信息安全原理

第1部分 簡(jiǎn) 介
第1章 信息安全簡(jiǎn)介
1. 1 介紹
1. 2 信息安全發(fā)展史
1. 2. 1 20世紀(jì)60年代
1. 2. 2 20世紀(jì)70年代和80年代
1. 2. 3 20世紀(jì)90年代
1. 2. 4 現(xiàn)在
1. 3 安全的概念
1. 4 信息安全的概念
1. 5 信息的重要特性
1. 5. 1 可用性
1. 5. 2 精確性
1. 5. 3 真實(shí)性
1. 5. 4 機(jī)密性
1. 5. 5 完整性
1. 5. 6 效用性
1. 5. 7 所有性
1. 6 NSnSSC安全模型
1. 7 信息系統(tǒng)的組件
1. 7. 1 軟件
1. 7. 2 硬件
1. 7. 3 數(shù)據(jù)
1. 7. 4 人員
1. 7. 5 過(guò)程
1. 8 保護(hù)IS組件的安全
1. 9 平衡安全性和訪問(wèn)性能
1. 10 自上而下地實(shí)現(xiàn)安全的方法
1. 11 系統(tǒng)開(kāi)發(fā)生命周期
1. 11. 1 方法學(xué)
1. 11. 2 階段
1. 11. 3 調(diào)研
1, 11. 4 分析
1. 11. 5 邏輯設(shè)計(jì)
1. 11. 6 物理設(shè)計(jì)
1. 11. 7 實(shí)現(xiàn)
1. 11. 8 維護(hù)和修改
1. 12 安全系統(tǒng)開(kāi)發(fā)生命周期
1. 12. 1 調(diào)研
1. 12. 2 分析
1. 12. 3 邏輯設(shè)計(jì)
1. 12. 4 物理設(shè)計(jì)
1. 12. 5 實(shí)現(xiàn)
1. 12. 6 維護(hù)和修改
1. 13 關(guān)鍵術(shù)語(yǔ)
1. 14 安全專(zhuān)業(yè)人士和機(jī)構(gòu)
1. 14. 1 高級(jí)管理者
1. 14. 2 安全項(xiàng)目隊(duì)伍
1. 14. 3 數(shù)據(jù)所有權(quán)
1. 15 興趣團(tuán)體
1. 15. 1 信息安全管理和專(zhuān)業(yè)人士
1. 15. 2 信息技術(shù)管理和專(zhuān)業(yè)人士
1. 15. 3 機(jī)構(gòu)管理和專(zhuān)業(yè)人士
1. 16 信息安全：是一門(mén)藝術(shù)還是一門(mén)科學(xué)
1. 16. 1 作為藝術(shù)的安全
1. 16. 2 作為科學(xué)的安全
1. 16. 3 作為社會(huì)科學(xué)的安全
1. 17 本章小結(jié)
1. 18 復(fù)習(xí)題
1. 19 練習(xí)
1. 20 案例練習(xí)
第Ⅱ部分 安全調(diào)研階段
第2章 安全需求
2. 1 引言
2. 2 業(yè)務(wù)在前, 技術(shù)在后
2. 2. 1 保護(hù)機(jī)構(gòu)運(yùn)轉(zhuǎn)的能力
2. 2. 2 實(shí)現(xiàn)應(yīng)用程序的安全操作
2. 2. 3 保護(hù)機(jī)構(gòu)收集并使用的數(shù)據(jù)
2. 2. 4 保護(hù)機(jī)構(gòu)的技術(shù)資產(chǎn)
2. 3 威脅
2. 3. 1 威脅組一：疏忽行為
2. 3. 2 威脅組二：蓄意行為
2. 3. 3 威脅組三：天災(zāi)
2. 3. 4 威脅組四：技術(shù)故障
2. 3. 5 威脅組五：管理漏洞
2. 4 攻擊
2. 4. 1 惡意代碼
2. 4. 2 惡作劇
2. 4. 3 后門(mén) backdoor
2. 4. 4 密碼破解
2. 4. 5 暴力
2. 4. 6 詞典方式
2. 4. 7 拒絕服務(wù) DoS 及分布式拒絕服務(wù) DDoS
2. 4. 8 欺騙
2. 4. 9 Man-in-the-Middle
2. 4. 10 垃圾郵件
2. 4. 11 郵件炸彈
2. 4. 12 嗅探器
