信息安全原理

第1部分 簡 介
第1章 信息安全簡介
1. 1 介紹
1. 2 信息安全發(fā)展史
1. 2. 1 20世紀60年代
1. 2. 2 20世紀70年代和80年代
1. 2. 3 20世紀90年代
1. 2. 4 現(xiàn)在
1. 3 安全的概念
1. 4 信息安全的概念
1. 5 信息的重要特性
1. 5. 1 可用性
1. 5. 2 精確性
1. 5. 3 真實性
1. 5. 4 機密性
1. 5. 5 完整性
1. 5. 6 效用性
1. 5. 7 所有性
1. 6 NSnSSC安全模型
1. 7 信息系統(tǒng)的組件
1. 7. 1 軟件
1. 7. 2 硬件
1. 7. 3 數(shù)據(jù)
1. 7. 4 人員
1. 7. 5 過程
1. 8 保護IS組件的安全
1. 9 平衡安全性和訪問性能
1. 10 自上而下地實現(xiàn)安全的方法
1. 11 系統(tǒng)開發(fā)生命周期
1. 11. 1 方法學
1. 11. 2 階段
1. 11. 3 調(diào)研
1, 11. 4 分析
1. 11. 5 邏輯設計
1. 11. 6 物理設計
1. 11. 7 實現(xiàn)
1. 11. 8 維護和修改
1. 12 安全系統(tǒng)開發(fā)生命周期
1. 12. 1 調(diào)研
1. 12. 2 分析
1. 12. 3 邏輯設計
1. 12. 4 物理設計
1. 12. 5 實現(xiàn)
1. 12. 6 維護和修改
1. 13 關(guān)鍵術(shù)語
1. 14 安全專業(yè)人士和機構(gòu)
1. 14. 1 高級管理者
1. 14. 2 安全項目隊伍
1. 14. 3 數(shù)據(jù)所有權(quán)
1. 15 興趣團體
1. 15. 1 信息安全管理和專業(yè)人士
1. 15. 2 信息技術(shù)管理和專業(yè)人士
1. 15. 3 機構(gòu)管理和專業(yè)人士
1. 16 信息安全：是一門藝術(shù)還是一門科學
1. 16. 1 作為藝術(shù)的安全
1. 16. 2 作為科學的安全
1. 16. 3 作為社會科學的安全
1. 17 本章小結(jié)
1. 18 復習題
1. 19 練習
1. 20 案例練習
第Ⅱ部分 安全調(diào)研階段
第2章 安全需求
2. 1 引言
2. 2 業(yè)務在前, 技術(shù)在后
2. 2. 1 保護機構(gòu)運轉(zhuǎn)的能力
2. 2. 2 實現(xiàn)應用程序的安全操作
2. 2. 3 保護機構(gòu)收集并使用的數(shù)據(jù)
2. 2. 4 保護機構(gòu)的技術(shù)資產(chǎn)
2. 3 威脅
2. 3. 1 威脅組一：疏忽行為
2. 3. 2 威脅組二：蓄意行為
2. 3. 3 威脅組三：天災
2. 3. 4 威脅組四：技術(shù)故障
2. 3. 5 威脅組五：管理漏洞
2. 4 攻擊
2. 4. 1 惡意代碼
2. 4. 2 惡作劇
2. 4. 3 后門 backdoor
2. 4. 4 密碼破解
2. 4. 5 暴力
2. 4. 6 詞典方式
2. 4. 7 拒絕服務 DoS 及分布式拒絕服務 DDoS
2. 4. 8 欺騙
2. 4. 9 Man-in-the-Middle
2. 4. 10 垃圾郵件
2. 4. 11 郵件炸彈
2. 4. 12 嗅探器
2. 4. 13 社會工程
2. 4. 14 緩沖區(qū)溢出
2. 4. 15 定時攻擊
2. 5 本章小結(jié)
2. 6 復習題
2. 7 練習
2. 8 案例練習
第3章 信息安全中的法律. 道德以及專業(yè)人員問題
3. 1 引言
3. 2 信息安全的法律及道德
3. 3 法律類型
3. 4 美國相關(guān)法律
3. 4. 1 普通計算機犯罪法
3. 4. 2 隱私
3. 4. 3 出口及間諜法
3. 4. 4 美國版權(quán)法
3. 5 國際法及法律主體
3. 5. 1 歐洲計算機犯罪委員會條例
