信息安全工程与管理PDF电子书下载

第1章 信息安全工程 1

1.1 信息安全的概念 1

1.1.1 信息安全的基本范畴 1

1.1.2 信息安全工程的概念 2

1.2 信息安全保障体系 5

1.2.1 信息保障是信息安全的新发展 5

1.2.2 信息保障的构成及其空间特性 6

1.2.3 信息安全保障模型 8

1.2.4 信息安全保障体系的架构 9

1.2.5 信息安全保障体系的建设 11

1.3 信息安全保障与信息安全工程 21

1.3.1 实施信息安全工程的必要性 21

1.3.2 信息安全工程的发展 23

本章小结 25

思考题 25

第2章 ISSE过程 26

2.1 概述 26

2.2 发掘信息安全需求 27

2.2.1 了解任务的信息保护需求 27

2.2.2 掌握对信息系统的威胁 28

2.2.3 考虑信息安全的策略 28

2.3 定义信息安全系统 29

2.3.1 确定信息保护目标 29

2.3.2 描述系统联系 29

2.3.3 检查信息保护需求 30

2.3.4 功能分析 30

2.4 设计信息安全系统 30

2.4.1 功能分配 30

2.4.2 信息保护预设计 31

2.4.3 详细的信息保护设计 31

2.5 实施信息安全系统 31

2.5.1 采购部件 31

2.5.2 建造系统 32

2.5.3 测试系统 32

2.6 评估信息安全系统 32

2.7 ISSE的基本功能 33

2.8 ISSE实施框架 33

2.9 ISSE实施的案例 35

2.9.1 某省市级电子政务网络互联基本情况 35

2.9.2 某省市级电子政务信息系统安全保障工程建设过程 36

本章小结 37

思考题 38

第3章 SSE-CMM工程 39

3.1 概述 39

3.1.1 SSE-CMM适用范围 39

3.1.2 SSE-CMM的用户 40

3.1.3 SSE-CMM的用途 40

3.1.4 使用SSE-CMM的好处 40

3.2 SSE-CMM体系结构 41

3.2.1 基本概念 41

3.2.2 SSE-CMM的过程域 42

3.2.3 SSE-CMM的结构描述 45

3.3 SSE-CMM应用 50

3.3.1 模型使用 50

3.3.2 过程改进 51

3.3.3 能力评估 54

3.3.4 信任度评估 57

3.4 ISSE与SSE-CMM的比较 57

本章小结 59

思考题 59

第4章 信息安全工程与等级保护 60

4.1 概述 60

4.2 等级保护的发展 61

4.2.1 信息安全评估准则的发展 61

4.2.2 中国等级保护的发展 63

4.3 等级保护与信息保障各环节的关系 65

4.4 实行信息安全等级保护的意义 66

4.5 信息系统安全等级保护的基本原理和方法 66

4.5.1 等级保护的基本原理 66

4.5.2 等级保护的基本方法 67

4.5.3 关于安全域 69

4.6 信息系统的安全保护等级 70

4.6.1 安全保护等级的划分 70

4.6.2 安全保护等级的确定 74

4.7 信息系统安全等级保护体系 76

4.7.1 信息系统安全等级保护法律、法规和政策依据 77

4.7.2 信息系统安全等级保护标准体系 77

4.7.3 信息系统安全等级保护管理体系 82

4.7.4 信息系统安全等级保护技术体系 86

4.8 有关部门信息安全等级保护工作经验 97

本章小结 99

思考题 100

第5章 信息安全管理 101

5.1 信息安全管理相关概念 101

5.1.1 什么是信息安全管理 101

5.1.2 信息安全管理现状 102

5.1.3 信息安全管理意义 105

5.1.4 信息安全管理的内容和原则 106

5.1.5 信息系统的安全因素 108

5.1.6 信息安全管理模型 109

5.2 信息安全管理标准 110

5.2.1 信息安全管理标准的发展 110

5.2.2 BS 7799的内容 114

5.2.3 引入BS 7799的好处 117

5.3 信息安全管理的实施要点 118

本章小结 119

思考题 120

第6章 信息安全管理控制规范 121

6.1 概述 121

6.2 信息安全方针 121

6.2.1 信息安全方针文件 121

6.2.2 信息安全方针的评审 122

6.3 安全组织 122

6.3.1 内部组织 122

6.3.2 外部各方 124

6.4 资产管理 126

6.4.1 对资产负责 126

6.4.2 信息资源分类 127

6.5 人员安全 127

6.5.1 任用之前 127

6.5.2 任用之中 128

6.5.3 任用的终止或变化 129

6.6 物理和环境安全 130

6.6.1 安全区域 130

6.6.2 设备安全 132

6.7 通信与操作安全 134

6.7.1 操作规程和职责 134

6.7.2 第三方服务交付管理 135

6.7.3 系统规划和验收 136

6.7.4 防范恶意和移动代码 137

