前言

信息是社会发展的重要战略资源。信息技术和信息产业正在改变传统的生产、经营和生活方式，成为新的经济增长点。信息网络国际化、社会化、开放化、个人化的特点使国家的“信息边疆”不断延伸，国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给予极大的关注与投入。

著名信息安全专家沈昌祥院士指出: “信息安全既不是纯粹的技术，也不是简单的安全产品的堆砌，而是一项复杂的系统工程——信息安全工程”。其复杂性体现在信息安全具有全面性、生命周期性、动态性、层次性和相对性等特点。安全体系结构的设计、安全解决方案的提出必须基于信息安全工程理论。对企业来讲，在建立与实施企业级的信息与网络系统安全体系时，必须考虑信息安全的方方面面，必须兼顾信息网络的风险评估与分析，信息网络的整体安全策略、安全模型、安全体系结构的开发，信息网络安全的技术标准与规范的制定以及信息网络安全工程的实施等各个方面。工程实施单位必须严格按照信息安全工程的过程规范实施。只有这样才能实现真正意义的信息安全。

信息安全工程的实施方法有许多种，总的指导思想是将安全工程与信息系统开发集成起来。本书以信息系统建设为基础，在分析常见信息安全问题的基础上，指出具有生命周期的信息安全工程建设流程。并具体阐述信息安全工程过程的目的是使信息系统安全成为系统工程和系统获取过程整体的必要部分，从而有力地保证客户目标的实现，提供有效的安全措施以满足客户的需求，将信息系统安全的安全选项集成到系统工程中去获得最优的信息系统安全解决方案。

本书共分9章，第1章信息安全工程基础，介绍信息与信息系统、系统工程与软件工程的概念，信息系统建设中常见的信息安全问题以及信息安全工程的概念、建设流程和特点；第2章信息安全系统工程，介绍信息安全系统工程的基本概念和过程，以及信息安全系统工程与其他过程的联系；第3章系统安全工程能力成熟度模型，介绍SSECMM的基础、体系结构与应用、系统安全工程能力评估；第4章信息安全工程实施，介绍安全需求定义、安全支持设计、安全运行分析、生命周期安全支持；第5章信息安全策略，介绍信息安全策略的概念、规划与实施以及环境安全、系统安全、病毒防护安全策略；第6章信息安全等级保护，介绍等级保护的概念及其在信息安全工程中的实施、等级保护标准的确定；第7章容灾备份与数据恢复，介绍数据备份的概念与技术以及灾难恢复概念、种类和应用；第8章信息安全管理，主要介绍信息安全管理的概念、信息安全保障、体系和控制规范；第9章信息安全工程案例，分别介绍涉密网安全建设规划设计、信息系统网络安全工程实施和政府网络安全解决方案。每章后面附有习题，以便学习时使用。

本教材出版得到了湖北省自然科学基金重点项目（编号： 2015CFA066）的资助。由于作者水平有限，因此对于本书的不足，恳请读者提出宝贵意见，以便再版时修改和完善，甚为感谢。

〖1〗信息安全工程前言[3]〖3〗作者

2017年4月