信息安全管理平臺理論與實踐

上篇（理論篇）
　第1章 信息安全概述
　　1.1 信息安全的內(nèi)涵
　　1.2 信息安全發(fā)展歷程
　　　1.2.1 發(fā)展的3個階段
　　　1.2.2 主流技術發(fā)展
　　　1.2.3 發(fā)展歷程小結
　　1.3 信息安全的發(fā)展趨勢
　　　1.3.1 發(fā)展的五大趨勢
　　　1.3.2 信息安全管理越來越重要
　　　1.3.3 平臺化整合成為必然
　　1.4 小結
　第2章 信息安全管理
　　2.1 信息安全管理理論
　　　2.1.1 PDCA循環(huán)
　　　2.1.2 WPDRR模型
　　　2.1.3 信息安全保障體系構架
　　　2.1.4 三觀安全體系
　　2.2 信息安全管理標準
　　　2.2.1 IT治理標準
　　　2.2.2 信息安全評估標準
　　　2.2.3 信息安全風險管理標準
　　　2.2.4 我國信息安全管理標準
　　2.3 ISO/IEC 27001標準
　　　2.3.1 標準的發(fā)展歷程
　　　2.3.2 標準主導思路
　　　2.3.3 與其他質量管理體系的相關性
　　　2.3.4 與風險管理的相關性
　　　2.3.5 標準的主要內(nèi)容
　　　2.3.6 簡單評價
　　2.4 共同準則（CC）
　　　2.4.1 評估準則
　　　2.4.2 標準的歷史和未來
　　　2.4.3 早先的評估標準
　　　2.4.4 標準的組成
　　　2.4.5 評估方法論CEM
　　2.5 小結
　第3章 信息安全管理平臺
　　3.1 信息安全管理平臺概述
　　　3.1.1 平臺的需求
　　　3.1.2 信息安全管理平臺的內(nèi)涵
　　　3.1.3 平臺的原則
　　3.2 平臺體系結構
　　　3.2.1 代表性平臺體系結構
　　　3.2.2 基于三觀論思想的平臺總體框架
　　　3.2.3 主要功能
　　　3.2.4 輔助功能
　　　3.2.5 與其他平臺集成
　　3.3 平臺關鍵技術
　　　3.3.1 聯(lián)動互操作技術
　　　3.3.2 安全代理??數(shù)據(jù)采集標準化
　　　3.3.3 可視化技術
　　　3.3.4 基礎性支撐協(xié)議/技術
　　3.4 小結
　第4章 可信計算與安全平臺
　　4.1 可信計算概述
　　　4.1.1 TCG的可信計算理論
　　　4.1.2 微軟的值得信賴系統(tǒng)
　　4.2 可信計算基本理論
　　　4.2.1 TPM
　　　4.2.2 體系框架
　　4.3 可信網(wǎng)絡連接TNC
　　　4.3.1 TNC概述
　　　4.3.2 TNC構架
　　4.4 可信計算應用
　　　4.4.1 信息加密保護
　　　4.4.2 操作系統(tǒng)安全
　　　4.4.3 網(wǎng)絡保護
　　4.5 基于可信計算的安全平臺
　　4.6 小結
　第5章 風險管理與安全平臺
　　5.1 風險管理概述
　　5.2 一般風險管理模型
　　　5.2.1 ISO13335風險管理模型
　　　5.2.2 AS/NZS4360風險管理模型
　　　5.2.3 微軟風險管理流程
　　5.3 風險評估
　　　5.3.1 風險評估與風險管理的關系
　　　5.3.2 風險評估模型
　　　5.3.3 風險評估過程
　　　5.3.4 風險評估方法
　　　5.3.5 評估工具
　　5.4 風險管理理論與安全平臺建設
　　5.5 小結
中篇（設計篇）
　第6章 平臺基礎體系設計
　　6.1 軟件體系結構
　　　6.1.1 歷史和發(fā)展
　　　6.1.2 常用體系風格
　　6.2 基于SOA的體系結構
　　　6.2.1 基本概念
　　　6.2.2 應用系統(tǒng)框架
　　　6.2.3 結構框架
　　　6.2.4 設計原則
　　6.3 J2EE體系結構
