信息安全保障与评估

0　导论第1章　信息系统安全保障　1.1　信息安全　　1.1.1　信息安全概念　　1.1.2　信息安全发展　　1.1.3　信息安全模型　1.2　信息安全保障　　1.2.1　信息安全保障概念　　1.2.2　信息安全保障技术　　1.2.3　信息安全保障过程　　1.2.4　信息安全保障模型　1.3　信息系统安全保障　　1.3.1　信息系统安全保障概念　　1.3.2　信息系统安全保障模型　参考文献第2章　信息系统安全评估　2.1　信息安全评估理论　　2.1.1　基于风险的安全评估　　2.1.2　基于安全审计的评估　　2.1.3　基于能力成熟度的评估　　2.1.4　基于安全测评的评估　2.2　信息安全评估标准　　2.2.1　国际标准　　2.2.2　国内标准　2.3　《信息系统安全保障评估框架》（GB/T 20274）系列标准　　2.3.1　《信息系统安全保障评估框架》　　2.3.2　《信息系统保护轮廓和安全目标产生指南》　　2.3.3　《信息系统安全保障通用评估方法》　　2.3.4　GB/T 20274系列标准的应用　参考文献第3章　信息系统安全保障评估模型　3.1　信息系统安全保障评估　　3.1.1　信息系统安全保障评估概述　　3.1.2　信息系统安全保障评估方式　　3.1.3　信息系统安全保障符合性评估　　3.1.4　信息系统安全保障级评估　3.2　信息系统安全保障评估模型　　3.2.1　基于安全测度的评估模型　　3.2.2　基于证据推理的评估模型（CAE）　参考文献第4章　信息系统安全保障评估方法　4.1　基于访问路径的评估方法　　4.1.1　要素及度量　　4.1.2　评估模型　　4.1.3　评估算法　4.2　基于证据推理的评估方法　　4.2.1　评估指标结构　　4.2.2　评估流程　　4.2.3　评估方法　4.3　基于证据合成的评估方法　　4.3.1　证据理论基础　　4.3.2　证据理论评估方法及其局限　　4.3.3　两极比例法的引入　　4.3.4　专家权重的判定　　4.3.5　证据合成示例　4.4　基于差距分析的评估方法　　4.4.1　分析模型　　4.4.2　评估流程　　参考文献第5章　信息系统安全保障评估实践　5.1　评估工具　　5.1.1　工具简介　　5.1.2　功能模块　　5.1.3　评估流程　　5.1.4　用户角色　　5.1.5　评估方法　5.2　评估准备　　5.2.1　任务设定　　5.2.2　编写评估信息　　5.2.3　评估项设置　5.3　用例生成　　5.3.1　评估用例　　5.3.2　测试用例　5.4　现场测试　5.5　核查与推理　　5.5.1　专家核查　　5.5.2　推理（综合评估）　5.6　评估结果　　5.6.1　评估结论　　5.6.2　报告生成　　5.6.3　报告样张参考文献

吴世忠、江常青、林家骏编著的《信息系统安全保障评估》将在信息系统安全保障模型指导下，在综合考虑各种安全评估尺度基础上，通过安全保障控制措施和安全保障能力级来定义安全作为度量信息系统安全的尺度。本书将风险和安全性联系起来评估作为出发点，提出基于证据理论和评估用例、基于系统安全性差距分析等评估方法。信息系统安全保障是信息安全风险评估的延伸，通过评估识别信息系统在运行中所面临的各种风险，并针对性地制定信息安全保障策略；在保障策略指导下，设计并实现信息安全保障架构或模型，采取保障措施，将风险减少至预定可接受的程度，最终实现对信息系统使命要求的保障。《信息系统安全保障评估》主要介绍了信息安全模型、信息安全评估方法与标准；提供了可支持GB/T20274的信息安全保障能力评估工具及其测评实例。　　吴世忠、江常青、林家骏编著的《信息系统安全保障评估》可供有关研究人员、工程人员阅读，也可作为研究生与大学高年级学生的教材与参考用书。