基本介紹
- 書名:高等學校電子信息學科"十二五"規劃教材:信息安全工程與管理
- 出版社:西安電子科技大學出版社
- 頁數:240頁
- 開本:16
- 定價:27.00
- 作者:唐成華
- 出版日期:2012年12月1日
- 語種:簡體中文
- ISBN:9787560629599
- 品牌:西安電子科技大學出版社
內容簡介,圖書目錄,文摘,
內容簡介
《高等學校電子信息學科"十二五"規劃教材:信息安全工程與管理》適用於高等院校信息安全專業、信息管理與信息系統專業、網路工程等專業本科及研究生教學,也可作為相關專業技術人員的參考書或培訓教材。
圖書目錄
第1章信息安全工程
1.1信息安全的概念
1.1.1信息安傘的基本範疇
1.1.2信息安全工程的概念
1.2信息安全保障體系
1.2.1信息保障是信息安全的新發展
1.2 2信息保障的構成及其空間特性
1.2.3信息安全保障模型
1.2.4信息安全保障體系的架構
1.2.5信息安傘保障體系的建設
1.3信息安全保障與信息安全工程
1.3.1 實施信息安全工程的必要性
1.3.2信息安全工程的發展
本章小結
思考題
第2章ISSE過程
2.1概述
2.2發掘信息安全需求
2.2.1 了解任務的信息保護需求
2.2.2掌握對信息系統的威脅
2.2.3考慮信息安全的策略
2.3定義信息安全系統
2.3.1確定信息保護目標
2.3.2描述系統聯繫
2.3.3檢查信息保護需求
2.3.4功能分析
2.4設計信息安全系統
2.4.1功能分配
2.4.2信息保護預設計
2.4.3洋細的信息保護設計
2.5實施信息安全系統
2.5.1採購部件
2.5.2建造系統
2.5.3測試系統
2.6評估信息安全系統
2.7 ISSE的基本功能
2.8 ISSE實施框架
2.9 ISSE實施的案例
2.9.1 某省市級電子政務網路互聯基本情況
2.9.2某省市級電子政務信息系統
安全保障工程建設過程
本章小結
思考題
第3章SSE—CMM工程
3.1概述
3.1 ISSE—CMM適用範圍
3.1.2 SSE—CMM的用戶
3.1.3 SSE—CMM的用途
3.1.4使用SSE—CMM的好處
3.2 SSE—CMM體系結構
3.2.1基本概念
3.2.2 SSE.CMM的過程域
3.2.3 SSE.CMM的結構描述
3.3 SSE.CMM套用
3.3.1模型使用
3.3.2過程改進
3.3.3能力評估
3.3.4信任度評估
3.4 ISSE與SSE—CMM的比較
本章小結
思考題
第4章信息安全工程與等級保護
4.1概述
4.2等級保護的發展
4.2.1信息安全評估準則的發展
4.2.2中國等級保護的發展
4.3等級保護與信息保障各環節的關係
4.4實行信息安全等級保護的意義
4.5信息系統安全等級保護的
基本原理和方法
4.5.1等級保護的基本原理
4.5.2等級保護的基本方法
4.5.3關於安傘域
4.6信息系統的安全保護等級
4.6.1安全保護等級的劃分
4.6.2安全保護等級的確定
4.7信息系統安全等級保護體系
4.7.1信息系統安全等級保護法律、法規和政策依據
4.7.2信息系統安全等級保護標準體系
4.7.3信息系統安全等級保護管理體系
4.7.4信息系統安全等級保護技術體系
4.8有關部門信息安全等級保護工作經驗
本章小結
思考題
第5章信息安全管理
5.1信息安全管理相關概念
5.1.1什麼是信息安全管理
5.1.2信息安全管理現狀
5.3信息安全管理意義
5.1.4信息安全管理的內容和原則
5.1.5信息系統的安全因素
5.1.6信息安全管理模型
5.2信息安全管理標準
5.2.1信息安全管理標準的發展
5.2.2 BS 7799的內容
5.2.3引入BS 7799的好處
5.3信息安全管理的實施要點
本章小結
思考題
第6章信息安全管理控制規範
6.1概述
6.2信息安全方針
6.2.1信息安全方針檔案
6.2.2信息安全方針的評審
6.3安全組織
6.3.1內部組織
6.3.2外部各方
6.4資產管理
6.4.1對資產負責
6.4.2信息資源分類
6.5人員安全