　　　6.3.1 組件??容器
　　　6.3.2 EJB
　　　6.3.3 平臺標準服務
　　　6.3.4 多層應用模型
　　　6.3.5 基于J2EE的平臺架構
　　6.4 .NET體系結構
　　　6.4.1 框架內(nèi)核
　　　6.4.2 CLR
　　　6.4.3 類庫
　　　6.4.4 基于.NET的平臺架構
　　6.5 小結
　第7章 平臺接口和中間件
　　7.1 接口設計
　　　7.1.1 簡單網(wǎng)絡管理協(xié)議
　　　7.1.2 Syslog功能
　　　7.1.3 格式對比
　　　7.1.4 數(shù)據(jù)標準的分類
　　7.2 中間件
　　　7.2.1 概念和分類
　　　7.2.2 主要的中間件類型
　　　7.2.3 面臨的一些問題
　　　7.2.4 開發(fā)方法
　　7.3 小結
　第8章 安全域網(wǎng)絡設計
　　8.1 安全域簡介
　　　8.1.1 基本概念
　　　8.1.2 安全域的作用
　　　8.1.3 安全域的特性
　　　8.1.4 安全域依存關系
　　　8.1.5 安全域的防護
　　8.2 安全域設計思想
　　　8.2.1 劃分方法
　　　8.2.2 IATF安全域劃分
　　　8.2.3 同構劃分
　　　8.2.4 劃分步驟
　　8.3 安全域設計實例
　　　8.3.1 某金融組織案例分析
　　　8.3.2 某電信組織案例分析
　　8.4 安全域與平臺的相輔相成
　　　8.4.1 安全域劃分的意義
　　　8.4.2 結合的建設成效
　　8.5 小結
　第9章 保障功能設計
　　9.1 認證體系設計
　　　9.1.1 統(tǒng)一身份認證
　　　9.1.2 密鑰管理系統(tǒng)
　　　9.1.3 CA和PKI體系
　　9.2 平臺認證思路
　　　9.2.1 證書的應用
　　　9.2.2 系統(tǒng)平臺建設
　　9.3 安全監(jiān)控
9.3.1 原理和要素
9.3.2 體系結構
9.4 可信接入設計
　　　9.4.1 從TNC到可信接入
　　　9.4.2 Cisco自防御網(wǎng)絡
　　9.5 小結
　第10章 平臺模塊設計
　　10.1 遠程安全信息采集
　　　10.1.1 概述
　　　10.1.2 總體設計思路
　　　10.1.3 功能需求
　　　10.1.4 非功能性需求
　　10.2 綜合安全監(jiān)測
　　　10.2.1 概述
　　　10.2.2 總體設計思路
　　　10.2.3 功能需求
　　10.3 安全風險分析
　　　10.3.1 概述
　　　10.3.2 總體設計思路
　　　10.3.3 功能需求
　　　10.3.4 非功能性需求
　　10.4 應急響應支持
　　　10.4.1 一般處理流程
　　　10.4.2 總體設計思路
　　10.5 遠程安全管理
　　　10.5.1 概述
　　　10.5.2 總體設計思路
　　　10.5.3 功能需求
　　　10.5.4 非功能性需求
　　10.6 用戶終端
10.6.1 概述
10.6.2 總體設計思路
　　　10.6.3 功能需求
　　　10.6.4 非功能性需求
　　10.7 互聯(lián)網(wǎng)安全誘捕
　　　10.7.1 概述
　　　10.7.2 總體設計思路
　　　10.7.3 功能需求
　　　10.7.4 非功能性需求
　　10.8 平臺的多級架構互連
　　10.9 小結
　第11章 增強功能設計
　　11.1 平臺報表管理
　　　11.1.1 概述
　　　11.1.2 報表管理設計
　　　11.1.3 功能需求
　　　11.1.4 非功能性需求
　　11.2 平臺系統(tǒng)配置
　　　11.2.1 概述
　　　11.2.2 系統(tǒng)配置設計方案
　　　11.2.3 系統(tǒng)功能設計
