系統(tǒng)安全保證

內(nèi)容概要

　　《系統(tǒng)安全保證：策略、方法與實(shí)踐》由國際對象管理組織（omg）kdm分析部門cto和ceo共同執(zhí)筆，美國國土安全部、國家網(wǎng)絡(luò)安全部、全球網(wǎng)絡(luò)安全管理組的軟件質(zhì)量保證總監(jiān)鼎力推薦。
　　全書用系統(tǒng)化方式描述了軟件系統(tǒng)的安全保證方法，充分利用了對象管理組的軟件安全保證體系標(biāo)準(zhǔn)，最終形成一個(gè)綜合系統(tǒng)模型用于系統(tǒng)的分析和證據(jù)收集。主要內(nèi)容包括：第一部分（第1～3章）介紹網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，以及對象管理組的軟件安全保證體系。第二部分（第4～7章）介紹網(wǎng)絡(luò)安全知識(shí)的不同方面，以建立網(wǎng)絡(luò)安全論據(jù)，包括系統(tǒng)知識(shí)、與安全威脅和風(fēng)險(xiǎn)相關(guān)的知識(shí)、漏洞知識(shí)，還描述了網(wǎng)絡(luò)安全內(nèi)容的新格式，即機(jī)器可識(shí)別的漏洞模式。第三部分（第8～11章）介紹對象管理組的軟件安全保證體系的協(xié)議，包括通用事實(shí)模型、語義模型、業(yè)務(wù)詞匯和業(yè)務(wù)規(guī)則語義標(biāo)準(zhǔn)，以及知識(shí)發(fā)現(xiàn)元模型。第四部分（第12章）通過一個(gè)端到端的案例研究來闡釋系統(tǒng)安全保證方法、綜合系統(tǒng)模型和系統(tǒng)安全保證案例。
　　《系統(tǒng)安全保證：策略、方法與實(shí)踐》內(nèi)容廣泛，系統(tǒng)性強(qiáng)，適合信息安全領(lǐng)域的研究人員、技術(shù)開發(fā)人員、高校教師等參考。

作者簡介

　　Nikolai Mansourov系統(tǒng)安全保證領(lǐng)域的權(quán)威人物，OMG的KDM分析部門CTO，OMG
KDM規(guī)范的編寫者和修訂任務(wù)小組主席。曾擔(dān)任Klocwork公司首席科學(xué)家和總架構(gòu)師，以及俄國科學(xué)院系統(tǒng)編程研究所的部門主任。此外，他還曾發(fā)表50多篇相關(guān)的論文。