2. 4. 13 社會(huì)工程
2. 4. 14 緩沖區(qū)溢出
2. 4. 15 定時(shí)攻擊
2. 5 本章小結(jié)
2. 6 復(fù)習(xí)題
2. 7 練習(xí)
2. 8 案例練習(xí)
第3章 信息安全中的法律. 道德以及專(zhuān)業(yè)人員問(wèn)題
3. 1 引言
3. 2 信息安全的法律及道德
3. 3 法律類(lèi)型
3. 4 美國(guó)相關(guān)法律
3. 4. 1 普通計(jì)算機(jī)犯罪法
3. 4. 2 隱私
3. 4. 3 出口及間諜法
3. 4. 4 美國(guó)版權(quán)法
3. 5 國(guó)際法及法律主體
3. 5. 1 歐洲計(jì)算機(jī)犯罪委員會(huì)條例
3. 5. 2 數(shù)字時(shí)代版權(quán)法
3. 5. 3 聯(lián)合國(guó)憲章
3. 6 政策與法律
3. 7 信息安全的道德觀念
3. 7. 1 道德概念中的文化差異
3. 7. 2 軟件許可侵犯
3. 7. 3 違法使用
3. 7. 4 共同資源的濫用
3. 7. 5道德和教育
3. 7. 6 不道德及違法行為的制止因素
3. 8 道德. 認(rèn)證以及專(zhuān)業(yè)機(jī)構(gòu)的規(guī)則
3. 8. 1 其他安全機(jī)構(gòu)
3. 8. 2 美國(guó)主要聯(lián)邦機(jī)構(gòu)
3. 9 機(jī)構(gòu)商議的責(zé)任和需求
3. 10 本章小結(jié)
3. 11 復(fù)習(xí)題
3. 12 練習(xí)
3. 13 案例練習(xí)
第Ⅲ部分 安全分析
第4章 風(fēng)險(xiǎn)管理：識(shí)別和評(píng)估風(fēng)險(xiǎn)
4. 1 引言
4. 2 風(fēng)險(xiǎn)管理
4. 2. 1 知己
4. 2. 2 知彼
4. 2. 3 所有的利益團(tuán)體都應(yīng)負(fù)責(zé)
4. 2. 4 使風(fēng)險(xiǎn)管理與SecSDLC一體化
4. 3 風(fēng)險(xiǎn)識(shí)別
4. 3. 1 資產(chǎn)識(shí)別和評(píng)估
4. 3. 2 自動(dòng)化風(fēng)險(xiǎn)管理工具
4. 3. 3 信息資產(chǎn)分類(lèi)
4. 3. 4 信息資產(chǎn)評(píng)估
4. 3. 5 記錄資產(chǎn)的重要性
4. 3. 6 數(shù)據(jù)分類(lèi)及管理
4. 3. 7 安全調(diào)查
4. 3. 8 分類(lèi)數(shù)據(jù)的管理
4. 3. 9 威脅識(shí)別
4. 3. 10 識(shí)別威脅及威脅代理, 并區(qū)分其優(yōu)先次序
4. 3. 11 漏洞識(shí)別
4. 4 風(fēng)險(xiǎn)評(píng)估
4. 4. 1 風(fēng)險(xiǎn)評(píng)估介紹
4. 4. 2 可能性
4. 4. 3 信息資產(chǎn)評(píng)估
4. 4. 4 當(dāng)前控制減輕風(fēng)險(xiǎn)的百分比
4. 4. 5 風(fēng)險(xiǎn)確定
4. 4. 6 識(shí)別可能的控制
4. 4. 7 訪問(wèn)控制
4. 5 風(fēng)險(xiǎn)評(píng)估記錄結(jié)果
4. 6 本章小結(jié)
4. 7 復(fù)習(xí)題
4. 8 練習(xí)
4. 9 案例練習(xí)
第5章 風(fēng)險(xiǎn)管理：評(píng)估和控制風(fēng)險(xiǎn)
5. 1 引言
5. 2 風(fēng)險(xiǎn)控制策略
5. 2. 1 避免
5. 2. 2 轉(zhuǎn)移
5. 2. 3 緩解
5. 2. 4 承認(rèn)
5. 3 風(fēng)險(xiǎn)緩解策略選擇
5. 4 控制的種類(lèi)
5. 4. 1 控制功能
5. 4. 2 體系結(jié)構(gòu)層
