本书包括信息安全工程基础、信息安全系统工程、系统安全工程能力成熟度模型、信息安全工程实施、信息安全风险管理与评估、信息安全策略、信息安全等级保护、容灾备份与数据恢复、信息安全管理、信息安全工程案例。
信息是社会发展的重要战略资源。信息技术和信息产业正在改变传统的生产、经营和生活方式,成为新的经济增长点。信息网络国际化、社会化、开放化、个人化的特点使国家的“信息边疆”不断延伸,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给予极大的关注与投入。
著名信息安全专家沈昌祥院士指出: “信息安全既不是纯粹的技术,也不是简单的安全产品的堆砌,而是一项复杂的系统工程——信息安全工程”。其复杂性体现在信息安全具有全面性、生命周期性、动态性、层次性和相对性等特点。安全体系结构的设计、安全解决方案的提出必须基于信息安全工程理论。对企业来讲,在建立与实施企业级的信息与网络系统安全体系时,必须考虑信息安全的方方面面,必须兼顾信息网络的风险评估与分析,信息网络的整体安全策略、安全模型、安全体系结构的开发,信息网络安全的技术标准与规范的制定以及信息网络安全工程的实施等各个方面。工程实施单位必须严格按照信息安全工程的过程规范实施。只有这样才能实现真正意义的信息安全。
信息安全工程的实施方法有许多种,总的指导思想是将安全工程与信息系统开发集成起来。本书以信息系统建设为基础,在分析常见信息安全问题的基础上,指出具有生命周期的信息安全工程建设流程。并具体阐述信息安全工程过程的目的是使信息系统安全成为系统工程和系统获取过程整体的必要部分,从而有力地保证客户目标的实现,提供有效的安全措施以满足客户的需求,将信息系统安全的安全选项集成到系统工程中去获得最优的信息系统安全解决方案。
本书共分9章,第1章信息安全工程基础,介绍信息与信息系统、系统工程与软件工程的概念,信息系统建设中常见的信息安全问题以及信息安全工程的概念、建设流程和特点;第2章信息安全系统工程,介绍信息安全系统工程的基本概念和过程,以及信息安全系统工程与其他过程的联系;第3章系统安全工程能力成熟度模型,介绍SSECMM的基础、体系结构与应用、系统安全工程能力评估;第4章信息安全工程实施,介绍安全需求定义、安全支持设计、安全运行分析、生命周期安全支持;第5章信息安全策略,介绍信息安全策略的概念、规划与实施以及环境安全、系统安全、病毒防护安全策略;第6章信息安全等级保护,介绍等级保护的概念及其在信息安全工程中的实施、等级保护标准的确定;第7章容灾备份与数据恢复,介绍数据备份的概念与技术以及灾难恢复概念、种类和应用;第8章信息安全管理,主要介绍信息安全管理的概念、信息安全保障、体系和控制规范;第9章信息安全工程案例,分别介绍涉密网安全建设规划设计、信息系统网络安全工程实施和政府网络安全解决方案。每章后面附有习题,以便学习时使用。
本教材出版得到了湖北省自然科学基金重点项目(编号: 2015CFA066)的资助。由于作者水平有限,因此对于本书的不足,恳请读者提出宝贵意见,以便再版时修改和完善,甚为感谢。
2017年4月
第1章信息安全工程基础/1
1.1信息与信息系统1
1.1.1信息的概念1
1.1.2信息系统2
1.2系统工程与软件工程5
1.2.1系统工程的概念与发展5
1.2.2软件工程9
1.3常见信息安全问题12
1.3.1信息安全问题的层次12
1.3.2信息系统的安全问题13
1.3.3信息安全问题分类13
1.4信息安全工程概述15
1.4.1信息安全工程的基本概念15
1.4.2信息安全工程建设流程16
1.4.3安全工程的生命周期18
1.4.4安全工程的特点19
本章小结20
习题20
第2章信息安全系统工程/21
2.1信息安全系统工程概述21
2.1.1信息安全系统工程的概念21
2.1.2信息安全系统工程的要求28
2.1.3信息安全系统工程过程描述28
2.1.4信息安全系统工程中的开发工作29
2.2信息安全系统工程过程30
2.2.1信息保护需求的发掘30
2.2.2定义信息保护系统34
2.2.3设计信息保护系统35
2.2.4实施信息保护系统36〖1〗信息安全工程目录[3]〖3〗2.2.5评估信息保护系统的有效性38
2.3ISSE与其他过程的联系52
2.3.1引言52
2.3.2系统采办过程53
2.3.3风险管理过程55
2.3.4生命周期支持过程59
2.3.5认证与认可60
2.3.6CC与ISSE64
本章小结68
习题69
第3章系统安全工程能力成熟度模型/70
3.1概述70
3.1.1安全工程70
3.1.2CMM介绍71
3.1.3安全工程与其他项目的关系73
3.2SSECMM基础74
3.2.1系统安全工程能力成熟度模型简介74
3.2.2系统安全工程过程78
3.2.3SSECMM的主要概念80
3.3SSECMM的体系结构83
3.3.1基本模型83
3.3.2域维/安全过程区84
3.3.3能力维/公共特性86
3.3.4能力级别87
3.3.5体系结构的组成88
3.4SSECMM应用89
3.4.1SSECMM应用方式89
3.4.2用SSECMM改进过程92
3.4.3使用SSECMM的一般步骤96
3.5系统安全工程能力评估98
3.5.1系统安全工程能力评估98
3.5.2SSECMM实施中的几个问题102
本章小结104
习题105
第4章信息安全工程实施/106
4.1概述106
4.2安全需求的定义110
4.2.1系统需求定义概述110
4.2.2安全需求分析的一般课题112
4.2.3安全需求定义概述116
4.2.4先期概念阶段和概念阶段——信息安全工程的需求活动118
4.2.5需求阶段——信息安全工程的需求活动119
