本書參考信息安全工程與管理領域的*新成果,結合目前信息安全教學的需要,全面系統(tǒng)的講述了信息安全工程以及安全項目管理的概念、原理和方法,通過信息安全工程實踐和安全項目管理實訓,使讀者能夠理論聯(lián)系實際,全面掌握信息安全工程與管理的體系結構。
王瑞錦,博士,電子科技大學教師,2103年畢業(yè)于電子科技大學信息安全專業(yè)博士,2015年-2016年國家公派美國西北大學訪問學者。長期從事云安全、內容與數(shù)據(jù)安全等方向的研究,發(fā)表15篇SCI/EI論文,主持3項科研與4項教學項目,申請發(fā)明專利10余項。全國大學生信息安全競賽評委專家、優(yōu)秀指導教師,電子科技大學信息安全競賽教練組組長。在競賽指導上認真嚴謹有責任心,在技術指導之外,注重學生“新四會”能力的培養(yǎng),連續(xù)3年指導學生獲全國信息安全競賽國獎10項,其他互聯(lián)網(wǎng)+競賽獲獎20余項。
第1章 信息安全工程基礎 1
1.1 信息安全概述 1
1.1.1 信息安全的發(fā)展 2
1.1.2 信息安全的目標 3
1.2 信息安全保障 4
1.2.1 信息安全問題的產(chǎn)生 5
1.2.2 信息安全保障模型 5
1.2.3 信息保障技術框架 9
1.2.4 信息安全保障體系建設 11
1.3 信息安全工程 14
1.3.1 信息安全工程的概念 14
1.3.2 信息安全工程的發(fā)展 15
1.3.3 信息安全工程相關理論技術 17
本章小結 18
思考題 19
第2章 信息系統(tǒng)安全工程過程 20
2.1 信息系統(tǒng)安全工程概述 20
2.1.1 信息系統(tǒng)安全工程的基本功能 21
2.1.2 信息系統(tǒng)安全工程的實施框架 22
2.2 信息安全需求的挖掘 23
2.3 信息系統(tǒng)安全的定義 25
2.4 信息系統(tǒng)安全的設計 26
2.5 信息系統(tǒng)安全的實施 27
2.6 信息系統(tǒng)安全的評估 28
2.7 信息系統(tǒng)安全工程實例 28
本章小結 37
思考題 37
第3章 信息安全工程能力成熟度模型 39
3.1 能力成熟度模型簡介 39
3.2 信息安全工程能力成熟度模型基礎 41
3.2.1 信息安全工程能力成熟度模型的起源 41
3.2.2 信息安全工程能力成熟度模型的基本概念 42
3.3 信息安全工程能力成熟度模型的體系結構 44
3.3.1 信息安全工程能力成熟度模型的參考模型 44
3.3.2 信息安全工程能力成熟度模型的過程域 45
3.3.3 域維和能力維 49
3.4 信息安全工程能力成熟度模型的應用 52
3.4.1 應用場景 52
3.4.2 過程改進 59
3.4.3 能力評估 61
3.4.4 信任度評估 63
3.5 信息安全工程能力成熟度模型與信息系統(tǒng)安全工程 64
3.6 信息安全工程能力成熟度模型的新發(fā)展 65
本章小結 66
思考題 67
第4章 信息安全等級保護 68
4.1 概述 68
4.1.1 等級保護的發(fā)展 69
4.1.2 等級保護的意義 75
4.2 信息系統(tǒng)安全等級保護制度 76
4.2.1 信息系統(tǒng)安全等級保護原則 76
4.2.2 信息系統(tǒng)安全等級保護體系 77
4.3 信息系統(tǒng)安全等級保護方法 83
4.3.1 安全域 83
4.3.2 內部保護和邊界保護 84
4.3.3 網(wǎng)絡安全保護 85
4.3.4 主機安全保護 86
4.3.5 應用保護 87
4.4 信息系統(tǒng)的安全等級 87
4.4.1 信息安全等級保護等級劃分 87
4.4.2 信息安全定級步驟 94
本章小結 98
思考題 99
第5章 信息安全風險評估 100
5.1 信息安全風險評估基礎 100
5.1.1 信息安全風險評估的概念 101
5.1.2 信息安全風險評估的發(fā)展 101