6.5.1任用之前
6.5.2任用之中
6.5.3任用的終止或變化
6.6物理和環境安全
6.6.1安爭區域
6.6.2設備安全
6.7通信與操作安全
6.7.1操作規程和職責
6.7.2第三方服務交付管理
6.7.3系統規劃和驗收
6.7.4防範惡意和移動代碼
6.7.5備份
6.7.6網路安全管理
6.7.7介質處置
6.7.8信息的交換
6.7.9電子商務服務
6.7.10監視
6.8訪問控制
6.81訪問控制策略
6.8 2用戶訪問管理
6.8.3用戶職責
6.84網路訪問控制
6.8.5作業系統訪問控制
6.8.6套用和信息的訪問控制
6.8.7移動計算和遠程工作
6.9系統開發與維護
6.9 1信息系統的安全要求
6.9 2套用中的正確處理
6.9.3密碼控制
6.9.4系統檔案的安會
6.9.5開發和支持過程
6.9.6技術脆弱性管理
6.10安全事件管理
6.10.1報告信息安傘事件和弱點
6.10.2信息安全事件的回響管理
6.11業務持續性管理
6.11.1業務持續性管理的信息安全
6.11.2業務持續性和風險評估
6.11.3制定和實施業務持續性計畫
6.11.4業務持續性計畫框架
6.11.5測試、維護和再評估業務
持續性計畫
6.12符合性保證
6.12.1符合法律要求
6.12.2符合安全策略、標準和相關技術
6.12.3信息系統審計要求
本章小結
思考題
第7章信息安全管理體系
7.1概述
7.2信息安令管理體系的準備
7.2.1組織與人員建設
7.2.2工作計畫制定
7.2.3能力要求與教育培訓
7.2.4信息安全管理體系檔案
7.3信息安全管理體系的建立
7.3.1確定ISMS信息安全力針
7.3.2確定ISMS範圍和邊界
7.3.3實施ISMS風險評估
7.3.4進行ISMS風險符理
7.3.5為處理風險選擇控制目標與措施
7.3.6準備適用性聲明
7.4信息安全管理體系的實施和運行
7.5信息安全管理體系的監視和評審
7.5.1監視和評審過程
7.5.2 ISMS內部審核
7.5.3 ISMS管理評審
7.6信息安全管理體系的保持和改進
7.6.1糾正措施
7.6.2預防措施
7.6.3控制不符合項
7.7信息安全管理體系的認證
7.7.1認證的目的
7.7.2前期工作
7.7.3認證過程
7.7.4 ISMS認證案例
本章小結
思考題
第8章信息安全風險評估
8.1概述
8.1.1信息安全風險評估的目標和原則
8.1.2實施信息安全風險評估的好處
8.2信息安全風險評估的基本要素
8.2.1風險評估的相關要素
8.2.2風險要素的相互關係
8.3信息安全風險評估過程
8.3.1風險評估準備
8.3.2資產識別與估價
8.3.3威脅識別與評估
8.3.4脆弱性識別與評估
8.3.5現有安全控制措施的確認
8.3.6風險計算與分析
8.3.7風險管理與控制
8.3.8風險評估記錄文檔
8.4信息安全風險要素計算方法
8.4.1矩陣法計算風險
8.4.2相乘法計算風險
8.5信息安全風險評估方法
8.5.1基本風險評估
8.5.2詳細風險評估
8.5.3綜颱風險評估
8.6風險評估工具
8.6.1風險評估與管理工具
8.6.2信息基礎設施風險評估工具
8.6.3風險評估輔助上具
8.6.4風險評估工具的選擇
本章小結
思考題
第9章信息安全策略
9.1概述
9.2安全策略的重要性
9.3安全策略的內容
9.3.1總體安全策略
9.3.2問題安全策略
9.3.3功能安全策略
9 4安全策略的制定過程
9.4.1調查與分析階段
9.4.2設計階段
9.4.3實施階段
9.4.4維護階段
9.5安全策略的制定原則
9.6策略管理的自動化工具
9.6.1策略管理框架
9.6.2自適應策略管理及發布模型
9.6.3策略管理的套用工具
9.7關於安全策略的若干偏見
本章小結
思考題
參考文獻
1.1信息安全的概念
1.1.1信息安傘的基本範疇
1.1.2信息安全工程的概念
1.2信息安全保障體系
1.2.1信息保障是信息安全的新發展
1.2 2信息保障的構成及其空間特性
