內容簡介
本書是Jones & Bartlett Learning出版的信匪夜束息系統安全與保障系列叢書中非常重要且具有基礎性的一本書。這本書中包含信息安全需求、信息安凶旬協全技術以及信息安全相關的標準、教育、法律、認證等內容,能夠使讀者了解到閥旬凶信息系統安全的主要驅動因素、保障信息系統安全婆妹的核心技術、信息安全領閥連海頸域標準化組織和相關標準、信息系統安全知識學習和技能培訓的途徑、廣泛被認可的信息安全認證以及美國相關信息安全的法律等。
圖書目錄
第一部分 信息安全需求
第1 章 信息系統安全 ........................................................................................ 1
1.1 信息系統安全 ....................................................................................... 1
1.2 信息系統安全要素 ............................................................................... 8
1.3 典型IT 基礎構架的7 個域 .................................................................13
1.4 IT 基礎架構安全性中最脆弱的環節 ..................................................34
1.5 IT 安全策略框架 ..................................................................................38
1.6 數據分類標準 ......................................................................................40
本跨疊連章小結 .......................................................................................................41
第2 章 個人她邀疊拳和商業通信的改變 ......................................................................42
2.1 語音通信革命 ......................................................................................42
2.2 VoIP 和SIP 風險、威脅和脆弱性 ......................................................50
2.3 轉換到TCP/IP 世界 .............................................................................54
2.4 多模通信 ..............................................................................................60
2.5 從實體經濟到電子商務的演變 ...........................................................67
2.6 為什麼今天的商業公司需要網際網路市場化戰略 ................................69
2.7 全球資訊網對個人、公司和其他機構組織的影響 ...................................70
2.8 IP 移動業務 ..........................................................................................70
本章小結 .......................................................................................................78
第3 章 惡意攻擊、威脅與脆弱性 ....................................................................... 79
3.1 不斷增長的惡意活動 .......................................................................... 79
3.2 保護的對象 ......................................................................................... 80
3.3 你想抓住的人 ..................................................................................... 84
3.4 攻擊工具 ............................................................................................. 85
3.5 破壞安全的行為.................................................................................. 90
3.6 風險、威脅和脆弱性 .......................................................................... 96
3.7 惡意攻擊 ........................................................................................... 101
3.8 惡意軟體 ........................................................................................... 108
3.9 應對措施 ............................................................................................ 112
本章小結 ..................................................................................................... 115
第4 章 信息安全業務驅動因素 ..................................................................... 117
4.1 風險管控定義 .................................................................................... 117
4.2 實現BIA、BCP 和DRP ................................................................... 124
4.3 風險、威脅和脆弱性評估 ................................................................ 132
4.4 關閉信息安全缺口 ............................................................................ 133
4.5 堅持遵守法律法規 ............................................................................ 134
4.6 保持私人信息機密性 ........................................................................ 137
本章小結 .................................................................................................... 138
第二部分 (ISC)2?中系統安全從業者認證(SSCP?)以及專業認證
第5 章 訪問控制 ........................................................................................... 139
5.1 訪問控制的四個部分 ........................................................................ 140
5.2 訪問控制的兩種類型 ........................................................................ 140
5.3 制定授權策略 ................................................................................... 142
5.4 身份認證方法和指導原則 ................................................................ 143
5.5 認證流程及要求 ................................................................................ 144
5.6 問責政策與程式 ................................................................................ 156
5.7 訪問控制形式化模型 ......................................................................... 159
5.8 訪問控制面臨的威脅 ......................................................................... 170
5.9 違反訪問控制的後果 ......................................................................... 172
5.10 集中訪問控制與分散式訪問控制 ................................................... 173
本章小結 ..................................................................................................... 180
第6 章 安全運營和管理 ................................................................................. 182
6.1 安全管理 ............................................................................................ 182
6.2 遵守規則 ............................................................................................ 185
6.3 職業道德 ............................................................................................ 186
6.4 IT 安全策略基礎結構 ........................................................................ 192
6.5 數據分類標準 .................................................................................... 197
6.6 配置管理 ............................................................................................ 199
6.7 變更管理過程 .................................................................................... 201
6.8 系統生命周期與
系統開發生命周期 ................................................. 204
6.9 軟體開發與安全 ................................................................................ 209
本章小結 ..................................................................................................... 213
第7 章 審計、測試和監控 ............................................................................. 214
7.1 安全審計與分析 ................................................................................ 214
7.2 定義審計計畫 .................................................................................... 220
7.3 審計基準 ............................................................................................ 221
7.4 審計數據蒐集方法............................................................................. 222
7.5 安全監控 ............................................................................................ 226
7.6 日誌信息類型 .................................................................................... 230
