信息安全工程与实践

1.国家十三五重点出版规划 2.信息安全工程目前广受重视，但相关的图书较少，本书作者长期从事安全工程开发，很后一章讲述当前的热门技术案例，具有与其他图书不同的特色

本书参考信息安全工程与管理领域的近期新成果，结合目前信息安全教学的需要，全面系统的讲述了信息安全工程以及安全项目管理的概念、原理和方法，通过信息安全工程实践和安全项目管理实训，使读者能够理论联系实际，全面掌握信息安全工程与管理的体系结构。

王瑞锦，博士，电子科技大学教师，2103年毕业于电子科技大学信息安全专业博士，2015年-2016年国家公派美国西北大学访问学者。长期从事云安全、内容与数据安全等方向的研究，发表15篇SCI/EI论文，主持3项科研与4项教学项目，申请发明专利10余项。全国大学生信息安全竞赛评委专家、很好指导教师，电子科技大学信息安全竞赛教练组组长。在竞赛指导上认真严谨有责任心，在技术指导之外，注重学生“新四会”能力的培养，连续3年指导学生获全国信息安全竞赛国奖10项，其他互联网+竞赛获奖20余项。

章 信息安全工程基础  1 1.1  信息安全概述  1 1.1.1  信息安全的发展  2 1.1.2  信息安全的目标  3 1.2  信息安全保障  4 1.2.1  信息安全问题的产生  5 1.2.2  信息安全保障模型  5 1.2.3  信息保障技术框架  9 1.2.4  信息安全保障体系建设  11 1.3  信息安全工程  14 1.3.1  信息安全工程的概念  14 1.3.2  信息安全工程的发展  15 1.3.3  信息安全工程相关理论技术  17 本章小结  18 思考题  19 第2章  信息系统安全工程过程  20 2.1  信息系统安全工程概述  20 2.1.1  信息系统安全工程的基本功能  21 2.1.2  信息系统安全工程的实施框架  22 2.2  信息安全需求的挖掘  23 2.3  信息系统安全的定义  25 2.4  信息系统安全的设计  26 2.5  信息系统安全的实施  27 2.6  信息系统安全的评估  28 2.7  信息系统安全工程实例  28 本章小结  37 思考题  37 第3章  信息安全工程能力成熟度模型  39 3.1  能力成熟度模型简介  39 3.2  信息安全工程能力成熟度模型基础  41 3.2.1  信息安全工程能力成熟度模型的起源  41 3.2.2  信息安全工程能力成熟度模型的基本概念  42 3.3  信息安全工程能力成熟度模型的体系结构  44 3.3.1  信息安全工程能力成熟度模型的参考模型  44 3.3.2  信息安全工程能力成熟度模型的过程域  45 3.3.3  域维和能力维  49 3.4  信息安全工程能力成熟度模型的应用  52 3.4.1  应用场景  52 3.4.2  过程改进  59 3.4.3  能力评估  61 3.4.4  信任度评估  63 3.5  信息安全工程能力成熟度模型与信息系统安全工程  64 3.6  信息安全工程能力成熟度模型的新发展  65 本章小结  66 思考题  67 第4章  信息安全等级保护  68 4.1  概述  68 4.1.1  等级保护的发展  69 4.1.2  等级保护的意义  75 4.2  信息系统安全等级保护制度  76 4.2.1  信息系统安全等级保护原则  76 4.2.2  信息系统安全等级保护体系  77 4.3  信息系统安全等级保护方法  83 4.3.1  安全域  83 4.3.2  内部保护和边界保护  84 4.3.3  网络安全保护  85 4.3.4  主机安全保护  86 4.3.5  应用保护  87 4.4  信息系统的安全等级  87 4.4.1  信息安全等级保护等级划分  87 4.4.2  信息安全定级步骤  94 本章小结  98 思考题  99 第5章  信息安全风险评估  100 5.1  信息安全风险评估基础  100 5.1.1  信息安全风险评估的概念  101 5.1.2  信息安全风险评估的发展  101 5.1.3  信息安全风险评估的原则  102 5.1.4  信息安全风险评估的意义  102 5.2  信息安全风险评估要素  103 5.3  信息安全风险评估过程  108 5.3.1  风险评估准备  108 5.3.2  识别并评估资产  109 5.3.3  识别并评估威胁  110 5.3.4  识别并评估脆弱性  111 5.3.5  确认安全控制措施  112 5.3.6  风险分析  112 5.3.7  风险处理  114 5.4  风险计算算法  116 5.4.1  使用矩阵法计算风险  117 5.4.2  使用相乘法计算风险  119 5.5  典型风险评估算法  120 5.5.1  OCTAVE法  121 5.5.2  层次分析法  123 5.6  风险评估工具  125 5.6.1  风险评估管理工具  125 5.6.2  信息基础设施风险评估工具  128 5.6.3  风险评估辅助工具  134 5.7  风险评估案例  135 本章小结  138 思考题  138 第6章  信息安全管理基础  140 6.1  概述  140 6.1.1  信息安全管理的概念  141 6.1.2  国内外信息安全管理现状  142 6.1.3  信息安全管理意义  143 6.1.4  信息安全管理内容与原则  144 6.1.5  信息安全管理模型  146 6.1.6  信息安全管理实施要点  147 6.2  信息安全管理标准  147 6.2.1  信息安全管理标准的发展  147 6.2.2  BS7799主要内容  151 6.3  信息安全管理体系简介  154 6.4  信息安全管理体系的过程  155 6.4.1  信息安全管理体系的准备  156 6.4.2  信息安全管理体系的建立  157 6.4.3  信息安全管理体系的实施和运行  163 6.4.4  信息安全管理体系的监视和评审  165 6.4.5  信息安全管理体系的保持和改进  171 6.4.6  信息安全管理系统的认证  172 本章小结  178 思考题  178 第7章  信息安全策略  179 7.1  信息安全策略概述  179 7.1.1  信息安全策略的定义  180 7.1.2  信息安全策略的格式  180 7.1.3  信息安全策略的保护对象  181 7.1.4  信息安全策略的意义  182 7.2  信息安全策略的内容  182 7.2.1  物理和环境安全策略  183 7.2.2  计算机和网络运行管理策略  184 7.2.3  访问控制策略  188 7.2.4  风险管理及安全审计策略  190 7.3  信息安全策略的制定过程  190 7.3.1  信息安全策略的制定原则  190 7.3.2  信息安全策略的制定流程  191 7.3.3  组织的安全策略  193 7.4  安全策略实施与管理  195 7.4.1  策略管理方法  195 7.4.2  策略管理架构  196 7.4.3  策略规范  198 7.4.4  策略管理工具  199 本章小结  201 思考题  201 第8章  信息系统安全工程案例  203 8.1  案例一 基于掌纹识别技术的私密信息保险箱  203 8.1.1  生物认证技术简介  203 8.1.2  基于掌纹识别技术的私密信息保险箱及其性能测评  208 8.2  案例二 基于区块链的论文版权保护系统  217 8.2.1  区块链技术简介  217 8.2.2  基于区块链的论文版权保护系统及其性能测评  219 附录  实验  227 实验一  基于ISSE过程的网络安全需求分析及解决方案  227 实验二  网络信息系统风险评估  229 实验三  信息安全方针的建立  238 实验四  ISMS管理评审  240 实验五  基于信息安全策略的网络防火墙报文解析  242 实验六  基于信息安全策略的网络防火墙流量统计  244 实验七  网络安全扫描工具Nessus的使用  249 实验八  简单网络扫描器的设计与实现  250 参考文献  252