1.2.3信息安全保障模型
1.2.4信息安全保障體系的架構
1.2.5信息安傘保障體系的建設
1.3信息安全保障與信息安全工程
1.3.1 實施信息安全工程的必要性
1.3.2信息安全工程的發展
本章小結
思考題
第2章ISSE過程
2.1概述
2.2發掘信息安全需求
2.2.1 了解任務的信息保護需求
2.2.2掌握對信息系統的威脅
2.2.3考慮信息安全的策略
2.3定義信息安全系統
2.3.1確定信息保護目標
2.3.2描述系統聯繫
2.3.3檢查信息保護需求
2.3.4功能分析
2.4設計信息安全系統
2.4.1功能分配
2.4.2信息保護預設計
2.4.3洋細的信息保護設計
2.5實施信息安全系統
2.5.1採購部件
2.5.2建造系統
2.5.3測試系統
2.6評估信息安全系統
2.7 ISSE的基本功能
2.8 ISSE實施框架
2.9 ISSE實施的案例
2.9.1 某省市級電子政務網路互聯基本情況
2.9.2某省市級電子政務信息系統
安全保障工程建設過程
本章小結
思考題
第3章SSE—CMM工程
3.1概述
3.1 ISSE—CMM適用範圍
3.1.2 SSE—CMM的用戶
3.1.3 SSE—CMM的用途
3.1.4使用SSE—CMM的好處
3.2 SSE—CMM體系結構
3.2.1基本概念
3.2.2 SSE.CMM的過程域
3.2.3 SSE.CMM的結構描述
3.3 SSE.CMM套用
3.3.1模型使用
3.3.2過程改進
3.3.3能力評估
3.3.4信任度評估
3.4 ISSE與SSE—CMM的比較
本章小結
思考題
第4章信息安全工程與等級保護
4.1概述
4.2等級保護的發展
4.2.1信息安全評估準則的發展
4.2.2中國等級保護的發展
4.3等級保護與信息保障各環節的關係
4.4實行信息安全等級保護的意義
4.5信息系統安全等級保護的
基本原理和方法
4.5.1等級保護的基本原理
4.5.2等級保護的基本方法
4.5.3關於安傘域
4.6信息系統的安全保護等級
4.6.1安全保護等級的劃分
4.6.2安全保護等級的確定
4.7信息系統安全等級保護體系
4.7.1信息系統安全等級保護法律、法規和政策依據
4.7.2信息系統安全等級保護標準體系
4.7.3信息系統安全等級保護管理體系
4.7.4信息系統安全等級保護技術體系
4.8有關部門信息安全等級保護工作經驗
本章小結
思考題
第5章信息安全管理
5.1信息安全管理相關概念
5.1.1什麼是信息安全管理
5.1.2信息安全管理現狀
5.3信息安全管理意義
5.1.4信息安全管理的內容和原則
5.1.5信息系統的安全因素
5.1.6信息安全管理模型
5.2信息安全管理標準
5.2.1信息安全管理標準的發展
5.2.2 BS 7799的內容
5.2.3引入BS 7799的好處
5.3信息安全管理的實施要點
本章小結
思考題
第6章信息安全管理控制規範
6.1概述
6.2信息安全方針
6.2.1信息安全方針檔案
6.2.2信息安全方針的評審
6.3安全組織
6.3.1內部組織
6.3.2外部各方
6.4資產管理
6.4.1對資產負責
6.4.2信息資源分類
6.5人員安全
6.5.1任用之前
6.5.2任用之中
6.5.3任用的終止或變化
6.6物理和環境安全
6.6.1安爭區域
6.6.2設備安全
6.7通信與操作安全
6.7.1操作規程和職責
6.7.2第三方服務交付管理
6.7.3系統規劃和驗收
6.7.4防範惡意和移動代碼
6.7.5備份
6.7.6網路安全管理
6.7.7介質處置
6.7.8信息的交換
6.7.9電子商務服務
6.7.10監視
6.8訪問控制
6.81訪問控制策略
6.8 2用戶訪問管理
6.8.3用戶職責
6.84網路訪問控制
6.8.5作業系統訪問控制
6.8.6套用和信息的訪問控制
6.8.7移動計算和遠程工作
6.9系統開發與維護
6.9 1信息系統的安全要求
6.9 2套用中的正確處理
6.9.3密碼控制
6.9.4系統檔案的安會
6.9.5開發和支持過程
6.9.6技術脆弱性管理
