信息系统安全工程学

内容简介

本书是四川大学信息安全研究所为适应信息安全工程专业本科生和研究生教学急需而组织编写的专业课程教材之一，也是系统讲解信息安全工程原理和方法的专业书籍。本书着重从系统工程方法切入，依照系统工程─系统安全工程─系统安全工程能力评估─信息系统安全工程的逻辑顺序，对信息系统安全工程生命期各阶段的准备、实施、过程监控及反馈、调整进行了系统的描述。为深化对工程方法的理解，本书将电子政务和金融信息系统安全解决方案作为应用特例进行了详细介绍，为读者提供了理论知识和解决实际工程问题结合的指南。 本书取材新颖，涉及内容广泛，既可作为信息安全工程专业本科生和研究生的教材，也可以作为从事信息系统管理、工程设计、施工、质量控制等各类技术和管理人员的参考书。 本书和《信?⑾低嘲踩肥撬拇ù笱畔踩芯克胄畔踩こ滔涤π畔踩こ套ㄒ? 本科生和研究生教学 急需而组织编写的两本专业课教材。《信息系统安全》重 点在于给出信息系统安全的基础理论背景知识、安全体系结构、支持安全体系的安全服务框 架及其机制性技术，以及信息系统安全测试评估体系和基本知识；本书则着重从系统工程 切入，依照系统工程—系统安全工程—系统安全工程能力评估—信息系统安全工程的 逻辑顺序，对信息系统安全工程生命期各阶段的准备、实施、过程监控及反馈、调整进行系 统的描述。可以说，这两本书互为姊妹篇。就本书所涉猎的范围和知识广度而言，对于从 事信息系统管理、工程设计、施工、质量控制的各类技术人员和高等学校相关专业的师生以 及科研单位的研究、技术开发人员均会有重要参考价值。 本书包括绪论和5篇15章共六个板块。其中，绪论对与信息系统安全保障体系有关的问题进 行 了概述性讨论；第1篇“系统工程”，共3章，介绍了系统工程的基本原理和方法，是全书 的基 础；第2篇“系统安全工程能力成熟度模型”，由第4，5，6，7章构成，介绍了系统安全工 程概念，以及系统安 全工程能力成熟度模型；第3篇“系统安全工程能力评估”，由第8，9，10章组成，介绍了 系统安 全工程能力的评估模型和方法；第4篇“信息系统安全工程”，包括第11，12，13章的内容 ，将前几章介绍的基本原理和工程方法运用于信息系统安全工程，系统地讲解了信息 系 统安全工程的过程规划、实施、管理和控制；第5篇“信息系统安全工程示例”，由两 章组成， 着重以电子政务和金融信息系统安全工程为实例，讲解了设计信息系统安全解决方案的方法 和步骤，是信息系统安全工程方法的具体运用和实践。 全书取材新颖，涉及的内容十分广泛。可根据本科生、研究生的教学情况和学时数，在内容 、重点和深度方面进行选择。 本书由四川大学信息安全研究所和信息安全工程系组织编写，关义章、戴宗坤为主编，关义 章、戴宗坤、罗万伯、周 安民、谭兴烈、黄元飞和唐三平等参与结构设计。关义章和谭兴烈共同撰写第11，12，13， 14 ，15章；戴宗坤和周安民共同撰写绪论和第1，2，3，4，5，6，7章，罗万 伯撰写第8，9，10章和附录。全书由戴宗坤、罗万伯统稿和交叉审 校。蒋继洪、方关宝、黄元飞、胡勇、谢朝海、方勇、刘嘉勇、张志国、王科、高常波、刘 军、冉逾等参 与收集资料和部分文字校订工作。本书的顺利出版是四川大学和信息产业部电子第30所在信 息安全人才培养方面精诚合作的结果。 本书从策划到编写完成，一直得到中国工程院院士何德全教授的热情鼓励和指导，以及吴世 忠 、罗建中研究员的大力支持。信息产业部电子第30所的领导和四川大学信息安全研究所全体 同志为本书的完成提供了优越的工作环境和多方面的帮助。同时从其他各位老师和同行的著 作（包括网站

目录

绪论 第1篇 系统工程 　第1章 系统工程概述 　　1.1 概念和背景 　　1.2 系统工程模型 　第2章 系统工程过程需求 　　2.1 需求分析 　　2.2 功能分析与分配 　　2.3 合成 　　2.4 系统分析与控制 　　2.5 系统工程输出 　第3章 系统工程的详细需求 　　3.1 系统工程规划 　　3.2 功能性任务 　　3.3 选项 　　3.4 深入的开发考虑 　　3.5 系统/成本效应 　　3.6 实施任务 　　3.7 技术性审核 　　3.8 系统工程能力评估 第2篇 系统安全工程能力成熟度模型 　第4章 系统安全工程 　　4.1 为什么要研究系统安全工程 　　4.2 什么是SSE-CMM 　　4.3 系统安全工程过程 　　4.4 SSE-CMM的主要概念 　　4.5 SSE-CCM的体系结构 　第5章 通用实施 　　5.1 0级——未实施级 　　5.2 1级——非正规实施级 　　5.3 2级——规划和跟踪级 　　5.4 3级——充分定义级 　　5.5 4级——量化控制级 　　5.6 5级——持续性改进级 　第6章 安全基本实施 　　6.1 PA01——实施安全控制 　　6.2 PA02——评估影响 　　6.3 PA03——评估安全风险 　　6.4 PA04——评估威胁 　　6.5 PA05——评估脆弱性 　　6.6 PA06——建立保证论据 　　6.7 PA07——协调安全 　　6.8 PA08——监控安全态势 　　6.9 PA09——提供安全输入 　　6.10 PA10——确定安全需求 　　6.11 PA11——验证和证实安全 　第7章 工程项目及组织的基本实施 　　7.1 一般性安全考虑 　　7.2 PA12——保证质量 　　7.3 PA13——管理配置 　　7.4 PA14——管理项目风险 　　7.5 PA15——监测和控制技术工程项目 　　7.6 PA16——规划技术工程项目 　　7.7 PA17——定义组织的系统工程过程 　　7.8 PA18——改进组织的系统工程过程 　　7.9 PA19——管理产品线的演变 　　7.10 PA20——管理系统工程支持环境 　　7.11 PA21——提供不断更新的技能和知识 　　7.12 PA22——与供应商的协调 第3篇 系统安全工程能力评估 　第8章 系统安全工程能力评估 　　8.1 安全评估阶段 　　8.2 结果 　　8.3 评估参与者的角色和说明 　　8.4 评估类型 　第9章 系统安全评估的阶段 　　9.1 规划 　　9.2 准备阶段 　　9.3 现场 　　9.4 报告阶段 　第10章 评估者组织指南 　　10.1 规划阶段指南 　　10.2 准备阶段指南 　　10.3 现场阶段指南 　　10.4 报告阶段指南 第4篇 信息系统安全工程 　第11章 基本概念及其与系统工程的关系 　　11.1 概述 　　11.2 信息系统安全工程 　　11.3 与系统获取的关系 　第12章 信息系统生命期安全工程 　　12.1 先期概念阶段 　　12.2 概念阶段 　　12.3 需求阶段 　　12.4 系统设计阶段 　　12.5 概要（初步）设计阶段 　　12.6 详细设计阶段 　　12.7 实现和测试阶段 　　12.8 配置审计阶段 　　12.9 运行和支持阶段 　第13章 ISSE基本功能 　　13.1 安全规划与控制 　　13.2 安全需求的定义 　　13.3 安全设计支持 　　13.4 安全运行分析 　　13.5 生命周期安全支持 　　13.6 安全风险管理