《雲計算信息安全管理——CSAC-STAR實施指南》是2015年電子工業出版社出版的圖書,作者是趙國祥,劉小茵,李堯。
基本介紹
- 中文名:雲計算信息安全管理——CSAC-STAR實施指南
- 作者:趙國祥,劉小茵,李堯
- 出版時間:2015年10月1日
- 出版社:電子工業出版社
- 頁數:332 頁
- ISBN:9787121272677
- 定價:68 元
- 開本:16 開
- 裝幀:平裝
內容簡介,圖書目錄,
內容簡介
《雲計算信息安全管理 CSA C-STAR實施指南》包括理論篇和實踐篇兩部分,詳細介紹了雲計算環境下的信息安全管理指南。理論篇從梳理Gartner、雲計算安全聯盟(CSA)、歐洲網路與信息安全局(ENISA)等知名研究組織提出的雲計算環境下所面臨的安全問題著手,分析總結了現階段常見的雲計算環境下的信息安全風險;同時,對現有的國內外成熟的雲計算信息安全管理標準及常見的雲計算信息安全管理方法和模型進行了分析,有針對性地提出了C-STAR分級模型及評估方法。實踐篇從套用和接口安全,審計保證與合規性,業務連續性管理和操作彈性,變*控制和配置管理,數據安全和信息生命周期管理,數據中心安全,加密和密鑰管理,治理和風險管理,人力資源,身份識別和訪問管理,基礎設施和虛擬化安全,互操作性和可移植性,移動安全,安全事件管理、電子證據及雲端調查取證,供應鏈管理、透明性及責任,威脅和脆弱性管理等16個方面詳細解讀了C-STAR體系規範中各項條款的內容和含義,同時給出了企業實施落地的實踐參考,使C-STAR管理體系的建立者能深入理解各項條款的要求,並正確套用相關參考內容建設雲計算環境的信息安全管理體系,有針對性地開展雲計算安全管理。
《雲計算信息安全管理 CSA C-STAR實施指南》融通俗性、完整性、實用性於一體,為打算/正在建立雲計算信息安全管理體系的企業提供參考,為準備接受C-STAR評估的企業提供自我檢查的依據,為開展C-STAR的評估人員提供技術指導,也可作為雲計算工程技術人員、雲安全套用研究人員、信息安全從業人員的參考工具書。
圖書目錄
理論篇
第1章 雲計算發展歷程 (2)
1.1 雲計算的出現和發展 (2)
1.2 雲計算與傳統IT的聯繫 (3)
1.2.1 雲計算與格線計算的關係 (3)
1.2.2 雲計算與對等計算的關係 (5)
1.2.3 雲計算與集群計算的關係 (5)
1.2.4 雲計算與資源虛擬化的關係 (6)
1.2.5 雲計算與Web服務技術的關係 (8)
1.2.6 雲計算與傳統IT的區別 (8)
1.3 雲計算的特點 (10)
1.3.1 泛在網路訪問 (11)
1.3.2 服務可度量 (11)
1.3.3 多租戶 (11)
1.3.4 按需自助服務 (11)
1.3.5 快速彈性伸縮 (12)
1.3.6 資源池化 (13)
1.4 本章小結 (14)
第2章 雲計算所面臨的安全問題 (15)
2.1 案例分析 (16)
2.1.1 Google安全問題及事件分析 (16)
2.1.2 Amazon宕機事件及應對措施分析 (16)
2.1.3 Apple服務安全事件及應對措施分析 (17)
2.1.4 微軟雲服務安全事件及應對措施分析 (17)
2.2 雲計算所面臨的安全問題總結 (18)
2.2.1 雲安全問題的研究分析 (18)
2.2.2 安全問題分類 (23)
2.3 本章小結 (31)
第3章 雲計算信息安全管理標準介紹 (32)
3.1 雲計算信息安全管理標準化工作概述 (32)
3.1.1 國外標準化概況 (32)
3.1.2 國內標準概況 (37)
3.2 雲計算信息安全管理標準化主要成果分析 (42)
3.2.1 CSA雲安全控制矩陣 (42)
3.2.2 國標雲服務安全標準 (44)
3.2.3 美國聯邦政府風險與授權管理項目FedRAMP (47)
3.2.4 ENISA《雲計算信息安全保障框架》 (51)
3.2.5 ISO/IEC 27018 《信息技術―安全技術―公有雲中作為個人信息(PII)處理者的個人信息保護實用規則》 (54)
3.2.6 ISO/IEC 27001:2013《信息技術―安全技術―信息安全管理體系要求》 (56)
3.3 本章小結 (58)
第4章 雲計算信息安全管理方法和模型 (60)
4.1 常見的信息安全管理方法 (60)
4.1.1 信息安全管理體系 (60)
4.1.2 信息安全等級保護 (65)
4.1.3 CERT-RMM模型 (68)
4.1.4 其他ISMS 成熟度模型 (73)
4.1.5 專業領域的信息安全管理方法 (76)
