信息安全工程PDF电子书下载

第一章 信息安全工程基础 1

1.1信息系统建设 1

1.1.1信息系统建设的周期阶段 1

1.1.2信息系统建设计划 2

1.1.3软件开发工作量和时间估算 5

1.1.4开发进度估算 6

1.2常见信息安全问题 6

1.2.1信息安全问题的层次 6

1.2.2信息系统的安全问题 6

1.2.3信息安全问题分类 7

1.3信息安全工程概念 9

1.4信息安全工程建设流程 10

1.5安全工程的生命周期 12

1.6安全工程特点 13

本章小结 14

习题一 14

第二章 系统安全工程能力成熟度模型 15

2.1概述 15

2.1.1安全工程 15

2.1.2CMM介绍 16

2.1.3安全工程与其他项目的关系 18

2.2SSE-CMM基础 19

2.2.1系统安全工程能力成熟度模型简介 19

2.2.2系统安全工程过程 22

2.2.3SSE-CMM的主要概念 25

2.3SSE-CMM的体系结构 28

2.3.1基本模型 28

2.3.2域维／安全过程区 29

2.3.3能力维／公共特性 31

2.3.4能力级别 32

2.3.5体系结构的组成 33

2.4SSE-CMM应用 34

2.4.1SSE-CMM应用方式 34

2.4.2用SSE-CMM改进过程 37

2.4.3使用SSE-CMM的一般步骤 41

2.5系统安全工程能力评估 43

2.5.1系统安全工程能力评估 43

2.5.2SSE-CMM实施中的几个问题 47

本章小结 49

习题二 49

第三章 信息安全工程实施 50

3.1概述 50

3.2安全规划与控制 54

3.2.1商业决策和工程规划 54

3.2.2信息安全工程小组 54

3.2.3对认证和认可（C&A）的信息安全工程输入规划 56

3.2.4信息安全工程报告 57

3.2.5技术数据库和工具 58

3.2.6与获取／签约有关的规划 60

3.2.7信息系统安全保证规划 61

3.3安全需求的定义 62

3.3.1系统需求定义概述 62

3.3.2安全需求分析的一般课题 64

3.3.3安全需求定义概述 68

3.3.4先期概念阶段和概念阶段——信息安全工程的需求活动 70

3.3.5需求阶段——信息安全工程的需求活动 71

3.3.6系统设计阶段——信息安全工程的需求活动 71

3.3.7从初步设计到配置审计阶段——信息安全工程的需求活动 72

3.4安全设计支持 72

3.4.1系统设计 72

3.4.2信息安全工程系统设计支持活动 73

3.4.3先期概念和概念阶段安全设计支持 75

3.4.4需求和系统设计阶段的安全设计支持 76

3.4.5初步设计阶段到配置审计阶段的安全设计支持 77

3.4.6运行和支持阶段的安全设计支持 77

3.5安全运行分析 77

3.6生命周期安全支持 79

3.6.1安全的生命期支持的开发方法 79

3.6.2对部署的系统进行安全监控 81

3.6.3系统安全评估 81

3.6.4配置管理 82

3.6.5培训 82

3.6.6后勤和维护 83

3.6.7系统的修改 83

3.6.8报废处置 84

3.7信息安全工程的过程 84

本章小结 87

习题三 87

第四章 信息安全风险评估 88

4.1信息安全风险评估基础 88

4.1.1与风险评估相关的概念 88

4.1.2风险评估的基本特点 89

4.1.3风险评估的内涵 89

4.1.4风险评估的两种方式 90

4.2风险评估的过程 93

4.2.1风险评估基本步骤 93

4.2.2风险评估准备 94

4.2.3风险因素评估 95

4.2.4风险确定 100

4.2.5风险评价 101

4.2.6风险控制 101

4.3风险评估过程中应注意的问题 103

4.3.1信息资产的赋值 103

4.3.2评估过程的文档化 105

4.4风险评估方法 107

4.4.1正确选择风险评估方法 107

4.4.2定性风险评估和定量风险评估 107

4.4.3结构风险因素和过程风险因素 107

4.4.4通用风险评估方法 108

4.5几种典型的信息安全风险评估方法 111

4.5.1OCTAVE法 112

4.5.2层次分析法（AHP法） 114

4.5.3威胁分级法 122

4.5.4风险综合评价 122

4.6风险评估实施 123

4.6.1风险评估实施原则 123

4.6.2风险评估流程 123

4.6.3评估方案定制 127

4.6.4项目质量控制 129

本章小结 130

习题四 130

第五章 信息安全策略 132

5.1信息安全策略概述 132

5.1.1基本概念 132

5.1.2特点 133

5.1.3信息安全策略的制定原则 133

5.1.4信息安全策略的制定过程 133

5.1.5信息安全策略的框架 134

5.2信息安全策略规划与实施 135

5.2.1确定安全策略保护的对象 135

5.2.2确定安全策略使用的主要技术 136

5.2.3安全策略的实施 139

5.3环境安全策略 140

5.3.1环境保护机制 141

5.3.2电源 141

5.3.3硬件保护机制 142

5.4系统安全策略 142

5.4.1WWW服务策略 142

5.4.2电子邮件安全策略 143

5.4.3数据库安全策略 143

5.4.4应用服务器安全策略 144

5.5病毒防护策略 144

5.5.1病毒防护策略具备的准则 144

5.5.2建立病毒防护体系 145

5.5.3建立病毒保护类型 145

5.5.4病毒防护策略要求 146

5.6安全教育策略 146

本章小结 147

习题五 147

第六章 信息安全工程与等级保护 148

6.1等级保护概述 148

6.1.1信息安全等级保护制度的原则 148

6.1.2信息安全等级的划分及特征 149

6.2等级保护在信息安全工程中的实施 150

6.2.1新建系统的安全等级保护规划与建设 151

6.2.2系统改建实施方案设计 155

6.3等级保护标准的确定 156

6.3.1确定信息系统安全保护等级的一般流程 156

6.3.2信息系统安全等级的定级方法 157

本章小结 160

习题六 160

第七章 数据备份与灾难恢复 161

7.1数据备份的概念 161

7.2数据备份的常用方法 166

7.2.1数据备份层次 166

7.2.2数据备份常用方法分类 168

7.3灾难恢复概念 171

7.4安全恢复的计划 172

7.4.1容灾系统 172

7.4.2安全恢复的实现计划 173

7.4.3安全恢复计划 174

7.5灾难恢复技术 176

7.5.1灾难预防制度 176

7.5.2数据库的恢复技术 177

本章小结 182

习题七 183

第八章 信息安全工程案例 184

8.1涉密网安全建设规划设计 184

8.1.1安全风险分析 184

8.1.2规划设计 185

8.2信息系统网络安全工程实施 188

8.2.1制定项目计划 188

8.2.2项目组织机构 188

8.2.3工程具体实施 190

8.3政府网络安全解决方案 191

8.3.1概述 191

8.3.2网络系统分析 192

8.3.3网络安全风险分析 193

8.3.4网络安全需求及安全目标 193

8.3.5网络安全方案总体设计 194

8.3.6网络安全体系结构 196

习题八 200

第九章 信息安全组织 201

9.1IETF（www.ietf.org） 201

9.2CERT／CC（www.cert.org） 205

9.3NSA（www.nsa.gov）和NIST（www.nist.gov） 205

9.4ISO 206

9.5ITU 206

参考文献 209