　　　11.2.4 非功能性需求
　　11.3 平臺系統(tǒng)安全
　　　11.3.1 系統(tǒng)安全概述
　　　11.3.2 系統(tǒng)安全總體設計
　　　11.3.3 日志和審計
　　　11.3.4 用戶安全
　　　11.3.5 系統(tǒng)升級管理
　　　11.3.6 系統(tǒng)數(shù)據(jù)安全
　　　11.3.7 非功能性需求
　　11.4 合規(guī)性管理
　　　11.4.1 概述
　　　11.4.2 指標體系
　　　11.4.3 典型合規(guī)實例
　　　11.5 小結
下篇（應用篇）
　第12章 平臺實現(xiàn)實例
　　12.1 體系架構
　　　12.1.1 環(huán)境與開發(fā)語言
　　　12.1.2 平臺結構
　　12.2 實例總體設計分析
　　　12.2.1 信息資產(chǎn)等級保護
　　　12.2.2 安全事件管理
　　　12.2.3 網(wǎng)絡行為審計
　　　12.2.4 脆弱性掃描和評估
　　　12.2.5 風險管理
　　　12.2.6 響應管理
　　　12.2.7 知識管理
　　　12.2.8 綜合顯示
　　　12.2.9 用戶管理
　　12.3 平臺用戶管理的使用
　　　12.3.1 用戶登錄
　　　12.3.2 用戶組管理
　　　12.3.3 用戶管理
　　　12.3.4 審計查看
　　12.4 小結
　第13章 微軟系統(tǒng)的平臺應用
　　13.1 體系架構
　　13.2 操作系統(tǒng)
　　13.3 平臺中基于微軟產(chǎn)品的應用
　　　13.3.1 郵件系統(tǒng)
　　　13.3.2 數(shù)據(jù)庫系統(tǒng)
　　　13.3.3 補丁管理
　　13.4 監(jiān)控管理系統(tǒng)
　　13.5 小結
　第14章 行業(yè)安全實踐
　　14.1 金融行業(yè)安全實踐
　　14.1.1 概述
　　　14.1.2 體系建設思路
　　　14.1.3 技術體系建設
　　　14.1.4 網(wǎng)上銀行安全思路
　　　14.1.5 構建信息安全管理平臺
　　14.2 電力行業(yè)安全實踐
　　　14.2.1 總體建設思路
　　　14.2.2 安全技術要求
　　　14.2.3 安全管理層面
　　14.3 電信行業(yè)安全實踐
　　　14.3.1 數(shù)據(jù)網(wǎng)
　　　14.3.2 辦公系統(tǒng)
　　14.4 政府組織安全實踐
　　　14.4.1 需求分析
　　　14.4.2 現(xiàn)狀和威脅分析
　　　14.4.3 建設思路
　　14.5 軍隊軍工領域實踐
　　　14.5.1 背景
　　　14.5.2 規(guī)劃原則
　　　14.5.3 需求分析
　　　14.5.4 解決方案
　　　14.5.5 建設步驟規(guī)劃
　　14.6 教育行業(yè)安全實踐
　　　14.6.1 需求分析
　　　14.6.2 總體設計思路
　　14.7 小結
　第15章 基于標準的應用
　　15.1 等級保護的思路
　　　15.1.1 背景介紹
　　　15.1.2 概念
　　　15.1.3 安全等級的劃分
　　　15.1.4 等級的保護能力
　　15.2 準備計劃
　　　15.2.1 系統(tǒng)識別和描述
　　　15.2.2 業(yè)務子系統(tǒng)劃分
　　　15.2.3 信息系統(tǒng)劃分
　　　15.2.4 安全等級確定
　　15.3 規(guī)劃設計
　　　15.3.1 安全需求分析
　　　15.3.2 總體設計
　　15.4 實施建設
　　　15.4.1 詳細設計
　　　15.4.2 管理實施
　　　15.4.3 技術實施
　　15.5 運行維護
　　15.6 小結
結束語
主要參考文獻