6.10安全事件管理
6.10.1報告信息安傘事件和弱點
6.10.2信息安全事件的回響管理
6.11業務持續性管理
6.11.1業務持續性管理的信息安全
6.11.2業務持續性和風險評估
6.11.3制定和實施業務持續性計畫
6.11.4業務持續性計畫框架
6.11.5測試、維護和再評估業務
持續性計畫
6.12符合性保證
6.12.1符合法律要求
6.12.2符合安全策略、標準和相關技術
6.12.3信息系統審計要求
本章小結
思考題
第7章信息安全管理體系
7.1概述
7.2信息安令管理體系的準備
7.2.1組織與人員建設
7.2.2工作計畫制定
7.2.3能力要求與教育培訓
7.2.4信息安全管理體系檔案
7.3信息安全管理體系的建立
7.3.1確定ISMS信息安全力針
7.3.2確定ISMS範圍和邊界
7.3.3實施ISMS風險評估
7.3.4進行ISMS風險符理
7.3.5為處理風險選擇控制目標與措施
7.3.6準備適用性聲明
7.4信息安全管理體系的實施和運行
7.5信息安全管理體系的監視和評審
7.5.1監視和評審過程
7.5.2 ISMS內部審核
7.5.3 ISMS管理評審
7.6信息安全管理體系的保持和改進
7.6.1糾正措施
7.6.2預防措施
7.6.3控制不符合項
7.7信息安全管理體系的認證
7.7.1認證的目的
7.7.2前期工作
7.7.3認證過程
7.7.4 ISMS認證案例
本章小結
思考題
第8章信息安全風險評估
8.1概述
8.1.1信息安全風險評估的目標和原則
8.1.2實施信息安全風險評估的好處
8.2信息安全風險評估的基本要素
8.2.1風險評估的相關要素
8.2.2風險要素的相互關係
8.3信息安全風險評估過程
8.3.1風險評估準備
8.3.2資產識別與估價
8.3.3威脅識別與評估
8.3.4脆弱性識別與評估
8.3.5現有安全控制措施的確認
8.3.6風險計算與分析
8.3.7風險管理與控制
8.3.8風險評估記錄文檔
8.4信息安全風險要素計算方法
8.4.1矩陣法計算風險
8.4.2相乘法計算風險
8.5信息安全風險評估方法
8.5.1基本風險評估
8.5.2詳細風險評估
8.5.3綜颱風險評估
8.6風險評估工具
8.6.1風險評估與管理工具
8.6.2信息基礎設施風險評估工具
8.6.3風險評估輔助上具
8.6.4風險評估工具的選擇
本章小結
思考題
第9章信息安全策略
9.1概述
9.2安全策略的重要性
9.3安全策略的內容
9.3.1總體安全策略
9.3.2問題安全策略
9.3.3功能安全策略
9 4安全策略的制定過程
9.4.1調查與分析階段
9.4.2設計階段
9.4.3實施階段
9.4.4維護階段
9.5安全策略的制定原則
9.6策略管理的自動化工具
9.6.1策略管理框架
9.6.2自適應策略管理及發布模型
9.6.3策略管理的套用工具
9.7關於安全策略的若干偏見
本章小結
思考題
參考文獻
文摘
著作權頁:
第四級:結構化保護級。
具有第四級安全的信息系統,一般是運行在限定的計算機網路平台上的信息系統,應依照國家相關的管理規定和技術標準,在信息安全監管職能部門的強制監督、檢查、指導下進行嚴格的安全控制,重點防止來自內部的越權訪問等攻擊。技術方面的安全控制包括採用有效的信息安全技術,對信息網路系統的運行進行嚴格的控制和對信息網路系統中存儲、傳輸和處理的信息進行嚴格的安全控制,保證系統和信息具有高強度的保密性、完整性和可用性;管理方面的安全控制包括從人員、法規、機構、制度、規程等方面採取嚴格的管理措施,確保技術的安全控制達到預期的目標,並彌補技術方面安全控制的不足。
按照GB 17859中4.4的要求,從組成信息系統安全的五個方面對信息系統進行安全控制,既要保護系統的安全性,義要保護信息的安全性。在第三級安全的基礎上,該級要求將自主訪問控制和強制訪問控制擴展到系統的所有主體與客體,並包括對輸入、輸出數據信息的控制,相應地其他安全要求,如數據存儲保護和傳輸保護也應有所增強,對用戶初始登錄和鑑別則要求提供安全機制與登錄用戶之間的“可信路徑”。本級強調通過結構化設計方法和採用“存儲隱蔽信道”分析等技術,使系統設計與實現能獲得更充分的測試和更完整的複審,具有更高的安全強度和相當的抗滲透能力。