7.7 安全控制驗證 .................................................................................... 232
7.8 監控和測試安全系統 ......................................................................... 239
本章小結 .................................................................................................... 247
第8 章 風險、回響與恢復 ............................................................................ 248
8.1 風險管理與信息安全 ........................................................................ 248
8.2 風險管理過程 ................................................................................... 252
8.3 風險分析 ........................................................................................... 253
8.4 兩個方法:定量分析和定性分析 .................................................... 254
8.5 制定風險處理策略 ............................................................................ 258
8.6 評估應對措施 ................................................................................... 260
8.7 控制及其在安全生命周期中的地位 ................................................ 262
8.8 防災計畫 ........................................................................................... 263
8.9 備份數據和套用................................................................................ 269
8.10 處理事故步驟 ................................................................................. 270
8.11 災難恢復 ......................................................................................... 272
8.12 災難恢復的基本步驟 ...................................................................... 273
本章小結 .................................................................................................... 278
第9 章 密碼學 ............................................................................................... 280
9.1 什麼是密碼學 ................................................................................... 280
9.2 密碼學滿足的商務安全需求 ............................................................ 285
9.3 密碼學在信息系統安全中的套用 .................................................... 287
9.4 密碼學原理、概念及術語 ................................................................ 290
9.5 密碼學套用、工具及資源 ................................................................ 303
9.6 證書和密鑰管理................................................................................ 310
本章小結 .................................................................................................... 312
第10 章 網路與通信 ..................................................................................... 313
10.1
開放系統互連參考模型 .................................................................. 314
10.2 網路的兩種類型 .............................................................................. 315
10.3 TCP/IP 及其工作原理 ..................................................................... 321
10.4 網路安全風險 .................................................................................. 324
10.5 網路安全防禦基本工具 ................................................................... 327
10.6 無線網路 .......................................................................................... 333
本章小結 ..................................................................................................... 336
第11 章 惡意代碼 .......................................................................................... 337
11.1 惡意軟體特點、體系結構和操作 ................................................... 338
11.2 惡意軟體主要類型 ........................................................................... 338
11.3 惡意代碼歷史................................................................................... 357
11.4 對商業組織的威脅 ........................................................................... 360
11.5 攻擊分析 .......................................................................................... 362
11.6 攻防工具和技術 ............................................................................... 369
11.7 事件檢測工具和技術 ....................................................................... 372
本章小結 ..................................................................................................... 374
第三部分 信息安全標準、教育、認證及法規
第12 章 信息安全標準 .......................................................................... 375
12.1 標準組織 .......................................................................................... 375
12.2 ISO 17799 ......................................................................................... 384
12.3 ISO/IEC 27002 ................................................................................. 385
12.4 PCI DSS ............................................................................................ 386
本章小結 ..................................................................................................... 387
第13 章 信息系統安全教育與培訓 ............................................................... 389
13.1 自學 .................................................................................................. 389
13.2 繼續教育項目 .................................................................................. 393
13.3 大學學位課程 .................................................................................. 395
13.4 信息安全培訓課程 ........................................................................... 402
本章小結 .................................................................................................... 405
第14 章 信息安全專業認證 .................................................................. 406
14.1 美國國防部/軍用——8570.01 標準 ............................................... 406
14.2 中立供應商的專業認證 .................................................................. 409
14.3 供應商特定認證 .............................................................................. 415
本章小結 .................................................................................................... 420
第15 章 美國相關法律 .......................................................................... 421
15.1 遵守法律 ......................................................................................... 421
15.2 聯邦信息安全管理法案 .................................................................. 424
15.3 健康保險攜帶和責任法案 .............................................................. 430
15.4 金融服務現代化法案 ...................................................................... 437
15.5 薩班斯法案 ..................................................................................... 442
15.6
親職教育權和隱私權法案 .............................................................. 446
15.7 兒童網際網路保護法案 ...................................................................... 448
15.8 遵守信息安全法規的意義 .............................................................. 452
本章小結 .................................................................................................... 453
參考文獻 ........................................................................................................... 454