系统安全保证 策略、方法与实践PDF|Epub|txt|kindle电子书版本网盘下载

系统安全保证 策略、方法与实践PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 为什么黑客更了解我们的系统1

1.1 网络操作的风险1

1.2 黑客屡次攻击成功的原因2

1.3 网络系统防御的挑战3

1.3.1 理解和评估安全风险的难点3

1.3.2 复杂的供应链4

1.3.3 复杂的系统集成5

1.3.4 系统评估方法的局限性5

1.3.5 白盒漏洞测试的限制6

1.3.6 黑盒漏洞测试的限制7

1.4 本书内容简介9

1.4.1 成本范围内的系统化和可重复防御措施9

1.4.2 OMG软件安全保证体系11

1.4.3 通用词汇表管理语言模型12

1.5 本书目标读者14

参考文献14

第2章 受信产品15

2.1 如何确信漆黑房间不存在黑猫15

2.2 安全保证性质21

2.2.1 风险评估、安全工程和安全保证21

2.2.2 安全保证案例24

2.3 安全保证过程概述28

2.3.1 信任产生29

2.3.2 信任成本29

参考文献30

第3章 如何建立信任32

3.1 系统生命周期内的安全保证32

3.2 系统安全保证过程中的活动34

3.2.1 项目定义36

3.2.2 项目准备38

3.2.3 安全保证论据开发40

3.2.4 安全架构分析44

3.2.5 证据分析53

3.2.6 安全保证案例交付55

参考文献55

第4章 网络安全论据元素——系统知识56

4.1 什么是系统56

4.2 系统边界57

4.3 系统描述解析58

4.4 系统描述的概念承诺59

4.5 系统架构60

4.6 框架架构例子62

4.7 系统元素64

4.8 多视角看系统知识66

4.9 运营概念68

4.10 网络配置68

4.11 系统生命周期和安全保证70

4.11.1 系统生命周期阶段70

4.11.2 可用系统71

4.11.3 供应链72

4.11.4 系统生命周期过程72

4.11.5 通用词汇表和综合系统模型作用74

参考文献75

第5章 网络安全论据元素——安全威胁知识76

5.1 概述76

5.2 基本的网络安全元素78

5.2.1 资产79

5.2.2 影响79

5.2.3 威胁80

5.2.4 防御措施80

5.2.5 漏洞81

5.2.6 风险82

5.3 威胁识别的通用词汇表82

5.3.1 定义资产的可辨别词汇表83

5.3.2 威胁和危害85

5.3.3 定义损害和影响的可辨别词汇表88

5.3.4 定义威胁的可辨别词汇表90

5.3.5 威胁场景和攻击92

5.3.6 定义漏洞的可辨别词汇表92

5.3.7 定义防御措施的可辨别词汇表94

5.3.8 风险95

5.4 系统性威胁识别97

5.5 安全保证策略98

5.5.1 损害论据99

5.5.2 入口点论据99

5.5.3 威胁论据99

5.5.4 漏洞论据99

5.5.5 安全需求论据100

5.6 威胁识别的安全保证100

参考文献101

第6章 网络安全论据元素——安全漏洞知识102

6.1 知识单元的安全漏洞102

6.1.1 漏洞的概念102

6.1.2 知识单元的安全漏洞简史104

6.1.3 漏洞和系统生命周期105

6.1.4 枚举知识产品的漏洞106

6.2 漏洞数据库108

6.2.1 US-CERT109

6.2.2 开源漏洞数据库111

6.3 漏洞生命周期113

6.4 NIST安全内容自动化协议（SCAP）体系114

6.4.1 SCAP体系概述115

6.4.2 SCAP体系的信息交换116

参考文献118

第7章 新的安全保证内容——漏洞模式119

7.1 当前SCAP体系之外119

7.2 厂商无关的漏洞模式121

7.3 软件故障模式122

7.3.1 防御措施集合和相应的SFP124

7.3.2 直接损害集合和相应的SFP127

7.4 软件故障模式实例130

参考文献132

第8章 OMG软件安全保证体系133

8.1 概述133

8.2 OMG软件安全保证体系：协助提升网络安全134

参考文献139

第9章 通用安全保证内容事实模型140

9.1 系统安全保证内容140

9.2 目标141

9.3 设计信息交换协议的标准142

9.4 权衡与取舍143

9.5 信息交换协议143

9.6 事实模型的“螺母和螺栓”145

9.6.1 对象145

9.6.2 名词概念146

9.6.3 关于对象存在的事实146

9.6.4 个体概念147

9.6.5 概念间关系148

9.6.6 动词概念148

9.6.7 特征148

9.6.8 条件概念149

9.6.9 视角和视图150

9.6.10 信息交换和安全保证151

9.6.11 面向事实的整合152

9.6.12 事实的自动推导153

9.7 事实的表示153

9.7.1 用XML表示事实154

9.7.2 用Prolog表示事实和模式158

9.8 通用模式159

9.9 系统安全保证事实160

参考文献163

第10章 语义模型164

10.1 事实模型和语义模型164

10.2 背景165

10.3 SBVR概述166

10.4 如何使用SBVR167

10.4.1 简单词汇167

10.4.2 词汇项168

10.4.3 陈述169

10.4.4 用于新概念规范化定义的陈述169

10.5 描述元含义的SBVR词汇表170

10.6 描述表示形式的SBVR词汇表173

10.7 描述外延的SBVR词汇表175

10.8 引用模式176

10.9 SBVR语义公式177

参考文献180

第11章 系统事实交换标准协议181

11.1 背景181

11.2 KDM词汇表的组织182

11.2.1 基础设施层182

11.2.2 程序元素层183

11.2.3 资源层183

11.2.4 抽象层183

11.3 发现系统事实的过程184

11.4 发现基线系统事实186

11.4.1 目录视图186

11.4.2 编译视图188

11.4.3 数据视图190

11.4.4 UI视图194

11.4.5 代码视图195

11.4.6 平台视图204

11.4.7 事件视图208

11.5 执行架构分析212

11.5.1 结构视图212

11.5.2 概念视图214

参考文献218

第12章 案例研究219

12.1 引言219

12.2 背景219

12.3 运营概念220

12.3.1 执行摘要220

12.3.2 目的220

12.3.3 位置220

12.3.4 运营授权221

12.3.5 系统架构221

12.3.6 系统假设223

12.3.7 外部依赖223

12.3.8 实现假设223

12.3.9 与其他系统的接口223

12.3.10 安全假设223

12.3.11 外部安全注意事项224

12.3.12 内部安全注意事项224

12.4 SBVR中Clicks2Bricks的业务词汇表和安全策略224

12.5 建立综合系统模型233

12.5.1 建立基线系统模型233

12.5.2 使用系统架构事实以提升基线模型235

12.6 将网络安全事实映射到系统事实239

12.7 安全保证案例241

参考文献247