信息安全原理與實踐

《信息安全原理與實踐》具有完善的知識體系。知識的講解細緻詳盡，循序漸進，通俗易懂，易於入手，深入淺出的剖析，逐步提高讀者的使用能力，鞏固學習技能。

另外，《信息安全原理與實踐》注重實踐、強調實用。大量的練習，由簡單到複雜，完全覆蓋了網路信息安全套用各個方面涉及的知識內容。輔助功能講解的練習（inPractice）以及課後練習中的大量選擇題（測試讀者對知識的理解程度）、練習題（圍繞章節中出現的個別概念設計的簡要、引導性的課程項目）、項目題（綜合一章內若干知識點的較長、引導性的課程項目）和案例研究（運用該章中的知識點來解決問題的實際場景），可以在理論知識的學習基礎上邊學邊練，通過實際操作理解各種功能的實際套用。針對各種練習，書中提供了詳細的操作步驟，注意事項，初學者以及具有一定基礎的中級讀者，只要按照步驟一步步學習，都能完成實例練習，並通過技巧的提示達到舉一反三的目的，在較短的時間內快速掌握知識套用的精髓。

1.1導言1

1.2增長的IT安全重要性與新的職業機會2

1.2.1政府和私營工商業的持續需求2

1.3成為信息安全專家3

1.3.1應運而生的教育機構5

1.3.2綜合學科研究法6

1.4信息安全的環境7

1.4.1信息安全職業--業務安全的需要8

1.5本章小結9

1.6技能測試9

1.6.1多項選擇題9

1.6.2練習題11

1.6.3項目題12

1.6.4案例研究12

第2章信息安全的成功原則15

2.1導言15

2.2原則1:沒有絕對的安全16

2.3原則2:安全三目標--私密性、完整性和可用性17

2.3.1完整性模型17

2.3.2可用性模型18

2.4原則3:部署安全分層機制18

2.5原則4:人們容易自行做出最糟的安全決定19

2.6原則5:決定計算機安全的兩項需求--功能性需求與保險性需求20

2.7原則6:模糊性不是安全的解決之道21

2.8原則7:安全=風險管理21

2.9原則8:安全控制的三種類型：預防型控制、探測型控制和回響型控制23

2.10原則9:複雜性是安全性的大敵23

2.11原則10:擔憂、不確定性、疑惑對銷售安全沒用24

2.12原則11:必要的人、流程、技術是系統或設施安全的保障24

2.13原則12:公開已知的漏洞有助於安全25

2.14本章小結25

2.15技能測試26

2.15.1多項選擇題26

2.15.2練習題27

2.15.3項目題28

2.15.4案例研究29

第3章認證計畫與公共知識體系31

3.1導言31

3.2信息安全及其認證31

3.2.1國際信息系統安全認證聯盟32

3.3信息安全的公共知識體系（CBK)33

3.3.1安全管理實務33

3.3.2安全體系結構和模型34

3.3.3業務持續性計畫34

3.3.4法律、調查和道德35

3.3.5物理安全35

3.3.6操作安全35

3.3.7訪問控制系統和方法36

3.3.8密碼學36

3.3.9電信、網路和Internet安全36

3.3.10套用開發安全37

3.4其他安全認證項目37

3.4.1註冊信息系統審計師（CISA)37

3.4.2註冊信息安全員（CISM)38

3.4.3全球信息保證證書（GIAC)38

3.4.4CompTIASecurity+認證38

3.4.5針對供應商的認證38

3.5本章小結40

3.6技能測試40

3.6.1多項選擇題40

3.6.2練習題42

3.6.3項目題43

3.6.4案例研究44

第4章安全管理45

4.1導言45

4.2安全策略是成功的基礎46

4.34種策略類型47

4.3.1程式層次的策略48

4.3.2框架層次的策略49

4.3.3面向問題的策略49

4.3.4面向系統的策略51

4.4安全策略的開發與管理51

4.4.1安全目標51

4.4.2可操作的安全52

4.4.3策略執行52

4.5策略支持文檔53

4.5.1規範53

4.5.2標準和基準54

4.5.3方針55

4.5.4程式55

4.6推薦的標準的分類方法55

4.6.1資產分類55

4.6.2權力分離56

4.6.3職前雇用實踐57

4.6.4風險分析和管理57

