信息安全原理

第1章　信息安全簡介
1.1　引言
1.2　信息安全發(fā)展史
1.2.1　20世紀60年代
1.2.2　20世紀70年代和80年代
1.2.3　20世紀90年代
1.2.4　現(xiàn)在
1.3　安全的概念
1.4　信息的重要特性
1.4.1　可用性
1.4.2　精確性
1.4.3　真實性
1.4.4　機密性
1.4.5　完整性
1.4.6　效用性
1.4.7　所有性
1.5　NSTISSC安全模型
1.6　信息系統(tǒng)的組件
1.6.1　軟件
1.6.2　硬件
1.6.3　數(shù)據(jù)
1.6.4　人員
1.6.5　過程
1.6.6　網(wǎng)絡
1.7　保護IS組件的安全
1.8　平衡信息的安全和訪問權(quán)
1.9　實現(xiàn)信息安全的方法
1.10　系統(tǒng)開發(fā)生命周期
1.10.1　方法學
1.10.2　階段
1.10.3　調(diào)研
1.10.4　分析
1.10.5　邏輯設計
1.10.6　物理設計
1.10.7　實現(xiàn)
1.10.8　維護和修改
1.11　安全系統(tǒng)開發(fā)生命周期
1.11.1　調(diào)研
1.11.2　分析
1.11.3　邏輯設計
1.11.4　物理設計
1.11.5　實現(xiàn)
1.11.6　維護和修改
1.12　安全專業(yè)人士和機構(gòu)
1.12.1　高級管理者
1.12.2　信息安全項目小組
1.12.3　數(shù)據(jù)所有人
1.13　利益團體
1.13.1　信息安全管理和專業(yè)人士
1.13.2　信息技術管理和專業(yè)人士
1.13.3　機構(gòu)管理和專業(yè)人士
1.14　信息安全：是一門藝術還是一門科學
1.14.1　作為藝術的安全
1.14.2　作為科學的安全
1.14.3　作為社會科學的安全
1.15　信息安全的術語
1.16　本章小結(jié)
1.17　復習題
1.18　練習
1.19　案例練習
第2章　安全需求
2.1　引言
2.2　業(yè)務需求在前，技術在后
2.2.1　保護機構(gòu)運轉(zhuǎn)的能力
2.2.2　實現(xiàn)應用程序的安全操作
2.2.3　保護機構(gòu)收集和使用的數(shù)據(jù)
2.2.4　保護機構(gòu)的技術資產(chǎn)
2.3　威脅
2.3.1　人為過失或失敗的行為
2.3.2　知識產(chǎn)權(quán)的損害
2.3.3　間諜或者蓄意入侵行為
2.3.4　信息敲詐蓄意行為
2.3.5　蓄意破壞行為
2.3.6　蓄意竊取行為
2.3.7　蓄意軟件攻擊
2.3.8　自然災害
2.3.9　服務質(zhì)量差
2.3.10　技術硬件故障或者錯誤
2.3.11　技術軟件故障或者錯誤
2.3.12　技術淘汰
2.4　攻擊
2.4.1　惡意代碼
2.4.2　惡作劇
2.4.3　后門
2.4.4　密碼破解
2.4.5　暴力
2.4.6　詞典方式
2.4.7　拒絕服務(DoS)及分布式拒絕服務(DDoS)
2.4.8　欺騙
2.4.9　中間人
2.4.10　垃圾郵件
2.4.11　郵件炸彈
2.4.12　嗅探器
2.4.13　社會工程
2.4.14　緩沖區(qū)溢出
2.4.15　定時攻擊
2.5　本章小結(jié)
2.6　復習題
2.7　練習
2.8　案例練習
第3章　信息安全中的法律、道德以及專業(yè)人員問題
3.1　引言
3.2　信息安全的法律及道德
3.3　法律的類型
3.4　美國相關法律
3.4.1　一般計算機犯罪法
3.4.2　隱私
3.4.3　出口及間諜法
3.4.4　美國版權(quán)法
3.4.5　財務報表
3.4.6　1966年的信息自由法(FOIA)
3.4.7　州和本地法規(guī)
3.5　國際法及法律主體
3.5.1　歐洲計算機犯罪委員會條例
3.5.2　數(shù)字時代版權(quán)法
3.5.3　聯(lián)合國憲章
3.6　政策與法律
3.7　道德和信息安全
3.7.1　不同文化中的道德差異
3.7.2　軟件許可侵犯
3.7.3　違法使用
3.7.4　公司資源的濫用
3.7.5　道德和教育
3.7.6　不道德及違法行為的防范措施
3.8　道德規(guī)范和專業(yè)機構(gòu)
3.8.1　IT的主要專業(yè)機構(gòu)
3.8.2　其他安全機構(gòu)
