了得網計算機/網絡_信息安全工程

編輯推薦

本書以一個信息安本書以一個信息安全工程案例為主線，以模塊化的方式對知識點進行精講與規劃，重理論與實際的結合，案例豐富、詳實，適合作為信息安全專業及相關專業的教材，還適合廣大對安全工程技術感興趣的讀者閱讀學習。

內容簡介

教材以信息安全工程理論為基礎，以實際工程應用為目標，對信息安全從規劃與控制、需求與分析、實施與評估等工程過程進行描述，並結合具體的信息安全工程案例的實現，介紹信息安全工程的內容。
本教材首先介紹安全工程基礎，涉及到軟件/繫統工程基礎、質量管理基礎、能力成熟度模型基礎以及項目管理基礎等內容；其次介紹安全工程過程實踐，涉及到信息繫統安全工程ISSE、繫統安全工程能力成熟度模型(SSE—CMM)、信息安全工程實施、信息安全風險評估內容；*後介紹項目管理過程和實踐，涉及到數據備份與災難恢復，生命周期安全支持以及信息安全工程管理等內容。
本教材概念清晰明了，層次清晰，內容涉及的範圍比較廣，不僅適合作為信息安全專業及相關專業教學試用，還適合廣大對安全工程技術感興趣的讀者閱讀。

作者簡介

女，副教授，博士，高級程序員，1973年12月23日出生。1992年9月－1996年7月就讀於上海交通大學應用數學專業，獲理學學士學位；1996年7月-1998年8月，在南天電子信息產業有限公司上海分公司工作；1998年8月-2001年8月，在工商銀行雲南省分行信息與技術保障處工作；2001年9月－2004年7月就讀於雲南大學信息學院計算機軟件與理論專業，獲工學碩士學位； 2007年9月－2013年7月就讀於雲南大學軟件學院繫統分析與集成專業，獲理學博士學位。2004年7月至今就職於雲南大學軟件學院。在雲南大學工作至今，主持及參與科研省部級以上項目多項。雲南省科學技術獎（科技進步類）三等獎，排名第六，獲國家教學成果獎二等獎，排名第八。

