信息安全工程与管理2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

信息安全工程与管理PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 信息安全工程1

1.1 信息安全的概念1

1.1.1 信息安全的基本范畴1

1.1.2 信息安全工程的概念2

1.2 信息安全保障体系5

1.2.1 信息保障是信息安全的新发展5

1.2.2 信息保障的构成及其空间特性6

1.2.3 信息安全保障模型8

1.2.4 信息安全保障体系的架构9

1.2.5 信息安全保障体系的建设11

1.3 信息安全保障与信息安全工程21

1.3.1 实施信息安全工程的必要性21

1.3.2 信息安全工程的发展23

本章小结25

思考题25

第2章 ISSE过程26

2.1 概述26

2.2 发掘信息安全需求27

2.2.1 了解任务的信息保护需求27

2.2.2 掌握对信息系统的威胁28

2.2.3 考虑信息安全的策略28

2.3 定义信息安全系统29

2.3.1 确定信息保护目标29

2.3.2 描述系统联系29

2.3.3 检查信息保护需求30

2.3.4 功能分析30

2.4 设计信息安全系统30

2.4.1 功能分配30

2.4.2 信息保护预设计31

2.4.3 详细的信息保护设计31

2.5 实施信息安全系统31

2.5.1 采购部件31

2.5.2 建造系统32

2.5.3 测试系统32

2.6 评估信息安全系统32

2.7 ISSE的基本功能33

2.8 ISSE实施框架33

2.9 ISSE实施的案例35

2.9.1 某省市级电子政务网络互联基本情况35

2.9.2 某省市级电子政务信息系统安全保障工程建设过程36

本章小结37

思考题38

第3章 SSE-CMM工程39

3.1 概述39

3.1.1 SSE-CMM适用范围39

3.1.2 SSE-CMM的用户40

3.1.3 SSE-CMM的用途40

3.1.4 使用SSE-CMM的好处40

3.2 SSE-CMM体系结构41

3.2.1 基本概念41

3.2.2 SSE-CMM的过程域42

3.2.3 SSE-CMM的结构描述45

3.3 SSE-CMM应用50

3.3.1 模型使用50

3.3.2 过程改进51

3.3.3 能力评估54

3.3.4 信任度评估57

3.4 ISSE与SSE-CMM的比较57

本章小结59

思考题59

第4章 信息安全工程与等级保护60

4.1 概述60

4.2 等级保护的发展61

4.2.1 信息安全评估准则的发展61

4.2.2 中国等级保护的发展63

4.3 等级保护与信息保障各环节的关系65

4.4 实行信息安全等级保护的意义66

4.5 信息系统安全等级保护的基本原理和方法66

4.5.1 等级保护的基本原理66

4.5.2 等级保护的基本方法67

4.5.3 关于安全域69

4.6 信息系统的安全保护等级70

4.6.1 安全保护等级的划分70

4.6.2 安全保护等级的确定74

4.7 信息系统安全等级保护体系76

4.7.1 信息系统安全等级保护法律、法规和政策依据77

4.7.2 信息系统安全等级保护标准体系77

4.7.3 信息系统安全等级保护管理体系82

4.7.4 信息系统安全等级保护技术体系86

4.8 有关部门信息安全等级保护工作经验97

本章小结99

思考题100

第5章 信息安全管理101

5.1 信息安全管理相关概念101

5.1.1 什么是信息安全管理101

5.1.2 信息安全管理现状102

5.1.3 信息安全管理意义105

5.1.4 信息安全管理的内容和原则106

5.1.5 信息系统的安全因素108

5.1.6 信息安全管理模型109

5.2 信息安全管理标准110

5.2.1 信息安全管理标准的发展110

5.2.2 BS 7799的内容114

5.2.3 引入BS 7799的好处117

5.3 信息安全管理的实施要点118

本章小结119

思考题120

第6章 信息安全管理控制规范121

6.1 概述121

6.2 信息安全方针121

6.2.1 信息安全方针文件121

6.2.2 信息安全方针的评审122

6.3 安全组织122

6.3.1 内部组织122

6.3.2 外部各方124

6.4 资产管理126

6.4.1 对资产负责126

6.4.2 信息资源分类127

6.5 人员安全127

6.5.1 任用之前127

6.5.2 任用之中128

6.5.3 任用的终止或变化129

6.6 物理和环境安全130

6.6.1 安全区域130

6.6.2 设备安全132

6.7 通信与操作安全134

6.7.1 操作规程和职责134

