信息安全工程

第一章　信息安全工程基礎
1.1　信息系統(tǒng)建設
1.1.1　信息系統(tǒng)建設的周期階段
1.1.2　信息系統(tǒng)建設計劃
1.1.3　軟件開發(fā)工作量和時間估算
1.1.4　開發(fā)進度估算
1.2　常見信息安全問題
1.2.1　信息安全問題的層次
1.2.2　信息系統(tǒng)的安全問題
1.2.3　信息安全問題分類
1.3　信息安全工程概念
1.4　信息安全工程建設流程
1.5　安全工程的生命周期
1.6　安全工程特點
本章小結
習題一
第二章　系統(tǒng)安全工程能力成熟度模型
2.1　概述
2.1.1　安全工程
2.1.2　CMM介紹
2.1.3　安全工程與其他項目的關系
2.2　SSE—CMM基礎
2.2.1　系統(tǒng)安全工程能力成熟度模型簡介
2.2.2　系統(tǒng)安全工程過程
2.2.3　SSE—CMM的主要概念
2.3　SSE—CMM的體系結構
2.3.1　基本模型
2.3.2　域維，安全過程區(qū)
2.3.3　能力維，公共特性
2.3.4　能力級別
2.3.5　體系結構的組成
2.4　SSE—CMM應用
2.4.1　SSE—CMM應用方式
2.4.2　用SSB—CMM改進過程
2.4.3　使用SSE—CMM的一般步驟
2.5　系統(tǒng)安全工程能力評估
2.5.1　系統(tǒng)安全工程能力評估
2.5.2　SSE—CMM實施中的幾個問題
本章小結
習題二
第三章　信息安全工程實施
3.1　概述
3.2　安全規(guī)劃與控制
3.2.1　商業(yè)決策和工程規(guī)劃
3.2.2　信息安全工程小組
3.2.3　對認證和認可（C&A）的信息安全工程輸入規(guī)劃
3.2.4　信息安全工程報告
3.2.5　技術數(shù)據(jù)庫和工具
3.2.6　與獲?。灱s有關的規(guī)劃
3.2.7　信息系統(tǒng)安全保證規(guī)劃
3.3　安全需求的定義
3.3.1　系統(tǒng)需求定義概述
3.3.2　安全需求分析的一般課題
3.3.3　安全需求定義概述
3.3.4　先期概念階段和概念階段——信息安全工程的需求活動
3.3.5　需求階段——信息安全工程的需求活動
3.3.6　系統(tǒng)設計階段——信息安全工程的需求活動
3.3.7　從初步設計到配置審計階段——信息安全工程的需求活動
3.4　安全設計支持
3.4.1　系統(tǒng)設計
3.4.2　信息安全工程系統(tǒng)設計支持活動
3.4.3　先期概念和概念階段安全設計支持
3.4.4　需求和系統(tǒng)設計階段的安全設計支持
3.4.5　初步設計階段到配置審計階段的安全設計支持
3.4.6　運行和支持階段的安全設計支持
3.5　安全運行分析
3.6　生命周期安全支持
3.6.1　安全的生命期支持的開發(fā)方法
3.6.2　對部署的系統(tǒng)進行安全監(jiān)控
3.6.3　系統(tǒng)安全評估
3.6.4　配置管理
3.6.5　培訓
3.6.6　后勤和維護
3.6.7　系統(tǒng)的修改
3.6.8　報廢處置
3.7　信息安全工程的過程
本章小結
習題三
第四章　信息安全風險評估
4.1　信息安全風險評估基礎
4.1.1　與風險評估相關的概念
4.1.2　風險評估的基本特點
4.1.3　風險評估的內涵
4.1.4　風險評估的兩種方式
4.2　風險評估的過程
4.2.1　風險評估基本步驟
4.2.2　風險評估準備
4.2.3　風險因素評估
4.2.4　風險確定
4.2.5　風險評價