3.8.3　美國主要聯(lián)邦機構(gòu)
3.9　機構(gòu)的責任和忠告
3.10　本章小結(jié)
3.11　復習題
3.12　練習
3.13　案例練習
第4章　風險管理
4.1　引言
4.2　風險管理概述
4.2.1　知己
4.2.2　知彼
4.2.3　利益團體的作用
4.3　風險識別
4.3.1　資產(chǎn)識別和評估
4.3.2　自動化風險管理工具
4.3.3　信息資產(chǎn)分類
4.3.4　信息資產(chǎn)評估
4.3.5　按照重要性列出資產(chǎn)
4.3.6　數(shù)據(jù)的分類及管理
4.3.7　安全調(diào)查
4.3.8　分類數(shù)據(jù)的管理
4.3.9　威脅識別
4.3.10　識別威脅及威脅代理，并區(qū)分其優(yōu)先次序
4.3.11　漏洞識別
4.4　風險評估
4.4.1　風險評估概述
4.4.2　可能性
4.4.3　信息資產(chǎn)評估
4.4.4　風險的確定
4.4.5　識別可能的控制
4.4.6　訪問控制
4.4.7　記錄風險評估的結(jié)果
4.5　風險控制策略
4.5.1　避免
4.5.2　實現(xiàn)避免
4.5.3　轉(zhuǎn)移
4.5.4　緩解
4.5.5　災難恢復計劃
4.5.6　接受
4.6　選擇風險控制策略
4.6.1　風險控制的估計、評估及維護
4.6.2　控制的種類
4.6.3　可行性研究
4.6.4　其他可行性研究
4.7　風險管理的討論要點
4.7.1　風險的可接受程度
4.7.2　殘留風險
4.8　驗證結(jié)果
4.9　推薦的控制風險實踐
4.9.1　定量評估
4.9.2　Delphi技術
4.10　本章小結(jié)
4.11　復習題
4.12　練習
4.13　案例練習
第5章　安全規(guī)劃
5.1　引言
5.2　信息安全政策、標準及實踐
5.2.1　定義
5.2.2　企業(yè)信息安全政策
5.2.3　特定問題安全政策
5.2.4　特定系統(tǒng)政策(SysSP)
5.2.5　政策管理
5.2.6　信息的分類
5.3　信息安全藍本
5.3.1　ISO 17799/BS 7799
5.3.2　NIST安全模式
5.3.3　IETF安全結(jié)構(gòu)
5.3.4　VISA國際安全模式
5.3.5　基線和最佳業(yè)務實踐
5.3.6　信息安全系統(tǒng)藍本的混合結(jié)構(gòu)
5.3.7　安全體系的設計
5.4　安全教育、培訓和認識計劃
5.4.1　安全教育
5.4.2　安全培訓
5.4.3　安全意識
5.5　持續(xù)性策略
5.5.1　業(yè)務影響分析
5.5.2　事故響應計劃
5.5.3　災難恢復計劃
5.5.4　業(yè)務持續(xù)性計劃
5.5.5　統(tǒng)一的應急計劃模型
5.5.6　相關法律的實施
5.6　本章小結(jié)
5.7　復習題
5.8　練習
5.9　案例練習
第6章　安全技術：防火墻和VPN
6.1　引言
6.2　物理設計
6.3　防火墻
6.3.1　防火墻的分類方法
6.3.2　防火墻體系結(jié)構(gòu)
6.3.3　選擇正確的防火墻
6.3.4　配置和管理防火墻
6.3.5　內(nèi)容過濾器
6.4　保護遠程連接
6.4.1　撥號
6.4.2　虛擬專用網(wǎng)絡
6.5　本章小結(jié)
6.6　復習題
6.7　練習
6.8　案例練習
第7章　安全技術：入侵檢測、訪問控制和其他安全工具
7.1　引言
7.2　入侵檢測系統(tǒng)(IDS)
7.2.1　IDS術語
7.2.2　使用IDS的原因
7.2.3　IDS的類型和檢測方法
7.2.4　IDS響應行為
7.2.5　選擇IDS方法和產(chǎn)品
7.2.6　IDS的優(yōu)缺點
7.2.7　IDS的部署和實現(xiàn)
7.2.8　評估IDS的效果
7.3　蜜罐、蜜網(wǎng)和填充單元系統(tǒng)
7.3.1　誘捕和跟蹤系統(tǒng)
7.3.2　積極阻止入侵
7.4　瀏覽和分析工具
7.4.1　端口掃瞄儀
7.4.2　防火墻分析工具
7.4.3　操作系統(tǒng)檢測工具
7.4.4　漏洞掃瞄儀
7.4.5　包嗅探器
7.4.6　無線安全工具
7.5　訪問控制設備
7.5.1　身份驗證
7.5.2　生物測定學的有效性