3. 5. 2 數(shù)字時代版權(quán)法
3. 5. 3 聯(lián)合國憲章
3. 6 政策與法律
3. 7 信息安全的道德觀念
3. 7. 1 道德概念中的文化差異
3. 7. 2 軟件許可侵犯
3. 7. 3 違法使用
3. 7. 4 共同資源的濫用
3. 7. 5道德和教育
3. 7. 6 不道德及違法行為的制止因素
3. 8 道德. 認證以及專業(yè)機構(gòu)的規(guī)則
3. 8. 1 其他安全機構(gòu)
3. 8. 2 美國主要聯(lián)邦機構(gòu)
3. 9 機構(gòu)商議的責任和需求
3. 10 本章小結(jié)
3. 11 復習題
3. 12 練習
3. 13 案例練習
第Ⅲ部分 安全分析
第4章 風險管理：識別和評估風險
4. 1 引言
4. 2 風險管理
4. 2. 1 知己
4. 2. 2 知彼
4. 2. 3 所有的利益團體都應負責
4. 2. 4 使風險管理與SecSDLC一體化
4. 3 風險識別
4. 3. 1 資產(chǎn)識別和評估
4. 3. 2 自動化風險管理工具
4. 3. 3 信息資產(chǎn)分類
4. 3. 4 信息資產(chǎn)評估
4. 3. 5 記錄資產(chǎn)的重要性
4. 3. 6 數(shù)據(jù)分類及管理
4. 3. 7 安全調(diào)查
4. 3. 8 分類數(shù)據(jù)的管理
4. 3. 9 威脅識別
4. 3. 10 識別威脅及威脅代理, 并區(qū)分其優(yōu)先次序
4. 3. 11 漏洞識別
4. 4 風險評估
4. 4. 1 風險評估介紹
4. 4. 2 可能性
4. 4. 3 信息資產(chǎn)評估
4. 4. 4 當前控制減輕風險的百分比
4. 4. 5 風險確定
4. 4. 6 識別可能的控制
4. 4. 7 訪問控制
4. 5 風險評估記錄結(jié)果
4. 6 本章小結(jié)
4. 7 復習題
4. 8 練習
4. 9 案例練習
第5章 風險管理：評估和控制風險
5. 1 引言
5. 2 風險控制策略
5. 2. 1 避免
5. 2. 2 轉(zhuǎn)移
5. 2. 3 緩解
5. 2. 4 承認
5. 3 風險緩解策略選擇
5. 4 控制的種類
5. 4. 1 控制功能
5. 4. 2 體系結(jié)構(gòu)層
5. 4. 3 策略層
5. 4. 4 信息安全原則
5. 5 可行性研究
5. 5. 1 成本效益分析 CBA
5. 5. 2 其他可行性研究
5. 6 風險管理討論要點
5. 6. 1 風險可接受性
5. 6. 2 殘留風險
5. 7 結(jié)果歸檔
5. 8 推薦的控制風險實踐
5. 8. 1 定量評估
5. 8. 2 Delphi技術(shù)
5. 8. 3 風險管理和SecSDLC
5. 9 本章小結(jié)
5. 10 復習題
5. 11 練習
5. 12 案例練習
第Ⅳ部分 邏輯設計
第6章 安全藍本
6. 1 引言
6. 2 信息安全政策, 標準及實踐
6. 2. 1 定義
6. 2. 2 安全計劃政策 SPP
6. 2. 3 特定問題安全政策 ISSP
6. 2. 4 特定系統(tǒng)政策 SysSP
6. 2. 5 政策管理
6. 3 信息分類
6. 4 系統(tǒng)設計
6. 5 信息安全藍本
6. 6 ISO 17799／BS 7799
6. 7 NIST安全模式
6. 7. 1 NIST Special Publication SP 800-12
6. 7. 2 NIST Special Publication 800-14
6. 7. 3 IETF安全結(jié)構(gòu)
6. 8 VISA國際安全模式
6. 9 信息安全系統(tǒng)藍本的混合結(jié)構(gòu)
6. 10 安全教育. 培訓和意識計劃
6. 10. 1 安全教育
6. 10. 2 安全培訓
6. 10. 3 安全意識
6. 11 安全結(jié)構(gòu)設計
6. 11. 1 深層防御
