皮书”的标准,对全球的信息安全工作产生了划时代的影响。英国、德国、法国、荷兰四国很快启动欧洲的相关标准工作议程,经过五年多的努力,于1991年正式推出欧洲统一的《信息技术安全评估准则(ITSEC)》。为了适应INTERNET发展普及带来的全球互联新形势,上述四国与美国、加拿大一道,又经五年多的时间和探索,共同推出了信息技术安全性评估的《通用准则(CC)》,成为西方发达国家评估信息安全的统一要求和工作规范。伴随着互联网飞速发展的势头,该标准经过三年的国际协调和技术评估后,于1999年正式成为国际标准ISO/IEC15408,为信息安全界提供了全球通用的描述方法和评估框架。《通用准则(CC)》的面世,对信息安全工作而言,具有里程碑式的意义。由于该标准在结构上具有很好的开放性,其“安全功能要求”和“安全保证要求”可以根据具体的评估对象和环境条件做进一步的细化和扩展。因而,在它的指导下,很快形成了一系列针对具体产品实现“保护轮廓(PP)”和“安全目标(ST)”,极大地促进了对信息技术产品的安全检测与评估工作。
中国信息安全测评中心作为我国为适应加入WTO的新形势,有效应对全球化、信息化带来的信息安全挑战而专门设立的专业化技术测试与评估机构,成立伊始就关注并跟踪国际上相关安全标准的动向与发展。《通用准则(CC)》一经国际标准化组织(ISO)批准,我们即启动相应的内容消化、文字翻译和技术验证工作,并于2001年正式等同采用为我国的国家标准GB/T 18336—2001,直接应用于蓬勃兴起的信息安全行业,较好地满足了信息安全产品测评的现实需要。当然,产品安全只是信息安全的基础,由类别各异、品种繁多的产品构成的信息系统所面临的安全风险要比一种单一的产品复杂得多。如何将《通用准则(CC)》的指导思想和概念体系扩展到网络系统,很快成为一个新的现实问题。在“全国信息安全技术标准化委员会”的规划安排和指导下,测评中心牵头承担了研究制定我国《信息系统安全保障评估框架》标准的任务,我们在跟踪分析国际上相关标准研究动向的同时,以《通用准则(CC)》为基础,结合信息系统相关的安全标准和工作实践,研究归纳了信息系统安全保障模型的描述方法,从安全技术、安全管理和安全工程等方面,提炼确定了信息系统的通用安全保障要求,并据此建立了信息系统安全保障评估框架,该标准文本经信息安全技术标准化委员会评审后,分别于2006、2008年获得“国家标准化委员会”正式批准,成为我国的国家标准GB/T 20274.1—2006,GB/T20274.2、3、4—2008。此后,根据我国信息系统安全建设和评估工作的实际,我们依据此标准,先后制定了《信息系统保护轮廓和安全目标产生指南》和《信息系统安全保障通用评估方法》,形成了针对信息系统安全评估工作的标准系列。从2008年至今,该系列标准在我国重要信息系统的安全性评估中得到实际运用和实践推广,特别是在对党政军关键信息网络的技术安全检查和国家重点行业、国有大型企事业单位的重要信息系统安全风险评估中发挥了应有的标准指导和工作支撑作用,《信息系统安全保障评估》即是该系列标准近五年来相关实践和理论工作的初步结论。
信息系统的安全问题本来就十分复杂,各种信息系统的互联互通和互操作更是将信息安全风险扩散、放大在网络空间,我们的实践与探索时间不长,理论归纳也远未完善,任何一项技术标准,都需要经过实践和时间的检验和考验,信息安全标准尤其如此,套用“实践是检验真理的唯一标准”这一至理名言,也可以说:实践是检验标准的唯一真理。我们将此项工作做一个阶段性的小结,目的就在于为该领域更深更广的实践探索和理论研究,提供实例和参考。
无论是技术标准的研究制定工作,还是信息系统的安全评估实践,均得到了国家信息安全各个管理部门和社会各界众多领导、专家和学者的大力支持和测评中心多个部门同事们的积极配合,所以在本书付梓之际,谨向支持和关心测评中心技术安全标准制定和信息安全风险评估工作的部门、专家和同行们表示由衷的感谢。特别要向全国信息安全技术标准化委员会、工业和信息化部信息安全协调司、中国电子技术标准化研究院及信息安全领域的测评、认证机构表示诚挚的谢意。向参编《信息系统安全保障评估》的程华、王雨、袁文浩博士表示感谢。同时,要向华东理工大学出版社表达我们的敬意,他们对《信息系统安全保障评估》这部书稿的修改和编辑付出了极大的热情和耐心。
