信息安全基礎(chǔ)

第1章  安全管理實(shí)踐        1
1.1  概述        1
1.1.1  我們的目標(biāo)        1
1.1.2  領(lǐng)域定義        1
1.1.3  管理的概念        2
1.1.4  信息分類過程        3
1.1.5  安全政策的實(shí)現(xiàn)        7
1.1.6  作用和責(zé)任        9
1.1.7  風(fēng)險(xiǎn)管理        10
1.1.8  安全意識        17
1.2  樣本問題        18
1.3  額外的問題        20
1.4  高級的樣本問題        20
第2章  訪問控制系統(tǒng)        25
2.1  基本原理        25
2.2  控制        25
2.3  標(biāo)識和認(rèn)證        28
2.3.1  口令        28
2.3.2  生物測定學(xué)        29
2.3.3  單點(diǎn)登錄        31
2.3.4  Kerberos        31
2.3.5  SESAME        34
2.3.6  KryptoKnight        34
2.3.7  訪問控制方法        34
2.3.8  集中的訪問控制        34
2.3.9  分散的/分布式的訪問控制        35
2.3.10  入侵檢測        38
2.4  一些訪問控制問題        39
2.5  樣本問題        39
2.6  額外的問題        41
2.7  高級的樣本問題        42
第3章  電信和網(wǎng)絡(luò)安全        45
3.1  我們的目的        45
3.2  領(lǐng)域定義        46
3.3  管理概念        46
3.3.1  C.I.A.三元組        46
3.3.2  遠(yuǎn)程訪問安全管理        47
3.3.3  入侵檢測和響應(yīng)        48
3.3.4  技術(shù)概念        59
3.4  樣本問題        94
3.5  額外的問題        96
3.6  高級的樣本問題        97
第4章  加密技術(shù)        101
4.1  引言        101
4.1.1  定義        101
4.1.2  歷史        104
4.2  密碼技術(shù)        109
4.3  秘密密鑰加密技術(shù)（對稱密鑰）        113
4.3.1  數(shù)據(jù)加密標(biāo)準(zhǔn)        114
4.3.2  三重DES        116
4.3.3  高級加密標(biāo)準(zhǔn)        117
4.3.4  IDEA密碼        119
4.3.5  RCS        119
4.4  公開（非對稱）密鑰加密系統(tǒng)        119
4.4.1  單向函數(shù)        120
4.4.2  公開密鑰算法        120
4.4.3  公開密鑰密碼系統(tǒng)算法種類        122
4.4.4  散列函數(shù)的特性        124
4.4.5  公開密鑰認(rèn)證系統(tǒng)        126
4.5  契據(jù)保管加密方法        127
4.5.1  契據(jù)保管加密標(biāo)準(zhǔn)        127
4.5.2  使用公開密鑰加密技術(shù)的密鑰契據(jù)保管方法        128
4.5.3  密鑰管理問題        129
4.5.4  電子郵件安全問題和解決方法        129
4.6  Internet安全應(yīng)用        130
4.6.1  報(bào)文認(rèn)證代碼（或金融機(jī)構(gòu)報(bào)文認(rèn)證標(biāo)準(zhǔn)）        130
4.6.2  安全電子交易        131
4.6.3  安全套接字層/交易層安全        131
4.6.4  Internet開放貿(mào)易協(xié)議        131
4.6.5  MONDEX        131
4.6.6  IPSec        131
4.6.7  安全超文本傳輸協(xié)議        132
4.6.8  安全命令解釋程序        132
4.6.9  無線安全        132
4.6.10  無線應(yīng)用協(xié)議        133
4.6.11  IEEE 802.11無線標(biāo)準(zhǔn)        134
4.7  樣本問題        135
4.8  附加的問題        138
4.9  高級樣本問題        138
第5章  安全體系結(jié)構(gòu)和模型        145
5.1  安全體系結(jié)構(gòu)        145
5.1.1  計(jì)算機(jī)體系結(jié)構(gòu)        145
5.1.2  分布式體系結(jié)構(gòu)        151
5.1.3  保護(hù)機(jī)制        152
5.2  保障        154
5.2.1  評估標(biāo)準(zhǔn)        155
5.2.2  認(rèn)證和鑒定        156
5.2.3  系統(tǒng)安全工程能力成熟度模型        157
5.3  信息安全模型        159
5.3.1  訪問控制模型        159
5.3.2  完整性模型        162
5.3.3  信息流模型        163
5.4  樣本問題        165
5.5  額外的問題        167
5.6  高級樣本問題        168
第6章  操作安全        173
6.1  我們的目標(biāo)        173
6.2  領(lǐng)域定義        173
6.2.1  三元組        173
6.2.2  C.I.A.        174
6.3  控制和保護(hù)        174
6.3.1  控制類型        174
6.3.2  桔皮書控制        175
6.3.3  管理控制        179
