信息安全完全參考手冊（第2版）

第I部分 概述
第1章 信息安全概述
1.1 信息保護的重要性
1.2 信息安全的演變
1.3 合理的安全投資
1.3.1 業(yè)務(wù)靈活性
1.3.2 降低成本
1.3.3 可移植性
1.4 安全方法論
1.5 如何建立一個安全計劃
1.5.1 授權(quán)
1.5.2 框架
1.5.3 評估
1.5.4 規(guī)劃
1.5.5 實施
1.5.6 維護
1.6 不可能的工作
1.7 最薄弱的環(huán)節(jié)
1.8 戰(zhàn)略與戰(zhàn)術(shù)
1.9 業(yè)務(wù)流程與技術(shù)控制
1.10 本章小結(jié)
1.11 參考文獻
第2章 風(fēng)險分析
2.1 風(fēng)險定義
2.1.1 入侵載體
2.1.2 威脅源和目標(biāo)
2.2 攻擊的種類
2.2.1 惡意移動代碼
2.2.2 高級持續(xù)性滲透攻擊(APT)
2.2.3 手動攻擊
2.3 風(fēng)險分析
2.4 本章小結(jié)
2.5 參考文獻
第3章 遵循標(biāo)準(zhǔn)、法規(guī)和法律
3.1 信息安全標(biāo)準(zhǔn)
3.1.1 信息及相關(guān)技術(shù)控制目標(biāo)(COBIT)
3.1.2 國際標(biāo)準(zhǔn)化組織(ISO) 27000系列
3.1.3 美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)
3.2 影響信息安全專家的法規(guī)
3.2.1 注意義務(wù)
3.2.2 Gramm-Leach-Bliley法案
(GLBA)
3.2.3 Sarbanes-Oxley法案
3.2.4 HIPAA隱私和安全規(guī)則
3.2.5 北美電力可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護(NERC CIP)
3.2.6 PCI DSS：支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
3.3 影響信息安全專家的法律
3.3.1 黑客法律
3.3.2 電子通信法律
3.3.3 其他實質(zhì)性法律
3.4 本章小結(jié)
3.5 參考文獻
第4章 安全設(shè)計原則
4.1 CIA三元組和其他模型
4.1.1 機密性
4.1.2 完整性
4.1.3 可用性
4.1.4 其他概念
4.2 防御模型
4.2.1 棒棒糖模型
4.2.2 洋蔥模型
4.3 可信區(qū)域
4.4 網(wǎng)絡(luò)防御的最佳實踐
4.4.1 安全的物理環(huán)境
4.4.2 密碼保護啟動
4.4.3 密碼保護CMOS
4.4.4 禁止USB和CD引導(dǎo)
4.4.5 加固操作系統(tǒng)
4.4.6 保持補丁更新
4.4.7 使用防病毒掃描程序(實時掃描)
4.4.8 使用防火墻軟件
4.4.9 安全的網(wǎng)絡(luò)共享權(quán)限
4.4.10 使用加密
4.4.11 保護應(yīng)用程序
4.4.12 系統(tǒng)備份
4.4.13 實施ARP中毒防御
4.4.14 建立計算機安全防御計劃
4.5 本章小結(jié)
4.6 參考文獻
第5章 安全策略、標(biāo)準(zhǔn)、流程和指南
5.1 安全策略
5.1.1 安全策略制定
5.1.2 安全策略參與者
5.1.3 安全策略閱讀對象
5.1.4 策略種類
5.1.5 框架
5.1.6 安全意識
5.1.7 安全意識的重要性
5.1.8 意識計劃的目標(biāo)
5.1.9 提高效率
5.1.10 實施意識計劃
5.1.11 執(zhí)行
5.1.12 對供應(yīng)商執(zhí)行的策略
5.1.13 對員工執(zhí)行的策略
5.1.14 基于軟件的執(zhí)行
5.1.15 安全策略主題示例
5.1.16 可接受的使用策略
5.1.17 計算機策略
5.1.18 網(wǎng)絡(luò)策略
5.1.19 數(shù)據(jù)隱私策略
5.1.20 數(shù)據(jù)完整性策略
5.1.21 人事管理策略
5.1.22 安全管理策略
5.1.23 物理安全策略
5.2 安全標(biāo)準(zhǔn)
5.3 安全流程
5.4 安全指南
5.5 持續(xù)維護
5.6 本章小結(jié)
5.7 參考文獻
第6章 安全組織
6.1 角色和職責(zé)
6.1.1 安全職位
6.1.2 安全事件響應(yīng)小組
....