書籍目錄

譯者序
序言
前言
第1章 為什么黑客更了解我們的系統(tǒng)
　1.1 網(wǎng)絡(luò)操作的風(fēng)險(xiǎn)
　1.2 黑客屢次攻擊成功的原因
　1.3 網(wǎng)絡(luò)系統(tǒng)防御的挑戰(zhàn)
　1.4 本書內(nèi)容簡介
　1.5 本書目標(biāo)讀者
　參考文獻(xiàn)
第2章 受信產(chǎn)品
　2.1 如何確信漆黑房間不存在黑貓
　2.2 安全保證性質(zhì)
　2.3 安全保證過程概述
　參考文獻(xiàn)
第3章 如何建立信任
　3.1 系統(tǒng)生命周期內(nèi)的安全保證
　3.2 系統(tǒng)安全保證過程中的活動(dòng)
　參考文獻(xiàn)
第4章 網(wǎng)絡(luò)安全論據(jù)元素——系統(tǒng)知識(shí)
　4.1 什么是系統(tǒng)
　4.2 系統(tǒng)邊界
　4.3 系統(tǒng)描述解析
　4.4 系統(tǒng)描述的概念承諾
　4.5 系統(tǒng)架構(gòu)
　4.6 框架架構(gòu)例子
　4.7 系統(tǒng)元素
　4.8 多視角看系統(tǒng)知識(shí)
　4.9 運(yùn)營概念
　4.10 網(wǎng)絡(luò)配置
　4.11 系統(tǒng)生命周期和安全保證
　參考文獻(xiàn)
第5章 網(wǎng)絡(luò)安全論據(jù)元素——安全威脅知識(shí)
　5.1 概述
　5.2 基本的網(wǎng)絡(luò)安全元素
　5.3 威脅識(shí)別的通用詞匯表
　5.4 系統(tǒng)性威脅識(shí)別
　5.5 安全保證策略
　5.6 威脅識(shí)別的安全保證
　參考文獻(xiàn)
第6章 網(wǎng)絡(luò)安全論據(jù)元素——安全漏洞知識(shí)
　6.1 知識(shí)單元的安全漏洞
　6.2 漏洞數(shù)據(jù)庫
　6.3 漏洞生命周期
　6.4 nist安全內(nèi)容自動(dòng)化協(xié)議（scap）體系
　參考文獻(xiàn)
第7章 新的安全保證內(nèi)容——漏洞模式
　7.1 當(dāng)前scap體系之外
　7.2 廠商無關(guān)的漏洞模式
　7.3 軟件故障模式
　7.4 軟件故障模式實(shí)例
　參考文獻(xiàn)
第8章 omg軟件安全保證體系
　8.1 概述
　8.2 omg軟件安全保證體系：協(xié)助提升網(wǎng)絡(luò)安全
　參考文獻(xiàn)
第9章 通用安全保證內(nèi)容事實(shí)模型
　9.1 系統(tǒng)安全保證內(nèi)容
　9.2 目標(biāo)
　9.3 設(shè)計(jì)信息交換協(xié)議的標(biāo)準(zhǔn)
　9.4 權(quán)衡與取舍
　9.5 信息交換協(xié)議
　9.6 事實(shí)模型的“螺母和螺栓”
　9.7 事實(shí)的表示
　9.8 通用模式
　9.9 系統(tǒng)安全保證事實(shí)
　參考文獻(xiàn)
第10章 語義模型
第11章 系統(tǒng)事實(shí)交換標(biāo)準(zhǔn)協(xié)議
第12章 案例研究
參考文獻(xiàn)

章節(jié)摘錄

　　第1章 為什么黑客更了解我們的系統(tǒng)　　我們生活在充滿規(guī)則和風(fēng)險(xiǎn)的世界里?！　　狢lifton A.EricsonⅡ，“Hazard Analysis Techniques for System Safety”　　縱觀歷史，每一個(gè)技術(shù)的進(jìn)步，必然成為攻擊者的目標(biāo)?！　　狣avid Icove，“Computer Crime”　　1.1 網(wǎng)絡(luò)操作的風(fēng)險(xiǎn)　　為實(shí)現(xiàn)網(wǎng)絡(luò)空間中的高效操作，在提供靈活的面向服務(wù)的用戶體驗(yàn)的同時(shí)，組織機(jī)構(gòu)需要保持敏捷、可移動(dòng)和健壯性。這一目標(biāo)的實(shí)現(xiàn)嚴(yán)重依賴于基于Web和Internet的服務(wù)技術(shù)，這些技術(shù)能達(dá)到系統(tǒng)間自動(dòng)化端到端的無縫信息交換和全自動(dòng)化、24/7無人值守操作，使得組織機(jī)構(gòu)和客戶的協(xié)同工作成為可能。然而，隨著信息交換能力的增強(qiáng)，安全、隱私和監(jiān)管等方面出現(xiàn)了新的問題和挑戰(zhàn)?！　‰S著全球范圍內(nèi)的網(wǎng)絡(luò)互聯(lián)和服務(wù)日趨普及，例如目前大量金融和商業(yè)交易都是基于網(wǎng)絡(luò)的，網(wǎng)絡(luò)犯罪也發(fā)生了顯著轉(zhuǎn)變[Icove1995]。開始由好奇心驅(qū)使的、以信息自由為目標(biāo)的單個(gè)黑客行為，向高級的、跨國的、有組織的犯罪轉(zhuǎn)變，這些罪犯通常為了經(jīng)濟(jì)利益而進(jìn)行大規(guī)模的在線犯罪活動(dòng)。在過去的三十年中，黑客已經(jīng)積累了大量網(wǎng)絡(luò)攻擊的方法。根據(jù)澳大利亞議會(huì)發(fā)起的網(wǎng)絡(luò)犯罪調(diào)查報(bào)告[Australia 2010]表明，網(wǎng)絡(luò)犯罪“已經(jīng)形成行業(yè)規(guī)模，成為一個(gè)日益重要的全球性社會(huì)問題”?！　〈送猓W(wǎng)絡(luò)戰(zhàn)也成為21世紀(jì)戰(zhàn)爭不可忽視的戰(zhàn)場。新世紀(jì)的戰(zhàn)場不僅包括玉米田、沙漠、山路和松樹林等物理空間，還包括由信息高速公路組成的網(wǎng)絡(luò)空間，以及背后支持的計(jì)算機(jī)、移動(dòng)電話、光纖、雙絞線、各種網(wǎng)絡(luò)設(shè)備和電磁頻譜[Carr 2010]。這些設(shè)備涵蓋了國家關(guān)鍵基礎(chǔ)設(shè)施和企業(yè)信息系統(tǒng)，以及所有商業(yè)和家用桌面臺(tái)式機(jī)和筆記本電腦。關(guān)鍵基礎(chǔ)設(shè)施由國家核心產(chǎn)業(yè)部門和日常民眾所依賴的基礎(chǔ)服務(wù)設(shè)施組成。國家核心產(chǎn)業(yè)部門包括化工、電信、銀行、金融、能源、農(nóng)業(yè)和食品等；基礎(chǔ)服務(wù)設(shè)施包括水、郵政和運(yùn)輸、電力、公共健康和緊急服務(wù)及運(yùn)輸。每個(gè)組成部分都極其復(fù)雜，并在一定程度上依賴于其他組成部分?！　　?/pre>



