信息安全原理（第2版）

該教材書清華大學出版社印發、介紹了信息安全領域的各方面內容、本書從管理和技術兩方面介紹了這一學科，並注重講述了CISSP(認證信息系統安全專家)認證所需掌握的知識。其他主題包括信息安全中的法律和道德問題、網路和系統安全、密碼學、信息安全維護等。

本書詳細介紹了信息安全領域的各方面內容，為每一位有志於成為商務決策人員的讀者提供了全面的指導。作者藉此次再版的機會，在真實的企業環境下討論信息安全，包括目前專業人員面臨的許多問題，還在每一章的“相關資料”中介紹了有趣的故事。本書從管理和技術兩方面介紹了這一學科，並注重講述了CISSP(認證信息系統安全專家)認證所需掌握的知識。其他主題包括信息安全中的法律和道德問題、網路和系統安全、密碼學、信息安全維護等。

第1章信息安全簡介 1

1.1引言 2

1.2信息安全發展史 2

1.2.120世紀60年代 3

1.2.220世紀70年代和80年代 4

1.2.320世紀90年代 6

1.2.4現在 6

1.3安全的概念 6

1.4信息的重要特性 7

1.4.1可用性 7

1.4.2精確性 8

1.4.3真實性 8

1.4.4機密性 8

1.4.5完整性 9

1.4.6效用性 10

1.4.7所有性 10

1.5NSTISSC安全模型 10

1.6信息系統的組件 11

1.6.1軟體 11

1.6.2硬體 11

1.6.3數據 12

1.6.4人員 12

1.6.5過程 12

1.6.6網路 12

1.7保護IS組件的安全 13

1.8平衡信息的安全和訪問權 13

1.9實現信息安全的方法 14

1.10系統開發生命周期 15

1.10.1方法學 15

1.10.2階段 15

1.10.3調研 16

1.10.4分析 16

1.10.5邏輯設計 16

1.10.6物理設計 16

1.10.7實現 17

1.10.8維護和修改 17

1.11安全系統開發生命周期 17

1.11.1調研 17

1.11.2分析 17

1.11.3邏輯設計 17

1.11.4物理設計 18

1.11.5實現 18

1.11.6維護和修改 18

1.12安全專業人士和機構 19

1.12.1高級管理者 20

1.12.2信息安全項目小組 20

1.12.3數據所有人 20

1.13利益團體 21

1.13.1信息安全管理和專業人士 21

1.13.2信息技術管理和專業人士 21

1.13.3機構管理和專業人士 21

1.14信息安全：是一門藝術

還是一門科學 21

1.14.1作為藝術的安全 22

1.14.2作為科學的安全 22

1.14.3作為社會科學的安全 22

1.15信息安全的術語 22

1.16本章小結 24

1.17複習題 24

1.18練習 25

1.19案例練習 25

第2章安全需求 27

2.1引言 28

2.2業務需求在前，技術在後 28

2.2.1保護機構運轉的能力 28

2.2.2實現應用程式的安全操作 28

2.2.3保護機構收集和使用的數據 29

2.2.4保護機構的技術資產 29

2.3威脅 29

2.3.1人為過失或失敗的行為 30

2.3.2智慧財產權的損害 31

2.3.3間諜或者蓄意入侵行為 32

2.3.4信息敲詐蓄意行為 37

2.3.5蓄意破壞行為 37

2.3.6蓄意竊取行為 39

2.3.7蓄意軟體攻擊 39

2.3.8自然災害 43

2.3.9服務質量差 44

2.3.10技術硬體故障或者錯誤 45

2.3.11技術軟體故障或者錯誤 46

2.3.12技術淘汰 46

2.4攻擊 46

2.4.1惡意代碼 47

2.4.2惡作劇 47

2.4.3後門 47

2.4.4密碼破解 48

2.4.5暴力 48

2.4.6詞典方式 48

2.4.7拒絕服務(DoS)及分散式

拒絕服務(DDoS) 48

2.4.8欺騙 49

2.4.9中間人 50

2.4.10垃圾郵件 50

2.4.11郵件炸彈 50

2.4.12嗅探器 51

2.4.13社會工程 51

2.4.14緩衝區溢出 52

2.4.15定時攻擊 52

2.5本章小結 52

2.6複習題 54

2.7練習 54

2.8案例練習 55

第3章信息安全中的法律、道德

以及專業人員問題 59

3.1引言 59

3.2信息安全的法律及道德 60

3.3法律的類型 60

3.4美國相關法律 60

3.4.1一般計算機犯罪法 61

3.4.2隱私 61

3.4.3出口及間諜法 64

3.4.4美國著作權法 65

3.4.5財務報表 65

3.4.61966年的信息自由法(FOIA) 65

3.4.7州和本地法規 65

3.5國際法及法律主體 66

3.5.1歐洲計算機犯罪委員會條例 67

3.5.2數字時代著作權法 68

3.5.3聯合國憲章 68

3.6政策與法律 69

3.7道德和信息安全 69