5. 4. 3 策略層
5. 4. 4 信息安全原則
5. 5 可行性研究
5. 5. 1 成本效益分析 CBA
5. 5. 2 其他可行性研究
5. 6 風(fēng)險(xiǎn)管理討論要點(diǎn)
5. 6. 1 風(fēng)險(xiǎn)可接受性
5. 6. 2 殘留風(fēng)險(xiǎn)
5. 7 結(jié)果歸檔
5. 8 推薦的控制風(fēng)險(xiǎn)實(shí)踐
5. 8. 1 定量評(píng)估
5. 8. 2 Delphi技術(shù)
5. 8. 3 風(fēng)險(xiǎn)管理和SecSDLC
5. 9 本章小結(jié)
5. 10 復(fù)習(xí)題
5. 11 練習(xí)
5. 12 案例練習(xí)
第Ⅳ部分 邏輯設(shè)計(jì)
第6章 安全藍(lán)本
6. 1 引言
6. 2 信息安全政策, 標(biāo)準(zhǔn)及實(shí)踐
6. 2. 1 定義
6. 2. 2 安全計(jì)劃政策 SPP
6. 2. 3 特定問(wèn)題安全政策 ISSP
6. 2. 4 特定系統(tǒng)政策 SysSP
6. 2. 5 政策管理
6. 3 信息分類(lèi)
6. 4 系統(tǒng)設(shè)計(jì)
6. 5 信息安全藍(lán)本
6. 6 ISO 17799／BS 7799
6. 7 NIST安全模式
6. 7. 1 NIST Special Publication SP 800-12
6. 7. 2 NIST Special Publication 800-14
6. 7. 3 IETF安全結(jié)構(gòu)
6. 8 VISA國(guó)際安全模式
6. 9 信息安全系統(tǒng)藍(lán)本的混合結(jié)構(gòu)
6. 10 安全教育. 培訓(xùn)和意識(shí)計(jì)劃
6. 10. 1 安全教育
6. 10. 2 安全培訓(xùn)
6. 10. 3 安全意識(shí)
6. 11 安全結(jié)構(gòu)設(shè)計(jì)
6. 11. 1 深層防御
6. 11. 2 安全周界
6. 11. 3 關(guān)鍵技術(shù)組件
6. 12 本章小結(jié)
6. 13 復(fù)習(xí)題
6. 14 練習(xí)
6. 15 案例練習(xí)
第7章 持續(xù)性計(jì)劃
7. 1 引言
7. 2 持續(xù)性策略
7. 3 商務(wù)影響分析
7. 3. 1 威脅攻擊識(shí)別和優(yōu)先級(jí)次序
7. 3. 2 商務(wù)單元分析
7. 3. 3 攻擊成功方案開(kāi)發(fā)
7. 3. 4 潛在破壞評(píng)估
7. 3. 5 后續(xù)計(jì)劃分類(lèi)
7. 4 事故響應(yīng)計(jì)劃
7. 4. 1 事故計(jì)劃
7. 4. 2 事故檢測(cè)
7. 4. 3 事故何時(shí)會(huì)成為一個(gè)災(zāi)難
7. 5 事故反應(yīng)
7. 5. 1 關(guān)鍵人的通知
7. 5. 2 歸檔一個(gè)事故
7. 5. 3 事故遏制策略
7. 6 事故恢復(fù)
7. 6. 1 反應(yīng)工作的優(yōu)先次序
7. 6. 2 破壞的評(píng)估
7. 6. 3 恢復(fù)
7. 6. 4 備份媒體
7. 7 自動(dòng)化響應(yīng)
7. 8 災(zāi)難恢復(fù)計(jì)劃
7. 8. 1 災(zāi)難恢復(fù)計(jì)劃
7. 8. 2 危機(jī)管理
7. 8. 3 恢復(fù)操作
7. 9 商務(wù)持續(xù)性計(jì)劃
7. 9. 1 開(kāi)發(fā)持續(xù)性程序 BCP
7. 9. 2 持續(xù)性戰(zhàn)略
7. 10 統(tǒng)一的應(yīng)急計(jì)劃模型
7. 11 法律實(shí)施相關(guān)事物
7. 11. 1 本地. 州或聯(lián)邦
7. 11. 2 法律實(shí)施相關(guān)事物的優(yōu)點(diǎn)和弊端
