《信息安全工程》是2017年清華大學出版社出版的圖書。
基本介紹
- 中文名:信息安全工程
- 作者:嚴承華,陳璐,趙俊閣
- 出版時間:2017年7月
- 出版社:清華大學出版社
- ISBN:9787302468783
- 類別:工學教材
- 開本:32 開
- 裝幀:平裝-膠訂
內容簡介,圖書目錄,
內容簡介
本書從工程套用的角度出發,針對信息安全從規劃與控制、需求與分析、實施與評估全過程進行闡述,並結合具體信息安全工程的實現,描述了信息安全工程的內容。主要介紹信息安全工程基礎、信息安全系統工程、系統安全工程能力成熟度模型、信息安全工程實施、信息安全策略、信息安全風險管理與評估、信息安全等級保護、容災備份與數據恢復、信息安全管理,並通過信息安全工程案例加強對信息安全工程的認識。通過本書的學習,讀者可對信息安全工程的原理與技術有所了解,並明確信息安全工程過程所包含的內容。 本書適合作為信息安全專業學生的教材,也可供從事相關工作的技術人員和對信息安全感興趣的讀者閱讀參考。
圖書目錄
第1章信息安全工程基礎/1
1.1信息與信息系統1
1.1.1信息的概念1
1.1.2信息系統2
1.2系統工程與軟體工程5
1.2.1系統工程的概念與發展5
1.2.2軟體工程9
1.3常見信息安全問題12
1.3.1信息安全問題的層次12
1.3.2信息系統的安全問題13
1.3.3信息安全問題分類13
1.4信息安全工程概述15
1.4.1信息安全工程的基本概念15
1.4.2信息安全工程建設流程16
1.4.3安全工程的生命周期18
1.4.4安全工程的特點19
本章小結20
習題20
第2章信息安全系統工程/21
2.1信息安全系統工程概述21
2.1.1信息安全系統工程的概念21
2.1.2信息安全系統工程的要求28
2.1.3信息安全系統工程過程描述28
2.1.4信息安全系統工程中的開發工作29
2.2信息安全系統工程過程30
2.2.1信息保護需求的發掘30
2.2.2定義信息保護系統34
2.2.3設計信息保護系統35
2.2.4實施信息保護系統36〖1〗信息安全工程目錄[3]〖3〗2.2.5評估信息保護系統的有效性38
2.3ISSE與其他過程的聯繫52
2.3.1引言52
2.3.2系統採辦過程53
2.3.3風險管理過程55
2.3.4生命周期支持過程59
2.3.5認證與認可60
2.3.6CC與ISSE64
本章小結68
習題69
第3章系統安全工程能力成熟度模型/70
3.1概述70
3.1.1安全工程70
3.1.2CMM介紹71
3.1.3安全工程與其他項目的關係73
3.2SSECMM基礎74
3.2.1系統安全工程能力成熟度模型簡介74
3.2.2系統安全工程過程78
3.2.3SSECMM的主要概念80
3.3SSECMM的體系結構83
3.3.1基本模型83
3.3.2域維/安全過程區84
3.3.3能力維/公共特性86
3.3.4能力級別87
3.3.5體系結構的組成88
3.4SSECMM套用89
3.4.1SSECMM套用方式89
3.4.2用SSECMM改進過程92
3.4.3使用SSECMM的一般步驟96
3.5系統安全工程能力評估98
3.5.1系統安全工程能力評估98
3.5.2SSECMM實施中的幾個問題102
本章小結104
習題105
第4章信息安全工程實施/106
4.1概述106
4.2安全需求的定義110
4.2.1系統需求定義概述110
4.2.2安全需求分析的一般課題112
4.2.3安全需求定義概述116
4.2.4先期概念階段和概念階段——信息安全工程的需求活動118
4.2.5需求階段——信息安全工程的需求活動119
4.2.6系統設計階段——信息安全工程的需求活動120
4.2.7從初步設計到配置審計階段——信息安全工程的需求活動120
4.3安全設計支持120
4.3.1系統設計121
4.3.2信息安全工程系統設計支持活動122
4.3.3先期概念和概念階段安全設計支持124
4.3.4需求和系統設計階段的安全設計支持124
4.3.5初步設計階段到配置審計階段的安全設計支持126
4.3.6運行和支持階段的安全設計支持126
4.4安全運行分析126
4.5生命周期安全支持128
4.5.1安全的生命期支持的開發方法128
4.5.2對部署的系統進行安全監控130
4.5.3系統安全評估130
4.5.4配置管理131
4.5.5培訓131
4.5.6後勤和維護132
4.5.7系統的修改132
4.5.8報廢處置133
本章小結133
習題134
第5章信息安全風險管理與評估/135
5.1信息安全風險管理135
5.1.1定義與基本性質135
5.1.2分類136