4.2.6系统设计阶段——信息安全工程的需求活动120
4.2.7从初步设计到配置审计阶段——信息安全工程的需求活动120
4.3安全设计支持120
4.3.1系统设计121
4.3.2信息安全工程系统设计支持活动122
4.3.3先期概念和概念阶段安全设计支持124
4.3.4需求和系统设计阶段的安全设计支持124
4.3.5初步设计阶段到配置审计阶段的安全设计支持126
4.3.6运行和支持阶段的安全设计支持126
4.4安全运行分析126
4.5生命周期安全支持128
4.5.1安全的生命期支持的开发方法128
4.5.2对部署的系统进行安全监控130
4.5.3系统安全评估130
4.5.4配置管理131
4.5.5培训131
4.5.6后勤和维护132
4.5.7系统的修改132
4.5.8报废处置133
本章小结133
习题134
第5章信息安全风险管理与评估/135
5.1信息安全风险管理135
5.1.1定义与基本性质135
5.1.2分类136
5.1.3信息安全风险控制与管理方案136
5.2信息安全风险评估基础139
5.2.1与风险评估相关的概念139
5.2.2风险评估的基本特点139
5.2.3风险评估的内涵140
5.2.4风险评估的两种方式141
5.3风险评估的过程142
5.3.1风险评估基本步骤142
5.3.2风险评估准备143
5.3.3风险因素评估144
5.3.4风险确定147
5.3.5风险评价147
5.3.6风险控制147
5.4风险评估过程中应注意的问题149
5.4.1信息资产的赋值149
5.4.2评估过程的文档化152
5.5风险评估方法153
5.5.1正确选择风险评估方法153
5.5.2定性风险评估和定量风险评估153
5.5.3结构风险因素和过程风险因素153
5.5.4通用风险评估方法154
5.6几种典型的信息安全风险评估方法157
5.6.1OCTAVE法157
5.6.2层次分析法(AHP法)160
5.6.3威胁分级法166
5.6.4风险综合评价166
5.7风险评估实施167
5.7.1风险评估实施原则167
5.7.2风险评估流程167
5.7.3评估方案定制168
5.7.4项目质量控制171
本章小结172
习题172
第6章信息安全策略/173
6.1信息安全策略概述173
6.1.1基本概念173
6.1.2特点174
6.1.3信息安全策略的制定原则174
6.1.4信息安全策略的制定过程175
6.1.5信息安全策略的框架175
6.2信息安全策略规划与实施176
6.2.1确定安全策略保护的对象176
6.2.2确定安全策略使用的主要技术177
6.2.3安全策略的实施180
6.3环境安全策略181
6.3.1环境保护机制182
6.3.2电源183
6.3.3硬件保护机制183
6.4系统安全策略183
6.4.1WWW服务策略183
6.4.2电子邮件安全策略184
6.4.3数据库安全策略184
6.4.4应用服务器安全策略185
6.5病毒防护策略186
6.5.1病毒防护策略具备的准则186
6.5.2建立病毒防护体系186
6.5.3建立病毒保护类型187
6.5.4病毒防护策略要求187
6.6安全教育策略187
本章小结189
习题189
第7章信息安全等级保护/190
7.1等级保护概述190
7.1.1信息安全等级保护制度的原则190
7.1.2信息安全等级保护的工作内容191
7.1.3信息安全等级保护的划分及特征191
7.2等级保护在信息安全工程中的实施193
7.2.1新建系统的安全等级保护规划与建设193
7.2.2系统改建实施方案设计197
7.3等级保护标准的确定198
7.3.1确定信息系统安全保护等级的一般流程198
7.3.2信息系统安全等级的定级方法200
本章小结203
习题203
第8章容灾备份与数据恢复/204
8.1容灾备份204
8.1.1容灾备份概念与分类204
8.1.2容灾备份的等级与关键技术206
8.1.3容灾备份的技术指标与应用207
8.2数据恢复209
8.2.1数据恢复的原理与方法210
8.2.2数据恢复种类212
8.2.3数据恢复应用212
本章小结222
习题222
第9章信息安全管理/224
9.1信息安全管理概述224
9.1.1信息安全管理的意义225
9.1.2信息安全管理的相关概念227
9.1.3信息安全管理模型227
9.2信息安全保障228
9.2.1信息安全保障发展过程228
9.2.2信息保障技术框架229
9.3信息安全管理体系230
9.3.1信息安全管理现状231
9.3.2信息安全管理标准233
9.3.3信息安全管理体系ISMS标准内容简介233
9.3.4如何建立ISMS235
9.4信息安全管理控制规范239
9.4.1信息安全管理控制规范的形成过程239
9.4.2信息安全管理控制规范的组织结构246
9.4.3信息安全管理控制规范中的物理和环境安全251
9.4.4信息安全管理控制规范中的通信和操作安全管理254
本章小结256
习题256
第10章信息安全工程案例/257
10.1涉密网安全建设规划设计257
10.1.1安全风险分析257
10.1.2规划设计258
10.2信息系统网络安全工程实施261
10.2.1制定项目计划261
10.2.2项目组织机构262
10.2.3工程具体实施263
10.3政府网络安全解决方案265
10.3.1概述265
10.3.2网络系统分析265
10.3.3网络安全风险分析266
10.3.4网络安全需求及安全目标267
10.3.5网络安全方案总体设计268
10.3.6网络安全体系结构269
本章小结274
习题274
参考文献/275
新书资讯