7. 12 本章小結(jié)
7. 13 復(fù)習(xí)題
7. 14 練習(xí)
7. 15 案例練習(xí)
第V部分 物理設(shè)計(jì)
第8章 安全技術(shù)
8. 1 引言
8. 2 SecSDIC的物理設(shè)計(jì)
8. 3 防火墻
8. 3. 1 防火墻發(fā)展
8. 3. 2 防火墻體系結(jié)構(gòu)
8. 3. 3 配置和管理防火墻
8. 4 撥號(hào)的保護(hù)
8. 5 入侵檢測(cè)系統(tǒng) IDS
8. 5. 1 基于主機(jī)的IDS
8. 5. 2 基于網(wǎng)絡(luò)的IDS
8. 5. 3 基于簽名的IDS
8. 5. 4 基于異常事件統(tǒng)計(jì)的IDS
8. 6 瀏覽和分析工具
8. 6. 1 端口掃描器
8. 6. 2 漏洞掃描器
8. 6. 3 包嗅探器
8. 7 內(nèi)容過(guò)濾器
8. 8 Trap和Trace 誘捕和跟蹤
8. 9 密碼系統(tǒng)和基于加密的方案
8. 9. 1 加密定義
8. 9. 2 加密運(yùn)算
8. 9. 3 Vernam加密
8. 9. 4 書(shū)本或運(yùn)行密鑰加密
8. 9. 5 對(duì)稱(chēng)加密
8. 9. 6 非對(duì)稱(chēng)加密
8. 9. 7 數(shù)字簽名
8. 9. 8 RSA
8. 9. 9 PKI
8. 9. 10 什么是數(shù)字證書(shū)和證書(shū)頒發(fā)機(jī)構(gòu)
8. 9. 11 混合系統(tǒng)
8. 9. 12 保護(hù)電子郵件的安全
8. 9. 13 保護(hù)Web的安全
8. 9. 14 保護(hù)身份驗(yàn)證的安全
8. 9. 15 Sesame
8. 10 訪問(wèn)控制設(shè)備
8. 10. 1 身份驗(yàn)證
8. 10. 2 生物測(cè)定學(xué)的有效性
8. 10. 3 生物測(cè)定學(xué)的可接受性
8. 11 小結(jié)
8. 12 復(fù)習(xí)題
8. 13 練習(xí)
8. 14 案例練習(xí)
第9章 物理安全
9. 1 引言
9. 2 訪問(wèn)控制
9. 3 防火安全
9. 4 支持設(shè)施故障和建筑倒塌
9. 4. 1 加熱. 通風(fēng)和空調(diào)
9. 4. 2 電力管理和調(diào)整
9. 4. 3 測(cè)試設(shè)備系統(tǒng)
9. 5 數(shù)據(jù)的偵聽(tīng)
9. 6 可移動(dòng)和便攜系統(tǒng)
9. 7 物理安全威脅的特殊考慮
9. 8 本章小結(jié)
9. 9 復(fù)習(xí)題
9. 10 練習(xí)
9. 11 案例練習(xí)
第VI部分 實(shí)
現(xiàn)
第10章 實(shí)現(xiàn)安全
10. 1 引言
10. 2 實(shí)現(xiàn)階段中的項(xiàng)目管理
10. 2. 1 開(kāi)發(fā)項(xiàng)目計(jì)劃
10. 2. 2 項(xiàng)目計(jì)劃考慮
10. 2. 3 項(xiàng)目管理需求
10. 2. 4 管理的實(shí)現(xiàn)
10. 2. 5 執(zhí)行計(jì)劃
10. 2. 6 綜合報(bào)導(dǎo)
10. 3 實(shí)現(xiàn)的技術(shù)主題
10. 3. 1 轉(zhuǎn)換策略
10. 3. 2 信息安全項(xiàng)目計(jì)劃的靶心模型
10. 3. 3 外購(gòu)還是自行開(kāi)發(fā)
10. 3. 4 技術(shù)監(jiān)督和改動(dòng)控制
10. 4 實(shí)現(xiàn)的非技術(shù)方面
10. 4. 1 改動(dòng)管理的文化
10. 4. 2 機(jī)構(gòu)改動(dòng)的考慮
10. 5 本章小結(jié)
10. 6 復(fù)習(xí)題
10. 7 練習(xí)