然而,信息系统涉及硬件、软件、数据和人员等多种资源和要素,本身具有很高的集成性和复杂性。信息安全问题更是浓缩了太多的复杂性和不确定性。信息系统安全问题的复杂性和挑战性可想而知。为了科学、客观地规范和描述信息安全问题,国际社会一直在做不懈的努力,早在1984年,领先世界信息技术的美国就研究发布了著名的《可信计算机系统评估准则(TCSEC)》,这部俗称“橘皮书”的标准,对全球的信息安全工作产生了划时代的影响。英国、德国、法国、荷兰四国很快启动欧洲的相关标准工作议程,经过五年多的努力,于1991年正式推出欧洲统一的《信息技术安全评估准则(ITSEC)》。为了适应INTERNET发展普及带来的全球互联新形势,上述四国与美国、加拿大一道,又经五年多的时间和探索,共同推出了信息技术安全性评估的《通用准则(CC)》,成为西方发达国家评估信息安全的统一要求和工作规范。伴随着互联网飞速发展的势头,该标准经过三年的国际协调和技术评估后,于1999年正式成为国际标准ISO/IEC15408,为信息安全界提供了全球通用的描述方法和评估框架。《通用准则(CC)》的面世,对信息安全工作而言,具有里程碑式的意义。由于该标准在结构上具有很好的开放性,其“安全功能要求”和“安全保证要求”可以根据具体的评估对象和环境条件做进一步的细化和扩展。因而,在它的指导下,很快形成了一系列针对具体产品实现“保护轮廓(PP)”和“安全目标(ST)”,极大地促进了对信息技术产品的安全检测与评估工作。
中国信息安全测评中心作为我国为适应加入WTO的新形势,有效应对全球化、信息化带来的信息安全挑战而专门设立的专业化技术测试与评估机构,成立伊始就关注并跟踪国际上相关安全标准的动向与发展。《通用准则(CC)》一经国际标准化组织(ISO)批准,我们即启动相应的内容消化、文字翻译和技术验证工作,并于2001年正式等同采用为我国的国家标准GB/T 18336—2001,直接应用于蓬勃兴起的信息安全行业,较好地满足了信息安全产品测评的现实需要。当然,产品安全只是信息安全的基础,由类别各异、品种繁多的产品构成的信息系统所面临的安全风险要比一种单一的产品复杂得多。如何将《通用准则(CC)》的指导思想和概念体系扩展到网络系统,很快成为一个新的现实问题。在“全国信息安全技术标准化委员会”的规划安排和指导下,测评中心牵头承担了研究制定我国《信息系统安全保障评估框架》标准的任务,我们在跟踪分析国际上相关标准研究动向的同时,以《通用准则(CC)》为基础,结合信息系统相关的安全标准和工作实践,研究归纳了信息系统安全保障模型的描述方法,从安全技术、安全管理和安全工程等方面,提炼确定了信息系统的通用安全保障要求,并据此建立了信息系统安全保障评估框架,该标准文本经信息安全技术标准化委员会评审后,分别于2006、2008年获得“国家标准化委员会”正式批准,成为我国的国家标准GB/T 20274.1—2006,GB/T20274.2、3、4—2008。此后,根据我国信息系统安全建设和评估工作的实际,我们依据此标准,先后制定了《信息系统保护轮廓和安全目标产生指南》和《信息系统安全保障通用评估方法》,形成了针对信息系统安全评估工作的标准系列。从2008年至今,该系列标准在我国重要信息系统的安全性评估中得到实际运用和实践推广,特别是在对党政军关键信息网络的技术安全检查和国家重点行业、国有大型企事业单位的重要信息系统安全风险评估中发挥了应有的标准指导和工作支撑作用,《信息系统安全保障评估》即是该系列标准近五年来相关实践和理论工作的初步结论。
信息系统的安全问题本来就十分复杂,各种信息系统的互联互通和互操作更是将信息安全风险扩散、放大在网络空间,我们的实践与探索时间不长,理论归纳也远未完善,任何一项技术标准,都需要经过实践和时间的检验和考验,信息安全标准尤其如此,套用“实践是检验真理的唯一标准”这一至理名言,也可以说:实践是检验标准的唯一真理。我们将此项工作做一个阶段性的小结,目的就在于为该领域更深更广的实践探索和理论研究,提供实例和参考。
无论是技术标准的研究制定工作,还是信息系统的安全评估实践,均得到了国家信息安全各个管理部门和社会各界众多领导、专家和学者的大力支持和测评中心多个部门同事们的积极配合,所以在本书付梓之际,谨向支持和关心测评中心技术安全标准制定和信息安全风险评估工作的部门、专家和同行们表示由衷的感谢。特别要向全国信息安全技术标准化委员会、工业和信息化部信息安全协调司、中国电子技术标准化研究院及信息安全领域的测评、认证机构表示诚挚的谢意。向参编《信息系统安全保障评估》的程华、王雨、袁文浩博士表示感谢。同时,要向华东理工大学出版社表达我们的敬意,他们对《信息系统安全保障评估》这部书稿的修改和编辑付出了极大的热情和耐心。
评论
还没有评论。