4.6.5教育、培訓與安全意識59

4.7誰為安全負責59

4.8本章小結60

4.9技能測試60

4.9.1多項選擇題60

4.9.2練習題63

4.9.3項目題63

4.9.4案例研究64

第5章安全架構與模型65

5.1導言65

5.2可信計算基礎的定義66

5.2.1信任環66

5.3可信計算基礎中的保護機制68

5.4“系統安全保證”概念70

5.4.1安全測試的目標70

5.4.2規範的安全測試模型70

5.5可信計算機的安全評估準則（TCSEC)71

5.5.1等級D:最低保護72

5.5.2等級C:自定式保護72

5.5.3等級B:強制式保護72

5.5.4等級A:可驗證式保護73

5.5.5TCSEC中可信網路的解釋（TNI)74

5.6信息技術的安全評估準則74

5.6.1ITSEC與TCSEC的比較74

5.6.2ITSEC的保證等級75

5.7加拿大可信計算機產品的評估準則75

5.8美國聯邦信息技術的安全準則76

5.9通用準則76

5.9.1保護配置檔案的組織形式78

5.9.2功能性安全需求78

5.9.3評估保證等級80

5.9.4通用評估方法論81

5.10私密性與完整性模型82

5.10.1Bell-LaPadula模型82

5.10.2Bila完整性模型83

5.10.3高級模型83

5.11本章小結84

5.12技能測試84

5.12.1多項選擇題84

5.12.2練習題86

5.12.3項目題86

5.12.4案例研究87

第6章業務持續計畫和災難恢復計畫89

6.1導言89

6.2總覽業務持續計畫與災難恢復計畫90

6.2.1為什麼BCP如此重要？91

6.2.2中斷事件的種類91

6.2.3BCP的定義範圍92

6.2.4創建業務影響分析93

6.3災難恢復計畫93

6.3.1確定恢復策略94

6.3.2共享站點協定94

6.3.3備用站點94

6.3.4補充協定95

6.3.5測試災難恢復計畫95

6.3.6組織內與組織外96

6.4本章小結96

6.5技能測試97

6.5.1多項選擇題97

6.5.2練習題99

6.5.3項目題100

6.5.4案例研究100

第7章法律、調查與道德規範103

7.1導言103

7.2計算機犯罪類型104

7.3如何實施網路犯罪105

7.4計算機及相關法律107

7.4.1司法體系中的立法部門107

7.4.2司法體系中的管理部門107

7.4.3司法體系中的判決部門107

7.5智慧財產權法108

7.5.1專利法108

7.5.2商標法109

7.5.3商業秘密法109

7.6隱私及相關法律110

7.6.1國際性的隱私問題110

7.6.2美國的隱私法111

7.7計算機取證112

7.8信息安全業的職業道德113

7.9其他道德規範114

7.9.1計算機倫理研究所114

7.9.2Internet活動委員會：道德和Internet114

7.9.3公平信息實踐法規115

7.10本章小結115

7.11技能測試116

7.21.1多項選擇題116

7.21.2練習題118

7.21.3項目題119

7.21.4案例研究120

第8章物理安全控制121

8.1導言121

8.2理解物理安全範疇122

8.3物理安全的威脅123

8.4提供物理安全123

8.4.1人事教育123

8.4.2行政式訪問控制124

8.4.3物理安全控制125

8.4.4技術性控制127

8.4.5環境控制/生命安全控制130

8.5本章小結131

8.6技能測試132

8.6.1多項選擇題132

8.6.2練習題134

8.6.3項目題135

8.6.4案例研究135

第9章操作安全137

9.1導言137

9.2操作安全的原則138

9.3安全操作過程控制139

9.4實施中的安全操作140

9.4.1軟體支持141

9.4.2配置與變更管理141

9.4.3備份141

9.4.4媒體控制142

9.4.5文檔143

9.4.6維護144

9.4.7相依性144

9.5本章小結145

