信息安全工程導(dǎo)論

第1章 引言
1.1 信息安全保障的基本概念
1.1.1 什么是信息安全
1.1.2 信息安全的發(fā)展過程
1.1.3 信息安全保障現(xiàn)狀和信息安全保障體系建設(shè)
1.2 信息安全保障與信息安全工程
1.2.1 為什么需要信息安全工程
1.2.2 信息安全工程方法的發(fā)展
第2章 信息安全工程基礎(chǔ)——系統(tǒng)工程過程
2.1 系統(tǒng)工程過程概況
2.2 發(fā)掘需求
2.2.1 任務(wù)/業(yè)務(wù)的描述
2.2.2 需要考慮的策略和政策
2.3 定義系統(tǒng)功能
2.3.1 目標(biāo)
2.3.2 系統(tǒng)背景/環(huán)境
2.3.3 要求
2.3.4 功能分析
2.4 設(shè)計系統(tǒng)
2.4.1 功能分配
2.4.2 概要設(shè)計
2.4.3 詳細(xì)設(shè)計
2.5 實施系統(tǒng)
2.5.1 采購
2.5.2 建設(shè)
2.5.3 測試
2.6 有效性評估
第3章 ISSE過程
3.1 信息系統(tǒng)安全工程(ISSE)過程概述
3.2 發(fā)掘信息保護(hù)需求
3.2.1 機(jī)構(gòu)任務(wù)信息的保護(hù)需求
3.2.2 考察信息系統(tǒng)面臨的威脅
3.2.3 信息安全保護(hù)策略的考慮
3.3 定義信息保護(hù)系統(tǒng)
3.3.1 信息保護(hù)目標(biāo)
3.3.2 系統(tǒng)背景/環(huán)境
3.3.3 信息保護(hù)需求
3.3.4 功能分析
3.4 設(shè)計信息保護(hù)系統(tǒng)
3.4.1 功能分配
3.4.2 概要信息保護(hù)設(shè)計
3.4.3 詳細(xì)信息保護(hù)設(shè)計
3.5 實施信息保護(hù)系統(tǒng)
3.5.1 采購
3.5.2 建設(shè)
3.5.3 測試
3.6 評估信息保護(hù)系統(tǒng)的有效性
第4章 ISSE與其他過程的聯(lián)系
4.1 本章引言
4.2 系統(tǒng)采辦過程
4.3 風(fēng)險管理過程
4.3.1 理解任務(wù)與信息保護(hù)目標(biāo)
4.3.2 描述風(fēng)險狀況
4.3.3 描述可行的風(fēng)險對策
4.3.4 決定風(fēng)險對策
4.3.5 執(zhí)行決策
4.3.6 風(fēng)險管理的獨(dú)立性
4.4 生命周期支持
4.5 認(rèn)證與認(rèn)可
4.6 CC與ISSE
第5章 SSE-CMM綜述
5.1 SSE-CMM簡介
5.1.1 SSE-CMM的概念
5.1.2 SSE-CMM的動因
5.1.3 SSE-CMM的適用范圍
5.1.4 SSE-CMM的用戶
5.1.5 怎樣使用SSE-CMM
5.1.6 SSE-CMM的益處
5.2 SSE-CMM方法學(xué)
5.2.1 對安全工程概念的理解
5.2.2 安全工程過程的分類
5.2.3 SSE-CMM的體系結(jié)構(gòu)
5.3 SSE-CMM的應(yīng)用
5.3.1 理解SSE-CMM的應(yīng)用
5.3.2 應(yīng)用于過程改進(jìn)
5.3.3 應(yīng)用于能力評定
5.3.4 應(yīng)用于獲得保證
第6章 SSE-CMM的過程域
6.1 PA01——管理安全控制
6.1.1 BP01.01——建立安全職責(zé)
6.1.2 BP01.02——管理安全配置
6.1.3 BP01.03——管理安全意識培養(yǎng)、培訓(xùn)和教育項目
6.1.4 BP01.04——管理安全服務(wù)及控制機(jī)制
6.2 PA02——評估影響
6.2.1 BP02.01——對功能進(jìn)行優(yōu)先級排序
6.2.2 BP02.02——標(biāo)識系統(tǒng)資產(chǎn)
6.2.3 BP02.03——選擇影響的度量準(zhǔn)則
6.2.4 BP02.04——確定不同度量準(zhǔn)則之間的關(guān)系
6.2.5 BP02.05——標(biāo)識和描述影響
6.2.6 BP02.06——監(jiān)視影響
6.3 PA03——評估安全風(fēng)險
6.3.1 BP03.01——選擇風(fēng)險分析方法
6.3.2 BP03.02——標(biāo)識暴露
6.3.3 BP03.03——評估暴露的風(fēng)險
6.3.4 BP03.04——評估總體的不確定性
6.3.5 BP03.05——排列風(fēng)險優(yōu)先級
6.3.6 BP03.06——監(jiān)視風(fēng)險及其特征
6.4 PA04——評估威脅
6.4.1 BP04.01——標(biāo)識自然威脅
6.4.2 BP04.02——標(biāo)識人為威脅
6.4.3 BP04.03——標(biāo)識威脅的測量單元
6.4.4 BP04.04——評估威脅主體的能力
6.4.5 BP04.05——評估威脅的可能性
6.4.6 BP04.06——監(jiān)視威脅及其特征
6.5 PA05——評估脆弱性
6.5.1 BP05.01——選擇脆弱性分析方法
6.5.2 BP05.02——標(biāo)識脆弱性
6.5.3 BP05.03——收集脆弱性數(shù)據(jù)
6.5.4 BP05.04——綜合系統(tǒng)的脆弱性
6.5.5 BP05.05——監(jiān)視脆弱性及其特征
6.6 PA06——建立保證論據(jù)
6.6.1 BP06.01——標(biāo)識保證目標(biāo)
6.6.2 BP06.02——定義保證戰(zhàn)略