3.7.1不同文化中的道德差異 70

3.7.2軟體許可侵犯 70

3.7.3違法使用 71

3.7.4公司資源的濫用 71

3.7.5道德和教育 74

3.7.6不道德及違法行為的防範措施 74

3.8道德規範和專業機構 75

3.8.1IT的主要專業機構 76

3.8.2其他安全機構 76

3.8.3美國主要聯邦機構 77

3.9機構的責任和忠告 80

3.10本章小結 80

3.11複習題 81

3.12練習 81

3.13案例練習 82

第4章風險管理 84

4.1引言 85

4.2風險管理概述 86

4.2.1知己 86

4.2.2知彼 86

4.2.3利益團體的作用 86

4.3風險識別 87

4.3.1資產識別和評估 87

4.3.2自動化風險管理工具 91

4.3.3信息資產分類 91

4.3.4信息資產評估 91

4.3.5按照重要性列出資產 93

4.3.6數據的分類及管理 93

4.3.7安全調查 95

4.3.8分類數據的管理 95

4.3.9威脅識別 95

4.3.10識別威脅及威脅代理，並區

分其優先次序 96

4.3.11漏洞識別 99

4.4風險評估 100

4.4.1風險評估概述 100

4.4.2可能性 101

4.4.3信息資產評估 101

4.4.4風險的確定 102

4.4.5識別可能的控制 102

4.4.6訪問控制 103

4.4.7記錄風險評估的結果 103

4.5風險控制策略 105

4.5.1避免 105

4.5.2實現避免 106

4.5.3轉移 107

4.5.4緩解 108

4.5.5災難恢復計畫 108

4.5.6接受 109

4.6選擇風險控制策略 110

4.6.1風險控制的估計、評估及維護 111

4.6.2控制的種類 111

4.6.3可行性研究 113

4.6.4其他可行性研究 121

4.7風險管理的討論要點 122

4.7.1風險的可接受程度 122

4.7.2殘留風險 123

4.8驗證結果 123

4.9推薦的控制風險實踐 124

4.9.1定量評估 125

4.9.2Delphi技術 125

4.10本章小結 125

4.11複習題 126

4.12練習 126

4.13案例練習 128

第5章安全規劃 130

5.1引言 130

5.2信息安全政策、標準及實踐 131

5.2.1定義 132

5.2.2企業信息安全政策 133

5.2.3特定問題安全政策 133

5.2.4特定系統政策(SysSP) 136

5.2.5政策管理 139

5.2.6信息的分類 140

5.3信息安全藍本 141

5.3.1ISO17799/BS7799 141

5.3.2NIST安全模式 143

5.3.3IETF安全結構 148

5.3.4VISA國際安全模式 148

5.3.5基線和最佳業務實踐 149

5.3.6信息安全系統藍本的混合結構 149

5.3.7安全體系的設計 152

5.4安全教育、培訓和認識計畫 155

5.4.1安全教育 156

5.4.2安全培訓 156

5.4.3安全意識 156

5.5持續性策略 157

5.5.1業務影響分析 159

5.5.2事故回響計畫 161

5.5.3災難恢復計畫 171

5.5.4業務持續性計畫 173

5.5.5統一的應急計畫模型 175

5.5.6相關法律的實施 176

5.6本章小結 178

5.7複習題 178

5.8練習 179

5.9案例練習 180

第6章安全技術：防火牆和VPN 182

6.1引言 182

6.2物理設計 183

6.3防火牆 183

6.3.1防火牆的分類方法 183

6.3.2防火牆體系結構 193

6.3.3選擇正確的防火牆 196

6.3.4配置和管理防火牆 197

6.3.5內容過濾器 203

6.4保護遠程連線 204

6.4.1撥號 204

6.4.2虛擬專用網路 207

6.5本章小結 210

6.6複習題 210

6.7練習 211

6.8案例練習 211

第7章安全技術：入侵檢測、訪問

控制和其他安全工具 213

7.1引言 214

7.2入侵檢測系統(IDS) 215

7.2.1IDS術語 215

7.2.2使用IDS的原因 216

7.2.3IDS的類型和檢測方法 217

7.2.4IDS回響行為 224

7.2.5選擇IDS方法和產品 227

7.2.6IDS的優缺點 230

7.2.7IDS的部署和實現 231

7.2.8評估IDS的效果 236

7.3蜜罐、蜜網和填充單元系統 237

7.3.1誘捕和跟蹤系統 238

7.3.2積極阻止入侵 239

7.4瀏覽和分析工具 239

7.4.1連線埠掃瞄儀 241

7.4.2防火牆分析工具 242

7.4.3作業系統檢測工具 243

7.4.4漏洞掃瞄儀 243

