本书介绍并分析了信息安全工程方法,共分10章。第1章简介了信息安全保障的基本概念和信息安全工程方法的发展;第2~4章说明了系统工程过程与信息系统安全工程(ISSE);第5~7章分析了包括SSE-CMM体系结构在内的SSE-CMM方法学以及SSE-CMM的域维和能力维;第8章分析了SSE-CMM的完备性;第9章的主题是信息安全工程与我国计算机信息系统安全等级保护的关系;第10章将信息安全工程方法置于ISO/IEC 15443《IT安全保证框架》的背景中进行了讨论。
\r\n 本书可以作为信息安全专业研究生的教学用书和信息安全专业技术培训用书,也可供信息安全技术人员、管理人员和研究者阅读。
第1章 引言\r\n 1.1 信息安全保障的基本概念\r\n 1.2 信息安全保障与信息安全工程\r\n第2章 信息安全工程基础——系统工程过程\r\n 2.1 系统工程过程概况\r\n 2.2 发掘需求\r\n 2.3 定义系统功能\r\n 2.4 设计系统\r\n 2.5 实施系统\r\n 2.6 有效性评估\r\n第3章 ISSE过程\r\n第4章 ISSE与其他过程的联系\r\n第5章 SSE-CMM综述\r\n第6章 SSE-CMM的过程域\r\n第7章 SSE-CMM的能力级别\r\n第8章 对SSE-CMM三大安全焦点的进一步讨论\r\n第9章 信息安全工程与等级保护\r\n第10章 开放地看待依信息安全工程方法\r\n附录A 缩略语\r\n附录B NIST建议的IT安全工程原则\r\n附录C SSE-CMM的基本实施列表\r\n附录D SSE-CMM的能力级及通用实施列表\r\n附录E SSE-CMM关心的其他过程域\r\n参考文献\r\n
爱因斯坦说过:“我们创造的世界是我们的思维水平所能达到的结果,因此也在很大程度上制造了在创造它们的同一水平上我们所不能解决的问题。”
第三次生产力革命——信息革命以来,人类逐步跨入数字化生存的新境界。但这个新的生存境界是不是正在按其创造者——人类的意志所存在和发展呢?伟大的智者已经给出了答案。
因此,当面对严峻的信息安全挑战时,我们首先要解决的是态度问题。因噎废食和盲目乐观都是不可取的,而宣扬全面、彻底的解决方案,期望一劳永逸地解决信息安全问题的做法也有违于客观规律。信息安全问题是信息革命与生俱来的伴随物。在信息化进程中,只要求发展,就必然会面临信息安全问题。
但是我们正在化被动为主动,在与真理无限接近的过程之中,我们始终在努力寻求对信息安全本质及其规律的掌握。即使不能在一时的知识层面上解决全部的问题,我们仍然期望信息化的这个伴随物能够处于我们的认识水平的控制之下。
信息安全工程学便是这样一种控制工具,它强调了信息安全的系统性。用系统工程的观点、方法来对待和处理信息安全问题,是最近一段时间以来信息安全界热切关注的一个焦点。站在信息安全工程的高度上来全面构建和规范我国的信息安全,不但具有重要的理论意义,更将极大地保障国家信息资源的安全。
为此,我们编写了这本《信息安全工程导论》。
其名曰导论,自然指明了这本书不是包罗万象的信息安全知识的罗列,它面向信息安全工程,重在探讨信息安全工程的内容和内涵。信息安全知识具有前所未有的综合性,即使在信息安全工程这样一个非常具体的领域中,也难以通过一本书而阐明其全部内容,更何况这是一个正在迅速发展的领域。因此我们希望这本书能起到抛砖引玉的作用,使更多的人能够加入到信息安全工程的研究和实践中来,共同为加强我国的信息安全保障而努力奋斗。
本书第1章简介了信息安全的基本概念,这虽不是本书的主要内容,但我们认为,发展到今天的信息安全仍然有大量的基本概念需要探讨,这些概念对理解信息安全工程至关重要。第1章末引出了信息安全工程方法,并简单回顾了信息安全工程方法的发展史。第2章阐述了信息安全工程方法的基础——系统工程过程,并随后在第3章介绍了在其之上发展而来的信息系统安全工程(ISSE)。第4章分析了ISSE与其他几个工程过程之间的关系;其后,我们谈到了与ISSE相对的另外一种信息安全工程方法:系统安全工程—能力成熟度模型(SSE-CMM),它已经成为信息安全工程的国际标准,代表了信息安全工程方法发展的优秀成果,这是本书的一项重点内容。我们在第5章分析了包括其体系结构在内的SSE-CMM方法学,对其应用方法等背景信息做了介绍,并在第6、7两章分别阐述了其体系结构中的过程域维和能力维,它们由重要的信息安全工程过程活动所组成。第8章分析了SSE-CMM对信息安全问题的覆盖面,重点研究了其保证要求。第9章的主题是信息安全工程与我国的计算机信息系统安全等级保护的关系。鉴于等级保护制度已开始在我国实施,等级信息安全工程能力将成为等级保护制度中的一个关注重点,因此该章除介绍了信息安全评估与等级保护的背景知识外,还分析了国内正在制定的信息安全工程标准与SSE-CMM的关系。第10章通过对ISO/IEC 15443《IT安全保证框架》的分析,我们强调了以开放思维研究信息安全工程方法的必要性。
附录中除正文的索引信息外,还特别加入了美国国家标准和技术研究所发布的《IT安全工程原则》中确立的33条信息安全工程原则以及SE- CMM(系统工程-能力成熟度模型)中的11个过程域,以供读者参考。
参加本书编写工作的还有左晓栋和蔡谊,此外,刘毅、郑志蓉、陈泽茂、孙锐、盛可军等同志也为本书的编写做了很多工作。本书全稿由赵战生教授审校。
本书受到了国家重点基础研究发展规划项目(973)G1999035801和国家科学技术学术著作出版基金委员会的支持。
中国工程院院士
2003年6月
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com