4.2 雲計算安全管理方法 (78)
4.2.1 雲計算安全管理體系 (79)
4.2.2 雲計算安全管理的實施 (81)
4.3 雲計算信息安全評估模型 (84)
4.3.1 SSE-CMM模型 (84)
4.3.2 C-STAR模型 (87)
4.4 本章小結 (90)
實踐篇
第5章 套用和接口安全(AIS) (94)
5.1 套用和接口安全要求 (94)
5.1.1 套用和接口安全概述 (95)
5.1.2 控制條款解讀 (96)
5.2 落地實施建議 (100)
第6章 審計保證與合規性(AAC) (102)
6.1 審計保證與合規性要求 (102)
6.1.1 審計保證與合規性概述 (103)
6.1.2 控制條款解讀 (103)
6.2 落地實施建議 (113)
第7章 業務連續性管理和操作彈性(BCR) (116)
7.1 業務連續性管理和操作彈性要求 (116)
7.1.1 業務連續性管理和操作彈性概述 (117)
7.1.2 控制條款解讀 (117)
7.2 落地實施建議 (126)
第8章 變更控制和配置管理(CCC) (133)
8.1 變更控制和配置管理要求 (133)
8.1.1 變更控制和配置管理概述 (134)
8.1.2 控制條款解讀 (135)
8.2 落地實施建議 (138)
第9章 數據安全和信息生命周期管理(DSI) (150)
9.1 數據安全和信息生命周期管理要求 (150)
9.1.1 數據安全和信息生命周期管理概述 (151)
9.1.2 控制條款解讀 (151)
9.2 落地實施建議 (157)
第10章 數據中心安全(DCS) (161)
10.1 數據中心安全要求 (161)
10.1.1 數據中心安全概述 (162)
10.1.2 控制條款詳解 (162)
10.2 落地實施建議 (167)
第11章 加密和密鑰管理(EKM) (170)
11.1 加密和密鑰管理要求 (170)
11.1.1 加密和密鑰管理概述 (171)
11.1.2 控制條款解讀 (172)
11.2 落地實施建議 (176)
第12章 治理和風險管理(GRM) (178)
12.1 治理和風險管理要求 (178)
12.1.1 治理和風險管理概述 (179)
12.1.2 控制條款解讀 (179)
12.2 落地實施建議 (189)
第13章 人力資源(HRS) (197)
13.1 人力資源安全要求 (197)
13.1.1 人力資源安全概述 (198)
13.1.2 控制條款解讀 (199)
13.2 落地實施建議 (208)
第14章 身份識別和訪問管理(IAM) (210)
14.1 身份識別和訪問管理要求 (210)
14.1.1 身份識別和訪問管理概述 (211)
14.1.2 控制條款解讀 (212)
14.2 落地實施建議 (221)
第15章 基礎設施和虛擬化安全(IVS) (225)
15.1 基礎設施和虛擬化安全要求 (225)
15.1.1 基礎設施和虛擬化安全概述 (226)
15.1.2 控制條款解讀 (227)
15.2 落地實施建議 (241)
第16章 互操作性和可移植性(IPY) (243)
16.1 互操作性和可移植性要求 (243)
16.1.1 互操作性和可移植性概述 (244)
16.1.2 控制條款解讀 (245)
16.2 落地實施建議 (248)
第17章 移動安全(MOS) (250)
17.1 移動安全要求 (250)
17.1.1 移動安全概述 (251)
17.1.2 控制條款解讀 (252)
17.2 落地實施建議 (269)
第18章 安全事件管理、電子證據及雲端調查取證(SEF) (271)
18.1 安全事件管理、電子證據及雲端調查取證要求 (271)
18.1.1 安全事件管理、電子證據及雲端調查取證概述 (272)
18.1.2 控制條款解讀 (273)
18.2 落地實施建議 (278)
第19章 供應鏈管理、透明性及責任(STA) (283)
19.1 供應鏈管理、透明性及責任要求 (283)
19.1.1 供應鏈管理、透明性及責任概述 (284)
19.1.2 控制條款解讀 (286)
19.2 落地實施建議 (292)
第20章 威脅和脆弱性管理(TVM) (295)
20.1 威脅和脆弱性管理要求 (295)
20.1.1 威脅和脆弱性管理概述 (296)
20.1.2 控制條款解讀 (297)
20.2 落地實施建議 (300)
附錄A CSA雲安全控制矩陣ISO/IEC 27001:2013對照條款 (302)
參考文獻 (317)