在系統安全方面,要求有更高程度的系統安全運行保證,以提供必要的系統服務。在信息安全方面,對數據信息和系統信息在保密性、完整性和可用性方面要有更高的安全保護,應有更高強度的密碼或其他具有相當安全強度的安全技術支持的保密性、完整性和可用性機制。在安全性保證方面,要求安全機制具有更高的自身安全保護,以及對安全功能的設計、實現及管理的更高要求。存安全管理方面,要求具有更嚴格的安全管理措施,沒置安全管理中心,建立必要的安全管理機構,按要求配備各類管理人員,健全各項安全管理的規章制度,對各類人員進行不同層次要求的安全審查和培訓等,確保系統所設定的各種安全功能發揮其應有的作用。對於某些從技術上還不能實現的安全要求,可以通過增強安全管理的方法或通過物理隔離的方法實現。
根據公信安1429號檔案,第四級信息系統經過安全建設後,應具有在統一的安全保護策略下具有抵禦敵對勢力有組織的大規模攻擊的能力,抵抗嚴重自然災害的能力,防範計算機病毒和惡意代碼危害的能力;具有檢測、發現、報警、記錄入侵行為的能力;具有對安全事件進行快速回響處置,並能夠追蹤安全責任的能力:在系統遭到損害後,具有能夠較快恢復正常運行狀態的能力;對於服務保障性要求高的系統,應能立即恢復正常運行狀態;具有對系統資源、用戶、安全機制等進行集中管控的能力。
第四級:結構化保護級。
具有第四級安全的信息系統,一般是運行在限定的計算機網路平台上的信息系統,應依照國家相關的管理規定和技術標準,在信息安全監管職能部門的強制監督、檢查、指導下進行嚴格的安全控制,重點防止來自內部的越權訪問等攻擊。技術方面的安全控制包括採用有效的信息安全技術,對信息網路系統的運行進行嚴格的控制和對信息網路系統中存儲、傳輸和處理的信息進行嚴格的安全控制,保證系統和信息具有高強度的保密性、完整性和可用性;管理方面的安全控制包括從人員、法規、機構、制度、規程等方面採取嚴格的管理措施,確保技術的安全控制達到預期的目標,並彌補技術方面安全控制的不足。
按照GB 17859中4.4的要求,從組成信息系統安全的五個方面對信息系統進行安全控制,既要保護系統的安全性,義要保護信息的安全性。在第三級安全的基礎上,該級要求將自主訪問控制和強制訪問控制擴展到系統的所有主體與客體,並包括對輸入、輸出數據信息的控制,相應地其他安全要求,如數據存儲保護和傳輸保護也應有所增強,對用戶初始登錄和鑑別則要求提供安全機制與登錄用戶之間的“可信路徑”。本級強調通過結構化設計方法和採用“存儲隱蔽信道”分析等技術,使系統設計與實現能獲得更充分的測試和更完整的複審,具有更高的安全強度和相當的抗滲透能力。
在系統安全方面,要求有更高程度的系統安全運行保證,以提供必要的系統服務。在信息安全方面,對數據信息和系統信息在保密性、完整性和可用性方面要有更高的安全保護,應有更高強度的密碼或其他具有相當安全強度的安全技術支持的保密性、完整性和可用性機制。在安全性保證方面,要求安全機制具有更高的自身安全保護,以及對安全功能的設計、實現及管理的更高要求。存安全管理方面,要求具有更嚴格的安全管理措施,沒置安全管理中心,建立必要的安全管理機構,按要求配備各類管理人員,健全各項安全管理的規章制度,對各類人員進行不同層次要求的安全審查和培訓等,確保系統所設定的各種安全功能發揮其應有的作用。對於某些從技術上還不能實現的安全要求,可以通過增強安全管理的方法或通過物理隔離的方法實現。
根據公信安1429號檔案,第四級信息系統經過安全建設後,應具有在統一的安全保護策略下具有抵禦敵對勢力有組織的大規模攻擊的能力,抵抗嚴重自然災害的能力,防範計算機病毒和惡意代碼危害的能力;具有檢測、發現、報警、記錄入侵行為的能力;具有對安全事件進行快速回響處置,並能夠追蹤安全責任的能力:在系統遭到損害後,具有能夠較快恢復正常運行狀態的能力;對於服務保障性要求高的系統,應能立即恢復正常運行狀態;具有對系統資源、用戶、安全機制等進行集中管控的能力。