10. 8 案例練習(xí)
第11章 安全和人員
11. 1 引言
11. 2 機(jī)構(gòu)結(jié)構(gòu)內(nèi)的安全職能
11. 3 安全職能的人員配備
11. 3. 1 資格和需求
11. 3. 2 進(jìn)入安全專(zhuān)業(yè)的入口
11. 3. 3 信息安全位置
11. 4 信息安全專(zhuān)業(yè)人員的認(rèn)證
11. 4. 1 認(rèn)證信息系統(tǒng)安全專(zhuān)業(yè)人員 CISSP 和系統(tǒng)安全認(rèn)證從業(yè)者 SSCP
11. 4. 2 安全認(rèn)證專(zhuān)業(yè)人員
11. 4. 3 TruSecureICSA認(rèn)證安全聯(lián)合 T. I. C. S. A 和TruSecureICSA認(rèn)證安全專(zhuān)家 T. IC. S. E
11. 4. 4 安全
11. 4. 5 認(rèn)證信息系統(tǒng)審計(jì)員 CISA
11. 4. 6 認(rèn)證信息系統(tǒng)辯論調(diào)查員
11. 4. 7 相關(guān)認(rèn)證
11. 4. 8 獲得認(rèn)證的費(fèi)用
11. 4. 9 對(duì)信息安全專(zhuān)業(yè)人員的建議
11. 5 雇傭政策和實(shí)踐
11. 5. 1 雇傭和解雇問(wèn)題
11. 5. 2 工作成績(jī)?cè)u(píng)估
11. 5. 3 解雇
11. 6 非雇員的安全考慮
11. 6. 1 暫時(shí)雇員
11. 6. 2 合同雇員
11. 6. 3 顧問(wèn)
11. 6. 4 商務(wù)伙伴
11. 7 責(zé)任的分離和共謀
11. 8 人員數(shù)據(jù)的秘密性和安全
11. 9 本章小結(jié)
11. 10 復(fù)習(xí)題
11. 11 練習(xí)
11. 12 案例練習(xí)
第VII部分 維護(hù)和改動(dòng)
第12章 信息安全維護(hù)
12. 1 引言
12. 2 改動(dòng)的管理
12. 3 安全管理模式
12. 4 維護(hù)模式
12. 4. 1 監(jiān)控外部環(huán)境
12. 4. 2 監(jiān)控內(nèi)部環(huán)境
12. 4. 3 規(guī)劃與風(fēng)險(xiǎn)評(píng)估
12. 4. 4 漏洞評(píng)估和補(bǔ)救
12. 4. 5 備用狀態(tài)與審查
12. 5 本章小節(jié)
12. 6 復(fù)習(xí)題
12. 7 練習(xí)
12. 8 案例練習(xí)
附錄A 密碼學(xué)
A. 1 引言
A. 2 定義
A. 3 密碼類(lèi)型
A. 3. 1 多字母置換密碼
A. 3. 2 移項(xiàng)密碼
A. 3. 3 加密算法
A. 3. 4 非對(duì)稱(chēng)密碼或公開(kāi)密鑰密碼使用法
A. 3. 5 混合密碼系統(tǒng)
A. 4 流行的加密算法
A. 4. 1 數(shù)據(jù)加密標(biāo)準(zhǔn) DES
A. 4. 2 數(shù)據(jù)加密核心過(guò)程
A. 4. 3 公鑰基礎(chǔ)結(jié)構(gòu) PKI
A. 4. 4 數(shù)字簽名
A. 4. 5 數(shù)字證書(shū)
A. 4. 6 Pretty Good Privacy PGP
A. 4. 7 安全方案的PGP套件
A. 5 安全通信協(xié)議
A. 5. 1 S-HTTP和SSL
A. 5. 2 Secure／Multipurpose Internet mail Extension S／MIME
A. 5. 3 Internet Protocol Securtiy IPSec
A. 6 密碼系統(tǒng)的攻擊
A. 6. 1 中間人攻擊
A. 6. 2 相關(guān)性攻擊
A. 6. 3 字典攻擊
A. 6. 4 定時(shí)攻擊
術(shù)語(yǔ)表