《计算机应用系统安全要则》求取 ⇩

第1章 计算机安全概论1

1．1 计算机安全的概念1

1．1．1 什么是计算机安全1

1．1．2 内部安全和外部安全4

1．2 计算机应用系统的脆弱性和安全目标6

1．2．1 应用系统的脆弱性6

1．2．2 应用系统的安全目标7

1．2．3 敏感应用系统实例9

2．1 数据确认12

第2章 保护应用系统安全的技术和方法12

2．1．1 连续性和可行性检测13

2．1．2 数据输入时的检验13

2．1．3 数据在处理过程中的进一步检测14

2．1．4 数据元素字典/目录15

2．1．5 从管理角度考虑15

2．2 用户身份验证15

2．2．1 对身份验证的需求15

2．2．2 身份验证的基本技术16

2．2．3 从管理角度考虑16

2．3．1 授权方案17

2．3 授权17

2．3．2 授权委托19

2．3．3 保护授权数据19

2．3．4 机密数据的授权方案20

2．3．5 从管理角度考虑21

2．4 日志技术21

2．4．1 日志的内容22

2．4．2 日志的作用23

2．4．3 从管理角度考虑23

2．5．1 对日志的管理监督24

2．5 变异检测技术24

2．5．2 外部的变异检测方式25

2．5．3 对变异检测的反应25

2．5．4 动态监测26

2．5．5 从管理角度考虑27

2．6 加密28

2．6．1 通信加密29

2．6．2 脱机存储器加密29

2．6．3 联机文件加密29

2．6．4 从管理角度考虑30

3．1 应用系统的生命周期31

第3章 在应用系统的生命周期中保证安全31

3．2 改善现存系统的安全功能32

3．3 应用系统生命周期中的审计活动33

第4章 在应用系统启始设计阶段实施安全计划35

4．1 安全可行性36

4．2 风险的最初评估38

4．2．1 主要事故的影响38

4．2．2 发生重大事故的频率39

5．1 安全需求定义41

第5章 在应用系统开发阶段建立安全机制41

5．1．1 与应用系统的接口43

5．1．2 与每个接口相关的责任43

5．1．3 职责分隔43

5．1．4 敏感客体和操作44

5．1．5 错误容限44

5．1．6 可用性需求和对基本控制的需求45

5．1．7 小结45

5．2 安全设计46

5．2．2 约束用户接口47

5．2．3 人机工程47

5．2．1 减少不必要的程序设计47

5．2．4 共享计算机设备48

5．2．5 隔离关键程序48

5．2．6 备份和恢复49

5．2．7 有效控制的使用49

5．2．8 设计复审50

5．3 安全的编程方法50

5．3．2 程序库51

5．3．3 与安全相关的程序文件51

5．3．1 仔细检查51

5．3．4 与应用系统相关的程序员52

5．3．5 冗余计算52

5．3．6 程序开发工具52

5．4 安全软件的检测和评估53

5．4．1 检测计划53

5．4．2 静态评估54

5．4．3 动态检测55

第6章 在操作运行中保障安全57

6．1 数据控制57

6．1．1 输入检验57

6．1．3 输出传播控制59

6．1．2 数据存储管理59

6．2 对安全变异的响应60

6．3 软件修改和硬件维护61

6．3．1 软件修改61

6．3．2 硬件维护62

6．4 应急计划62

6．4．1 关键功能的鉴别63

6．4．2 替换场所操作63

6．4．5 数据恢复64

6．4．4 数据备份64

6．4．3 有限的人工替换处理64

6．4．6 设备恢复65

6．4．7 管理人员应该注意的事项65

第7章 计算机系统的安全管理67

7．1 计算机系统安全管理对策及原则67

7．1．1 安全管理对策67

7．1．2 安全管理原则68

7．2 计算机系统的安全管理68

7．2．1 访问控制管理68

7．2．2 加密管理72

7．2．3 风险管理74

7．2．4 审计管理75

7．2．5 计算机病毒防治管理76

7．3 人事和物理安全管理77

7．3．1 人事安全管理77

7．3．2 雇用原则78

7．3．3 物理安全管理81

7．4 安全培训83

7．4．1 安全培训内容83

7．4．2 安全培训对象84

第8章 计算机系统的安全评估和风险分析86

8．1 可信计算机系统评估准则87

8．1．1 计算机系统安全的基本要求87

8．1．2 安全级别概述89

8．2 风险分析93

8．2．1 管理部门在风险分析中的作用94

8．2．2 初步安全检查94

8．2．3 对风险的估测96

第9章 计算机系统的安全验证与认定100

9．1 建立验证和认定工作计划100

9．1．1 政策和程序100

9．1．2 任务与责任103

9．1．3 验证和认定工作的依据104

9．1．4 组织结构106

9．1．5 工作安排107

9．1．6 人力配备、培训和支持108

9．2 完成验证和认定工作109

9．2．1 验证110

9．2．2 认定115

9．3 再验证和再认定117

9．3．1 确认再验证和再认定工作117

9．3．2 再验证和再认定的层次118

9．4 安全验证评估技术120

9．4．1 风险分析120

9．4．2 生效、检验与测试（VV T）121

9．4．3 安全保障评估122

9．4．4 EDP审计122

第10章 网络安全124

10．1 计算机网络安全的特点124

10．2 计算机网络安全设计概述125

10．2．1 计算机网络安全设计的一般原则125

10．2．2 计算机网络安全设计的基本步骤127

10．3 网络安全技术128

10．4 Internet安全130

10．4．1 Internet的安全问题130

10．4．2 Internet的安全措施131

第11章 计算机安全标准与立法135

11．1 国外计算机安全标准概况135

11．1．1 计算机系统安全评估准则135

11．1．2 网络安全标准138

11．1．3 可信数据库标准144

11．1．4 安全体系结构145

11．2．1 标准化工作149

11．2 标准化组织在计算机安全方面的工作149

11．2．2 一些标准化组织或团体出版的计算机安全标准一览表151

11．2．3 计算机安全领域出现了国际联合和统一的趋向152

11．3 我国计算机安全法规与标准的现状和发展152

11．3．1 我国的计算机安全法规与标准简介152

11．3．2 我国已经颁布的有关计算机安全法规、标准一览表156

附录 我国有关计算机信息系统安全的国家法规及国家标准（摘要）157

附录1 中华人民共和国计算机信息系统安全保护条例157

附录2 中华人民共和国计算机信息网络国际联网管理暂行规定161

附录3 信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构164

参考文献202