6.7.2 第三方服务交付管理135

6.7.3 系统规划和验收136

6.7.4 防范恶意和移动代码137

6.7.5 备份138

6.7.6 网络安全管理138

6.7.7 介质处置139

6.7.8 信息的交换140

6.7.9 电子商务服务141

6.7.10 监视142

6.8 访问控制144

6.8.1 访问控制策略144

6.8.2 用户访问管理145

6.8.3 用户职责146

6.8.4 网络访问控制147

6.8.5 操作系统访问控制149

6.8.6 应用和信息的访问控制151

6.8.7 移动计算和远程工作151

6.9 系统开发与维护152

6.9.1 信息系统的安全要求152

6.9.2 应用中的正确处理153

6.9.3 密码控制154

6.9.4 系统文件的安全155

6.9.5 开发和支持过程中的安全156

6.9.6 技术脆弱性管理157

6.10 安全事件管理158

6.10.1 报告信息安全事件和弱点158

6.10.2 信息安全事件的响应管理158

6.11 业务持续性管理159

6.11.1 业务持续性管理的信息安全159

6.11.2 业务持续性和风险评估160

6.11.3 制定和实施业务持续性计划160

6.11.4 业务持续性计划框架160

6.11.5 测试、维护和再评估业务持续性计划161

6.12 符合性保证161

6.12.1 符合法律要求161

6.12.2 符合安全策略、标准和相关技术163

6.12.3 信息系统审计要求164

本章小结164

思考题165

第7章 信息安全管理体系166

7.1 概述166

7.2 信息安全管理体系的准备167

7.2.1 组织与人员建设167

7.2.2 工作计划制定168

7.2.3 能力要求与教育培训168

7.2.4 信息安全管理体系文件169

7.3 信息安全管理体系的建立170

7.3.1 确定ISMS信息安全方针170

7.3.2 确定ISMS范围和边界171

7.3.3 实施ISMS风险评估172

7.3.4 进行ISMS风险管理173

7.3.5 为处理风险选择控制目标与措施174

7.3.6 准备适用性声明175

7.4 信息安全管理体系的实施和运行175

7.5 信息安全管理体系的监视和评审176

7.5.1 监视和评审过程176

7.5.2 ISMS内部审核177

7.5.3 ISMS管理评审179

7.6 信息安全管理体系的保持和改进180

7.6.1 纠正措施180

7.6.2 预防措施180

7.6.3 控制不符合项180

7.7 信息安全管理体系的认证181

7.7.1 认证的目的181

7.7.2 前期工作182

7.7.3 认证过程183

7.7.4 ISMS认证案例186

本章小结188

思考题188

第8章 信息安全风险评估189

8.1 概述189

8.1.1 信息安全风险评估的目标和原则189

8.1.2 实施信息安全风险评估的好处190

8.2 信息安全风险评估的基本要素190

8.2.1 风险评估的相关要素191

8.2.2 风险要素的相互关系194

8.3 信息安全风险评估过程195

8.3.1 风险评估准备195

8.3.2 资产识别与估价196

8.3.3 威胁识别与评估198

8.3.4 脆弱性识别与评估200

8.3.5 现有安全控制措施的确认202

8.3.6 风险计算与分析202

8.3.7 风险管理与控制204

8.3.8 风险评估记录文档206

8.4 信息安全风险要素计算方法207

8.4.1 矩阵法计算风险208

8.4.2 相乘法计算风险211

8.5 信息安全风险评估方法212

8.5.1 基本风险评估212

8.5.2 详细风险评估213

8.5.3 综合风险评估214

8.6 风险评估工具215

8.6.1 风险评估与管理工具215

8.6.2 信息基础设施风险评估工具217

8.6.3 风险评估辅助工具220

8.6.4 风险评估工具的选择220

本章小结221

思考题221

第9章 信息安全策略222

9.1 概述222

9.2 安全策略的重要性223

9.3 安全策略的内容224

9.3.1 总体安全策略224

9.3.2 问题安全策略226

9.3.3 功能安全策略227

9.4 安全策略的制定过程230

9.4.1 调查与分析阶段230

9.4.2 设计阶段231

9.4.3 实施阶段231

9.4.4 维护阶段232

9.5 安全策略的制定原则232

9.6 策略管理的自动化工具233

9.6.1 策略管理框架233

9.6.2 自适应策略管理及发布模型234

9.6.3 策略管理的应用工具235

9.7 关于安全策略的若干偏见236

本章小结238

思考题238

参考文献239