第 1章 信息安全工程基础　1
1.1　信息安全概述　1
1.1.1　信息安全的发展　2
1.1.2　信息安全的目标　3
1.2　信息安全保障　4
1.2.1　信息安全问题的产生　5
1.2.2　信息安全保障模型　5
1.2.3　信息保障技术框架　9
1.2.4　信息安全保障体系建设　11
1.3　信息安全工程　14
1.3.1　信息安全工程的概念　14
1.3.2　信息安全工程的发展　15
1.3.3　信息安全工程相关理论技术　17
本章小结　18
思考题　19
第 2章　信息系统安全工程过程　20
2.1　信息系统安全工程概述　20
2.1.1　信息系统安全工程的基本功能　21
2.1.2　信息系统安全工程的实施框架　22
2.2　信息安全需求的挖掘　23
2.3　信息系统安全的定义　25
2.4　信息系统安全的设计　26
2.5　信息系统安全的实施　27
2.6　信息系统安全的评估　28
2.7　信息系统安全工程实例　28
本章小结　37
思考题　37
第3章　信息安全工程能力成熟度模型　39
3.1　能力成熟度模型简介　39
3.2　信息安全工程能力成熟度模型基础　41
3.2.1　信息安全工程能力成熟度模型的起源　41
3.2.2　信息安全工程能力成熟度模型的基本概念　42
3.3　信息安全工程能力成熟度模型的体系结构　44
3.3.1　信息安全工程能力成熟度模型的参考模型　44
3.3.2　信息安全工程能力成熟度模型的过程域　45
3.3.3　域维和能力维　49
3.4　信息安全工程能力成熟度模型的应用　52
3.4.1　应用场景　52
3.4.2　过程改进　59
3.4.3　能力评估　61
3.4.4　信任度评估　63
3.5　信息安全工程能力成熟度模型与信息系统安全工程　64
3.6　信息安全工程能力成熟度模型的新发展　65
本章小结　66
思考题　67
第4章　信息安全等级保护　68
4.1　概述　68
4.1.1　等级保护的发展　69
4.1.2　等级保护的意义　75
4.2　信息系统安全等级保护制度　76
4.2.1　信息系统安全等级保护原则　76
4.2.2　信息系统安全等级保护体系　77
4.3　信息系统安全等级保护方法　83
4.3.1　安全域　83
4.3.2　内部保护和边界保护　84
4.3.3　网络安全保护　85
4.3.4　主机安全保护　86
4.3.5　应用保护　87
4.4　信息系统的安全等级　87
4.4.1　信息安全等级保护等级划分　87
4.4.2　信息安全定级步骤　94
本章小结　98
思考题　99
第5章　信息安全风险评估　100
5.1　信息安全风险评估基础　100
5.1.1　信息安全风险评估的概念　101
5.1.2　信息安全风险评估的发展　101
5.1.3　信息安全风险评估的原则　102
5.1.4　信息安全风险评估的意义　102
5.2　信息安全风险评估要素　103
5.3　信息安全风险评估过程　108
5.3.1　风险评估准备　108
5.3.2　识别并评估资产　109
5.3.3　识别并评估威胁　110
5.3.4　识别并评估脆弱性　111
5.3.5　确认安全控制措施　112
5.3.6　风险分析　112
5.3.7　风险处理　114
5.4　风险计算算法　116
5.4.1　使用矩阵法计算风险　117
5.4.2　使用相乘法计算风险　119
5.5　典型风险评估算法　120
5.5.1　OCTAVE法　121
5.5.2　层次分析法　123
5.6　风险评估工具　125
5.6.1　风险评估管理工具　125
5.6.2　信息基础设施风险评估工具　128
5.6.3　风险评估辅助工具　134
5.7　风险评估案例　135
本章小结　138
思考题　138
第6章　信息安全管理基础　140
6.1　概述　140
6.1.1　信息安全管理的概念　141
6.1.2　国内外信息安全管理现状　142
6.1.3　信息安全管理意义　143
6.1.4　信息安全管理内容与原则　144
6.1.5　信息安全管理模型　146
6.1.6　信息安全管理实施要点　147
6.2　信息安全管理标准　147
6.2.1　信息安全管理标准的发展　147
6.2.2　BS7799主要内容　151
6.3　信息安全管理体系简介　154
6.4　信息安全管理体系的过程　155
6.4.1　信息安全管理体系的准备　156
6.4.2　信息安全管理体系的建立　157
6.4.3　信息安全管理体系的实施和运行　163
6.4.4　信息安全管理体系的监视和评审　165
6.4.5　信息安全管理体系的保持和改进　171
6.4.6　信息安全管理系统的认证　172
本章小结　178
思考题　178
第7章　信息安全策略　179
7.1　信息安全策略概述　179
7.1.1　信息安全策略的定义　180
7.1.2　信息安全策略的格式　180
7.1.3　信息安全策略的保护对象　181
7.1.4　信息安全策略的意义　182
7.2　信息安全策略的内容　182
7.2.1　物理和环境安全策略　183
7.2.2　计算机和网络运行管理策略　184
7.2.3　访问控制策略　188
7.2.4　风险管理及安全审计策略　190
7.3　信息安全策略的制定过程　190
7.3.1　信息安全策略的制定原则　190
7.3.2　信息安全策略的制定流程　191
7.3.3　组织的安全策略　193
7.4　安全策略实施与管理　195
7.4.1　策略管理方法　195
7.4.2　策略管理架构　196
7.4.3　策略规范　198
7.4.4　策略管理工具　199
本章小结　201
思考题　201
第8章　信息系统安全工程案例　203
8.1　案例一 基于掌纹识别技术的私密信息保险箱　203
8.1.1　生物认证技术简介　203
8.1.2　基于掌纹识别技术的私密信息保险箱及其性能测评　208
8.2　案例二 基于区块链的论文版权保护系统　217
8.2.1　区块链技术简介　217
8.2.2　基于区块链的论文版权保护系统及其性能测评　219
附录　实验　227
实验一　基于ISSE过程的网络安全需求分析及解决方案　227
实验二　网络信息系统风险评估　229
实验三　信息安全方针的建立　238
实验四　ISMS管理评审　240
实验五　基于信息安全策略的网络防火墙报文解析　242
实验六　基于信息安全策略的网络防火墙流量统计　244
实验七　网络安全扫描工具Nessus的使用　249
实验八　简单网络扫描器的设计与实现　250
参考文献　252