信息安全工程導(dǎo)論

第1章 引言
1.1 信息安全保障的基本概念
1.1.1 什么是信息安全
1.1.2 信息安全的發(fā)展過程
1.1.3 信息安全保障現(xiàn)狀和信息安全保障體系建設(shè)
1.2 信息安全保障與信息安全工程
1.2.1 為什么需要信息安全工程
1.2.2 信息安全工程方法的發(fā)展
第2章 信息安全工程基礎(chǔ)——系統(tǒng)工程過程
2.1 系統(tǒng)工程過程概況
2.2 發(fā)掘需求
2.2.1 任務(wù)/業(yè)務(wù)的描述
2.2.2 需要考慮的策略和政策
2.3 定義系統(tǒng)功能
2.3.1 目標(biāo)
2.3.2 系統(tǒng)背景/環(huán)境
2.3.3 要求
2.3.4 功能分析
2.4 設(shè)計(jì)系統(tǒng)
2.4.1 功能分配
2.4.2 概要設(shè)計(jì)
2.4.3 詳細(xì)設(shè)計(jì)
2.5 實(shí)施系統(tǒng)
2.5.1 采購
2.5.2 建設(shè)
2.5.3 測(cè)試
2.6 有效性評(píng)估
第3章 ISSE過程
3.1 信息系統(tǒng)安全工程(ISSE)過程概述
3.2 發(fā)掘信息保護(hù)需求
3.2.1 機(jī)構(gòu)任務(wù)信息的保護(hù)需求
3.2.2 考察信息系統(tǒng)面臨的威脅
3.2.3 信息安全保護(hù)策略的考慮
3.3 定義信息保護(hù)系統(tǒng)
3.3.1 信息保護(hù)目標(biāo)
3.3.2 系統(tǒng)背景/環(huán)境
3.3.3 信息保護(hù)需求
3.3.4 功能分析
3.4 設(shè)計(jì)信息保護(hù)系統(tǒng)
3.4.1 功能分配
3.4.2 概要信息保護(hù)設(shè)計(jì)
3.4.3 詳細(xì)信息保護(hù)設(shè)計(jì)
3.5 實(shí)施信息保護(hù)系統(tǒng)
3.5.1 采購
3.5.2 建設(shè)
3.5.3 測(cè)試
3.6 評(píng)估信息保護(hù)系統(tǒng)的有效性
第4章 ISSE與其他過程的聯(lián)系
4.1 本章引言
4.2 系統(tǒng)采辦過程
4.3 風(fēng)險(xiǎn)管理過程
4.3.1 理解任務(wù)與信息保護(hù)目標(biāo)
4.3.2 描述風(fēng)險(xiǎn)狀況
4.3.3 描述可行的風(fēng)險(xiǎn)對(duì)策
4.3.4 決定風(fēng)險(xiǎn)對(duì)策
4.3.5 執(zhí)行決策
4.3.6 風(fēng)險(xiǎn)管理的獨(dú)立性
4.4 生命周期支持
4.5 認(rèn)證與認(rèn)可
4.6 CC與ISSE
第5章 SSE-CMM綜述
5.1 SSE-CMM簡介
5.1.1 SSE-CMM的概念
5.1.2 SSE-CMM的動(dòng)因
5.1.3 SSE-CMM的適用范圍
5.1.4 SSE-CMM的用戶
5.1.5 怎樣使用SSE-CMM
5.1.6 SSE-CMM的益處
5.2 SSE-CMM方法學(xué)
5.2.1 對(duì)安全工程概念的理解
5.2.2 安全工程過程的分類
5.2.3 SSE-CMM的體系結(jié)構(gòu)
5.3 SSE-CMM的應(yīng)用
5.3.1 理解SSE-CMM的應(yīng)用
5.3.2 應(yīng)用于過程改進(jìn)
5.3.3 應(yīng)用于能力評(píng)定
5.3.4 應(yīng)用于獲得保證
第6章 SSE-CMM的過程域
6.1 PA01——管理安全控制
6.1.1 BP01.01——建立安全職責(zé)
6.1.2 BP01.02——管理安全配置
6.1.3 BP01.03——管理安全意識(shí)培養(yǎng)、培訓(xùn)和教育項(xiàng)目
6.1.4 BP01.04——管理安全服務(wù)及控制機(jī)制
6.2 PA02——評(píng)估影響
6.2.1 BP02.01——對(duì)功能進(jìn)行優(yōu)先級(jí)排序
