信息安全工程

教材以信息安全工程理論為基礎，以實際工程應用為目標，對信息安全從規劃與控制、需求與分析、實施與評估等工程過程進行描述，並結合具體的信息安全工程案例的實現，介紹信息安全工程的內容。 本教材首先介紹安全工程基礎，涉及到軟件/系統工程基礎、質量管理基礎、能力成熟度模型基礎以及項目管理基礎等內容；其次介紹安全工程過程實踐，涉及到信息系統安全工程ISSE、系統安全工程能力成熟度模型(SSE—CMM)、信息安全工程實施、信息安全風險評估內容；最後介紹項目管理過程和實踐，涉及到數據備份與災難恢復，生命週期安全支持以及信息安全工程管理等內容。 本教材概念清晰明瞭，層次清晰，內容涉及的範圍比較廣，不僅適合作為信息安全專業及相關專業教學試用，還適合廣大對安全工程技術感興趣的讀者閲讀。 ^[1] 

第1章緒論

1.1信息安全基礎

1.1.1信息安全的基本概念

1.1.2信息安全發展過程

1.1.3信息安全現狀及發展趨勢

1.1.4ISO/OSI安全體系結構

1.2信息安全工程的相關概念

1.2.1信息安全工程的發展由來

1.2.2信息安全工程的定義

1.3信息安全體系模型

1.4小結

習題

第2章信息安全工程基礎

2.1系統工程基礎

2.1.1系統的定義、特徵及類型

2.1.2系統工程的概念和特點

2.1.3系統工程的形成與發展

2.1.4系統工程的方法與步驟

2.2質量管理基礎

2.2.1質量概述

2.2.2質量管理概述

2.2.3質量管理的發展歷程

2.2.4質量管理的原則

2.3項目管理基礎

2.3.1項目的定義、特徵及分類

2.3.2項目管理概述

2.3.3項目管理的過程

2.3.4項目管理的要素

2.4小結

習題

第3章信息系統安全工程

3.1概述

3.1.1信息系統安全工程的定義

3.1.2信息系統安全工程與系統工程的關係

3.2信息系統安全工程過程

3.2.1發掘信息保護需求

3.2.2定義信息保護系統

3.2.3設計信息保護系統

3.2.4實施信息保護需求

3.2.5評估信息保護有效性

3.3基於ISSE的公文流轉系統安全解決方案

3.3.1公文流轉系統概述

3.3.2安全需求分析

3.3.3定義信息保護系統

3.3.4設計信息保護系統

3.3.5實施信息保護系統

3.3.6評估信息保護有效性

3.4小結

習題

第4章SSECMM

4.1CMM

4.1.1CMM簡介

4.1.2CMM的體系結構

4.2SSECMM概述

4.2.1SSECMM的概念

4.2.2SSECMM體系結構

4.2.3SSECMM的應用

4.3SSECMM的過程域

4.3.1SSECMM過程域的分類

4.3.2工程過程域

4.3.3項目過程域和組織過程域

4.4SSECMM能力級別

4.4.1SSECMM能力級別簡介

4.4.2能力級別與通用實施的確定

4.5小結

習題

第5章信息安全風險管理與風險評估

5.1信息安全風險管理

5.1.1信息安全風險管理概述

5.1.2生命週期各階段的風險管理

5.2信息安全風險評估

5.2.1風險評估概述

5.2.2風險評估策略

5.2.3風險評估方法

5.2.4風險評估實施流程

5.3小結

習題

第6章信息安全管理

6.1信息安全管理的基本概念

6.1.1安全管理的概念

6.1.2安全管理的重要性

6.1.3信息安全管理策略

6.1.4信息安全管理體系

6.2信息安全管理模型

6.2.1安全要素關係模型

6.2.2風險要素關係模型

6.2.3基於過程的風險管理模型

6.2.4PDCA模型

6.3基於PDCA的信息安全管理實踐

6.3.1背景分析

6.3.2前期分析

6.3.3PDCA實施

6.4小結

習題

第7章安全層次劃分

7.1安全的密碼算法

7.1.1密碼算法安全性概述

7.1.2對稱加密算法

7.1.3非對稱加密算法

7.1.4不可逆加密算法

7.2安全協議

7.2.1安全套接層協議

7.2.2傳輸層安全協議

7.2.3IPSec協議

7.3網絡安全

7.3.1計算機網絡面臨的威脅

7.3.2網絡安全策略

7.4系統安全

7.4.1操作系統安全

7.4.2數據庫系統安全

7.5應用安全

7.5.1Web安全

7.5.2電子郵件安全

7.6小結

習題

第8章信息安全事件應急處理與災難恢復

8.1信息安全事件

8.1.1信息安全事件的定義

8.1.2信息安全事件的分類

8.1.3信息安全事件分級

8.2信息安全事件應急響應與處置過程

8.2.1應急響應的概念

8.2.2應急響應計劃及流程

8.2.3信息安全應急響應流程

8.2.4信息安全事件應急處理方法

8.3信息系統災難恢復

8.3.1災難與災難恢復

8.3.2災難恢復的發展

8.4信息系統災難恢復工作過程

8.4.1災難恢復的需求分析

8.4.2災難恢復策略的制定

8.4.3災難恢復策略的實現及管理

8.5小結

習題

第9章信息安全標準與法律法規

9.1信息安全標準

9.1.1信息安全標準化的概述

9.1.2信息安全的國際標準

9.1.3信息安全國內標準

9.1.4計算機信息系統安全保護等級劃分準則(GB17859—1999)

9.1.5信息安全等級保護其他相關標準

9.2信息安全法律法規及道德規範

9.2.1信息安全涉及的相關法律問題

9.2.2我國的信息安全法律規範

9.2.3我國的信息安全法律法規

9.2.4信息安全從業人員的道德規範

9.3小結

習題

第10章信息安全工程案例

10.1系統概要

10.2系統結構

10.2.1系統體系結構

10.2.2系統功能結構

10.3系統安全風險分析

10.3.1系統主要資產和關鍵業務信息

10.3.2可能攻擊源綜合性分析

10.3.3系統對威脅存在的脆弱性分析

10.3.4系統面臨的安全風險綜述

10.4BookApp系統安全需求

10.4.1計算機安全

10.4.2網絡層安全需求

10.4.3應用層安全需求

10.4.4後台管理的安全需求

10.4.5BookApp交易安全需求

10.5安全技術手段和方法

10.5.1網絡服務層

10.5.2加密技術層

10.5.3安全認證層

10.5.4交易協議層

10.5.5應用系統層

10.6系統安全管理機構及制度

10.6.1BookApp系統安全機構設置

10.6.2崗位職責

10.6.3管理制度

10.7小結

參考文獻 ^[2]