网络与信息安全前沿技术丛书：信息安全仿真验证技术

　　当在实际的信息系统中，无法开展真实的信息安全测试与验证，缺乏信息安全试验验证环境时，亟需通过信息安全仿真手段，搭建信息安全仿真验证平台来解决这些问题。
　　《网络与信息安全前沿技术丛书：信息安全仿真验证技术》是国内一本全面介绍信息安全仿真验证技术的学术专著，反映了信息安全仿真、基于仿真的信息安全测试、基于仿真的信息安全评估领域的新研究成果和应用情况，书中通过理论与实践紧密结合的方式，向读者介绍如何运用信息安全仿真验证技术对信息系统的安全性进行仿真、测试和评估，验证信息系统的安全体制，指导读者在实际工作中执行这些技术、标准和方法。
　　《网络与信息安全前沿技术丛书：信息安全仿真验证技术》可作为从事信息系统安全仿真、测试、评估技术等方向的教学、科研及工程技术人员的参考书。

第1章 概述
1．1 基本概念
1．1．1 信息安全仿真
1．1．2 信息安全验证
1．1．3 信息安全测试
1．1．4 信息安全评估
1．2 信息安全仿真验证基础
1．2．1 理论基础：系统科学思想
1．2．2 技术基础：信息安全体系
1．2．3 应用基础：平行系统方法
1．3 国内外发展状况
1．3．1 国外发展状况
1．3．2 国内发展状况

第2章 信息安全仿真理论与方法
2．1 信息安全仿真理论
2．2 建模与仿真支撑技术
2．3 信息安全仿真建模方法
2．3．1 分层建模方法
2．3．2 半实物仿真方法
2．3．3 分布交互仿真方法
2．3．4 仿真可信度验证方法
2．4 信息安全仿真模型
2．4．1 环境模型
2．4．2 业务模型
2．4．3 安全保密设备模型
2．4．4 攻击行为模型

第3章 基于仿真的信息安全测试
3．1 软件安全测试技术
3．1．1 软件安全
3．1．2 软件安全测试环境
3．1．3 软件安全测试方法
3．2 网络安全测试技术
3．2．1 网络安全测试原则
3．2．2 网络安全测试流程
3．2．3 网络安全测试内容
3．2．4 网络安全测试方法
3．3 安全漏洞检测技术
3．3．1 漏洞定义
3．3．2 漏洞产生的原因
3．3．3 漏洞特征与属性
3．3．4 漏洞的分类
3．3．5 漏洞扫描技术
3．3．6 漏洞扫描器
3．4 信息安全测试工具
3．4．1 信息安全测试工具基础
3．4．2 信息安全测试工具实现
3．4．3 常用的信息安全测试工具

第4章 基于仿真的信息安全评估
4．1 评估标准规范
4．1．1 CC通用标准
4．1．2 BS7799标准
4．1．3 CMM系统安全工程能力成熟度模型
4．1．4 NIST相关标准
4 1．5 OVAT．
4．2 信息安全评估方法
4．2．1 信息安全评估方法分类
4．2．2 德尔斐法
4．2．3 故障树分析法
4．2．4 事件树分析法
4．2．5 概率风险评估
4．2．6 层次分析法
4．2．7 基于模型的评估方法
4．2．8 通用漏洞评分系统
4．3 基于仿真的评估技术
4．3．1 风险评审技术
4．3．2 系统级信息安全评估

第5章 信息安全仿真验证平台
5．1 仿真验证平台构建技术
5．1．1 半实物仿真技术
5．1．2 仿真代理技术
5．1．3 业务仿真及动态加载技术
5．1．4 仿真接口标准化技术
5．1．5 仿真可信度验证技术
5．2 仿真验证平台架构
5．2．1 平台总体设计
5．2．2 平台组成
5．3 仿真验证子系统
5．3．1 业务仿真系统
5．3．2 攻防仿真系统
5．3．3 安全评估系统
5．3．4 平台控制系统
5．4 平台仿真应用

第6章 信息安全仿真验证应用案例
6．1 国防科技工业中的应用
6．2 武警公安信息系统中的应用
6．3 医疗应急网络中的应用

第7章 技术展望
7．1 云计算安全
7．2 大数据安全
7．3 物联网安全
7．4 移动终端安全
7．5 电磁环境仿真技术
7．6 安全靶场技术

结束语
参考文献

　　本书利用仿真模拟技术研究信息系统的安全工程问题，通过仿真业务场景，对信息系统进行合规性验证；采用半实物仿真手段，提升仿真的可信度，并对信息系统中的实体进行人在环中的测试；改进并提出层次分析评估方法，使评估更加量化具体，更加科学合理，并创新地提出信息系统的系统级安全评估指标。
　　信息安全仿真验证技术研究试图解决体系化、合规化、预见化、应对化、合理化的信息安全五化问题：提供信息系统安全整体解决方案，保障成体系建设（体系化）；按标准完成任务，满足管理技术要求（合规化）；预测应用风险，提出风险分析，采取应对措施（预见化）；发现木桶短板，采取补救措施（应对化）；推荐适合的产品（合理化）。
　　全书共分为7章：第1章介绍信息安全仿真、信息安全验证、信息安全测试、信息安全评估的基本概念，信息安全仿真验证的理论基础、技术基础、应用基础以及国内外发展状况；第2章至第4章分别介绍信息安全仿真、信息安全测试、信息安全评估的相关技术、标准规范和方法；第5章介绍信息安全仿真验证平台构建技术、平台架构和系统实现、平台仿真应用；第6章介绍信息安全仿真验证在国防科技工业网、武警公安信息系统、医疗应急网络中的应用以及产生的综合效益；第7章介绍信息安全仿真验证技术在云计算安全、大数据安全、物联网安全、移动终端安全、电磁环境仿真、安全靶场等领域应用的展望。下图为本书的组织结构图。
　　本书通过理论与实践紧密结合的方式，向读者介绍如何运用信息安全仿真验证技术对信息系统的安全性进行仿真、测试和评估，验证信息系统的安全体制。读者读完本书之后，可以在实际工作中去执行这些技术、标准和方法。
　　本书可供高等学校信息安全、计算机和通信等相关专业的师生研读；从事信息系统安全仿真、测试、评估技术相关科研工作的有关读者也可以从中获得借鉴；还可以作为信息系统安全测评从事人员的参考书；同时也可供对信息安全仿真与验证技术感兴趣的普通读者、工程技术人员和业界同行参考；或为参与信息系统安全设计与建设的科技人员提供指导，为信息系统建设提供帮助。
　　本书第1、7章由王冬海撰写，第2、5章由雷璟撰写，第3章由彭武撰写，第4章由马进胜撰写，第6章由王冬海、马进胜撰写。
　　本书在撰写过程中得到了各位领导和专家的指导、帮助，包括王积鹏、王青、胡昌振、谢小权、王崑生等。此外，韦涛、李丹、司瑞彬等同事在本书的资料编辑整理等方面也做出了积极贡献，在此一并表示衷心的感谢。