信息安全管理手冊（卷Ⅲ）

第1部分 訪問控制系統(tǒng)和方法
第1章 生物測量學：有哪些新技術
1.1 指紋
1.2 眼睛掃描
1.3 面部識別
1.4 手和聲音
1.5 生物測量學新技術
1.6 微軟
1.7 標準化問題
1.8 選擇準則
1.9 結論
第2章 醫(yī)護行業(yè)中的隱私問題
2.1 引言
2.2 HIPAA
2.3 其他的病人隱私法
2.4 實施新隱私法的技術挑戰(zhàn)
2.5 結論
第3章 新一代黑客工具及防衛(wèi)方法
3.1 分布式攻擊
3.2 動態(tài)嗅探
3.3 內核級RootKit的增殖
3.4 結論
第4章 社交工程——被遺忘的危險
4.1 引言
4.2 社交工程的定義
4.3 為什么社交工程起作用
4.4 社交工程的攻擊
4.5 減小危險
4.6 對付社交工程的保護機制
4.7 概括
4.8 防衛(wèi)社交工程的攻擊
4.9 結論
第2部分 電信和網絡安全
第5章 安全和網絡技術
5.1 網絡是什么
5.2 網絡設備
5.3 網絡類型
5.4 網絡拓撲
5.5 網絡格式
5.6 線纜類型
5.7 電纜損壞
5.8 結論
第6章 有線和無線物理層安全問題
6.1 有線網絡拓撲基礎
6.2 共享集線器
6.3 交換集線器擴展物理安全
6.4 虛擬局域網的不可信安全
6.5 VLAN/子網加交換
6.6 物理配線安全
6.7 無線物理層安全
6.8 結論
第7章
網絡路由器安全
7.1 路由器硬件和軟件構成
7.2 控制數據流
7.3 配置路由器
7.4 路由器訪問列表
7.5 結論
第8章 無線Internet的安全
8.1 誰使用無線Internet
8.2 有什么類型的應用
8.3 傳輸方法的安全性如何
8.4 無線設備的安全性
8.5 網絡基礎設施部分的安全性如何
8.6 結論
參考文獻
第9章 虛擬專用網VPN）的利用和評價策略
9.1 VPN是什么
9.2 IPSec VPN應用
9.3 保證內部網絡的安全
9.4 VPN開發(fā)模式
9.5 VPN性能評價
9.6 VPN外包
9.7 總結
詞匯表
第10章 如何完成檢查站防火墻的安全檢查
10.1 防火墻檢查的必要性
10.2 檢查. 核查和評價
10.3 防火墻檢查的步驟
10.4 結論
第11章 防火墻技術比較
11.1 防火墻技術
11.2 邊界防御和防火墻如何配置
11.3 總的建議和結論
第12章 虛擬專用網的安全
12.1 首要問題
12.2 漫游用戶
12.3 Internet的采用
12.4 寬帶
12.5 擴展訪問
12.6 始終連接
12.7 訪問公司網絡
12.8 結束開放
12.9 訪問點
12.10 安全的封裝
12.11 易攻擊性概念
12.12 退步
12.13 案例
12.14 解決方案
12.15 結論
第13章 E-mail安全
13.1 目標和無目標
13.2 E-mail通信的特定風險和問題
13.3 E-mail內容特定的風險和問題
13.4 無線安全
13.5 E-mail安全工具
13.6 更新
13.7 小結
第14章 Cookie和Web bug：它們是什么以及如何一起工作
14.1 Cookie是什么
14.2 Cookie的內容
14.3 Cookie的正面性
14.4 Cookie的負面問題
14.5 Web bug是什么
14.6 Web bug的隱私和其他問題
14.7 Web bug和Cookie的同步
14.8 小結
第15章 利用虛擬專用網
15.1 VPN的關鍵優(yōu)勢
15.2 融合的網絡
15.3 WAN卸載
15.4 結論
第16章 無線LAN安全
16.1 標準
16.2 安全問題
16.3 默認安裝
16.4 降低風險
16.5 MAC地址
16.6 服務組標識符
16.7 有線對等加密WEP）
16.8 認證解決方案
16.9 第3方產品
16.10 網關控制
16.11 結論