目錄

第1章緒論

1.1信息安全基礎

1.1.1信息安全的基本概念

1.1.2信息安全發展過程

1.1.3信息安全現狀及發展趨勢

1.1.4ISO/OSI安全體繫結構目錄

第1章緒論

1.1信息安全基礎

1.1.1信息安全的基本概念

1.1.2信息安全發展過程

1.1.3信息安全現狀及發展趨勢

1.1.4ISO/OSI安全體繫結構

1.2信息安全工程的相關概念

1.2.1信息安全工程的發展由來

1.2.2信息安全工程的定義

1.3信息安全體繫模型

1.4小結

習題

第2章信息安全工程基礎

2.1繫統工程基礎

2.1.1繫統的定義、特征及類型

2.1.2繫統工程的概念和特點

2.1.3繫統工程的形成與發展

2.1.4繫統工程的方法與步驟

2.2質量管理基礎

2.2.1質量概述

2.2.2質量管理概述

2.2.3質量管理的發展歷程

2.2.4質量管理的原則

2.3項目管理基礎

2.3.1項目的定義、特征及分類

2.3.2項目管理概述

2.3.3項目管理的過程

2.3.4項目管理的要素

2.4小結

習題

第3章信息繫統安全工程

3.1概述

3.1.1信息繫統安全工程的定義

3.1.2信息繫統安全工程與繫統工程的關繫

3.2信息繫統安全工程過程

3.2.1發掘信息保護需求

3.2.2定義信息保護繫統

3.2.3設計信息保護繫統

3.2.4實施信息保護需求

3.2.5評估信息保護有效性

3.3基於ISSE的公文流轉繫統安全解決方案

3.3.1公文流轉繫統概述

3.3.2安全需求分析

3.3.3定義信息保護繫統

3.3.4設計信息保護繫統

3.3.5實施信息保護繫統

3.3.6評估信息保護有效性

3.4小結

習題

第4章SSECMM

4.1CMM

4.1.1CMM簡介

4.1.2CMM的體繫結構

4.2SSECMM概述

4.2.1SSECMM的概念

4.2.2SSECMM體繫結構

4.2.3SSECMM的應用

4.3SSECMM的過程域

4.3.1SSECMM過程域的分類

4.3.2工程過程域

4.3.3項目過程域和組織過程域

4.4SSECMM能力級別

4.4.1SSECMM能力級別簡介

4.4.2能力級別與通用實施的確定

4.5小結

習題

第5章信息安全風險管理與風險評估

5.1信息安全風險管理

5.1.1信息安全風險管理概述

5.1.2生命周期各階段的風險管理

5.2信息安全風險評估

5.2.1風險評估概述

5.2.2風險評估策略

5.2.3風險評估方法

5.2.4風險評估實施流程

5.3小結

習題

第6章信息安全管理

6.1信息安全管理的基本概念

6.1.1安全管理的概念

6.1.2安全管理的重要性

6.1.3信息安全管理策略

6.1.4信息安全管理體繫

6.2信息安全管理模型

6.2.1安全要素關繫模型

6.2.2風險要素關繫模型

6.2.3基於過程的風險管理模型

6.2.4PDCA模型

6.3基於PDCA的信息安全管理實踐

6.3.1背景分析

6.3.2前期分析

6.3.3PDCA實施

6.4小結

習題

第7章安全層次劃分

7.1安全的密碼算法

7.1.1密碼算法安全性概述

7.1.2對稱加密算法

7.1.3非對稱加密算法

7.1.4不可逆加密算法

7.2安全協議

7.2.1安全套接層協議

7.2.2傳輸層安全協議

7.2.3IPSec協議

7.3網絡安全

7.3.1計算機網絡面臨的威脅

7.3.2網絡安全策略

7.4繫統安全

7.4.1操作繫統安全

7.4.2數據庫繫統安全

7.5應用安全

7.5.1Web安全

7.5.2電子郵件安全

7.6小結

習題

第8章信息安全事件應急處理與災難恢復

8.1信息安全事件

8.1.1信息安全事件的定義

8.1.2信息安全事件的分類

8.1.3信息安全事件分級

8.2信息安全事件應急響應與處置過程

8.2.1應急響應的概念

8.2.2應急響應計劃及流程

8.2.3信息安全應急響應流程

8.2.4信息安全事件應急處理方法

8.3信息繫統災難恢復

8.3.1災難與災難恢復

8.3.2災難恢復的發展

8.4信息繫統災難恢復工作過程

8.4.1災難恢復的需求分析

8.4.2災難恢復策略的制定

8.4.3災難恢復策略的實現及管理

8.5小結

習題

第9章信息安全標準與法律法規

9.1信息安全標準

9.1.1信息安全標準化的概述

9.1.2信息安全的國際標準

9.1.3信息安全國內標準

9.1.4計算機信息繫統安全保護等級劃分準則(GB 17859—1999)

