信息系统安全工程学

绪论 （1） 第1篇 系 统 工 程 第1章 系统工程概述 （7） 1.1 概念和背景 （7） 1.1.1 概念 （7） 1.1.2 范围 （8） 1.1.3 背景 （8） 1.2 系统工程模型 （10） 第2章 系统工程过程需求 （13） 2.1 需求分析 （13） 2.2 功能分析与分配 （14） 2.2.1 功能分析 （14） 2.2.2 分配 （14） 2.3 合成 （15） 2.3.1 设计 （15） 2.3.2 设计的验证 （16） 2.4 系统分析与控制 （16） 2.4.1 折中研究 （16） 2.4.2 系统/成本效益性能分析 （17） 2.4.3 风险管理 （18） 2.4.4 配置管理 （18） 2.4.5 接口管理 （18） 2.4.6 数据管理 （19） 2.4.7 系统工程主进度 （19） 2.4.8 技术性能测量 （19） 2.4.9 技术性审核 （20） 2.4.10 对变化作出响应 （20） 2.5 系统工程输出 （21） 2.5.1 规范和基线 （21） 2.5.2 生命期支持数据 （21） 第3章 系统工程的详细需求 （22） 3.1 系统工程规划 （22） 3.1.1 系统工程管理规划 （22） 3.1.2 系统工程主进度（表） （24） 3.1.3 系统工程详细进度 （24） 3.2 功能性任务 （24） 3.2.1 可靠性和可维护性 （25） 3.2.2 生存能力 （25） 3.2.3 电磁兼容性和无线电频率管理 （25） 3.2.4 人的因素 （26） 3.2.5 系统保险及健全性 （26） 3.2.6 系统安全 （26） 3.2.7 可生产性 （26） 3.2.8 综合的后勤支持 （27） 3.2.9 测试和评估 （27） 3.2.10 综合的故障诊断 （27） 3.2.11 可运输性 （28） 3.2.12 基础设施支持 （28） 3.2.13 其他功能领域 （28） 3.3 选项 （28） 3.3.1 非开发项目 （28） 3.3.2 开放系统体系结构 （29） 3.3.3 重复使用 （29） 3.3.4 使用双重技术 （29） 3.4 深入的开发考虑 （29） 3.4.1 计算机资源 （29） 3.4.2 材料、过程和部件控制 （29） 3.4.3 原型 （30） 3.4.4 仿真 （30） 3.4.5 数字数据 （30） 3.5 系统/成本效应 （30） 3.5.1 制造分析及评估 （31） 3.5.2 验证分析和评估 （31） 3.5.3 部署分析和评估 （31） 3.5.4 运行分析和评估 （32） 3.5.5 可支持性分析和评估 （32） 3.5.6 培训分析和评估 （33） 3.5.7 处置分析和评估 （33） 3.5.8 环境分析和影响的评估 （33） 3.5.9 生命期成本分析和评估 （33） 3.5.10 模型 （34） 3.6 实施任务 （34） 3.7 技术性审核 （35） 3.7.1 审核的责任 （35） 3.7.2 结构性审核 （35） 3.7.3 可选方案的系统审核 （36） 3.7.4 系统需求审核 （36） 3.7.5 系统功能审核 （37） 3.7.6 初步设计审核 （37） 3.7.7 关键性设计审核 （38） 3.7.8 系统验证审核 （38） 3.7.9 物理配置审计 （39） 3.7.10 子系统审核 （39） 3.7.11 功能审核 （42） 3.7.12 过渡性系统审核 （42） 3.8 系统工程能力评估 （42） 第2篇 系统安全工程能力成熟度模型 第4章 系统安全工程 （43） 4.1 为什么要研究系统安全工程 （43） 4.1.1 系统安全工程 （43） 4.1.2 与系统安全工程有关的组织 （44） 4.1.3 系统安全工程活动 （44） 4.1.4 系统安全工程与其他科目 （44） 4.1.5 系统安全工程学科 （45） 4.2 什么是SSE-CMM （45） 4.2.1 SSE-CMM的发展历史 （46） 4.2.2 SSE-CMM的用户 （47） 4.3 系统安全工程过程 （48） 4.3.1 风险 （48） 4.3.2 工程 （49） 4.3.3 保证 （50） 4.4 SSE-CMM的主要概念 （51） 4.4.1 过程 （51） 4.4.2 过程区 （51） 4.4.3 工作产品 （52） 4.4.4 过程能力 （52） 4.5 SSE-CCM的体系结构 （52） 4.5.1 基本模型 （52） 4.5.2 域维/安全过程区 （53） 4.5.3 能力维/公共特性 （55） 4.5.4 能力级别 （57） 4.5.5 体系结构的组成 （58） 第5章 通用实施 （60） 5.1 0级--未实施级 （60） 5.2 1级--非正规实施级 （60） 5.3 2级--规划和跟踪级 （61） 5.3.1 公共特性2.1--规划执行 （61） 5.3.2 公共特性2.2--规范化执行 （62） 5.3.3 公共特性2.3--验证执行 （62） 5.3.4 公共特性2.4--跟踪执行 （63） 5.4 3级--充分定义级 （63） 5.4.1 公共特性3.1--定义标准化过程 （64） 5.4.2 公共特性 3.2--执行已定义的过程 （64） 5.4.3 公共特性3.3--协调安全实施 （65） 5.5 4级--量化控制级 （65） 5.5.1 公共特性 4.1--建立可测度的质量目标 （65） 5.5.2 公共特性4.2--对执行情况实施客观管理 （66） 5.6 5级--持续性改进级 （66） 5.6.1 公共特性5.1--改进组织能力 （66） 5.6.2 公共特性 5.2--改进过程的效能 （67） 第6章 安全基本实施 （68） 6.1 PA01--实施安全控制 （68） 6.1.1 BP.01.01--建立安全控制的职责 （68） 6.1.2 BP.01.02--管理系统安全控制的配置 （69） 6.1.3 BP.01.03--管理安全意识、培训和教育大纲 （70） 6.1.4 BP.01.04--管理安全服务及控制机制的定期维护和管理 （71） 6.2 PA02--评估影响 （72） 6.2.1 BP.02.01--对影响进行识别、分析和优先级排列 （73） 6.2.2 BP.02.02--识别系统资产 （73） 6.2.3 BP.02.03--选择用于评估影响的度量标准 （74） 6.2.4 BP.02.04--识别度量标准及其转换因子之间的关系 （74） 6.2.5 BP.02.05--识别和特征化影响 （75） 6.2.6 BP.02.06--监控影响中发生的变化 （75） 6.3 PA03--评估安全风险 （75） 6.3.1 BP 03.01--选择风险分析方法、技术和准则 （77） 6.3.2 BP.03.02--识别三组合（暴露） （77） 6.3.3 BP.03.03--评估与出现暴露相关的风险 （77） 6.3.4 BP.03.04--评估总的不确定性 （78） 6.3.5 BP.03.05--风险优先级排列 （78） 6.3.6 BP.03.06--监控风险谱及其特征的动态变化 （79） 6.4 PA04--评估威胁 （79） 6.4.1 BP.04.01--识别自然威胁 （80） 6.4.2 BP.04.02--识别人为威胁 （80） 6.4.3 BP.04.03--识别威胁的测度单元和适用范围 （81） 6.4.4 BP.04.04--评估威胁作用力的技能和效力 （81） 6.4.5 BP.04.05--评估威胁事件出现的可能性 （81） 6.4.6 BP.04.06--监控威胁谱的变化及其特征的变化 （82） 6.5 PA05--评估脆弱性 （82） 6.5.1 BP.05.01--选择脆弱性识别和特征化的方法、技术和标准 （83） 6.5.2 BP.05.02--识别系统安全脆弱性 （84） 6.5.3 BP.05.03--收集脆弱性数据 （85） 6.5.4 BP.05.04--评估并综合系统脆弱性 （85） 6.5.5 BP.05.05--监控脆弱性及其特征的变化 （86） 6.6 PA06--建立保证论据 （86） 6.6.1 BP.06.01--识别安全保证目标 （87） 6.6.2 BP.06.02--定义安全保证策略 （87） 6.6.3 BP.06.03--识别、控制安全保证证据 （88） 6.6.4 BP.06.04--分析安全保证证据 （88） 6.6.5 BP.06.05--提供安全保证论据 （88） 6.7 PA07--协调安全 （89） 6.7.1 BP.07.01--定义协调目标和相互关系 （89） 6.7.2 BP.07.02--识别协调机制 （90） 6.7.3 BP.07.03--促进协调 （90） 6.7.4 BP.07.04--协调安全决定和建议 （91） 6.8 PA08--监控安全态势 （91） 6.8.1 BP.08.01--分析事件记录 （92） 6.8.2 BP.08.02--监控威胁、脆弱性、影响、风险和环境变化 （93） 6.8.3 BP.08.03--识别安全突发事件 （93） 6.8.4 BP.08.04--监控安全防护措施的有效性 （94） 6.8.5 BP.08.05--审核系统安全态势 （94） 6.8.6 BP.08.06--管理对安全突发事件的响应 （95） 6.8.7 BP.08.07--保护安全监控的记录数据 （96） 6.9 PA09--提供安全输入 （96） 6.9.1 BP.09.01--理解安全输入需求 （97） 6.9.2 BP.09.02--确定安全约束和需考虑的问题 （98） 6.9.3 BP.09.03--识别安全解决方案 （98） 6.9.4 