6.7.5 备份 138

6.7.6 网络安全管理 138

6.7.7 介质处置 139

6.7.8 信息的交换 140

6.7.9 电子商务服务 141

6.7.10 监视 142

6.8 访问控制 144

6.8.1 访问控制策略 144

6.8.2 用户访问管理 145

6.8.3 用户职责 146

6.8.4 网络访问控制 147

6.8.5 操作系统访问控制 149

6.8.6 应用和信息的访问控制 151

6.8.7 移动计算和远程工作 151

6.9 系统开发与维护 152

6.9.1 信息系统的安全要求 152

6.9.2 应用中的正确处理 153

6.9.3 密码控制 154

6.9.4 系统文件的安全 155

6.9.5 开发和支持过程中的安全 156

6.9.6 技术脆弱性管理 157

6.10 安全事件管理 158

6.10.1 报告信息安全事件和弱点 158

6.10.2 信息安全事件的响应管理 158

6.11 业务持续性管理 159

6.11.1 业务持续性管理的信息安全 159

6.11.2 业务持续性和风险评估 160

6.11.3 制定和实施业务持续性计划 160

6.11.4 业务持续性计划框架 160

6.11.5 测试、维护和再评估业务持续性计划 161

6.12 符合性保证 161

6.12.1 符合法律要求 161

6.12.2 符合安全策略、标准和相关技术 163

6.12.3 信息系统审计要求 164

本章小结 164

思考题 165

第7章 信息安全管理体系 166

7.1 概述 166

7.2 信息安全管理体系的准备 167

7.2.1 组织与人员建设 167

7.2.2 工作计划制定 168

7.2.3 能力要求与教育培训 168

7.2.4 信息安全管理体系文件 169

7.3 信息安全管理体系的建立 170

7.3.1 确定ISMS信息安全方针 170

7.3.2 确定ISMS范围和边界 171

7.3.3 实施ISMS风险评估 172

7.3.4 进行ISMS风险管理 173

7.3.5 为处理风险选择控制目标与措施 174

7.3.6 准备适用性声明 175

7.4 信息安全管理体系的实施和运行 175

7.5 信息安全管理体系的监视和评审 176

7.5.1 监视和评审过程 176

7.5.2 ISMS内部审核 177

7.5.3 ISMS管理评审 179

7.6 信息安全管理体系的保持和改进 180

7.6.1 纠正措施 180

7.6.2 预防措施 180

7.6.3 控制不符合项 180

7.7 信息安全管理体系的认证 181

7.7.1 认证的目的 181

7.7.2 前期工作 182

7.7.3 认证过程 183

7.7.4 ISMS认证案例 186

本章小结 188

思考题 188

第8章 信息安全风险评估 189

8.1 概述 189

8.1.1 信息安全风险评估的目标和原则 189

8.1.2 实施信息安全风险评估的好处 190

8.2 信息安全风险评估的基本要素 190

8.2.1 风险评估的相关要素 191

8.2.2 风险要素的相互关系 194

8.3 信息安全风险评估过程 195

8.3.1 风险评估准备 195

8.3.2 资产识别与估价 196

8.3.3 威胁识别与评估 198

8.3.4 脆弱性识别与评估 200

8.3.5 现有安全控制措施的确认 202

8.3.6 风险计算与分析 202

8.3.7 风险管理与控制 204

8.3.8 风险评估记录文档 206

8.4 信息安全风险要素计算方法 207

8.4.1 矩阵法计算风险 208

8.4.2 相乘法计算风险 211

8.5 信息安全风险评估方法 212

8.5.1 基本风险评估 212

8.5.2 详细风险评估 213

8.5.3 综合风险评估 214

8.6 风险评估工具 215

8.6.1 风险评估与管理工具 215

8.6.2 信息基础设施风险评估工具 217

8.6.3 风险评估辅助工具 220

8.6.4 风险评估工具的选择 220

本章小结 221

思考题 221

第9章 信息安全策略 222

9.1 概述 222

9.2 安全策略的重要性 223

9.3 安全策略的内容 224

9.3.1 总体安全策略 224

9.3.2 问题安全策略 226

9.3.3 功能安全策略 227

9.4 安全策略的制定过程 230

9.4.1 调查与分析阶段 230

9.4.2 设计阶段 231

9.4.3 实施阶段 231

9.4.4 维护阶段 232

9.5 安全策略的制定原则 232

9.6 策略管理的自动化工具 233

9.6.1 策略管理框架 233

9.6.2 自适应策略管理及发布模型 234

9.6.3 策略管理的应用工具 235

9.7 关于安全策略的若干偏见 236

本章小结 238

思考题 238

参考文献 239