系統(tǒng)安全保證內(nèi)容簡介

《系統(tǒng)安全保證(策略方法與實(shí)踐)/安全技術(shù)大系》編著者System Assurance: Beyond Detecting Vulnerabilities。

《系統(tǒng)安全保證：策略、方法與實(shí)踐》由國際對(duì)象管理組織（omg）kdm分析部門cto和ceo共同執(zhí)筆，美國國土安全部、國家網(wǎng)絡(luò)安全部、全球網(wǎng)絡(luò)安全管理組的軟件質(zhì)量保證總監(jiān)鼎力推薦。

全書用系統(tǒng)化方式描述了軟件系統(tǒng)的安全保證方法，充分利用了對(duì)象管理組的軟件安全保證體系標(biāo)準(zhǔn)，最終形成一個(gè)綜合系統(tǒng)模型用于系統(tǒng)的分析和證據(jù)收集。

主要內(nèi)容包括：第一部分（第1～3章）介紹網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，以及對(duì)象管理組的軟件安全保證體系。第二部分（第4～7章）介紹網(wǎng)絡(luò)安全知識(shí)的不同方面，以建立網(wǎng)絡(luò)安全論據(jù)，包括系統(tǒng)知識(shí)、與安全威脅和風(fēng)險(xiǎn)相關(guān)的知識(shí)、漏洞知識(shí)，還描述了網(wǎng)絡(luò)安全內(nèi)容的新格式，即機(jī)器可識(shí)別的漏洞模式。第三部分（第8～11章）介紹對(duì)象管理組的軟件安全保證體系的協(xié)議，包括通用事實(shí)模型、語義模型、業(yè)務(wù)詞匯和業(yè)務(wù)規(guī)則語義標(biāo)準(zhǔn)，以及知識(shí)發(fā)現(xiàn)元模型。第四部分（第12章）通過一個(gè)端到端的案例研究來闡釋系統(tǒng)安全保證方法、綜合系統(tǒng)模型和系統(tǒng)安全保證案例。

《系統(tǒng)安全保證：策略、方法與實(shí)踐》內(nèi)容廣泛，系統(tǒng)性強(qiáng)，適合信息安全領(lǐng)域的研究人員、技術(shù)開發(fā)人員、高校教師等參考。

譯者序

序言

前言

第1章 為什么黑客更了解我們的系統(tǒng)

1.1網(wǎng)絡(luò)操作的風(fēng)險(xiǎn)

1.2黑客屢次攻擊成功的原因

1.3網(wǎng)絡(luò)系統(tǒng)防御的挑戰(zhàn)

1.3.1理解和評(píng)估安全風(fēng)險(xiǎn)的難點(diǎn)

1.3.2復(fù)雜的供應(yīng)鏈

1.3.3復(fù)雜的系統(tǒng)集成

1.3.4系統(tǒng)評(píng)估方法的局限性

1.3.5白盒漏洞測試的限制

1.3.6黑盒漏洞測試的限制

1.4本書內(nèi)容簡介

1.4.1成本范圍內(nèi)的系統(tǒng)化和可重復(fù)防御措施

1.4.2omg軟件安全保證體系

1.4.3通用詞匯表管理語言模型

1.5本書目標(biāo)讀者

參考文獻(xiàn)

第2章 受信產(chǎn)品

2.1如何確信漆黑房間不存在黑貓

2.2安全保證性質(zhì)

2.2.1風(fēng)險(xiǎn)評(píng)估、安全工程和安全保證

2.2.2安全保證案例

2.3安全保證過程概述

2.3.1信任產(chǎn)生

2.3.2信任成本

參考文獻(xiàn)

第3章 如何建立信任

3.1系統(tǒng)生命周期內(nèi)的安全保證

3.2系統(tǒng)安全保證過程中的活動(dòng)

3.2.1項(xiàng)目定義

3.2.2項(xiàng)目準(zhǔn)備

3.2.3安全保證論據(jù)開發(fā)

3.2.4安全架構(gòu)分析

3.2.5證據(jù)分析

3.2.6安全保證案例交付

參考文獻(xiàn)

第4章 網(wǎng)絡(luò)安全論據(jù)元素——系統(tǒng)知識(shí)

4.1什么是系統(tǒng)

4.2系統(tǒng)邊界

4.3系統(tǒng)描述解析

4.4系統(tǒng)描述的概念承諾

4.5系統(tǒng)架構(gòu)

4.6框架架構(gòu)例子

4.7系統(tǒng)元素

4.8多視角看系統(tǒng)知識(shí)

4.9運(yùn)營概念

4.10網(wǎng)絡(luò)配置

4.11系統(tǒng)生命周期和安全保證

4.11.1系統(tǒng)生命周期階段

4.11.2可用系統(tǒng)

4.11.3供應(yīng)鏈

4.11.4系統(tǒng)生命周期過程

4.11.5通用詞匯表和綜合系統(tǒng)模型作用

參考文獻(xiàn)

第5章 網(wǎng)絡(luò)安全論據(jù)元素——安全威脅知識(shí)

5.1概述

5.2基本的網(wǎng)絡(luò)安全元素

5.2.1資產(chǎn)

5.2.2影響

5.2.3威脅

5.2.4防御措施

5.2.5漏洞

5.2.6風(fēng)險(xiǎn)