6.2.2 BP02.02——標(biāo)識(shí)系統(tǒng)資產(chǎn)
6.2.3 BP02.03——選擇影響的度量準(zhǔn)則
6.2.4 BP02.04——確定不同度量準(zhǔn)則之間的關(guān)系
6.2.5 BP02.05——標(biāo)識(shí)和描述影響
6.2.6 BP02.06——監(jiān)視影響
6.3 PA03——評(píng)估安全風(fēng)險(xiǎn)
6.3.1 BP03.01——選擇風(fēng)險(xiǎn)分析方法
6.3.2 BP03.02——標(biāo)識(shí)暴露
6.3.3 BP03.03——評(píng)估暴露的風(fēng)險(xiǎn)
6.3.4 BP03.04——評(píng)估總體的不確定性
6.3.5 BP03.05——排列風(fēng)險(xiǎn)優(yōu)先級(jí)
6.3.6 BP03.06——監(jiān)視風(fēng)險(xiǎn)及其特征
6.4 PA04——評(píng)估威脅
6.4.1 BP04.01——標(biāo)識(shí)自然威脅
6.4.2 BP04.02——標(biāo)識(shí)人為威脅
6.4.3 BP04.03——標(biāo)識(shí)威脅的測(cè)量單元
6.4.4 BP04.04——評(píng)估威脅主體的能力
6.4.5 BP04.05——評(píng)估威脅的可能性
6.4.6 BP04.06——監(jiān)視威脅及其特征
6.5 PA05——評(píng)估脆弱性
6.5.1 BP05.01——選擇脆弱性分析方法
6.5.2 BP05.02——標(biāo)識(shí)脆弱性
6.5.3 BP05.03——收集脆弱性數(shù)據(jù)
6.5.4 BP05.04——綜合系統(tǒng)的脆弱性
6.5.5 BP05.05——監(jiān)視脆弱性及其特征
6.6 PA06——建立保證論據(jù)
6.6.1 BP06.01——標(biāo)識(shí)保證目標(biāo)
6.6.2 BP06.02——定義保證戰(zhàn)略
6.6.3 BP06.03——控制保證證據(jù)
6.6.4 BP06.04——分析證據(jù)
6.6.5 BP06.05——提供保證論據(jù)
6.7 PA07——協(xié)調(diào)安全
6.7.1 BP07.01——定義協(xié)調(diào)目標(biāo)
6.7.2 BP07.02——標(biāo)識(shí)協(xié)調(diào)機(jī)制
6.7.3 BP07.03——促進(jìn)協(xié)調(diào)
6.7.4 BP07.04——協(xié)調(diào)安全決策和建議
6.8 PA08——監(jiān)視安全態(tài)勢(shì)
6.8.1 BP08.01——分析事件記錄
6.8.2 BP08.02——監(jiān)視變化
6.8.3 BP08.03——標(biāo)識(shí)安全事件
6.8.4 BP08.04——監(jiān)視安全措施
6.8.5 BP08.05——檢查安全態(tài)勢(shì)
6.8.6 BP08.06——管理安全事件響應(yīng)
6.8.7 BP08.07——保護(hù)安全監(jiān)視的結(jié)果
6.9 PA09——提供安全輸入
6.9.1 BP09.01——理解安全輸入需求
6.9.2 BP09.02——確定安全約束和安全考慮
6.9.3 BP09.03——標(biāo)識(shí)安全備選方案
6.9.4 BP09.04——分析工程備選方案的安全性
6.9.5 BP09.05——提供安全工程指南
6.9.6 BP09.06——提供運(yùn)行安全指南
6.10 PA10——確定安全需求
6.10.1 BP10.01——獲得對(duì)客戶安全需求的理解
6.10.2 BP10.02——標(biāo)識(shí)有關(guān)的法律、政策和約束
6.10.3 BP10.03——標(biāo)識(shí)系統(tǒng)安全背景
6.10.4 BP10.04——形成對(duì)系統(tǒng)運(yùn)行的安全認(rèn)識(shí)