BP.09.04--分析工程可选方案的安全性 （99） 6.9.5 BP.09.05--提供安全工程指南 （99） 6.9.6 BP.09.06--提供运行安全指南 （100） 6.10 PA10--确定安全需求 （100） 6.10.1 BP.10.01--获得对用户安全需求的理解 （101） 6.10.2 BP.10.02--识别可用的法律、策略和约束 （101） 6.10.3 BP.10.03--识别系统用途以确定其安全关联性 （102） 6.10.4 BP.10.04--捕捉系统运行的安全视图 （102） 6.10.5 BP.10.05--捕捉安全的高层目标 （103） 6.10.6 BP.10.06--定义安全相关需求 （103） 6.10.7 BP.10.07--达成关于安全的协议 （104） 6.11 PA11--验证和证实安全 （104） 6.11.1 BP.11.01--识别验证和证实的目标 （105） 6.11.2 BP.11.02--定义验证和证实方法 （105） 6.11.3 BP.11.03--验证执行 （106） 6.11.4 BP.11.04--执行证实 （106） 6.11.5 BP.11.05--提供验证和证实的结果 （107） 第7章 工程项目及组织的基本实施 （108） 7.1 一般性安全考虑 （108） 7.2 PA12--保证质量 （108） 7.2.1 BP.12.01--监控已定义过程的一致性 （110） 7.2.2 BP.12.02--测试工作产品的质量 （110） 7.2.3 BP.12.03--测试系统工程过程的质量 （111） 7.2.4 BP.12.04--分析质量测试方法 （111） 7.2.5 BP.12.05--得到员工的参与 （112） 7.2.6 BP.12.06--启动质量改善活动 （112） 7.2.7 BP.12.07--探测进行矫正活动的需求 （112） 7.3 PA13--管理配置 （113） 7.3.1 BP.13.01--建立配置管理方法 （114） 7.3.2 BP.13.02--识别配置单元 （115） 7.3.3 BP.13.03--维护工作产品基线的知识库 （115） 7.3.4 BP.13.04--控制更改 （115） 7.3.5 BP.13.05--通知配置状态信息 （116） 7.4 PA14--管理项目风险 （116） 7.4.1 BP.14.01--开发风险管理计划 （117） 7.4.2 BP.14.02--识别项目风险 （118） 7.4.3 BP.14.03--评估风险 （119） 7.4.4 BP.14.04--审核项目风险评估 （119） 7.4.5 BP.14.05--执行风险缓解 （119） 7.4.6 BP.14.06--跟踪风险缓解活动 （120） 7.5 PA15--监测和控制技术工程项目 （120） 7.5.1 BP.15.01--指导技术工作项目 （121） 7.5.2 BP.15.02--跟踪项目资源 （121） 7.5.3 BP.15.03--跟踪技术参数 （122） 7.5.4 BP.15.04--审核项目执行情况 （122） 7.5.5 BP.15.05--分析项目的问题 （123） 7.5.6 BP.15.06--采取矫正行动 （123） 7.6 PA16--规划技术工程项目 （123） 7.6.1 BP.16.01--识别关键性资源 （124） 7.6.2 BP.16.02--估算项目范围 （125） 7.6.3 BP.16.03--估算项目成本 （125） 7.6.4 BP.16.04--确定项目采用的技术过程 （126） 7.6.5 BP.16.05--识别技术活动 （126） 7.6.6 BP.16.06--定义项目的接口 （127） 7.6.7 BP.16.07--开发项目进度表 （127） 7.6.8 BP.16.08--建立技术参数 （128） 7.6.9 BP.16.09--开发技术性管理计划 （128） 7.6.10 BP.16.10--审核和批准项目计划 （129） 7.7 PA17--定义组织的系统工程过程 （130） 7.7.1 BP.17.01--建立过程目标 （130） 7.7.2 BP.17.02--收集过程资产 （131） 7.7.3 BP.17.03--开发组织的系统工程过程 （131） 7.7.4 BP.17.04--定义裁剪的指南 （132） 7.8 PA18--改进组织的系统工程过程 （133） 7.8.1 BP.18.01--评估过程 （133） 7.8.2 BP.18.02--规划过程改进 （134） 7.8.3 BP.18.03--改变标准过程 （134） 7.8.4 BP.18.04--交流过程改进 （135） 7.9 PA19--管理产品线的演变 （135） 7.9.1 