信息安全工程導論

第1章 引言
1.1 信息安全保障的基本概念
1.1.1 什么是信息安全
1.1.2 信息安全的發(fā)展過程
1.1.3 信息安全保障現(xiàn)狀和信息安全保障體系建設
1.2 信息安全保障與信息安全工程
1.2.1 為什么需要信息安全工程
1.2.2 信息安全工程方法的發(fā)展
第2章 信息安全工程基礎——系統(tǒng)工程過程
2.1 系統(tǒng)工程過程概況
2.2 發(fā)掘需求
2.2.1 任務/業(yè)務的描述
2.2.2 需要考慮的策略和政策
2.3 定義系統(tǒng)功能
2.3.1 目標
2.3.2 系統(tǒng)背景/環(huán)境
2.3.3 要求
2.3.4 功能分析
2.4 設計系統(tǒng)
2.4.1 功能分配
2.4.2 概要設計
2.4.3 詳細設計
2.5 實施系統(tǒng)
2.5.1 采購
2.5.2 建設
2.5.3 測試
2.6 有效性評估
第3章 ISSE過程
3.1 信息系統(tǒng)安全工程(ISSE)過程概述
3.2 發(fā)掘信息保護需求
3.2.1 機構任務信息的保護需求
3.2.2 考察信息系統(tǒng)面臨的威脅
3.2.3 信息安全保護策略的考慮
3.3 定義信息保護系統(tǒng)
3.3.1 信息保護目標
3.3.2 系統(tǒng)背景/環(huán)境
3.3.3 信息保護需求
3.3.4 功能分析
3.4 設計信息保護系統(tǒng)
3.4.1 功能分配
3.4.2 概要信息保護設計
3.4.3 詳細信息保護設計
3.5 實施信息保護系統(tǒng)
3.5.1 采購
3.5.2 建設
3.5.3 測試
3.6 評估信息保護系統(tǒng)的有效性
第4章 ISSE與其他過程的聯(lián)系
4.1 本章引言
4.2 系統(tǒng)采辦過程
4.3 風險管理過程
4.3.1 理解任務與信息保護目標
4.3.2 描述風險狀況
4.3.3 描述可行的風險對策
4.3.4 決定風險對策
4.3.5 執(zhí)行決策
4.3.6 風險管理的獨立性
4.4 生命周期支持
4.5 認證與認可
4.6 CC與ISSE
第5章 SSE-CMM綜述
5.1 SSE-CMM簡介
5.1.1 SSE-CMM的概念
5.1.2 SSE-CMM的動因
5.1.3 SSE-CMM的適用范圍
5.1.4 SSE-CMM的用戶
5.1.5 怎樣使用SSE-CMM
5.1.6 SSE-CMM的益處
5.2 SSE-CMM方法學
5.2.1 對安全工程概念的理解
5.2.2 安全工程過程的分類
5.2.3 SSE-CMM的體系結構
5.3 SSE-CMM的應用
5.3.1 理解SSE-CMM的應用
5.3.2 應用于過程改進
5.3.3 應用于能力評定
5.3.4 應用于獲得保證
第6章 SSE-CMM的過程域
6.1 PA01——管理安全控制
6.1.1 BP01.01——建立安全職責
6.1.2 BP01.02——管理安全配置
6.1.3 BP01.03——管理安全意識培養(yǎng)、培訓和教育項目
6.1.4 BP01.04——管理安全服務及控制機制
6.2 PA02——評估影響
6.2.1 BP02.01——對功能進行優(yōu)先級排序
6.2.2 BP02.02——標識系統(tǒng)資產
6.2.3 BP02.03——選擇影響的度量準則
6.2.4 BP02.04——確定不同度量準則之間的關系
6.2.5 BP02.05——標識和描述影響
6.2.6 BP02.06——監(jiān)視影響
6.3 PA03——評估安全風險
6.3.1 BP03.01——選擇風險分析方法
6.3.2 BP03.02——標識暴露
6.3.3 BP03.03——評估暴露的風險
6.3.4 BP03.04——評估總體的不確定性
6.3.5 BP03.05——排列風險優(yōu)先級
6.3.6 BP03.06——監(jiān)視風險及其特征
6.4 PA04——評估威脅
6.4.1 BP04.01——標識自然威脅
6.4.2 BP04.02——標識人為威脅
6.4.3 BP04.03——標識威脅的測量單元
6.4.4 BP04.04——評估威脅主體的能力
6.4.5 BP04.05——評估威脅的可能性
6.4.6 BP04.06——監(jiān)視威脅及其特征
6.5 PA05——評估脆弱性
6.5.1 BP05.01——選擇脆弱性分析方法
6.5.2 BP05.02——標識脆弱性
6.5.3 BP05.03——收集脆弱性數(shù)據(jù)
6.5.4 BP05.04——綜合系統(tǒng)的脆弱性
6.5.5 BP05.05——監(jiān)視脆弱性及其特征
6.6 PA06——建立保證論據(jù)
6.6.1 BP06.01——標識保證目標
6.6.2 BP06.02——定義保證戰(zhàn)略
