內容簡介
唐成華等編著的《信息安全工程與管理》以信息系統安全工程與管理的問題和要求為方向,以作者所在團隊多年來在信息安全工程與管理方面相關教學以及研究工作為基礎,參考最新的信息安全工程與管理相關標準和規範,提煉國內外信息安全工程與管理領域的最新成果,全面、系統地介紹了信息安全工程與管理的基本框架、體系結構、控制規範等相關知識。
《信息安全工程與管理》主要內容包括:信息安全工程概述、ISSE過程、SSE—CMM工程、信息安全工程與等級保護、信息安全管理概述、信息安全管理控制規範、信息安全管理體系、信息安全風險評估和信息安全策略。
圖書目錄
•第1章 信息安全工程 1
•1.1 信息安全的概念 1
•1.1.1 信息安全的基本範疇 1
•1.1.2 信息安全工程的概念 2
•1.2 信息安全保障體系 5
•1.2.1 信息保障是信息安全的新發展 5
•1.2.2 信息保障的構成及其空間特性 6
•1.2.3 信息安全保障模型 8
•1.2.4 信息安全保障體系的架構 9
•1.2.5 信息安全保障體系的建設 11
•1.3 信息安全保障與信息安全工程 21
•1.3.1 實施信息安全工程的必要性 21
•1.3.2 信息安全工程的發展 23
•本章小結 25
•思考題 25
•第2章 ISSE過程 26
•2.1 概述 26
•2.2 發掘信息安全需求 27
•2.2.1 了解任務的信息保護需求 27
•2.2.2 掌握對信息系統的威脅 28
•2.2.3 考慮信息安全的策略 28
•2.3 定義信息安全系統 29
•2.3.1 確定信息保護目標 29
•2.3.2 描述系統聯繫 29
•2.3.3 檢查信息保護需求 30
•2.3.4 功能分析 30
•2.4 設計信息安全系統 30
•2.4.1 功能分配 30
•2.4.2 信息保護預設計 31
•2.4.3 詳細的信息保護設計 31
•2.5 實施信息安全系統 31
•2.5.1 採購部件 31
•2.5.2 建造系統 32
•2.5.3 測試系統 32
•2.6 評估信息安全系統 32
•2.7 ISSE的基本功能 33
•2.8 ISSE實施框架 33
•2.9 ISSE實施的案例 35
•2.9.1 某省市級電子政務網路互聯
•基本情況 35
•2.9.2 某省市級電子政務信息系統
•安全保障工程建設過程 36
•本章小結 37
•思考題 38
•第3章 SSE-CMM工程 39
•3.1 概述 39
•3.1.1 SSE-CMM適用範圍 39
•3.1.2 SSE-CMM的用戶 40
•3.1.3 SSE-CMM的用途 40
•3.1.4 使用SSE-CMM的好處 40
•3.2 SSE-CMM體系結構 41
•3.2.1 基本概念 41
•3.2.2 SSE-CMM的過程域 42
•3.2.3 SSE-CMM的結構描述 45
•3.3 SSE-CMM套用 50
•3.3.1 模型使用 50
•3.3.2 過程改進 51
•3.3.3 能力評估 54
•3.3.4 信任度評估 57
•3.4 ISSE與SSE-CMM的比較 57
•本章小結 59
•思考題 59
•第4章 信息安全工程與等級保護 60
•4.1 概述 60
•4.2 等級保護的發展 61
•4.2.1 信息安全評估準則的發展 61
•4.2.2 中國等級保護的發展 63
•4.3 等級保護與信息保障各環節的關係 65
•4.4 實行信息安全等級保護的意義 66
•4.5 信息系統安全等級保護的
•基本原理和方法 66
•4.5.1 等級保護的基本原理 66
•4.5.2 等級保護的基本方法 67
•4.5.3 關於安全域 69
•4.6 信息系統的安全保護等級 70
•4.6.1 安全保護等級的劃分 70
•4.6.2 安全保護等級的確定 74
•4.7 信息系統安全等級保護體系 76
•4.7.1 信息系統安全等級保護法律、
•法規和政策依據 77
•4.7.2 信息系統安全等級保護標準體系 77
•4.7.3 信息系統安全等級保護管理體系 82
•4.7.4 信息系統安全等級保護技術體系 86
•4.8 有關部門信息安全等級保護工作經驗 97
•本章小結 99
•思考題 100
•第5章 信息安全管理 101
•5.1 信息安全管理相關概念 101
•5.1.1 什麼是信息安全管理 101
•5.1.2 信息安全管理現狀 102
•5.1.3 信息安全管理意義 105
•5.1.4 信息安全管理的內容和原則 106
•5.1.5 信息系統的安全因素 108
•5.1.6 信息安全管理模型 109
•5.2 信息安全管理標準 110
•5.2.1 信息安全管理標準的發展 110
•5.2.2 BS 7799的內容 114
•5.2.3 引入BS 7799的好處 117
•5.3 信息安全管理的實施要點 118
•本章小結 119
•思考題 120
•第6章 信息安全管理控制規範 121
•6.1 概述 121
•6.2 信息安全方針 121
•6.2.1 信息安全方針檔案 121
•6.2.2 信息安全方針的評審 122
•6.3 安全組織 122
•6.3.1 內部組織 122
•6.3.2 外部各方 124
•6.4 資產管理 126
•6.4.1 對資產負責 126
•6.4.2 信息資源分類 127
•6.5 人員安全 127
•6.5.1 任用之前 127
•6.5.2 任用之中 128
•6.5.3 任用的終止或變化 129
•6.6 物理和環境安全 130
