信息系統安全基礎

內容簡介

本書是Jones & Bartlett Learning出版的信匪夜束息系統安全與保障系列叢書中非常重要且具有基礎性的一本書。這本書中包含信息安全需求、信息安凶旬協全技術以及信息安全相關的標準、教育、法律、認證等內容，能夠使讀者了解到閥旬凶信息系統安全的主要驅動因素、保障信息系統安全婆妹的核心技術、信息安全領閥連海頸域標準化組織和相關標準、信息系統安全知識學習和技能培訓的途徑、廣泛被認可的信息安全認證以及美國相關信息安全的法律等。

圖書目錄

第一部分信息安全需求

第1 章信息系統安全 ........................................................................................ 1

1.1 信息系統安全 ....................................................................................... 1

1.2 信息系統安全要素 ............................................................................... 8

1.3 典型IT 基礎構架的7 個域 .................................................................13

1.4 IT 基礎架構安全性中最脆弱的環節 ..................................................34

1.5 IT 安全策略框架 ..................................................................................38

1.6 數據分類標準 ......................................................................................40

本跨疊連章小結 .......................................................................................................41

第2 章個人她邀疊拳和商業通信的改變 ......................................................................42

2.1 語音通信革命 ......................................................................................42

2.2 VoIP 和SIP 風險、威脅和脆弱性 ......................................................50

2.3 轉換到TCP/IP 世界 .............................................................................54

2.4 多模通信 ..............................................................................................60

2.5 從實體經濟到電子商務的演變 ...........................................................67

2.6 為什麼今天的商業公司需要網際網路市場化戰略 ................................69

2.7 全球資訊網對個人、公司和其他機構組織的影響 ...................................70

2.8 IP 移動業務 ..........................................................................................70

本章小結 .......................................................................................................78

第3 章惡意攻擊、威脅與脆弱性 ....................................................................... 79

3.1 不斷增長的惡意活動 .......................................................................... 79

3.2 保護的對象 ......................................................................................... 80

3.3 你想抓住的人 ..................................................................................... 84

3.4 攻擊工具 ............................................................................................. 85

3.5 破壞安全的行為.................................................................................. 90

3.6 風險、威脅和脆弱性 .......................................................................... 96

3.7 惡意攻擊 ........................................................................................... 101

3.8 惡意軟體 ........................................................................................... 108

3.9 應對措施 ............................................................................................ 112

本章小結 ..................................................................................................... 115

第4 章信息安全業務驅動因素 ..................................................................... 117

4.1 風險管控定義 .................................................................................... 117

4.2 實現BIA、BCP 和DRP ................................................................... 124

4.3 風險、威脅和脆弱性評估 ................................................................ 132

4.4 關閉信息安全缺口 ............................................................................ 133

4.5 堅持遵守法律法規 ............................................................................ 134

4.6 保持私人信息機密性 ........................................................................ 137

本章小結 .................................................................................................... 138

第二部分（ISC）2?中系統安全從業者認證（SSCP?）以及專業認證

第5 章訪問控制 ........................................................................................... 139

5.1 訪問控制的四個部分 ........................................................................ 140

5.2 訪問控制的兩種類型 ........................................................................ 140

5.3 制定授權策略 ................................................................................... 142

5.4 身份認證方法和指導原則 ................................................................ 143

5.5 認證流程及要求 ................................................................................ 144

5.6 問責政策與程式 ................................................................................ 156

5.7 訪問控制形式化模型 ......................................................................... 159

5.8 訪問控制面臨的威脅 ......................................................................... 170

5.9 違反訪問控制的後果 ......................................................................... 172

5.10 集中訪問控制與分散式訪問控制 ................................................... 173

本章小結 ..................................................................................................... 180

第6 章安全運營和管理 ................................................................................. 182

6.1 安全管理 ............................................................................................ 182

6.2 遵守規則 ............................................................................................ 185

6.3 職業道德 ............................................................................................ 186

6.4 IT 安全策略基礎結構 ........................................................................ 192

6.5 數據分類標準 .................................................................................... 197

6.6 配置管理 ............................................................................................ 199

6.7 變更管理過程 .................................................................................... 201

6.8 系統生命周期與系統開發生命周期 ................................................. 204

6.9 軟體開發與安全 ................................................................................ 209

本章小結 ..................................................................................................... 213

第7 章審計、測試和監控 ............................................................................. 214

7.1 安全審計與分析 ................................................................................ 214