5.1.3信息安全風險控制與管理方案136
5.2信息安全風險評估基礎139
5.2.1與風險評估相關的概念139
5.2.2風險評估的基本特點139
5.2.3風險評估的內涵140
5.2.4風險評估的兩種方式141
5.3風險評估的過程142
5.3.1風險評估基本步驟142
5.3.2風險評估準備143
5.3.3風險因素評估144
5.3.4風險確定147
5.3.5風險評價147
5.3.6風險控制147
5.4風險評估過程中應注意的問題149
5.4.1信息資產的賦值149
5.4.2評估過程的文檔化152
5.5風險評估方法153
5.5.1正確選擇風險評估方法153
5.5.2定性風險評估和定量風險評估153
5.5.3結構風險因素和過程風險因素153
5.5.4通用風險評估方法154
5.6幾種典型的信息安全風險評估方法157
5.6.1OCTAVE法157
5.6.2層次分析法(AHP法)160
5.6.3威脅分級法166
5.6.4風險綜合評價166
5.7風險評估實施167
5.7.1風險評估實施原則167
5.7.2風險評估流程167
5.7.3評估方案定製168
5.7.4項目質量控制171
本章小結172
習題172
第6章信息安全策略/173
6.1信息安全策略概述173
6.1.1基本概念173
6.1.2特點174
6.1.3信息安全策略的制定原則174
6.1.4信息安全策略的制定過程175
6.1.5信息安全策略的框架175
6.2信息安全策略規劃與實施176
6.2.1確定安全策略保護的對象176
6.2.2確定安全策略使用的主要技術177
6.2.3安全策略的實施180
6.3環境安全策略181
6.3.1環境保護機制182
6.3.2電源183
6.3.3硬體保護機制183
6.4系統安全策略183
6.4.1WWW服務策略183
6.4.2電子郵件安全策略184
6.4.3資料庫安全策略184
6.4.4套用伺服器安全策略185
6.5病毒防護策略186
6.5.1病毒防護策略具備的準則186
6.5.2建立病毒防護體系186
6.5.3建立病毒保護類型187
6.5.4病毒防護策略要求187
6.6安全教育策略187
本章小結189
習題189
第7章信息安全等級保護/190
7.1等級保護概述190
7.1.1信息安全等級保護制度的原則190
7.1.2信息安全等級保護的工作內容191
7.1.3信息安全等級保護的劃分及特徵191
7.2等級保護在信息安全工程中的實施193
7.2.1新建系統的安全等級保護規劃與建設193
7.2.2系統改建實施方案設計197
7.3等級保護標準的確定198
7.3.1確定信息系統安全保護等級的一般流程198
7.3.2信息系統安全等級的定級方法200
本章小結203
習題203
第8章容災備份與數據恢復/204
8.1容災備份204
8.1.1容災備份概念與分類204
8.1.2容災備份的等級與關鍵技術206
8.1.3容災備份的技術指標與套用207
8.2數據恢復209
8.2.1數據恢復的原理與方法210
8.2.2數據恢複種類212
8.2.3數據恢復套用212
本章小結222
習題222
第9章信息安全管理/224
9.1信息安全管理概述224
9.1.1信息安全管理的意義225
9.1.2信息安全管理的相關概念227
9.1.3信息安全管理模型227
9.2信息安全保障228
9.2.1信息安全保障發展過程228
9.2.2信息保障技術框架229
9.3信息安全管理體系230
9.3.1信息安全管理現狀231
9.3.2信息安全管理標準233
9.3.3信息安全管理體系ISMS標準內容簡介233
9.3.4如何建立ISMS235
9.4信息安全管理控制規範239
9.4.1信息安全管理控制規範的形成過程239
9.4.2信息安全管理控制規範的組織結構246
9.4.3信息安全管理控制規範中的物理和環境安全251
9.4.4信息安全管理控制規範中的通信和操作安全管理254
本章小結256
習題256
第10章信息安全工程案例/257
10.1涉密網安全建設規劃設計257
10.1.1安全風險分析257
10.1.2規劃設計258
10.2信息系統網路安全工程實施261
10.2.1制定項目計畫261
10.2.2項目組織機構262
10.2.3工程具體實施263
10.3政府網路安全解決方案265
10.3.1概述265
10.3.2網路系統分析265
10.3.3網路安全風險分析266
10.3.4網路安全需求及安全目標267
10.3.5網路安全方案總體設計268
10.3.6網路安全體系結構269
本章小結274
習題274
參考文獻/275