•6.6.1 安全區域 130
•6.6.2 設備安全 132
•6.7 通信與操作安全 134
•6.7.1 操作規程和職責 134
•6.7.2 第三方服務交付管理 135
•6.7.3 系統規劃和驗收 136
•6.7.4 防範惡意和移動代碼 137
•6.7.5 備份 138
•6.7.6 網路安全管理 138
•6.7.7 介質處置 139
•6.7.8 信息的交換 140
•6.7.9 電子商務服務 141
•6.7.10 監視 142
•6.8 訪問控制 144
•6.8.1 訪問控制策略 144
•6.8.2 用戶訪問管理 145
•6.8.3 用戶職責 146
•6.8.4 網路訪問控制 147
•6.8.5 作業系統訪問控制 149
•6.8.6 套用和信息的訪問控制 151
•6.8.7 移動計算和遠程工作 151
•6.9 系統開發與維護 152
•6.9.1 信息系統的安全要求 152
•6.9.2 套用中的正確處理 153
•6.9.3 密碼控制 154
•6.9.4 系統檔案的安全 155
•6.9.5 開發和支持過程中的安全 156
•6.9.6 技術脆弱性管理 157
•6.10 安全事件管理 158
•6.10.1 報告信息安全事件和弱點 158
•6.10.2 信息安全事件的回響管理 158
•6.11 業務持續性管理 159
•6.11.1 業務持續性管理的信息安全 159
•6.11.2 業務持續性和風險評估 160
•6.11.3 制定和實施業務持續性計畫 160
•6.11.4 業務持續性計畫框架 160
•6.11.5 測試、維護和再評估業務
•持續性計畫 161
•6.12 符合性保證 161
•6.12.1 符合法律要求 161
•6.12.2 符合安全策略、標準和相關技術 163
•6.12.3 信息系統審計要求 164
•本章小結 164
•思考題 165
•第7章 信息安全管理體系 166
•7.1 概述 166
•7.2 信息安全管理體系的準備 167
•7.2.1 組織與人員建設 167
•7.2.2 工作計畫制定 168
•7.2.3 能力要求與教育培訓 168
•7.2.4 信息安全管理體系檔案 169
•7.3 信息安全管理體系的建立 170
•7.3.1 確定ISMS信息安全方針 170
•7.3.2 確定ISMS範圍和邊界 171
•7.3.3 實施ISMS風險評估 172
•7.3.4 進行ISMS風險管理 173
•7.3.5 為處理風險選擇控制目標與措施 174
•7.3.6 準備適用性聲明 175
•7.4 信息安全管理體系的實施和運行 175
•7.5 信息安全管理體系的監視和評審 176
•7.5.1 監視和評審過程 176
•7.5.2 ISMS內部審核 177
•7.5.3 ISMS管理評審 179
•7.6 信息安全管理體系的保持和改進 180
•7.6.1 糾正措施 180
•7.6.2 預防措施 180
•7.6.3 控制不符合項 180
•7.7 信息安全管理體系的認證 181
•7.7.1 認證的目的 181
•7.7.2 前期工作 182
•7.7.3 認證過程 183
•7.7.4 ISMS認證案例 186
•本章小結 188
•思考題 188
•第8章 信息安全風險評估 189
•8.1 概述 189
•8.1.1 信息安全風險評估的目標和原則 189
•8.1.2 實施信息安全風險評估的好處 190
•8.2 信息安全風險評估的基本要素 190
•8.2.1 風險評估的相關要素 191
•8.2.2 風險要素的相互關係 194
•8.3 信息安全風險評估過程 195
•8.3.1 風險評估準備 195
•8.3.2 資產識別與估價 196
•8.3.3 威脅識別與評估 198
•8.3.4 脆弱性識別與評估 200
•8.3.5 現有安全控制措施的確認 202
•8.3.6 風險計算與分析 202
•8.3.7 風險管理與控制 204
•8.3.8 風險評估記錄文檔 206
•8.4 信息安全風險要素計算方法 207
•8.4.1 矩陣法計算風險 208
•8.4.2 相乘法計算風險 211
•8.5 信息安全風險評估方法 212
•8.5.1 基本風險評估 212
•8.5.2 詳細風險評估 213
•8.5.3 綜合風險評估 214
•8.6 風險評估工具 215
•8.6.1 風險評估與管理工具 215
•8.6.2 信息基礎設施風險評估工具 217
•8.6.3 風險評估輔助工具 220
•8.6.4 風險評估工具的選擇 220
•本章小結 221
•思考題 221
•第9章 信息安全策略 222
•9.1 概述 222
•9.2 安全策略的重要性 223
•9.3 安全策略的內容 224
•9.3.1 總體安全策略 224
•9.3.2 問題安全策略 226
•9.3.3 功能安全策略 227
•9.4 安全策略的制定過程 230
•9.4.1 調查與分析階段 230
•9.4.2 設計階段 231
•9.4.3 實施階段 231
•9.4.4 維護階段 232
•9.5 安全策略的制定原則 232
•9.6 策略管理的自動化工具 233
•9.6.1 策略管理框架 233
•9.6.2 自適應策略管理及發布模型 234
•9.6.3 策略管理的套用工具 235
•9.7 關於安全策略的若干偏見 236
•本章小結 238
•思考題 238
•參考文獻 239