4.2.6　風險控制
4.3　風險評估過程中應注意的問題
4.3.1　信息資產的賦值
4.3.2　評估過程的文檔化
4.4　風險評估方法
4.4.1　正確選擇風險評估方法
4.4.2　定性風險評估和定量風險評估
4.4.3　結構風險因素和過程風險因素
4.4.4　通用風險評估方法
4.5　幾種典型的信息安全風險評估方法
4.5.1　OCTAVE法
4.5.2　層次分析法（AHP法）
4.5.3　威脅分級法
4.5.4　風險綜合評價
4.6　風險評估實施
4.6.1　風險評估實施原則
4.6.2　風險評估流程
4.6.3　評估方案定制
4.6.4　項目質量控制
本章小結
習題四
第五章　信息安全策略
5.1　信息安全策略概述
5.1.1　基本概念
5.1.2　特點
5.1.3　信息安全策略的制定原則
5.1.4　信息安全策略的制定過程
5.1.5　信息安全策略的框架
5.2　信息安全策略規(guī)劃與實施
5.2.1　確定安全策略保護的對象
5.2.2　確定安全策略使用的主要技術
5.2.3　安全策略的實施
5.3　環(huán)境安全策略
5.3.1　環(huán)境保護機制
5.3.2　電源
5.3.3　硬件保護機制
5.4　系統(tǒng)安全策略
5.4.1　WWW服務策略
5.4.2　電子郵件安全策略
5.4.3　數(shù)據(jù)庫安全策略
5.4.4　應用服務器安全策略
5.5　病毒防護策略
5.5.1　病毒防護策略具備的準則
5.5.2　建立病毒防護體系
5.5.3　建立病毒保護類型
5.5.4　病毒防護策略要求
5.6　安全教育策略
本章小結
習題五
第六章　信息安全工程與等級保護
6.1　等級保護概述
6.1.1　信息安全等級保護制度的原則
6.1.2　信息安全等級的劃分及特征
6.2　等級保護在信息安全工程中的實施
6.2.1　新建系統(tǒng)的安全等級保護規(guī)劃與建設
6.2.2　系統(tǒng)改建實施方案設計
6.3　等級保護標準的確定
6.3.1　確定信息系統(tǒng)安全保護等級的一般流程
6.3.2　信息系統(tǒng)安全等級的定級方法
本章小結
習題六
第七章　數(shù)據(jù)備份與災難恢復
7.1　數(shù)據(jù)備份的概念
7.2　數(shù)據(jù)備份的常用方法
7.2.1　數(shù)據(jù)備份層次
7.2.2　數(shù)據(jù)備份常用方法分類
7.3　災難恢復概念
7.4　安全恢復的計劃
7.4.1　容災系統(tǒng)
7.4.2　安全恢復的實現(xiàn)計劃
7.4.3　安全恢復計劃
7.5　災難恢復技術
7.5.1　災難預防制度
7.5.2　數(shù)據(jù)庫的恢復技術
本章小結
習題七
第八章　信息安全工程案例
8.1　涉密網安全建設規(guī)劃設計
8.1.1　安全風險分析
8.1.2　規(guī)劃設計
8.2　信息系統(tǒng)網絡安全工程實施
8.2.1　制定項目計劃
8.2.2　項目組織機構
8.2.3　工程具體實施
8.3　政府網絡安全解決方案
8.3.1　概述
8.3.2　網絡系統(tǒng)分析
8.3.3　網絡安全風險分析
8.3.4　網絡安全需求及安全目標
8.3.5　網絡安全方案總體設計
8.3.6　網絡安全體系結構
習題八
第九章　信息安全組織
9.1　IEIF（WWW.ietf.org）
9.2　CERT／CC（WWW.cert.org）
9.3　NSA（WWW.nsa.gov）和NIST（WWW.nist.gov）
9.4　ISO
9.5　ITU
參考文獻