7.4.5包嗅探器 247

7.4.6無線安全工具 248

7.5訪問控制設備 249

7.5.1身份驗證 250

7.5.2生物測定學的有效性 252

7.5.3生物測定學的可接受性 252

7.6本章小結 253

7.7複習題 253

7.8練習 254

7.9案例練習 254

第8章密碼學 257

8.1引言 258

8.2密碼簡史 258

8.3密碼系統的原則 260

8.3.1基本的加密定義 260

8.3.2加密方法 261

8.3.3加密系統的元素 261

8.3.4加密密鑰的長度 275

8.3.5密碼原則的總結 277

8.4加密工具 277

8.4.1公鑰基礎結構 277

8.4.2數字簽名 278

8.4.3數字證書 279

8.4.4混合加密系統 281

8.4.5密碼術 281

8.5安全通信協定 282

8.5.1用S-HTTP和SSL保護

Internet通信 283

8.5.2使用S/MIME、PEM和PGP

保護電子郵件 283

8.5.3使用SET、SSL和S-HTTP

保護Web事務 284

8.5.4用IPSec和PGP保護TCP/IP 285

8.6密碼系統的攻擊 287

8.6.1中間人攻擊 288

8.6.2相關性攻擊 288

8.6.3字典式攻擊 288

8.6.4定時攻擊 288

8.6.5防禦攻擊 289

8.7本章小結 289

8.8複習題 290

8.9練習 290

8.10案例分析 291

第9章物理安全 293

9.1引言 294

9.2物理訪問控制 295

9.3防火安全 301

9.4支持設備發生故障和建築物倒塌 307

9.4.1取暖、通風和空調 307

9.4.2電力管理和調整 309

9.4.3水問題 312

9.4.4建築物的倒塌 312

9.4.5設施系統的維護 312

9.5數據的偵聽 312

9.6可移動和便攜系統 313

9.7物理安全威脅的特殊考慮 316

9.8本章小結 316

9.9複習題 317

9.10練習 318

9.11案例練習 319

第10章實現信息安全 321

10.1引言 322

10.2信息安全的項目管理 323

10.2.1制定項目計畫 323

10.2.2項目計畫的考慮 327

10.2.3範圍考慮 329

10.2.4項目管理需求 330

10.3實現的技術主題 331

10.3.1轉換策略 331

10.3.2信息安全項目計畫的

靶心模型 332

10.3.3外購還是自行開發 333

10.3.4技術監督和改進控制 334

10.4實現的非技術方面 334

10.4.1改進管理的文化氛圍 334

10.4.2機構改進的考慮 334

10.5本章小結 335

10.6複習題 336

10.7練習 337

10.8案例練習 338

第11章安全和人員 339

11.1引言 340

11.2確定安全部門的人員配備 340

11.3信息安全專業人員的認證 346

11.3.1認證信息系統安全專業

人員(CISSP)和系統安全認證

從業者(SSCP) 347

11.3.2認證信息系統審計員

(CISA)和認證信息系統

經理(CISM) 348

11.3.3全球信息保險認證(GIAC) 349

11.3.4安全認證專業人員(SCP) 350

11.3.5TruSecureICSA認證

安全聯合(TICSA) 350

11.3.6Security+ 351

11.3.7認證信息系統辯論調查員 351

11.3.8相關認證 352

11.3.9獲得認證的費用 352

11.3.10給信息安全專業人員

的建議 353

11.4招聘政策和實踐 354

11.4.1工作描述 355

11.4.2面試 355

11.4.3背景檢查 355

11.4.4聘用契約 356

11.4.5新員工的定位 356

11.4.6工作期間的安全培訓 356

11.4.7業績評估 357

11.4.8解聘 357

11.5非員工的安全考慮 359

11.5.1臨時工 359

11.5.2契約工 359

11.5.3顧問 359

11.5.4業務夥伴 360

11.6責任的分離和共謀 360

11.7人員數據的秘密性和安全 361

11.8本章小結 362

11.9複習題 363

11.10練習 364

11.11案例練習 364

第12章信息安全維護 366

12.1引言 367

12.2安全管理模式 368

12.3維護模式 374

12.3.1監控外部環境 375

12.3.2監控內部環境 378

12.3.3規劃與風險評估 381

12.3.4漏洞評估和補救 386

12.3.5備用狀態與審查 392

12.4本章小節 393

12.5複習題 394

12.6練習 394

12.7案例練習 395

術語表 397