BP.19.01--定义产品演变 （136） 7.9.2 BP.19.02--识别新产品技术 （136） 7.9.3 BP.19.03--修改开发过程 （137） 7.9.4 BP.19.04--确保关键性部件的可用性 （137） 7.9.5 BP.19.05--引入产品新技术 （137） 7.10 PA20--管理系统工程支持环境 （138） 7.10.1 BP.20.01--维护技术性理解 （139） 7.10.2 BP.20.02--确定支持需求 （139） 7.10.3 BP.20.03--获得系统工程支持环境 （139） 7.10.4 BP.20.04--裁剪系统工程支持环境 （140） 7.10.5 BP.20.05--引入新技术 （140） 7.10.6 BP.20.06--维护环境 （141） 7.10.7 BP.20.07--监控系统工程支持环境 （141） 7.11 PA21--提供不断更新的技能和知识 （141） 7.11.1 BP.21.01--识别培训需求 （142） 7.11.2 BP.21.02--评估和选择获取知识或技能的模式 （143） 7.11.3 BP.21.03--确保知识和技能的可用性 （143） 7.11.4 BP.21.04--准备培训资料 （144） 7.11.5 BP.21.05--人员培训 （145） 7.11.6 BP.21.06--评估培训的有效性 （145） 7.11.7 BP.21.07--维护培训记录 （146） 7.11.8 BP.21.08--维护培训资料 （146） 7.12 PA22--与供应商的协调 （146） 7.12.1 BP.22.01--识别系统组件或服务 （147） 7.12.2 BP.22.02--识别组件供应商或销售商 （148） 7.12.3 BP.22.03--挑选供应商或销售商 （148） 7.12.4 BP.22.04--提供预期值 （149） 7.12.5 BP.22.05--维持与供应商的交流沟通 （149） 第3篇 系统安全工程能力评估 第8章 系统安全工程能力评估 （151） 8.1 安全评估阶段 （151） 8.2 结果 （151） 8.3 评估参与者的角色和说明 （152） 8.3.1 发起者组织 （152） 8.3.2 评估者组织 （152） 8.3.3 被评组织 （153） 8.3.4 人力需求 （154） 8.4 评估类型 （154） 8.4.1 为获取而评估 （154） 8.4.2 为自身改善而评估 （154） 第9章 系统安全评估的阶段 （156） 9.1 规划 （156） 9.1.1 范围评估 （157） 9.1.2 收集初步证据 （158） 9.1.3 规划评估 （159） 9.2 准备阶段 （161） 9.2.1 准备评估小组 （161） 9.2.2 分发调查表 （163） 9.2.3 合并证据 （164） 9.2.4 分析证据/调查表 （165） 9.3 现场 （166） 9.3.1 召开行政会 （167） 9.3.2 召开开幕式 （168） 9.3.3 采访工程主管 （169） 9.3.4 合并并解释来自工程主管的数据 （170） 9.3.5 采访专业人员 （171） 9.3.6 合并来自专业人员的数据 （172） 9.3.7 分析数据跟踪表单 （173） 9.3.8 开发初步调查结果 （174） 9.3.9 后续询问表和采访 （175） 9.3.10 开发评分轮廓 （176） 9.3.11 产生最终调查结果 （176） 9.3.12 管理评估记录 （177） 9.3.13 产生总结报告 （178） 9.4 报告阶段 （179） 9.4.1 产生最终报告 （179） 9.4.2 向发起者报告评估成果 （180） 9.4.3 管理评估实物 （181） 9.4.4 报告经验教训 （182） 第10章 评估者组织指南 （184） 10.1 规划阶段指南 （184） 10.1.1 定义评估范围 （184） 10.1.2 规划评估细节 （184） 10.1.3 选择评估小组成员 （184） 10.2 准备阶段指南 （185） 10.2.1 选择适当的调查表的收件人 （185） 10.2.2 分析调查表 （186） 10.2.3 探讨性问题 （186） 10.2.4 证据类型 （187） 10.2.5 收集证据 （187） 10.2.6 分析证据 （187） 10.2.7 处理证据 （188） 10.3 现场阶段指南 （188） 10.3.1 召开会议 （188） 10.3.2 管理评估记录 （188） 10.3.3 召开综合报告会 （189） 10.3.4 产生评分轮廓 （189） 10.3.5 评分表示形式 （189） 10.3.6 开发调查结果 （190） 10.4 报告阶段指南 （191） 10.4.1 评估报告 （191） 