7.2 定義審計計畫 .................................................................................... 220

7.3 審計基準 ............................................................................................ 221

7.4 審計數據蒐集方法............................................................................. 222

7.5 安全監控 ............................................................................................ 226

7.6 日誌信息類型 .................................................................................... 230

7.7 安全控制驗證 .................................................................................... 232

7.8 監控和測試安全系統 ......................................................................... 239

本章小結 .................................................................................................... 247

第8 章風險、回響與恢復 ............................................................................ 248

8.1 風險管理與信息安全 ........................................................................ 248

8.2 風險管理過程 ................................................................................... 252

8.3 風險分析 ........................................................................................... 253

8.4 兩個方法：定量分析和定性分析 .................................................... 254

8.5 制定風險處理策略 ............................................................................ 258

8.6 評估應對措施 ................................................................................... 260

8.7 控制及其在安全生命周期中的地位 ................................................ 262

8.8 防災計畫 ........................................................................................... 263

8.9 備份數據和套用................................................................................ 269

8.10 處理事故步驟 ................................................................................. 270

8.11 災難恢復 ......................................................................................... 272

8.12 災難恢復的基本步驟 ...................................................................... 273

本章小結 .................................................................................................... 278

第9 章密碼學 ............................................................................................... 280

9.1 什麼是密碼學 ................................................................................... 280

9.2 密碼學滿足的商務安全需求 ............................................................ 285

9.3 密碼學在信息系統安全中的套用 .................................................... 287

9.4 密碼學原理、概念及術語 ................................................................ 290

9.5 密碼學套用、工具及資源 ................................................................ 303

9.6 證書和密鑰管理................................................................................ 310

本章小結 .................................................................................................... 312

第10 章網路與通信 ..................................................................................... 313

10.1 開放系統互連參考模型 .................................................................. 314

10.2 網路的兩種類型 .............................................................................. 315

10.3 TCP/IP 及其工作原理 ..................................................................... 321

10.4 網路安全風險 .................................................................................. 324

10.5 網路安全防禦基本工具 ................................................................... 327

10.6 無線網路 .......................................................................................... 333

本章小結 ..................................................................................................... 336

第11 章惡意代碼 .......................................................................................... 337

11.1 惡意軟體特點、體系結構和操作 ................................................... 338

11.2 惡意軟體主要類型 ........................................................................... 338

11.3 惡意代碼歷史................................................................................... 357

11.4 對商業組織的威脅 ........................................................................... 360

11.5 攻擊分析 .......................................................................................... 362

11.6 攻防工具和技術 ............................................................................... 369

11.7 事件檢測工具和技術 ....................................................................... 372

本章小結 ..................................................................................................... 374

第三部分信息安全標準、教育、認證及法規

第12 章信息安全標準 .......................................................................... 375

12.1 標準組織 .......................................................................................... 375

12.2 ISO 17799 ......................................................................................... 384

12.3 ISO/IEC 27002 ................................................................................. 385

12.4 PCI DSS ............................................................................................ 386

本章小結 ..................................................................................................... 387

第13 章信息系統安全教育與培訓 ............................................................... 389

13.1 自學 .................................................................................................. 389

13.2 繼續教育項目 .................................................................................. 393

13.3 大學學位課程 .................................................................................. 395

13.4 信息安全培訓課程 ........................................................................... 402

本章小結 .................................................................................................... 405

第14 章信息安全專業認證 .................................................................. 406

14.1 美國國防部/軍用——8570.01 標準 ............................................... 406

14.2 中立供應商的專業認證 .................................................................. 409

14.3 供應商特定認證 .............................................................................. 415

本章小結 .................................................................................................... 420

第15 章美國相關法律 .......................................................................... 421

15.1 遵守法律 ......................................................................................... 421

15.2 聯邦信息安全管理法案 .................................................................. 424

15.3 健康保險攜帶和責任法案 .............................................................. 430

15.4 金融服務現代化法案 ...................................................................... 437

15.5 薩班斯法案 ..................................................................................... 442

15.6 親職教育權和隱私權法案 .............................................................. 446

15.7 兒童網際網路保護法案 ...................................................................... 448

15.8 遵守信息安全法規的意義 .............................................................. 452

本章小結 .................................................................................................... 453

參考文獻 ........................................................................................................... 454

信息系統安全基礎

基本介紹

內容簡介

圖書目錄

相關詞條

熱門詞條