9.6技能測試145

9.6.1多項選擇題145

9.6.2練習題146

9.6.3項目題147

9.6.4案例研究148

第10章訪問控制體系和方法論149

10.1概述149

10.2術語和概念150

10.2.1標識150

10.2.2認證150

10.2.3最低特權（須知）150

10.2.4信息所有者150

10.2.5自由訪問控制151

10.2.6訪問控制列表151

10.2.7強制訪問控制151

10.2.8基於角色的訪問控制152

10.3認證原則153

10.3.1密碼問題153

10.3.2多要素認證154

10.4生理學155

10.5單點登錄156

10.5.1Kerberos157

10.5.2聯合標識157

10.6遠程用戶訪問和認證160

10.6.1遠程訪問用戶撥入服務160

10.6.2虛擬專用網161

10.7本章小結161

10.8技能測試161

10.8.1多項選擇題161

10.8.2練習題163

10.8.3項目題164

10.8.4案例研究165

第11章密碼學167

11.1導言167

11.2將密碼學套用於信息系統168

11.3術語和概念169

11.4密碼系統的強度170

11.4.1密碼系統滿足了當今電子商務的需要172

11.4.2密碼系統中密鑰的角色173

11.5綜合套用174

11.5.1摘要數據175

11.5.2數字證書177

11.6調查數位化密碼系統179

11.6.1散列函式179

11.6.2密文塊179

11.6.3PPK密碼系統的實現180

11.7本章小結183

11.8技能測試183

11.8.1多項選擇題183

11.8.2練習題185

11.8.3項目題186

11.8.4案例研究187

第12章通信、網路和Internet安全189

12.1導言189

12.2網路和通信安全190

12.3網路安全背景190

12.4開放系統互聯（OSI）參考模型191

12.4.1協定棧191

12.4.2OSI參考模型和TCP/IP193

12.4.3OSI模型和安全195

12.5數據網路類型196

12.5.1區域網路197

12.5.2廣域網197

12.5.3Internet197

12.5.4企業內部網198

12.5.5企業外部網198

12.6保護TCP/IP網路198

12.7基本安全架構198

12.7.1路由器198

12.7.2數據包過濾199

12.7.3包過濾路由器的優點200

12.7.4包過濾路由器的局限200

12.8防火牆201

12.8.1套用級防火牆201

12.8.2堡壘主機202

12.8.3套用級網關的優點203

12.8.4套用級網關的局限203

12.8.5防火牆實例203

12.8.6明智選擇207

12.9入侵檢測系統207

12.9.1什麼樣的入侵？207

12.9.2優秀入侵檢測系統的特徵208

12.9.3假陽性、假陰性和顛覆攻擊209

12.10虛擬專用網210

12.10.1IPSec210

12.10.2安全策略213

12.10.3IPSec密鑰管理213

12.11本章小結213

12.12技能測試214

12.12.1多項選擇題214

12.12.2練習題216

12.12.3項目題216

12.12.4案例研究217

第13章套用開發的安全性219

13.1導言219

13.2軟體項目實踐220

13.3軟體開發生命周期221

13.4分散式系統223

13.4.1軟體代理224

13.4.2Java224

13.4.3JavaApplets224

13.4.4ActiveX控制項224

13.4.5分散式對象225

13.4.6惡意軟體226

13.5反病毒軟體226

13.6通過SDLC提高安全性227

13.6.1教育組228

13.6.2軟體過程組228

13.6.3補丁管理組229

13.6.4激勵組229

13.7本章小結230

13.8技能測試230

13.8.1多項選擇題230

13.8.2練習題232