6.3.4  操作控制        181
6.4  監(jiān)視和審計(jì)        185
6.4.1  監(jiān)視        185
6.4.2  審計(jì)        186
6.5  威脅和脆弱性        188
6.5.1  威脅        188
6.5.2  脆弱性        189
6.6  樣本問題        189
6.7  額外的問題        191
6.8  高級樣本問題        192
第7章  應(yīng)用和系統(tǒng)開發(fā)        195
7.1  軟件生存期開發(fā)過程        195
7.1.1  瀑布模型        196
7.1.2  螺旋模型        199
7.1.3  成本評估模型        200
7.1.4  信息安全和生存期模型        200
7.1.5  測試問題        200
7.1.6  軟件維護(hù)階段和變化控制過程        201
7.1.7  配置管理        202
7.2  軟件能力成熟度模型        203
7.3  面向?qū)ο蟮南到y(tǒng)        204
7.4  人工智能系統(tǒng)        206
7.4.1  專家系統(tǒng)        206
7.4.2  神經(jīng)網(wǎng)絡(luò)        207
7.4.3  遺傳算法        208
7.5  數(shù)據(jù)庫系統(tǒng)        208
7.5.1  數(shù)據(jù)庫安全問題        209
7.5.2  數(shù)據(jù)倉庫和數(shù)據(jù)挖掘        209
7.5.3  數(shù)據(jù)字典        210
7.6  應(yīng)用控制        210
7.6.1  分布式系統(tǒng)        210
7.6.2  集中式結(jié)構(gòu)        211
7.6.3  實(shí)時(shí)系統(tǒng)        211
7.7  樣本問題        212
7.8  額外的問題        214
7.9  高級樣本問題        214
第8章  業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃        219
8.1  我們的目標(biāo)        219
8.2  領(lǐng)域定義        219
8.3  業(yè)務(wù)連續(xù)性計(jì)劃        220
8.3.1  連續(xù)性破壞事件        220
8.3.2  業(yè)務(wù)連續(xù)性計(jì)劃的四個(gè)主要元素        221
8.3.3  業(yè)務(wù)影響評估        222
8.4  災(zāi)難恢復(fù)計(jì)劃        225
8.4.1  災(zāi)難恢復(fù)計(jì)劃的目標(biāo)和任務(wù)        226
8.4.2  災(zāi)難恢復(fù)計(jì)劃過程        226
8.4.3  測試災(zāi)難恢復(fù)計(jì)劃        230
8.4.4  災(zāi)難恢復(fù)程序        231
8.5  樣本問題        234
8.6  額外的問題        235
8.7  高級樣本問題        236
第9章  法律、調(diào)查和道德標(biāo)準(zhǔn)        239
9.1  計(jì)算機(jī)犯罪的類型        239
9.2  法律        241
9.2.1  例子：美國        241
9.2.2  習(xí)慣法系統(tǒng)類型        242
9.2.3  保密優(yōu)先權(quán)平臺        244
9.2.4  計(jì)算機(jī)安全、保密和犯罪法        245
9.3  調(diào)查        248
9.4  責(zé)任        252
9.5  道德標(biāo)準(zhǔn)        254
9.5.1  (ISC)2道德標(biāo)準(zhǔn)法規(guī)        254
9.5.2  計(jì)算機(jī)道德標(biāo)準(zhǔn)協(xié)會的計(jì)算機(jī)道德標(biāo)準(zhǔn)        254
9.5.3  因特網(wǎng)活動委員會道德標(biāo)準(zhǔn)和Internet（RFC 1087）        255
9.5.4  美國公正信息實(shí)踐的健康、教育和福利法規(guī)部        255
9.5.5  經(jīng)濟(jì)合作與發(fā)展組織        255
9.6  樣本問題        257
9.7  額外問題        259
9.8  高級樣本問題        259
第10章  物理安全        263
10.1  我們的目標(biāo)        263
10.2  領(lǐng)域定義        263
10.3  對物理安全的威脅        263
10.4  對物理安全的控制        265
10.4.1  管理控制        265
10.4.2  環(huán)境的和生存期安全控制        267
10.4.3  物理和技術(shù)控制        272
10.5  樣本問題        280
10.6  額外問題        281
10.7  高級樣本問題        282
附錄A  NSA信息系統(tǒng)安全評估方法        285
附錄B  公共標(biāo)準(zhǔn)        293
附錄C  BS7799        303
附錄D  進(jìn)一步研究的參考資料        305
附錄E  光盤上的內(nèi)容        309
附錄F  術(shù)語表和縮寫        311
附錄G  通過HIPAA-CMM來遵從HIPAA的過程方法（參見隨書光盤）        351
附錄H  道德黑客攻擊的案例（參見隨書光盤）        377
附錄I  HIPAA補(bǔ)充材料（參見隨書光盤）        381
附錄J  樣本問題和額外問題的答案（參見隨書光盤）        387
附錄K  高級樣本問題的答案（參見隨書光盤）        415