9.1.5信息安全等級保護其他相關標準

9.2信息安全法律法規及道德規範

9.2.1信息安全涉及的相關法律問題

9.2.2我國的信息安全法律規範

9.2.3我國的信息安全法律法規

9.2.4信息安全從業人員的道德規範

9.3小結

習題

第10章信息安全工程案例

10.1繫統概要

10.2繫統結構

10.2.1繫統體繫結構

10.2.2繫統功能結構

10.3繫統安全風險分析

10.3.1繫統主要資產和關鍵業務信息

10.3.2可能攻擊源綜合性分析

10.3.3繫統對威脅存在的脆弱性分析

10.3.4繫統面臨的安全風險綜述

10.4BookApp繫統安全需求

10.4.1計算機安全

10.4.2網絡層安全需求

10.4.3應用層安全需求

10.4.4後臺管理的安全需求

10.4.5BookApp交易安全需求

10.5安全技術手段和方法

10.5.1網絡服務層

10.5.2加密技術層

10.5.3安全認證層

10.5.4交易協議層

10.5.5應用繫統層

10.6繫統安全管理機構及制度

10.6.1BookApp繫統安全機構設置

10.6.2崗位職責

10.6.3管理制度

10.7小結

參考文獻

前言

前言

隨著經濟和信息化的發展，信息資源已成為社會發展的重要戰略資源，信息技術和信息產業正在改變傳統的生產和生活方式，逐步成為國家經濟增長的主要推動力之一。信息化、網絡化的發展已成為不可阻擋、不可回避、不可逆轉的歷史潮流，信息技術和信息的開發應用已滲透到國家政治、經濟、軍事和社會生活的各個方面，成為生產力的重要因素。
信息時代人們在享受其所帶來的種種物質和文化享受的同時，也受到日益嚴重的來自網絡的安全威脅，如數據竊取、黑客入侵、病毒發布。盡管人們正在廣泛地使用各種復雜的軟件技術，如防火牆、入侵檢測、訪問控制，但黑客活動越來越猖狂，無孔不入，對社會造成了嚴重的危害。可以說，信息化發展程度越高，面臨的信息安全風險就越大。信息安全的建設實際上是一個復雜的繫統工程。它要綜合利用數學、物理、通信和計算機等諸多學科的長期知識積累和發展成果，進行自主創新研究，加強頂層設計，提出繫統的、完整的、協同的解決方案。安全問題的解決，不能隻依靠純粹的技術和簡單的安全產品的堆砌，也不能僅靠安全管理體繫建設。安全問題的解決也是一個復雜的繫統工程，需要采用工程的概念、原理、技術和方法來研究、開發、實施與維護信息繫統安全。因此，把信息安全作為一個整體的工程進行研究，具有重要的現實意義。前言

隨著經濟和信息化的發展，信息資源已成為社會發展的重要戰略資源，信息技術和信息產業正在改變傳統的生產和生活方式，逐步成為國家經濟增長的主要推動力之一。信息化、網絡化的發展已成為不可阻擋、不可回避、不可逆轉的歷史潮流，信息技術和信息的開發應用已滲透到國家政治、經濟、軍事和社會生活的各個方面，成為生產力的重要因素。
信息時代人們在享受其所帶來的種種物質和文化享受的同時，也受到日益嚴重的來自網絡的安全威脅，如數據竊取、黑客入侵、病毒發布。盡管人們正在廣泛地使用各種復雜的軟件技術，如防火牆、入侵檢測、訪問控制，但黑客活動越來越猖狂，無孔不入，對社會造成了嚴重的危害。可以說，信息化發展程度越高，面臨的信息安全風險就越大。信息安全的建設實際上是一個復雜的繫統工程。它要綜合利用數學、物理、通信和計算機等諸多學科的長期知識積累和發展成果，進行自主創新研究，加強頂層設計，提出繫統的、完整的、協同的解決方案。安全問題的解決，不能隻依靠純粹的技術和簡單的安全產品的堆砌，也不能僅靠安全管理體繫建設。安全問題的解決也是一個復雜的繫統工程，需要采用工程的概念、原理、技術和方法來研究、開發、實施與維護信息繫統安全。因此，把信息安全作為一個整體的工程進行研究，具有重要的現實意義。
本書共分10章。第1章緒論，闡述信息安全基本屬性及信息安全工程的發展由來；第2章信息安全工程基礎，介紹信息安全工程相關的一些理論基礎，如繫統工程思想、項目管理方法及質量管理體繫；第3章信息繫統安全工程，詳細介紹信息繫統安全工程（ISSE）方法論；第4章SSECMM，詳細介紹繫統安全工程能力成熟度模型（SSECMM）；第5章信息安全風險管理與風險評估，介紹風險管理與風險評估的相關概念及實施流程和方法；第6章信息安全管理，介紹信息安全管理的相關概念及常用的一些信息安全管理模型；第7章安全層次劃分，主要介紹如何從安全的密碼算法、安全協議、網絡安全、繫統安全及應用安全等方面來探討安全解決方案；第8章信息安全事件應急處理與災難恢復，介紹信息安全事件應急處理與災難恢復過程；第9章信息安全標準與法律法規，介紹信息安全相關標準與信息安全相關法律法規；第10章信息安全工程案例，以信息安全工程理論為基礎，結合一個具體的信息安全工程案例的實現，以實際工程應用為目標，對信息安全從規劃與控制、需求與分析、實施與評估等工程過程進行描述。
本書主要總結了多年信息安全工程本科教學的內容，同時還參考了近年來的文獻資料。在寫作中，力求做到層次清楚，語言簡潔流暢，內容豐富，既便於讀者循序漸進地繫統學習，又能使讀者了解信息安全工程理論的新發展。希望本書對讀者了解信息安全工程有一定幫助。
本書的第1、3、5、10章由林英執筆完成，第2、4章由康雁執筆完成，第6、7章由張一凡執筆完成，第8、9章由朱艷萍執筆完成，全書由林英、張雁統稿。
本書的完成，得到了雲南省“十二五質量工程”項目的資助，在此謹表衷心的感謝。
限於學術水平，書中不妥之處在所難免，敬請讀者批評指正，作者將不勝感激。
作者
2019年6月

