目录
第1章 计算机安全概论
1.1 计算机安全的概念
1.1.1 什么是计算机安全
1.1.2 内部安全和外部安全
1.2 计算机应用系统的脆弱性和安全目标
1.2.1 应用系统的脆弱性
1.2.2 应用系统的安全目标
1.2.3 敏感应用系统实例
第2章 保护应用系统安全的技术和方法
2.1 数据确认
2.1.1 连续性和可行性检测
2.1.2 数据输入时的检验
2.1.3 数据在处理过程中的进一步检测
2.1.4 数据元素字典/目录
2.1.5 从管理角度考虑
2.2 用户身份验证
2.2.1 对身份验证的需求
2.2.2 身份验证的基本技术
2.2.3 从管理角度考虑
2.3 授权
2.3.1 授权方案
2.3.2 授权委托
2.3.3 保护授权数据
2.3.4 机密数据的授权方案
2.3.5 从管理角度考虑
2.4 日志技术
2.4.1 日志的内容
2.4.2 日志的作用
2.4.3 从管理角度考虑
2.5 变异检测技术
2.5.1 对日志的管理监督
2.5.2 外部的变异检测方式
2.5.3 对变异检测的反应
2.5.4 动态监测
2.5.5 从管理角度考虑
2.6 加密
2.6.1 通信加密
2.6.2 脱机存储器加密
2.6.3 联机文件加密
2.6.4 从管理角度考虑
第3章 在应用系统的生命周期中保证安全
3.1 应用系统的生命周期
3.2 改善现存系统的安全功能
3.3 应用系统生命周期中的审计活动
第4章 在应用系统启始设计阶段实施安全计划
4.1 安全可行性
4.2 风险的最初评估
4.2.1 主要事故的影响
4.2.2 发生重大事故的频率
第5章 在应用系统开发阶段建立安全机制
5.1 安全需求定义
5.1.1 与应用系统的接口
5.1.2 与每个接口相关的责任
5.1.3 职责分隔
5.1.4 敏感客体和操作
5.1.5 错误容限
5.1.6 可用性需求和对基本控制的需求
5.1.7 小结
5.2 安全设计
5.2.1 减少不必要的程序设计
5.2.2 约束用户接口
5.2.3 人机工程
5.2.4 共享计算机设备
5.2.5 隔离关键程序
5.2.6 备份和恢复
5.2.7 有效控制的使用
5.2.8 设计复审
5.3 安全的编程方法
5.3.1 仔细检查
5.3.2 程序库
5.3.3 与安全相关的程序文件
5.3.4 与应用系统相关的程序员
5.3.5 冗余计算
5.3.6 程序开发工具
5.4 安全软件的检测和评估
5.4.1 检测计划
5.4.2 静态评估
5.4.3 动态检测
第6章 在操作运行中保障安全
6.1 数据控制
6.1.1 输入检验
6.1.2 数据存储管理
6.1.3 输出传播控制
6.2 对安全变异的响应
6.3 软件修改和硬件维护
6.3.1 软件修改
6.3.2 硬件维护
6.4 应急计划
6.4.1 关键功能的鉴别
6.4.2 替换场所操作
6.4.3 有限的人工替换处理
6.4.4 数据备份
6.4.5 数据恢复
6.4.6 设备恢复
6.4.7 管理人员应该注意的事项
第7章 计算机系统的安全管理
7.1 计算机系统安全管理对策及原则
7.1.1 安全管理对策
7.1.2 安全管理原则
7.2 计算机系统的安全管理
7.2.1 访问控制管理
7.2.2 加密管理
7.2.3 风险管理
7.2.4 审计管理
7.2.5 计算机病毒防治管理
7.3 人事和物理安全管理
7.3.1 人事安全管理
7.3.2 雇用原则
7.3.3 物理安全管理
7.4 安全培训
7.4.1 安全培训内容
7.4.2 安全培训对象
第8章 计算机系统的安全评估和风险分析
8.1 可信计算机系统评估准则
8.1.1 计算机系统安全的基本要求
8.1.2 安全级别概述
8.2 风险分析
8.2.1 管理部门在风险分析中的作用
8.2.2 初步安全检查
8.2.3 对风险的估测
第9章 计算机系统的安全验证与认定
9.1 建立验证和认定工作计划
9.1.1 政策和程序
9.1.2 任务与责任
9.1.3 验证和认定工作的依据
9.1.4 组织结构
9.1.5 工作安排
9.1.6 人力配备、培训和支持
9.2 完成验证和认定工作
9.2.1 验证
9.2.2 认定
9.3 再验证和再认定
9.3.1 确认再验证和再认定工作
9.3.2 再验证和再认定的层次
9.4 安全验证评估技术
9.4.1 风险分析
9.4.2 生效、检验与测试(VV&T)
9.4.3 安全保障评估
9.4.4 EDP审计
第10章 网络安全
10.1 计算机网络安全的特点
10.2 计算机网络安全设计概述
10.2.1 计算机网络安全设计的一般原则
10.2.2 计算机网络安全设计的基本步骤
10.3 网络安全技术
10.4 Internet安全
10.4.1 Internet的安全问题
10.4.2 Internet的安全措施
第11章 计算机安全标准与立法
11.1 国外计算机安全标准概况
11.1.1 计算机系统安全评估准则
11.1.2 网络安全标准
11.1.3 可信数据库标准
11.1.4 安全体系结构
11.2 标准化组织在计算机安全方面的工作
11.2.1 标准化工作
11.2.2 一些标准化组织或团体出版的计算机安全标准一览表
11.2.3 计算机安全领域出现了国际联合和统一的趋向
11.3 我国计算机安全法规与标准的现状和发展
11.3.1 我国的计算机安全法规与标准简介
11.3.2 我国已经颁布的有关计算机安全法规、标准一览表
附录 我国有关计算机信息系统安全的国家法规及国家标准(摘要)
附录1中华人民共和国计算机信息系统安全保护条例
附录2中华人民共和国计算机信息网络国际联网管理暂行规定
附录3信息处理系统 开放系统互连 基本参考模型
第2部分:安全体系结构
参考文献