6. 11. 2 安全周界
6. 11. 3 關(guān)鍵技術(shù)組件
6. 12 本章小結(jié)
6. 13 復習題
6. 14 練習
6. 15 案例練習
第7章 持續(xù)性計劃
7. 1 引言
7. 2 持續(xù)性策略
7. 3 商務影響分析
7. 3. 1 威脅攻擊識別和優(yōu)先級次序
7. 3. 2 商務單元分析
7. 3. 3 攻擊成功方案開發(fā)
7. 3. 4 潛在破壞評估
7. 3. 5 后續(xù)計劃分類
7. 4 事故響應計劃
7. 4. 1 事故計劃
7. 4. 2 事故檢測
7. 4. 3 事故何時會成為一個災難
7. 5 事故反應
7. 5. 1 關(guān)鍵人的通知
7. 5. 2 歸檔一個事故
7. 5. 3 事故遏制策略
7. 6 事故恢復
7. 6. 1 反應工作的優(yōu)先次序
7. 6. 2 破壞的評估
7. 6. 3 恢復
7. 6. 4 備份媒體
7. 7 自動化響應
7. 8 災難恢復計劃
7. 8. 1 災難恢復計劃
7. 8. 2 危機管理
7. 8. 3 恢復操作
7. 9 商務持續(xù)性計劃
7. 9. 1 開發(fā)持續(xù)性程序 BCP
7. 9. 2 持續(xù)性戰(zhàn)略
7. 10 統(tǒng)一的應急計劃模型
7. 11 法律實施相關(guān)事物
7. 11. 1 本地. 州或聯(lián)邦
7. 11. 2 法律實施相關(guān)事物的優(yōu)點和弊端
7. 12 本章小結(jié)
7. 13 復習題
7. 14 練習
7. 15 案例練習
第V部分 物理設計
第8章 安全技術(shù)
8. 1 引言
8. 2 SecSDIC的物理設計
8. 3 防火墻
8. 3. 1 防火墻發(fā)展
8. 3. 2 防火墻體系結(jié)構(gòu)
8. 3. 3 配置和管理防火墻
8. 4 撥號的保護
8. 5 入侵檢測系統(tǒng) IDS
8. 5. 1 基于主機的IDS
8. 5. 2 基于網(wǎng)絡的IDS
8. 5. 3 基于簽名的IDS
8. 5. 4 基于異常事件統(tǒng)計的IDS
8. 6 瀏覽和分析工具
8. 6. 1 端口掃描器
8. 6. 2 漏洞掃描器
8. 6. 3 包嗅探器
8. 7 內(nèi)容過濾器
8. 8 Trap和Trace 誘捕和跟蹤
8. 9 密碼系統(tǒng)和基于加密的方案
8. 9. 1 加密定義
8. 9. 2 加密運算
8. 9. 3 Vernam加密
8. 9. 4 書本或運行密鑰加密
8. 9. 5 對稱加密
8. 9. 6 非對稱加密
8. 9. 7 數(shù)字簽名
8. 9. 8 RSA
8. 9. 9 PKI
8. 9. 10 什么是數(shù)字證書和證書頒發(fā)機構(gòu)
8. 9. 11 混合系統(tǒng)
8. 9. 12 保護電子郵件的安全
8. 9. 13 保護Web的安全
8. 9. 14 保護身份驗證的安全
8. 9. 15 Sesame
8. 10 訪問控制設備
8. 10. 1 身份驗證
8. 10. 2 生物測定學的有效性
8. 10. 3 生物測定學的可接受性
8. 11 小結(jié)
8. 12 復習題
8. 13 練習
8. 14 案例練習
第9章 物理安全
9. 1 引言
9. 2 訪問控制
9. 3 防火安全
9. 4 支持設施故障和建筑倒塌
9. 4. 1 加熱. 通風和空調(diào)
9. 4. 2 電力管理和調(diào)整
9. 4. 3 測試設備系統(tǒng)
9. 5 數(shù)據(jù)的偵聽
9. 6 可移動和便攜系統(tǒng)
9. 7 物理安全威脅的特殊考慮
9. 8 本章小結(jié)
9. 9 復習題
9. 10 練習
9. 11 案例練習
第VI部分 實
現(xiàn)
第10章 實現(xiàn)安全
10. 1 引言
10. 2 實現(xiàn)階段中的項目管理
10. 2. 1 開發(fā)項目計劃
10. 2. 2 項目計劃考慮
