计算机应用系统安全要则PDF电子书下载

第1章 计算机安全概论 1

1．1 计算机安全的概念 1

1．1．1 什么是计算机安全 1

1．1．2 内部安全和外部安全 4

1．2 计算机应用系统的脆弱性和安全目标 6

1．2．1 应用系统的脆弱性 6

1．2．2 应用系统的安全目标 7

1．2．3 敏感应用系统实例 9

2．1 数据确认 12

第2章 保护应用系统安全的技术和方法 12

2．1．1 连续性和可行性检测 13

2．1．2 数据输入时的检验 13

2．1．3 数据在处理过程中的进一步检测 14

2．1．4 数据元素字典/目录 15

2．1．5 从管理角度考虑 15

2．2 用户身份验证 15

2．2．1 对身份验证的需求 15

2．2．2 身份验证的基本技术 16

2．2．3 从管理角度考虑 16

2．3．1 授权方案 17

2．3 授权 17

2．3．2 授权委托 19

2．3．3 保护授权数据 19

2．3．4 机密数据的授权方案 20

2．3．5 从管理角度考虑 21

2．4 日志技术 21

2．4．1 日志的内容 22

2．4．2 日志的作用 23

2．4．3 从管理角度考虑 23

2．5．1 对日志的管理监督 24

2．5 变异检测技术 24

2．5．2 外部的变异检测方式 25

2．5．3 对变异检测的反应 25

2．5．4 动态监测 26

2．5．5 从管理角度考虑 27

2．6 加密 28

2．6．1 通信加密 29

2．6．2 脱机存储器加密 29

2．6．3 联机文件加密 29

2．6．4 从管理角度考虑 30

3．1 应用系统的生命周期 31

第3章 在应用系统的生命周期中保证安全 31

3．2 改善现存系统的安全功能 32

3．3 应用系统生命周期中的审计活动 33

第4章 在应用系统启始设计阶段实施安全计划 35

4．1 安全可行性 36

4．2 风险的最初评估 38

4．2．1 主要事故的影响 38

4．2．2 发生重大事故的频率 39

5．1 安全需求定义 41

第5章 在应用系统开发阶段建立安全机制 41

5．1．1 与应用系统的接口 43

5．1．2 与每个接口相关的责任 43

5．1．3 职责分隔 43

5．1．4 敏感客体和操作 44

5．1．5 错误容限 44

5．1．6 可用性需求和对基本控制的需求 45

5．1．7 小结 45

5．2 安全设计 46

5．2．2 约束用户接口 47

5．2．3 人机工程 47

5．2．1 减少不必要的程序设计 47

5．2．4 共享计算机设备 48

5．2．5 隔离关键程序 48

5．2．6 备份和恢复 49

5．2．7 有效控制的使用 49

5．2．8 设计复审 50

5．3 安全的编程方法 50

5．3．2 程序库 51

5．3．3 与安全相关的程序文件 51

5．3．1 仔细检查 51

5．3．4 与应用系统相关的程序员 52

5．3．5 冗余计算 52

5．3．6 程序开发工具 52

5．4 安全软件的检测和评估 53

5．4．1 检测计划 53

5．4．2 静态评估 54

5．4．3 动态检测 55

第6章 在操作运行中保障安全 57

6．1 数据控制 57

6．1．1 输入检验 57

6．1．3 输出传播控制 59

6．1．2 数据存储管理 59

6．2 对安全变异的响应 60

6．3 软件修改和硬件维护 61

6．3．1 软件修改 61

6．3．2 硬件维护 62

6．4 应急计划 62

6．4．1 关键功能的鉴别 63

6．4．2 替换场所操作 63

6．4．5 数据恢复 64

6．4．4 数据备份 64

6．4．3 有限的人工替换处理 64

6．4．6 设备恢复 65

6．4．7 管理人员应该注意的事项 65

第7章 计算机系统的安全管理 67

7．1 计算机系统安全管理对策及原则 67

7．1．1 安全管理对策 67

7．1．2 安全管理原则 68

7．2 计算机系统的安全管理 68

7．2．1 访问控制管理 68

7．2．2 加密管理 72

7．2．3 风险管理 74

7．2．4 审计管理 75

7．2．5 计算机病毒防治管理 76

7．3 人事和物理安全管理 77

7．3．1 人事安全管理 77

7．3．2 雇用原则 78

7．3．3 物理安全管理 81

7．4 安全培训 83

7．4．1 安全培训内容 83

7．4．2 安全培训对象 84

第8章 计算机系统的安全评估和风险分析 86

8．1 可信计算机系统评估准则 87

8．1．1 计算机系统安全的基本要求 87

8．1．2 安全级别概述 89

8．2 风险分析 93

8．2．1 管理部门在风险分析中的作用 94

8．2．2 初步安全检查 94

8．2．3 对风险的估测 96

第9章 计算机系统的安全验证与认定 100

9．1 建立验证和认定工作计划 100

9．1．1 政策和程序 100

9．1．2 任务与责任 103

9．1．3 验证和认定工作的依据 104

9．1．4 组织结构 106

9．1．5 工作安排 107

9．1．6 人力配备、培训和支持 108

9．2 完成验证和认定工作 109

9．2．1 验证 110

9．2．2 认定 115

9．3 再验证和再认定 117

9．3．1 确认再验证和再认定工作 117

9．3．2 再验证和再认定的层次 118

9．4 安全验证评估技术 120

9．4．1 风险分析 120

9．4．2 生效、检验与测试（VV T） 121

9．4．3 安全保障评估 122

9．4．4 EDP审计 122

第10章 网络安全 124

10．1 计算机网络安全的特点 124

10．2 计算机网络安全设计概述 125

10．2．1 计算机网络安全设计的一般原则 125

10．2．2 计算机网络安全设计的基本步骤 127

10．3 网络安全技术 128

10．4 Internet安全 130

10．4．1 Internet的安全问题 130

10．4．2 Internet的安全措施 131

第11章 计算机安全标准与立法 135

11．1 国外计算机安全标准概况 135

11．1．1 计算机系统安全评估准则 135

11．1．2 网络安全标准 138

11．1．3 可信数据库标准 144

11．1．4 安全体系结构 145

11．2．1 标准化工作 149

11．2 标准化组织在计算机安全方面的工作 149

11．2．2 一些标准化组织或团体出版的计算机安全标准一览表 151

11．2．3 计算机安全领域出现了国际联合和统一的趋向 152

11．3 我国计算机安全法规与标准的现状和发展 152

11．3．1 我国的计算机安全法规与标准简介 152

11．3．2 我国已经颁布的有关计算机安全法规、标准一览表 156

附录 我国有关计算机信息系统安全的国家法规及国家标准（摘要） 157

附录1 中华人民共和国计算机信息系统安全保护条例 157

附录2 中华人民共和国计算机信息网络国际联网管理暂行规定 161

附录3 信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构 164

参考文献 202