导语

  

内容提要

  

    本书以信息安全工程理论为基础，以实际工程应用为目标，对信息安全从规划与控制、需求与分析、实施与评估等工程过程进行描述，并结合具体信息安全工程案例的实现，介绍信息安全工程的内容。
    本书首先介绍安全工程基础，涉及软件/系统工程基础、质量管理基础、能力成熟度模型基础以及项目管理基础等内容；其次介绍安全工程过程实践，涉及信息系统安全工程（ISSE）、系统安全工程能力成熟度模型（SSE-CMM）、信息安全工程实施、信息安全风险评估等内容；最后介绍项目管理过程和实践，涉及数据备份与灾难恢复、生命周期安全支持以及信息安全工程管理等内容。
    本书概念清晰，层次分明，内容涉及的范围比较广，不仅适合作为信息安全专业及相关专业的教学用书，还适合对安全工程技术感兴趣的人员阅读。

第1章  绪论
  1.1  信息安全基础
    1.1.1  信息安全的基本概念
    1.1.2  信息安全发展过程
    1.1.3  信息安全现状及发展趋势
    1.1.4  ISO/OSI安全体系结构
  1.2  信息安全工程的相关概念
    1.2.1  信息安全工程的发展由来
    1.2.2  信息安全工程的定义
  1.3  信息安全体系模型
  1.4  小结
  习题
第2章  信息安全工程基础
  2.1  系统工程基础
    2.1.1  系统的定义、特征及类型
    2.1.2  系统工程的概念和特点
    2.1.3  系统工程的形成与发展
    2.1.4  系统工程的方法与步骤
  2.2  质量管理基础
    2.2.1  质量概述
    2.2.2  质量管理概述
    2.2.3  质量管理的发展历程
    2.2.4  质量管理的原则
  2.3  项目管理基础
    2.3.1  项目的定义、特征及分类
    2.3.2  项目管理概述
    2.3.3  项目管理的过程
    2.3.4  项目管理的要素
  2.4  小结
  习题
第3章  信息系统安全工程
  3.1  概述
    3.1.1  信息系统安全工程的定义
    3.1.2  信息系统安全工程与系统工程的关系
  3.2  信息系统安全工程过程
    3.2.1  发掘信息保护需求
    3.2.2  定义信息保护系统
    3.2.3  设计信息保护系统
    3.2.4  实施信息保护需求
    3.2.5  评估信息保护有效性
  3.3  基于ISSE的公文流转系统安全解决方案
    3.3.1  公文流转系统概述
    3.3.2  安全需求分析
    3.3.3  定义信息保护系统
    3.3.4  设计信息保护系统
    3.3.5  实施信息保护系统
    3.3.6  评估信息保护有效性
  3.4  小结
  习题
第4章  SSE-CMM
  4.1  CMM
    4.1.1  CMM简介
    4.1.2  CMM的体系结构
  4.2  SSE-CMM概述
    4.2.1  SSE-CMM的概念
    4.2.2  SSE-CMM体系结构
    4.2.3  SSE-CMM的应用
  4.3  SSE-CMM的过程域
    4.3.1  SSE-CMM过程域的分类
    4.3.2  工程过程域
    4.3.3  项目过程域和组织过程域
  4.4  SSE-CMM能力级别
    4.4.1  SSE-CMM能力级别简介
    4.4.2  能力级别与通用实施的确定
  4.5  小结
  习题
第5章  信息安全风险管理与风险评估
  5.1  信息安全风险管理
    5.1.1  信息安全风险管理概述
    5.1.2  生命周期各阶段的风险管理
  5.2  信息安全风险评估
    5.2.1  风险评估概述
    5.2.2  风险评估策略
    5.2.3  风险评估方法
    5.2.4  风险评估实施流程
  5.3  小结
  习题
第6章  信息安全管理
  6.1  信息安全管理的基本概念
    6.1.1  安全管理的概念
    6.1.2  安全管理的重要性
    6.1.3  信息安全管理策略
    6.1.4  信息安全管理体系
  6.2  信息安全管理模型
    6.2.1  安全要素关系模型
    6.2.2  风险要素关系模型
    6.2.3  基于过程的风险管理模型
    6.2.4  PDCA模型
  6.3  基于PDCA的信息安全管理实践
    6.3.1  背景分析
    6.3.2  前期分析
    6.3.3  PDCA实施
  6.4  小结
  习题
第7章  安全层次划分
  7.1  安全的密码算法
    7.1.1  密码算法安全性概述
    7.1.2  对称加密算法
    7.1.3  非对称加密算法
    7.1.4  不可逆加密算法
  7.2  安全协议
    7.2.1  安全套接层协议
    7.2.2  传输层安全协议
    7.2.3  IPSec协议
  7.3  网络安全
    7.3.1  计算机网络面临的威胁
    7.3.2  网络安全策略
  7.4  系统安全
    7.4.1  操作系统安全
    7.4.2  数据库系统安全
  7.5  应用安全
    7.5.1  Web安全
    7.5.2  电子邮件安全
  7.6  小结
  习题
第8章  信息安全事件应急处理与灾难恢复
  8.1  信息安全事件
    8.1.1  信息安全事件的定义
    8.1.2  信息安全事件的分类
    8.1.3  信息安全事件分级
  8.2  信息安全事件应急响应与处置过程
    8.2.1  应急响应的概念
    8.2.2  应急响应计划及流程
    8.2.3  信息安全应急响应流程
    8.2.4  信息安全事件应急处理方法
  8.3  信息系统灾难恢复
    8.3.1  灾难与灾难恢复
    8.3.2  灾难恢复的发展
  8.4  信息系统灾难恢复工作过程
    8.4.1  灾难恢复的需求分析
    8.4.2  灾难恢复策略的制定
    8.4.3  灾难恢复策略的实现及管理
  8.5  小结
  习题
第9章  信息安全标准与法律法规
  9.1  信息安全标准
    9.1.1  信息安全标准化的概述
    9.1.2  信息安全的国际标准
    9.1.3  信息安全国内标准
    9.1.4  计算机信息系统安全保护等级划分准则（GB 17859-1999）
    9.1.5  信息安全等级保护其他相关标准
  9.2  信息安全法律法规及道德规范
    9.2.1  信息安全涉及的相关法律问题
    9.2.2  我国的信息安全法律规范
    9.2.3  我国的信息安全法律法规
    9.2.4  信息安全从业人员的道德规范
  9.3  小结
  习题
第10章  信息安全工程案例
  10.1  系统概要
  10.2  系统结构
    10.2.1  系统体系结构
    10.2.2  系统功能结构
  10.3  系统安全风险分析
    10.3.1  系统主要资产和关键业务信息
    10.3.2  可能攻击源综合性分析
    10.3.3  系统对威胁存在的脆弱性分析
    10.3.4  系统面临的安全风险综述
  10.4  BookApp系统安全需求
    10.4.1  计算机安全
    10.4.2  网络层安全需求
    10.4.3  应用层安全需求
    10.4.4  后台管理的安全需求
    10.4.5  BookApp交易安全需求
  10.5  安全技术手段和方法
    10.5.1  网络服务层
    10.5.2  加密技术层
    10.5.3  安全认证层
    10.5.4  交易协议层
    10.5.5  应用系统层
  10.6  系统安全管理机构及制度
    10.6.1  BookApp系统安全机构设置
    10.6.2  岗位职责
    10.6.3  管理制度
  10.7  小结
参考文献