10. 2. 3 項目管理需求
10. 2. 4 管理的實現(xiàn)
10. 2. 5 執(zhí)行計劃
10. 2. 6 綜合報導
10. 3 實現(xiàn)的技術(shù)主題
10. 3. 1 轉(zhuǎn)換策略
10. 3. 2 信息安全項目計劃的靶心模型
10. 3. 3 外購還是自行開發(fā)
10. 3. 4 技術(shù)監(jiān)督和改動控制
10. 4 實現(xiàn)的非技術(shù)方面
10. 4. 1 改動管理的文化
10. 4. 2 機構(gòu)改動的考慮
10. 5 本章小結(jié)
10. 6 復習題
10. 7 練習
10. 8 案例練習
第11章 安全和人員
11. 1 引言
11. 2 機構(gòu)結(jié)構(gòu)內(nèi)的安全職能
11. 3 安全職能的人員配備
11. 3. 1 資格和需求
11. 3. 2 進入安全專業(yè)的入口
11. 3. 3 信息安全位置
11. 4 信息安全專業(yè)人員的認證
11. 4. 1 認證信息系統(tǒng)安全專業(yè)人員 CISSP 和系統(tǒng)安全認證從業(yè)者 SSCP
11. 4. 2 安全認證專業(yè)人員
11. 4. 3 TruSecureICSA認證安全聯(lián)合 T. I. C. S. A 和TruSecureICSA認證安全專家 T. IC. S. E
11. 4. 4 安全
11. 4. 5 認證信息系統(tǒng)審計員 CISA
11. 4. 6 認證信息系統(tǒng)辯論調(diào)查員
11. 4. 7 相關(guān)認證
11. 4. 8 獲得認證的費用
11. 4. 9 對信息安全專業(yè)人員的建議
11. 5 雇傭政策和實踐
11. 5. 1 雇傭和解雇問題
11. 5. 2 工作成績評估
11. 5. 3 解雇
11. 6 非雇員的安全考慮
11. 6. 1 暫時雇員
11. 6. 2 合同雇員
11. 6. 3 顧問
11. 6. 4 商務伙伴
11. 7 責任的分離和共謀
11. 8 人員數(shù)據(jù)的秘密性和安全
11. 9 本章小結(jié)
11. 10 復習題
11. 11 練習
11. 12 案例練習
第VII部分 維護和改動
第12章 信息安全維護
12. 1 引言
12. 2 改動的管理
12. 3 安全管理模式
12. 4 維護模式
12. 4. 1 監(jiān)控外部環(huán)境
12. 4. 2 監(jiān)控內(nèi)部環(huán)境
12. 4. 3 規(guī)劃與風險評估
12. 4. 4 漏洞評估和補救
12. 4. 5 備用狀態(tài)與審查
12. 5 本章小節(jié)
12. 6 復習題
12. 7 練習
12. 8 案例練習
附錄A 密碼學
A. 1 引言
A. 2 定義
A. 3 密碼類型
A. 3. 1 多字母置換密碼
A. 3. 2 移項密碼
A. 3. 3 加密算法
A. 3. 4 非對稱密碼或公開密鑰密碼使用法
A. 3. 5 混合密碼系統(tǒng)
A. 4 流行的加密算法
A. 4. 1 數(shù)據(jù)加密標準 DES
A. 4. 2 數(shù)據(jù)加密核心過程
A. 4. 3 公鑰基礎(chǔ)結(jié)構(gòu) PKI
A. 4. 4 數(shù)字簽名
A. 4. 5 數(shù)字證書
A. 4. 6 Pretty Good Privacy PGP
A. 4. 7 安全方案的PGP套件
A. 5 安全通信協(xié)議
A. 5. 1 S-HTTP和SSL
A. 5. 2 Secure／Multipurpose Internet mail Extension S／MIME
A. 5. 3 Internet Protocol Securtiy IPSec
A. 6 密碼系統(tǒng)的攻擊
A. 6. 1 中間人攻擊
A. 6. 2 相關(guān)性攻擊
A. 6. 3 字典攻擊
A. 6. 4 定時攻擊
術(shù)語表