6.6.3 BP06.03——控制保證證據(jù)
6.6.4 BP06.04——分析證據(jù)
6.6.5 BP06.05——提供保證論據(jù)
6.7 PA07——協(xié)調安全
6.7.1 BP07.01——定義協(xié)調目標
6.7.2 BP07.02——標識協(xié)調機制
6.7.3 BP07.03——促進協(xié)調
6.7.4 BP07.04——協(xié)調安全決策和建議
6.8 PA08——監(jiān)視安全態(tài)勢
6.8.1 BP08.01——分析事件記錄
6.8.2 BP08.02——監(jiān)視變化
6.8.3 BP08.03——標識安全事件
6.8.4 BP08.04——監(jiān)視安全措施
6.8.5 BP08.05——檢查安全態(tài)勢
6.8.6 BP08.06——管理安全事件響應
6.8.7 BP08.07——保護安全監(jiān)視的結果
6.9 PA09——提供安全輸入
6.9.1 BP09.01——理解安全輸入需求
6.9.2 BP09.02——確定安全約束和安全考慮
6.9.3 BP09.03——標識安全備選方案
6.9.4 BP09.04——分析工程備選方案的安全性
6.9.5 BP09.05——提供安全工程指南
6.9.6 BP09.06——提供運行安全指南
6.10 PA10——確定安全需求
6.10.1 BP10.01——獲得對客戶安全需求的理解
6.10.2 BP10.02——標識有關的法律、政策和約束
6.10.3 BP10.03——標識系統(tǒng)安全背景
6.10.4 BP10.04——形成對系統(tǒng)運行的安全認識
6.10.5 BP10.05——形成安全的高層目標
6.10.6 BP10.06——定義安全相關需求
6.10.7 BP10.07——達成對安全的一致性認識
6.11 PA11——驗證與確認安全
6.11.1 BP11.01——標識驗證與確認對象
6.11.2 BP11.02——定義驗證與確認方法
6.11.3 BP11.03——實施驗證
6.11.4 BP11.04——實施確認
6.11.5 BP11.05——提供驗證與確認的結果
第7章 SSE-CMM的能力級別
7.1 能力級1——非正式執(zhí)行
7.1.1 公共特征1.1——執(zhí)行基本實施
7.2 能力級2——計劃和跟蹤
7.2.1 公共特征2.1——規(guī)劃執(zhí)行
7.2.2 公共特征2.2——規(guī)范化執(zhí)行
7.2.3 公共特征2.3——驗證執(zhí)行
7.2.4 公共特征2.4——跟蹤執(zhí)行
7.3 能力級3——充分定義
7.3.1 公共特征3.1——定義標準過程
7.3.2 公共特征3.2——執(zhí)行既定過程
7.3.3 公共特征3.3——協(xié)調安全實施
7.4 能力級4——量化控制
7.4.1 公共特征4.1——建立可測的質量目標
7.4.2 公共特征4.2——客觀地管理過程的執(zhí)行情況
7.5 能力級5——持續(xù)改進
7.5.1 公共特征5.1——改進機構的能力
7.5.2 公共特征5.2——改進過程的有效性
第8章 對SSE-CMM三大安全焦點的進一步討論
8.1 本章引言
8.2 工程過程
8.3 風險過程
8.4 保證過程
8.4.1 SSE-CMM中保證過程的充分性
8.4.2 SSE-CMM與CC保證類的對應
第9章 信息安全工程與等級保護
9.1 信息安全評估標準的國際發(fā)展
9.1.1 TCSEC
9.1.2 ITSEC
9.1.3 CC
9.2 計算機信息系統(tǒng)安全等級保護介紹
9.2.1 計算機信息系統(tǒng)安全等級保護框架
9.2.2 GB 17859及其應用指南
9.2.3 關于安全等級的確定
9.3 等級保護體系中的信息安全工程標準
第10章 開放地看待信息安全工程方法
10.1 本章引言
10.2 ISO/IEC 15443——IT安全保證框架的啟示
附錄A 縮略語
附錄B NIST建議的IT安全工程原則
附錄C SSE-CMM的基本實施列表
附錄D SSE-CMM的能力級及通用實施列表
附錄E SSE-CMM關心的其他過程域
E.1 PA12——確保質量
E.2 PA13——管理配置
E.3 PA14——管理項目風險
E.4 PA15——監(jiān)視和控制技術工作
E.5 PA16——規(guī)劃技術工作
E.6 PA17——定義機構的系統(tǒng)工程過程
E.7 PA18——改進機構的系統(tǒng)工程過程
E.8 PA19——管理產品線發(fā)展
E.9 PA20——管理系統(tǒng)工程支撐環(huán)境
E.10 PA21——提供不斷發(fā)展的技能和知識
E.11 PA22——與提供商協(xié)調
參考文獻