5.3威脅識(shí)別的通用詞匯表

5.3.1定義資產(chǎn)的可辨別詞匯表

5.3.2威脅和危害

5.3.3定義損害和影響的可辨別詞匯表

5.3.4定義威脅的可辨別詞匯表

5.3.5威脅場景和攻擊

5.3.6定義漏洞的可辨別詞匯表

5.3.7定義防御措施的可辨別詞匯表

5.3.8風(fēng)險(xiǎn)

5.4系統(tǒng)性威脅識(shí)別

5.5安全保證策略

5.5.1損害論據(jù)

5.5.2入口點(diǎn)論據(jù)

5.5.3威脅論據(jù)

5.5.4漏洞論據(jù)

5.5.5安全需求論據(jù)

5.6威脅識(shí)別的安全保證

參考文獻(xiàn)

第6章 網(wǎng)絡(luò)安全論據(jù)元素——安全漏洞知識(shí)

6.1知識(shí)單元的安全漏洞

6.1.1漏洞的概念

6.1.2知識(shí)單元的安全漏洞簡史

6.1.3漏洞和系統(tǒng)生命周期

6.1.4枚舉知識(shí)產(chǎn)品的漏洞

6.2漏洞數(shù)據(jù)庫

6.2.1uscert

6.2.2開源漏洞數(shù)據(jù)庫

6.3漏洞生命周期

6.4nist安全內(nèi)容自動(dòng)化協(xié)議（scap）體系

6.4.1scap體系概述

6.4.2scap體系的信息交換

參考文獻(xiàn)

第7章 新的安全保證內(nèi)容——漏洞模式

7.1當(dāng)前scap體系之外

7.2廠商無關(guān)的漏洞模式

7.3軟件故障模式

7.3.1防御措施集合和相應(yīng)的sfp

7.3.2直接損害集合和相應(yīng)的sfp

7.4軟件故障模式實(shí)例

參考文獻(xiàn)

第8章 omg軟件安全保證體系

8.1概述

8.2omg軟件安全保證體系：協(xié)助提升網(wǎng)絡(luò)安全

參考文獻(xiàn)

第9章 通用安全保證內(nèi)容事實(shí)模型

9.1系統(tǒng)安全保證內(nèi)容

9.2目標(biāo)

9.3設(shè)計(jì)信息交換協(xié)議的標(biāo)準(zhǔn)

9.4權(quán)衡與取舍

9.5信息交換協(xié)議

9.6事實(shí)模型的“螺母和螺栓”

9.6.1對(duì)象

9.6.2名詞概念

9.6.3關(guān)于對(duì)象存在的事實(shí)

9.6.4個(gè)體概念

9.6.5概念間關(guān)系

9.6.6動(dòng)詞概念

9.6.7特征

9.6.8條件概念

9.6.9視角和視圖

9.6.10信息交換和安全保證

9.6.11面向事實(shí)的整合

9.6.12事實(shí)的自動(dòng)推導(dǎo)

9.7事實(shí)的表示

9.7.1用xml表示事實(shí)

9.7.2用prolog表示事實(shí)和模式

9.8通用模式

9.9系統(tǒng)安全保證事實(shí)

參考文獻(xiàn)

第10章 語義模型

10.1事實(shí)模型和語義模型

10.2背景

10.3sbvr概述

10.4如何使用sbvr

10.4.1簡單詞匯

10.4.2詞匯項(xiàng)

10.4.3陳述

10.4.4用于新概念規(guī)范化定義的陳述

10.5描述元含義的sbvr詞匯表

10.6描述表示形式的sbvr詞匯表

10.7描述外延的sbvr詞匯表

10.8引用模式

10.9sbvr語義公式

參考文獻(xiàn)

第11章 系統(tǒng)事實(shí)交換標(biāo)準(zhǔn)協(xié)議

11.1背景

11.2kdm詞匯表的組織

11.2.1基礎(chǔ)設(shè)施層

11.2.2程序元素層

11.2.3資源層

11.2.4抽象層

11.3發(fā)現(xiàn)系統(tǒng)事實(shí)的過程

11.4發(fā)現(xiàn)基線系統(tǒng)事實(shí)

11.4.1目錄視圖

11.4.2編譯視圖

11.4.3數(shù)據(jù)視圖

11.4.4ui視圖

11.4.5代碼視圖

11.4.6平臺(tái)視圖

11.4.7事件視圖

11.5執(zhí)行架構(gòu)分析

11.5.1結(jié)構(gòu)視圖

11.5.2概念視圖

參考文獻(xiàn)

第12章 案例研究

12.1引言

12.2背景

12.3運(yùn)營概念

12.3.1執(zhí)行摘要

12.3.2目的

12.3.3位置

12.3.4運(yùn)營授權(quán)

12.3.5系統(tǒng)架構(gòu)

12.3.6系統(tǒng)假設(shè)

12.3.7外部依賴

12.3.8實(shí)現(xiàn)假設(shè)

12.3.9與其他系統(tǒng)的接口

12.3.10安全假設(shè)

12.3.11外部安全注意事項(xiàng)

12.3.12內(nèi)部安全注意事項(xiàng)

12.4sbvr中clicks2bricks的業(yè)務(wù)詞匯表和安全策略

12.5建立綜合系統(tǒng)模型

12.5.1建立基線系統(tǒng)模型

12.5.2使用系統(tǒng)架構(gòu)事實(shí)以提升基線模型

12.6將網(wǎng)絡(luò)安全事實(shí)映射到系統(tǒng)事實(shí)

12.7安全保證案例

參考文獻(xiàn) 2100433B