在線試讀

第3章信息繫統安全工程

本章學習目標：
 了解信息繫統安全工程基本概念。
 了解信息繫統安全工程過程。
 掌握如何基於信息繫統安全工程方法開展繫統安全工程建設。
3.1概述
信息安全保障問題的解決既不能隻依靠純粹的技術，也不能隻靠簡單的安全產品的堆砌，它要依賴於復雜的繫統工程，即信息安全工程。本章主要介紹由繫統工程發展而來，以時間維劃素的方法學——信息繫統安全工程。
3.1.1信息繫統安全工程的定義
1993年，美國國家安全局制定的《信息繫統安全工程手冊》中提出了“信息繫統安全工程”
(Information Systems Security Engineering，ISSE)的概念，並將其定義為“側重於信息安全的應用繫統工程”。美國國家安全局2000年制定的《國家信息繫統安全術語表》(NSTISSI No.4009)中，將ISSE描述為“在信息繫統生命周期過程中為實現和維護繫統的安全性和持續性所做的各種努力”。現在對ISSE的普遍解釋為： “信息繫統安全工程是采用工程的概念、原理、技術和方法，來研究、開發、實施與維護信息繫統安全的過程，是將經過時間考驗證明是正確的工程實踐流程、管理技術和當前能夠得到的好的技術方法相結合的過程”。
信息繫統安全工程是繫統工程在安全空間的映射，它的重點是通過實施繫統工程過程來滿足信息保護的需求，信息繫統安全工程將有助於開發可滿足用戶信息保護需求的繫統產品和過程解決方案，信息繫統安全工程的主要目標包括以下6個方面。
(1) 獲得對企業安全風險的理解。
(2) 根據已識別的安全風險建立一組平衡的安全需求。第3章信息繫統安全工程

本章學習目標：
 了解信息繫統安全工程基本概念。
 了解信息繫統安全工程過程。
 掌握如何基於信息繫統安全工程方法開展繫統安全工程建設。
3.1概述
信息安全保障問題的解決既不能隻依靠純粹的技術，也不能隻靠簡單的安全產品的堆砌，它要依賴於復雜的繫統工程，即信息安全工程。本章主要介紹由繫統工程發展而來，以時間維劃素的方法學——信息繫統安全工程。
3.1.1信息繫統安全工程的定義
1993年，美國國家安全局制定的《信息繫統安全工程手冊》中提出了“信息繫統安全工程”
(Information Systems Security Engineering，ISSE)的概念，並將其定義為“側重於信息安全的應用繫統工程”。美國國家安全局2000年制定的《國家信息繫統安全術語表》(NSTISSI No.4009)中，將ISSE描述為“在信息繫統生命周期過程中為實現和維護繫統的安全性和持續性所做的各種努力”。現在對ISSE的普遍解釋為： “信息繫統安全工程是采用工程的概念、原理、技術和方法，來研究、開發、實施與維護信息繫統安全的過程，是將經過時間考驗證明是正確的工程實踐流程、管理技術和當前能夠得到的好的技術方法相結合的過程”。
信息繫統安全工程是繫統工程在安全空間的映射，它的重點是通過實施繫統工程過程來滿足信息保護的需求，信息繫統安全工程將有助於開發可滿足用戶信息保護需求的繫統產品和過程解決方案，信息繫統安全工程的主要目標包括以下6個方面。
(1) 獲得對企業安全風險的理解。
(2) 根據已識別的安全風險建立一組平衡的安全需求。
(3) 將安全需求轉換成安全的策略，成為信息繫統建設基本原則，並落實到項目實施中的各個科目活動、繫統配置或運行的定義中。
(4) 通過正確有效的安全機制建立抵御安全威脅和繫統正常運營的保證。
(5) 動態監測和判斷繫統中和繫統運行時出現的安全隱患和突發事件，並及時按預先指定的方案，啟動緊急事故處理程序進行處理和追蹤，遏制危險的發生和蔓延，使繫統免除損失或控制在可控制範圍之內。
(6) 將所有科目和專業活動集成為一個具有共識的繫統安全可信性工程。

商品搜索

商品分类

【醫學】

【各大出版社】