5.1.3 信息安全風險評估的原則 102
5.1.4 信息安全風險評估的意義 102
5.2 信息安全風險評估要素 103
5.3 信息安全風險評估過程 108
5.3.1 風險評估準備 108
5.3.2 識別并評估資產(chǎn) 109
5.3.3 識別并評估威脅 110
5.3.4 識別并評估脆弱性 111
5.3.5 確認安全控制措施 112
5.3.6 風險分析 112
5.3.7 風險處理 114
5.4 風險計算算法 116
5.4.1 使用矩陣法計算風險 117
5.4.2 使用相乘法計算風險 119
5.5 典型風險評估算法 120
5.5.1 OCTAVE法 121
5.5.2 層次分析法 123
5.6 風險評估工具 125
5.6.1 風險評估管理工具 125
5.6.2 信息基礎設施風險評估工具 128
5.6.3 風險評估輔助工具 134
5.7 風險評估案例 135
本章小結 138
思考題 138
第6章 信息安全管理基礎 140
6.1 概述 140
6.1.1 信息安全管理的概念 141
6.1.2 國內外信息安全管理現(xiàn)狀 142
6.1.3 信息安全管理意義 143
6.1.4 信息安全管理內容與原則 144
6.1.5 信息安全管理模型 146
6.1.6 信息安全管理實施要點 147
6.2 信息安全管理標準 147
6.2.1 信息安全管理標準的發(fā)展 147
6.2.2 BS7799主要內容 151
6.3 信息安全管理體系簡介 154
6.4 信息安全管理體系的過程 155
6.4.1 信息安全管理體系的準備 156
6.4.2 信息安全管理體系的建立 157
6.4.3 信息安全管理體系的實施和運行 163
6.4.4 信息安全管理體系的監(jiān)視和評審 165
6.4.5 信息安全管理體系的保持和改進 171
6.4.6 信息安全管理系統(tǒng)的認證 172
本章小結 178
思考題 178
第7章 信息安全策略 179
7.1 信息安全策略概述 179
7.1.1 信息安全策略的定義 180
7.1.2 信息安全策略的格式 180
7.1.3 信息安全策略的保護對象 181
7.1.4 信息安全策略的意義 182
7.2 信息安全策略的內容 182
7.2.1 物理和環(huán)境安全策略 183
7.2.2 計算機和網(wǎng)絡運行管理策略 184
7.2.3 訪問控制策略 188
7.2.4 風險管理及安全審計策略 190
7.3 信息安全策略的制定過程 190
7.3.1 信息安全策略的制定原則 190
7.3.2 信息安全策略的制定流程 191
7.3.3 組織的安全策略 193
7.4 安全策略實施與管理 195
7.4.1 策略管理方法 195
7.4.2 策略管理架構 196
7.4.3 策略規(guī)范 198
7.4.4 策略管理工具 199
本章小結 201
思考題 201
第8章 信息系統(tǒng)安全工程案例 203
8.1 案例一 基于掌紋識別技術的私密信息保險箱 203
8.1.1 生物認證技術簡介 203
8.1.2 基于掌紋識別技術的私密信息保險箱及其性能測評 208
8.2 案例二 基于區(qū)塊鏈的論文版權保護系統(tǒng) 217
8.2.1 區(qū)塊鏈技術簡介 217
8.2.2 基于區(qū)塊鏈的論文版權保護系統(tǒng)及其性能測評 219
附錄 實驗 227
實驗一 基于ISSE過程的網(wǎng)絡安全需求分析及解決方案 227
實驗二 網(wǎng)絡信息系統(tǒng)風險評估 229
實驗三 信息安全方針的建立 238
實驗四 ISMS管理評審 240
實驗五 基于信息安全策略的網(wǎng)絡防火墻報文解析 242
實驗六 基于信息安全策略的網(wǎng)絡防火墻流量統(tǒng)計 244
實驗七 網(wǎng)絡安全掃描工具Nessus的使用 249
實驗八 簡單網(wǎng)絡掃描器的設計與實現(xiàn) 250
參考文獻 252
收起全部↑