《系統安全保障:策略、方法與實踐》由國際對象管理組織(omg)kdm分析部門cto和ceo共同執筆,美國國土安全部、國家網絡安全部、全球網絡安全管理組的軟件質量保障總監鼎力推薦。
全書用系統化方式描述了軟件系統的安全保障方法,充分利用了對象管理組的軟件安全保障體系標準,最終形成一個綜合系統模型用于系統的分析和證據收集。主要內容包括:及時部分(第1~3章)介紹網絡安全基礎知識,以及對象管理組的軟件安全保障體系。第二部分(第4~7章)介紹網絡安全知識的不同方面,以建立網絡安全論據,包括系統知識、與安全威脅和風險相關的知識、漏洞知識,還描述了網絡安全內容的新格式,即機器可識別的漏洞模式。第三部分(第8~11章)介紹對象管理組的軟件安全保障體系的協議,包括通用事實模型、語義模型、業務詞匯和業務規則語義標準,以及知識發現元模型。第四部分(第12章)通過一個端到端的案例研究來闡釋系統安全保障方法、綜合系統模型和系統安全保障案例。
《系統安全保障:策略、方法與實踐》內容廣泛,系統性強,適合信息安全領域的研究人員、技術開發人員、高校教師等參考。
Nikolai Mansourov系統安全保障領域的人物,OMG的KDM分析部門CTO,OMG KDM規范的編寫者和修訂任務小組主席。曾擔任Klocwork公司首席科學家和總架構師,以及俄國科學院系統編程研究所的部門主任。此外,他還曾發表50多篇相關的論文。
譯者序
序言
前言
第1章 為什么黑客更了解我們的系統
1.1 網絡操作的風險
1.2 黑客屢次攻擊成功的原因
1.3 網絡系統防御的挑戰
1.4 本書內容簡介
1.5 本書目標讀者
參考文獻
第2章 受信產品
2.1 如何確信漆黑房間不存在黑貓
2.2 安全保障性質
2.3 安全保障過程概述
參考文獻
第3章 如何建立信任
3.1 系統生命周期內的安全保障
3.2 系統安全保障過程中的活動
參考文獻
第4章 網絡安全論據元素——系統知識
4.1 什么是系統
4.2 系統邊界
4.3 系統描述解析
4.4 系統描述的概念保障
4.5 系統架構
4.6 框架架構例子
4.7 系統元素
4.8 多視角看系統知識
4.9 運營概念
4.10 網絡配置
4.11 系統生命周期和安全保障
參考文獻
第5章 網絡安全論據元素——安全威脅知識
5.1 概述
5.2 基本的網絡安全元素
5.3 威脅識別的通用詞匯表
5.4 系統性威脅識別
5.5 安全保障策略
5.6 威脅識別的安全保障
參考文獻
第6章 網絡安全論據元素——安全漏洞知識
6.1 知識單元的安全漏洞
6.2 漏洞數據庫
6.3 漏洞生命周期
6.4 nist安全內容自動化協議(scap)體系
參考文獻
第7章 新的安全保障內容——漏洞模式
7.1 當前scap體系之外
7.2 廠商無關的漏洞模式
7.3 軟件故障模式
7.4 軟件故障模式實例
參考文獻
第8章 omg軟件安全保障體系
8.1 概述
8.2 omg軟件安全保障體系:協助提升網絡安全
參考文獻
第9章 通用安全保障內容事實模型
9.1 系統安全保障內容
9.2 目標
9.3 設計信息交換協議的標準
9.4 權衡與取舍
9.5 信息交換協議
9.6 事實模型的"螺母和螺栓"
9.7 事實的表示
9.8 通用模式
9.9 系統安全保障事實
參考文獻
第10章 語義模型
第11章 系統事實交換標準協議
第12章 案例研究
參考文獻
本書描述了對象管理組(OMG)的軟件安全保障體系,向協作式的網絡安全自動化管理邁出了重要的一步,它提供了一種基于標準的方案以便在計算機系統中建立安全性和還原能力。
———Joe Jarzombek
美國國土安全部、國家網絡安全部、全球網絡安全管理組軟件質量保障總監系統安全保障是一個非常復雜、非常困難的主題。本書詳細地描述了如何將不同的現有工具組合起來,以可行的方式系統地開發系統安全保障文檔,并可以進行調整以便用于特定的領域。本書還提供了非常有用的實例指導,可供安全評估領域的技術人員和管理人員使用,也可供其他領域的技術人員參考。
——John P.Hopkinson
Kwictech公司安全戰略師
good
還需要多花點時間去理解
當今的IT世界風起云涌,復雜的移動平臺、云計算和無處不在的數據訪問對每一位IT專業人士提出了新的安全需求。本書從概念到細節——提供了一站式的參考,既適用于初學者,也適用于經驗豐富的專業人士。
書很好,很全面,也很實用,理論性很強。
很好
挺好的,孩子很喜歡看。