第3部分 安全管理實踐
第17章 維持經理的承諾
17.1 “你最近為我做了些什么？！”
17.2 交流
17.3 會議
17.4 教育
17.5 激勵因素
17.6 小結
第18章 加強安全意識
18.1 確立目標
18.2 確定具體的內容
18.3 實施發(fā)布）選項
18.4 克服困難
18.5 評估
18.6 小結
18.7 培訓
18.8 總結
第19章 加強安全意識：附錄
19.1 培訓方略培訓內容發(fā)布的模式）
19.2 推薦的IT系統(tǒng)安全培訓課程
第20章 策略的制定
20.1 組織機構文化的影響
20.2 安全策略的發(fā)展歷史
20.3 為什么需要策略
20.4 管理職責
20.5 為策略做計劃
20.6 策略管理層次
20.7 策略的類型
20.8 編寫策略
20.9 定義標準
20.10 定義規(guī)程
20.11 定義方針
20.12 發(fā)布策略
20.13 建立一個通用格式
20.14 使用一個通用的制訂過程
20.15 總結
參考文獻
第21章 信任問題
21.1 信任問題
21.2 保護基礎結構
21.3 風險管理101
21.4 底線
21.5 贏得信任
致謝
參考文獻
第22章 風險管理和分析
22.1 定量風險分析
22.2 定性風險分析
22.3 要點
22.4 風險管理
22.5 小結
第23章 信息風險管理的新趨勢
23.1 傳統(tǒng)方法
23.2 盡力做到最好
23.3 相關常識：怎樣進行防護
23.4 業(yè)務連續(xù)性管理
23.5 重新進行企業(yè)的防護工作
23.6 小結
第24章 企業(yè)的信息安全性
24.1 安全需求：訪問公司數據
24.2 信息安全需求
24.3 主要的安全功能
24.4 IT需求
24.5 加密：實現(xiàn)安全性的關鍵因素
24.6 企業(yè)安全框架的實施
24.7 選擇技術供應商
24.8 實施以及測試
24.9 小結
第25章 企業(yè)安全信息管理
25.1 企業(yè)安全性信息來源
25.2 入侵檢測系統(tǒng)
25.3 防火墻類型及其在加強安全方面的作用
25.4 操作系統(tǒng)日志
25.5 路由器及交換機
25.6 企業(yè)信息管理的策略
25.7 安全漏洞數據
25.8 小結
參考文獻
第26章 配置管理
26.1 系統(tǒng)安全工程能力成熟模型SSE-CMM）概述
26.2 安全工程
26.3 配置管理
26.4 配置管理的基礎實踐
26.5 建立配置管理方法
26.6 識別控制單元
26.7 維護工件基線
26.8 控制已建立的配置單元的變更
26.9 交流配置狀態(tài)
26.10 小結
第4部分 應用程序及系統(tǒng)開發(fā)的安全性
第27章 Web應用程序的安全性
27.1 Web應用程序的安全性
27.2 跨站腳本執(zhí)行
27.3 參數篡改
27.4 cookie中毒
27.5 輸入操作
27.6 緩沖區(qū)溢出
27.7 直接存取瀏覽
27.8 防護措施
27.9 技術工具及解決方案
27.10 小結
第28章 理想狀態(tài)下的安全體系
28.1 構造完美的安全體系
28.2 法律法規(guī)：策略. 方法. 標準及準則
28.3 周邊安全⑩）
28.4 臺式機
28.5 網絡
28.6 服務器和主機
28.7 應用程序
28.8 數據庫
28.9 小結
第29章 XML及其他元數據語言的安全性
29.1 元數據
29.2 萬維網的安全性
29.3 推薦做法
29.4 小結
參考文獻
第30章 XML以及信息的安全性
30.1 XML基礎
30.2 HTML的局限性
30.3 其他XML工具
30.4 XML的安全問題
30.5 小結
第31章 關系數據庫應用程序中的數字簽名
31.1 數字簽名的基本概念
31.2 不同的數據庫
31.3 集成方法
