0 导论 1
第1章 信息系统安全保障 8
1.1 信息安全 8
1.1.1 信息安全概念 8
1.1.2 信息安全发展 10
1.1.3 信息安全模型 12
1.2 信息安全保障 18
1.2.1 信息安全保障概念 18
1.2.2 信息安全保障技术 19
1.2.3 信息安全保障过程 20
1.2.4 信息安全保障模型 24
1.3 信息系统安全保障 27
1.3.1 信息系统安全保障概念 27
1.3.2 信息系统安全保障模型 31
参考文献 38
第2章 信息系统安全评估 40
2.1 信息安全评估理论 40
2.1.1 基于风险的安全评估 40
2.1.2 基于安全审计的评估 45
2.1.3 基于能力成熟度的评估 46
2.1.4 基于安全测评的评估 48
2.2 信息安全评估标准 49
2.2.1 国际标准 49
2.2.2 国内标准 59
2.3 《信息系统安全保障评估框架》(GB/T 20274)系列标准 67
2.3.1 《信息系统安全保障评估框架》 67
2.3.2 《信息系统保护轮廓和安全目标产生指南》 75
2.3.3 《信息系统安全保障通用评估方法》 81
2.3.4 GB/T 20274系列标准的应用 83
参考文献 85
第3章 信息系统安全保障评估模型 87
3.1 信息系统安全保障评估 87
3.1.1 信息系统安全保障评估概述 87
3.1.2 信息系统安全保障评估方式 88
3.1.3 信息系统安全保障符合性评估 90
3.1.4 信息系统安全保障级评估 92
3.2 信息系统安全保障评估模型 93
3.2.1 基于安全测度的评估模型 93
3.2.2 基于证据推理的评估模型(CAE) 103
参考文献 113
第4章 信息系统安全保障评估方法 114
4.1 基于访问路径的评估方法 114
4.1.1 要素及度量 115
4.1.2 评估模型 117
4.1.3 评估算法 123
4.2 基于证据推理的评估方法 127
4.2.1 评估指标结构 128
4.2.2 评估流程 129
4.2.3 评估方法 131
4.3 基于证据合成的评估方法 139
4.3.1 证据理论基础 140
4.3.2 证据理论评估方法及其局限 141
4.3.3 两极比例法的引入 143
4.3.4 专家权重的判定 144
4.3.5 证据合成示例 146
4.4 基于差距分析的评估方法 151
4.4.1 分析模型 152
4.4.2 评估流程 156
参考文献 158
第5章 信息系统安全保障评估实践 161
5.1 评估工具 161
5.1.1 工具简介 161
5.1.2 功能模块 162
5.1.3 评估流程 164
5.1.4 用户角色 164
5.1.5 评估方法 165
5.2 评估准备 165
5.2.1 任务设定 165
5.2.2 编写评估信息 166
5.2.3 评估项设置 167
5.3 用例生成 168
5.3.1 评估用例 168
5.3.2 测试用例 170
5.4 现场测试 171
5.5 核查与推理 173
5.5.1 专家核查 173
5.5.2 推理(综合评估) 174
5.6 评估结果 174
5.6.1 评估结论 174
5.6.2 报告生成 176
5.6.3 报告样张 176
参考文献 182