10.4.2 管理证据 （192） 10.4.3 经验教训的利用 （192） 第4篇 信息系统安全工程 第11章 基本概念及其与系统工程的关系 （193） 11.1 概述 （193） 11.2 信息系统安全工程 （195） 11.2.1 系统安全工程过程 （195） 11.2.2 信息系统安全工程的“阶段”概述 （195） 11.3 与系统获取的关系 （200） 11.3.1 任务要求的确定（先期概念阶段） （201） 11.3.2 阶段0--概念研究和定义 （201） 11.3.3 阶段1--论证与证实 （202） 11.3.4 阶段2--工程和制造开发 （202） 11.3.5 阶段3--生产和部署 （203） 11.3.6 阶段4--运行和支持 （203） 第12章 信息系统生命期安全工程 （204） 12.1 先期概念阶段 （204） 12.2 概念阶段 （205） 12.3 需求阶段 （206） 12.4 系统设计阶段 （207） 12.5 概要（初步）设计阶段 （208） 12.6 详细设计阶段 （208） 12.7 实现和测试阶段 （209） 12.8 配置审计阶段 （210） 12.9 运行和支持阶段 （211） 第13章 ISSE基本功能 （212） 13.1 安全规划与控制 （214） 13.1.1 商业决策和工程规划 （215） 13.1.2 ISSE小组 （215） 13.1.3 对认证和认可（C&A）的ISSE输入规划 （217） 13.1.4 ISSE报告 （218） 13.1.5 技术数据库和工具 （220） 13.1.6 与获取/签约有关的规划 （222） 13.1.7 信息系统安全保证规划 （223） 13.2 安全需求的定义 （224） 13.2.1 系统需求定义概述 （225） 13.2.2 安全需求分析的一般课题 （227） 13.2.3 安全需求定义概述 （231） 13.2.4 先期概念阶段和概念阶段--ISSE的需求活动 （234） 13.2.5 需求阶段--ISSE的需求活动 （235） 13.2.6 系统设计阶段--ISSE的需求活动 （235） 13.2.7 从初步设计到配置审计阶段--ISSE的需求活动 （236） 13.3 安全设计支持 （236） 13.3.1 系统设计 （237） 13.3.2 ISSE系统设计支持活动 （238） 13.3.3 先期概念和概念阶段安全设计支持 （240） 13.3.4 需求和系统设计阶段的安全设计支持 （241） 13.3.5 初步设计阶段到配置审计阶段的安全设计支持 （242） 13.3.6 运行和支持阶段的安全设计支持 （242） 13.4 安全运行分析 （243） 13.5 生命周期安全支持 （244） 13.5.1 安全的生命期支持的开发方法 （245） 13.5.2 对部署的系统进行安全监控 （247） 13.5.3 系统安全评估 （247） 13.5.4 配置管理 （248） 13.5.5 培训 （248） 13.5.6 后勤和维护 （249） 13.5.7 系统的修改 （249） 13.5.8 报废处置 （250） 13.6 安全风险管理 （250） 13.6.1 安全的验证和证实 （251） 13.6.2 V&V规划和实施 （251） 13.6.3 安全风险管理 （253） 13.6.4 安全风险分析和C&A （257） 第5篇 信息系统安全工程示例 第14章 电子政务信息系统安全工程 （258） 14.1 电子政务信息系统安全工程要素 （258） 14.1.1 电子政务信息系统资源和服务及网络拓扑 （259） 14.1.2 电子政务信息系统的安全风险分析 （265） 14.1.3 电子政务信息系统的安全需求分析 （269） 14.1.4 电子政务信息系统的安全规划与设计 （271） 14.2 电子政务信息系统安全解决方案 （278） 14.2.1 物理安全和运行安全 （278） 14.2.2 网络安全 （279） 14.2.3 应用安全 （281） 14.2.4 安全管理 （285） 结束语 （296） 第15章 金融电子交易系统安全示例 （298） 15.1 金融电子交易系统安全概论 （298） 15.1.1 概述 （298） 15.1.2 安全设计目标 （298） 15.1.3 安全设计原则 （299） 15.2 电子交易系统安全风险分析 （300） 15.2.1 系统资源分析 （300） 15.2.2 系统风险分析 （302） 15.2.3 电子交易系统安全需求分析 （304） 15.3 电子交易系统安全体系 （305） 15.3.1 安全体系 （305） 15.3.2 安全设计 （306） 15.3.3 安全管理 （315） 结束语 （315） 附录A 缩略语 （316） 附录B 本书中使用的一些术语 （326） 参考文献 （352）