31.4 關系數據庫中數字簽名的通用方法
31.5 小結
第32章 數據倉庫的安全和隱私
32.1 隱私問題概述
32.2 商業(yè)問題
32.3 支持隱私性的商業(yè)需求
32.4 技術問題
32.5 小結
參考文獻
第5部分 密碼術
第33章 先進的加密標準AES）
33.1 AES處理過程
33.2 AES候選者
33.3 Rijndael
33.4 NIST為什么選擇Rijndael碼
33.5 Rijndael的問題
33.6 AES會被解密嗎？
33.7 AES的影響
第34章 保存PKI
34.1 PKI
34.2 構建密碼安全數字標記CSDT）
34.3 層次分離
34.4 有CSDT證書的發(fā)行
34.5 小結
參考文獻
第6部分 安全結構和模型
第35章 數據庫完整性的思考
35.1 概念和描述
35.2 方法
35.3 結論
35.4 建議
第7部分 操 作 安 全
第36章：智能入侵分析：四位機怎樣能識別計算機的入侵風險
36.1 為什么有人工智能
36.2 知識的作用
36.3 入侵檢測的模式匹配方法
36.4 與入侵檢測系統(tǒng)匹配的模式
36.5 進行中的系統(tǒng)
36.6 概念的擴展
36.7 挑戰(zhàn)和局限
36.8 小結
參考文獻
第37章 審查電子商務環(huán)境
37.1 策略
37.2 合法性
37.3 隱私
37.4 出口控制
37.5 法規(guī)
37.6 項目管理
37.7 可靠性
37.8 開發(fā)
37.9 連接性
37.10 安全性
37.11 電子商務服務器的安全性
37.12 操作系統(tǒng)的安全性
37.13 后臺系統(tǒng)應用軟件
37.14 結論
致謝
第8部分 商業(yè)持續(xù)性計劃和災難恢復計劃
第38章 對商業(yè)持續(xù)性計劃流程的再設計
38.1 持續(xù)性計劃：高度的管理意識——極差的執(zhí)行效果
38.2 接受巨變：CP流程的改善
38.3 處理持續(xù)性計劃的流程方案
38.4 創(chuàng)造一個CP流程的改善環(huán)境
38.5 CP的價值歷程
38.6 對機構性變化管理的需求
38.7 如何衡量成功
38.8 持續(xù)性計劃在互聯(lián)網中的應用情況
38.9 小結
參考文獻
第39章 商業(yè)恢復計劃和災難復原：案例歷史
39.1 案例歷史
39.2 專業(yè)支持
39.3 BCP：更新
39.4 工會
39.5 風險管理介入
39.6 裁員
39.7 文獻資料
39.8 局部處理：誰獲得優(yōu)先
39.9 注意其他那些會影響最基本恢復點的災難
39.10 小結
參考文獻
第9部分 法律. 調查和道德標準
第40章 發(fā)生了什么
第41章 因特網抱怨網站：Bally v. Faber
41.1 Bally v. Faber的事實
41.2 商標法的概述
41.3 分析：商標侵犯
41.4 分析：商標品牌降低
41.5 對各企業(yè)的建議
41.6 結論
參考文獻
第42章 對垃圾郵件的控制：Washington v. Heckel
42.1 案件的事實
42.2 州際貿易條款
42.3 Heckel的分析
42.4 結論
參考文獻
第10部分 物 理 安 全
第43章 物理安全：信息安全的基礎
43.1 如何著手物理安全
43.2 物理安全的心理學
43.3 物理安全設施
43.4 信息系統(tǒng)的物理安全
43.5 意識培訓
43.6 小結
參考文獻
第44章 物理安全：控制訪問和層次防衛(wèi)
44.1 控制訪問
44.2 物理安全技術
44.3 物理安全的作用
44.4 多科學防衛(wèi)
44.5 將物理安全與IT安全結合成整體的策略
44.6 物理安全的困難
44.7 IT和物理安全的協(xié)力合作
44.8 購買更多的信息
44.9 小結