6.10.5 BP10.05——形成安全的高層目標(biāo)
6.10.6 BP10.06——定義安全相關(guān)需求
6.10.7 BP10.07——達(dá)成對(duì)安全的一致性認(rèn)識(shí)
6.11 PA11——驗(yàn)證與確認(rèn)安全
6.11.1 BP11.01——標(biāo)識(shí)驗(yàn)證與確認(rèn)對(duì)象
6.11.2 BP11.02——定義驗(yàn)證與確認(rèn)方法
6.11.3 BP11.03——實(shí)施驗(yàn)證
6.11.4 BP11.04——實(shí)施確認(rèn)
6.11.5 BP11.05——提供驗(yàn)證與確認(rèn)的結(jié)果
第7章 SSE-CMM的能力級(jí)別
7.1 能力級(jí)1——非正式執(zhí)行
7.1.1 公共特征1.1——執(zhí)行基本實(shí)施
7.2 能力級(jí)2——計(jì)劃和跟蹤
7.2.1 公共特征2.1——規(guī)劃執(zhí)行
7.2.2 公共特征2.2——規(guī)范化執(zhí)行
7.2.3 公共特征2.3——驗(yàn)證執(zhí)行
7.2.4 公共特征2.4——跟蹤執(zhí)行
7.3 能力級(jí)3——充分定義
7.3.1 公共特征3.1——定義標(biāo)準(zhǔn)過程
7.3.2 公共特征3.2——執(zhí)行既定過程
7.3.3 公共特征3.3——協(xié)調(diào)安全實(shí)施
7.4 能力級(jí)4——量化控制
7.4.1 公共特征4.1——建立可測(cè)的質(zhì)量目標(biāo)
7.4.2 公共特征4.2——客觀地管理過程的執(zhí)行情況
7.5 能力級(jí)5——持續(xù)改進(jìn)
7.5.1 公共特征5.1——改進(jìn)機(jī)構(gòu)的能力
7.5.2 公共特征5.2——改進(jìn)過程的有效性
第8章 對(duì)SSE-CMM三大安全焦點(diǎn)的進(jìn)一步討論
8.1 本章引言
8.2 工程過程
8.3 風(fēng)險(xiǎn)過程
8.4 保證過程
8.4.1 SSE-CMM中保證過程的充分性
8.4.2 SSE-CMM與CC保證類的對(duì)應(yīng)
第9章 信息安全工程與等級(jí)保護(hù)
9.1 信息安全評(píng)估標(biāo)準(zhǔn)的國際發(fā)展
9.1.1 TCSEC
9.1.2 ITSEC
9.1.3 CC
9.2 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)介紹
9.2.1 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)框架
9.2.2 GB 17859及其應(yīng)用指南
9.2.3 關(guān)于安全等級(jí)的確定
9.3 等級(jí)保護(hù)體系中的信息安全工程標(biāo)準(zhǔn)
第10章 開放地看待信息安全工程方法
10.1 本章引言
10.2 ISO/IEC 15443——IT安全保證框架的啟示
附錄A 縮略語
附錄B NIST建議的IT安全工程原則
附錄C SSE-CMM的基本實(shí)施列表
附錄D SSE-CMM的能力級(jí)及通用實(shí)施列表
附錄E SSE-CMM關(guān)心的其他過程域
E.1 PA12——確保質(zhì)量
E.2 PA13——管理配置
E.3 PA14——管理項(xiàng)目風(fēng)險(xiǎn)
E.4 PA15——監(jiān)視和控制技術(shù)工作
E.5 PA16——規(guī)劃技術(shù)工作
E.6 PA17——定義機(jī)構(gòu)的系統(tǒng)工程過程
E.7 PA18——改進(jìn)機(jī)構(gòu)的系統(tǒng)工程過程
E.8 PA19——管理產(chǎn)品線發(fā)展
E.9 PA20——管理系統(tǒng)工程支撐環(huán)境
E.10 PA21——提供不斷發(fā)展的技能和知識(shí)
E.11 PA22——與提供商協(xié)調(diào)
參考文獻(xiàn)