6.6.3 BP06.03——控制保證證據(jù)
6.6.4 BP06.04——分析證據(jù)
6.6.5 BP06.05——提供保證論據(jù)
6.7 PA07——協(xié)調(diào)安全
6.7.1 BP07.01——定義協(xié)調(diào)目標(biāo)
6.7.2 BP07.02——標(biāo)識協(xié)調(diào)機(jī)制
6.7.3 BP07.03——促進(jìn)協(xié)調(diào)
6.7.4 BP07.04——協(xié)調(diào)安全決策和建議
6.8 PA08——監(jiān)視安全態(tài)勢
6.8.1 BP08.01——分析事件記錄
6.8.2 BP08.02——監(jiān)視變化
6.8.3 BP08.03——標(biāo)識安全事件
6.8.4 BP08.04——監(jiān)視安全措施
6.8.5 BP08.05——檢查安全態(tài)勢
6.8.6 BP08.06——管理安全事件響應(yīng)
6.8.7 BP08.07——保護(hù)安全監(jiān)視的結(jié)果
6.9 PA09——提供安全輸入
6.9.1 BP09.01——理解安全輸入需求
6.9.2 BP09.02——確定安全約束和安全考慮
6.9.3 BP09.03——標(biāo)識安全備選方案
6.9.4 BP09.04——分析工程備選方案的安全性
6.9.5 BP09.05——提供安全工程指南
6.9.6 BP09.06——提供運(yùn)行安全指南
6.10 PA10——確定安全需求
6.10.1 BP10.01——獲得對客戶安全需求的理解
6.10.2 BP10.02——標(biāo)識有關(guān)的法律、政策和約束
6.10.3 BP10.03——標(biāo)識系統(tǒng)安全背景
6.10.4 BP10.04——形成對系統(tǒng)運(yùn)行的安全認(rèn)識
6.10.5 BP10.05——形成安全的高層目標(biāo)
6.10.6 BP10.06——定義安全相關(guān)需求
6.10.7 BP10.07——達(dá)成對安全的一致性認(rèn)識
6.11 PA11——驗證與確認(rèn)安全
6.11.1 BP11.01——標(biāo)識驗證與確認(rèn)對象
6.11.2 BP11.02——定義驗證與確認(rèn)方法
6.11.3 BP11.03——實施驗證
6.11.4 BP11.04——實施確認(rèn)
6.11.5 BP11.05——提供驗證與確認(rèn)的結(jié)果
第7章 SSE-CMM的能力級別
7.1 能力級1——非正式執(zhí)行
7.1.1 公共特征1.1——執(zhí)行基本實施
7.2 能力級2——計劃和跟蹤
7.2.1 公共特征2.1——規(guī)劃執(zhí)行
7.2.2 公共特征2.2——規(guī)范化執(zhí)行
7.2.3 公共特征2.3——驗證執(zhí)行
7.2.4 公共特征2.4——跟蹤執(zhí)行
7.3 能力級3——充分定義
7.3.1 公共特征3.1——定義標(biāo)準(zhǔn)過程
7.3.2 公共特征3.2——執(zhí)行既定過程
7.3.3 公共特征3.3——協(xié)調(diào)安全實施
7.4 能力級4——量化控制
7.4.1 公共特征4.1——建立可測的質(zhì)量目標(biāo)
7.4.2 公共特征4.2——客觀地管理過程的執(zhí)行情況
7.5 能力級5——持續(xù)改進(jìn)
7.5.1 公共特征5.1——改進(jìn)機(jī)構(gòu)的能力
7.5.2 公共特征5.2——改進(jìn)過程的有效性
第8章 對SSE-CMM三大安全焦點(diǎn)的進(jìn)一步討論
8.1 本章引言
8.2 工程過程
8.3 風(fēng)險過程
8.4 保證過程
8.4.1 SSE-CMM中保證過程的充分性
8.4.2 SSE-CMM與CC保證類的對應(yīng)
第9章 信息安全工程與等級保護(hù)
9.1 信息安全評估標(biāo)準(zhǔn)的國際發(fā)展
9.1.1 TCSEC
9.1.2 ITSEC
9.1.3 CC
9.2 計算機(jī)信息系統(tǒng)安全等級保護(hù)介紹
9.2.1 計算機(jī)信息系統(tǒng)安全等級保護(hù)框架
9.2.2 GB 17859及其應(yīng)用指南
9.2.3 關(guān)于安全等級的確定
9.3 等級保護(hù)體系中的信息安全工程標(biāo)準(zhǔn)
第10章 開放地看待信息安全工程方法
10.1 本章引言
10.2 ISO/IEC 15443——IT安全保證框架的啟示
附錄A 縮略語
附錄B NIST建議的IT安全工程原則
附錄C SSE-CMM的基本實施列表
附錄D SSE-CMM的能力級及通用實施列表
附錄E SSE-CMM關(guān)心的其他過程域
E.1 PA12——確保質(zhì)量
E.2 PA13——管理配置
E.3 PA14——管理項目風(fēng)險
E.4 PA15——監(jiān)視和控制技術(shù)工作
E.5 PA16——規(guī)劃技術(shù)工作
E.6 PA17——定義機(jī)構(gòu)的系統(tǒng)工程過程
E.7 PA18——改進(jìn)機(jī)構(gòu)的系統(tǒng)工程過程
E.8 PA19——管理產(chǎn)品線發(fā)展
E.9 PA20——管理系統(tǒng)工程支撐環(huán)境
E.10 PA21——提供不斷發(fā)展的技能和知識
E.11 PA22——與提供商協(xié)調(diào)
參考文獻(xiàn)