媒體關(guān)注與評論
　　本書描述了對象管理組（OMG）的軟件安全保證體系，向協(xié)作式的網(wǎng)絡(luò)安全自動(dòng)化管理邁出了重要的一步，它提供了一種基于標(biāo)準(zhǔn)的方案以便在計(jì)算機(jī)系統(tǒng)中建立安全性和還原能力?！　　绹鴩涟踩俊揖W(wǎng)絡(luò)安全部、全球網(wǎng)絡(luò)安全管理組軟件質(zhì)量保證總監(jiān) Joe Jarzombek　　　　系統(tǒng)安全保證是一個(gè)非常復(fù)雜、非常困難的主題。本書詳細(xì)地描述了如何將不同的現(xiàn)有工具組合起來，以可行的方式系統(tǒng)地開發(fā)系統(tǒng)安全保證文檔，并可以進(jìn)行調(diào)整以便用于特定的領(lǐng)域。本書還提供了非常有用的實(shí)例指導(dǎo)，可供安全評估領(lǐng)域的技術(shù)人員和管理人員使用，也可供其他領(lǐng)域的技術(shù)人員參考。　　——Kwictech公司安全戰(zhàn)略師 John P.Hopkinson


編輯推薦
《系統(tǒng)安全保證(策略方法與實(shí)踐)/安全技術(shù)大系》編著者System Assurance: Beyond Detecting Vulnerabilities?！　”緯畲蟮奶攸c(diǎn)，正是將日常繁瑣紛亂的各類安全事務(wù)進(jìn)行概括抽象，根據(jù)目的的不同分門別類，又以流程為線索串連起來，讓安全人員在跳入茫茫的具體而瑣屑的事務(wù)海洋之前，能夠理清頭緒，明確目的，時(shí)時(shí)刻刻都能回答這樣三個(gè)簡單而為難的問題：“我在做什么”、“我要做什么”以及“我需要做什么”，而不至于在撲面而來的大小事務(wù)中迷失了自己，空耗了時(shí)間和精力。





圖書封面



圖書標(biāo)簽Tags
無




評論、評分、閱讀與下載



還沒讀過(98)
勉強(qiáng)可看(714)
一般般(121)
內(nèi)容豐富(5053)
強(qiáng)力推薦(414)


 


    系統(tǒng)安全保證 PDF格式下載