13.8.3項目題233

13.8.4案例研究234

第14章未來的安全性的未來235

14.1導言235

14.2持續監控和時刻警戒235

14.3運轉合格接收人237

14.4身份竊取和美國監管環境238

14.5不斷增加的威脅238

14.5.1銷售商試圖使安全研究人員保持沉默239

14.5.2域欺騙增強了作為網路釣魚攻擊的補充239

14.6安全威脅的趨勢240

14.7信息安全專家的美好未來240

14.7.1要求高於安全技能241

14.8本章小結241

14.9技能測試242

14.9.1多項選擇題242

14.9.2練習題244

14.9.3項目題244

14.9.4案例研究245

附錄A公共知識體系247

A.1安全管理實踐247

A.1.1關鍵知識域247

A.2安全架構和模型249

A.2.1關鍵知識域249

A.3業務連續性計畫（BCP）和災難恢復計畫（DRP)251

A.3.1關鍵知識域251

A.4法律、調查和道德規範254

A.4.1關鍵知識域254

A.5物理安全256

A.5.1關鍵知識域256

A.6運作安全258

A.6.1關鍵知識域258

A.7訪問控制系統和方法學262

A.7.1關鍵知識域262

A.8密碼學264

A.8.1關鍵知識域264

A.9電信和網路安全266

A.9.1關鍵知識域266

A.10套用和系統開發安全268

A.10.1關鍵知識域268

附錄B安全策略和標準分類273

B.1安全管理策略273

B.1.1信息安全組織273

B.1.2訓練和意識273

B.2風險管理策略274

B.2.1信息所有權274

B.2.2信息分類274

B.2.3風險評估274

B.3安全基準274

B.3.1防拷貝介質的安全性274

B.3.2電子介質的安全性275

B.4人事安全策略275

B.4.1僱傭前控制275

B.4.2責任分離275

B.4.3僱傭時控制275

B.4.4人事管理275

B.4.5轉職/辭職/解僱控制276

B.5物理安全策略276

B.5.1設備的安全性276

B.5.2信息系統的安全性276

B.5.3火災保護276

B.5.4水災保護277

B.5.5環境控制277

B.6運作管理策略277

B.6.1運作管理和控制277

B.6.2惡意代碼和病毒278

B.6.3備份和恢復278

B.6.4軟體支持278

B.7安全監控和回響策略278

B.7.1行為監控（MonitoringActivities)278

B.7.2事件回響279

B.8通信管理策略279

B.8.1加密279

B.8.2信息交換279

B.8.3電子郵件、Internet和其他電子通信279

B.8.4語音/傳真/影像通信280

B.8.5會議和談話280

B.9訪問控制策略280

B.9.1用戶註冊和授權280

B.9.2標識280

B.9.3認證280

B.9.4特權和特定賬戶的訪問281

B.9.5遠程訪問281

B.10網路安全策略282

B.10.1網路訪問282

B.10.2網路安全控制設備282

B.11第三方服務策略283

B.11.1第三方服務283

B.12套用開發策略283

B.12.1套用開發過程283

B.12.2商業系統需求283

B.12.3套用測試（ApplicationTesting)284

B.13恢復和業務連貫性區域284

B.13.1業務連貫性管理程式284

B.13.2恢復/業務連貫性計畫測試需求284

B.13.3恢復網站284

B.13.4法定的、一致的和受控的需求284

B.13.5安全符合測試285

附錄C策略樣本287

C.1計算機可接受使用策略樣本287

C.2郵件使用策略樣本290

C.3密碼策略樣本292

C.4無線網路（Wi-Fi）使用策略樣本295

附錄D安全策略和標準管理系統內幕297

附錄EHIPAA安全規則和標準305

E.1HIPAA安全標準305

E.2行政程式306

E.3物理保障措施306

E.4技術安全服務307

E.5技術安全機制307術語表309

……