7.5.3　生物測定學的可接受性
7.6　本章小結(jié)
7.7　復習題
7.8　練習
7.9　案例練習
第8章　密碼學
8.1　引言
8.2　密碼簡史
8.3　密碼系統(tǒng)的原則
8.3.1　基本的加密定義
8.3.2　加密方法
8.3.3　加密系統(tǒng)的元素
8.3.4　加密密鑰的長度
8.3.5　密碼原則的總結(jié)
8.4　加密工具
8.4.1　公鑰基礎結(jié)構(gòu)
8.4.2　數(shù)字簽名
8.4.3　數(shù)字證書
8.4.4　混合加密系統(tǒng)
8.4.5　密碼術
8.5　安全通信協(xié)議
8.5.1　用S-HTTP和SSL保護Internet通信
8.5.2　使用S/MIME、PEM和PGP保護電子郵件
8.5.3　使用SET、SSL和S-HTTP保護Web事務
8.5.4　用IPSec和PGP保護TCP/IP
8.6　密碼系統(tǒng)的攻擊
8.6.1　中間人攻擊
8.6.2　相關性攻擊
8.6.3　字典式攻擊
8.6.4　定時攻擊
8.6.5　防御攻擊
8.7　本章小結(jié)
8.8　復習題
8.9　練習
8.10　案例分析
第9章　物理安全
9.1　引言
9.2　物理訪問控制
9.3　防火安全
9.4　支持設備發(fā)生故障和建筑物倒塌
9.4.1　取暖、通風和空調(diào)
9.4.2　電力管理和調(diào)整
9.4.3　水問題
9.4.4　建筑物的倒塌
9.4.5　設施系統(tǒng)的維護
9.5　數(shù)據(jù)的偵聽
9.6　可移動和便攜系統(tǒng)
9.7　物理安全威脅的特殊考慮
9.8　本章小結(jié)
9.9　復習題
9.10　練習
9.11　案例練習
第10章　實現(xiàn)信息安全
10.1　引言
10.2　信息安全的項目管理
10.2.1　制定項目計劃
10.2.2　項目計劃的考慮
10.2.3　范圍考慮
10.2.4　項目管理需求
10.3　實現(xiàn)的技術主題
10.3.1　轉(zhuǎn)換策略
10.3.2　信息安全項目計劃的靶心模型
10.3.3　外購還是自行開發(fā)
10.3.4　技術監(jiān)督和改進控制
10.4　實現(xiàn)的非技術方面
10.4.1　改進管理的文化氛圍
10.4.2　機構(gòu)改進的考慮
10.5　本章小結(jié)
10.6　復習題
10.7　練習
10.8　案例練習
第11章　安全和人員
11.1　引言
11.2　確定安全部門的人員配備
11.3　信息安全專業(yè)人員的認證
11.3.1　認證信息系統(tǒng)安全專業(yè)人員(CISSP)和系統(tǒng)安全認證從業(yè)者(SSCP)
11.3.2　認證信息系統(tǒng)審計員(CISA)和認證信息系統(tǒng)經(jīng)理(CISM)
11.3.3　全球信息保險認證(GIAC)
11.3.4　安全認證專業(yè)人員(SCP)
11.3.5　TruSecure ICSA認證安全聯(lián)合(TICSA)
11.3.6　Security+
11.3.7　認證信息系統(tǒng)辯論調(diào)查員
11.3.8　相關認證
11.3.9　獲得認證的費用
11.3.10　給信息安全專業(yè)人員的建議
11.4　招聘政策和實踐
11.4.1　工作描述
11.4.2　面試
11.4.3　背景檢查
11.4.4　聘用合同
11.4.5　新員工的定位
11.4.6　工作期間的安全培訓
11.4.7　業(yè)績評估
11.4.8　解聘
11.5　非員工的安全考慮
11.5.1　臨時工
11.5.2　合同工
11.5.3　顧問
11.5.4　業(yè)務伙伴
11.6　責任的分離和共謀
11.7　人員數(shù)據(jù)的秘密性和安全
11.8　本章小結(jié)
11.9　復習題
11.10　練習
11.11　案例練習
第12章　信息安全維護
12.1　引言
12.2　安全管理模式
12.3　維護模式
12.3.1　監(jiān)控外部環(huán)境
12.3.2　監(jiān)控內(nèi)部環(huán)境
12.3.3　規(guī)劃與風險評估
12.3.4　漏洞評估和補救
12.3.5　備用狀態(tài)與審查
12.4　本章小節(jié)
12.5　復習題
12.6　練習
12.7　案例練習
術語表