信息安全完全參考手冊（第2版）

第I部分 概述
第1章 信息安全概述
1.1 信息保護的重要性
1.2 信息安全的演變
1.3 合理的安全投資
1.3.1 業(yè)務靈活性
1.3.2 降低成本
1.3.3 可移植性
1.4 安全方法論
1.5 如何建立一個安全計劃
1.5.1 授權
1.5.2 框架
1.5.3 評估
1.5.4 規(guī)劃
1.5.5 實施
1.5.6 維護
1.6 不可能的工作
1.7 最薄弱的環(huán)節(jié)
1.8 戰(zhàn)略與戰(zhàn)術
1.9 業(yè)務流程與技術控制
1.10 本章小結
1.11 參考文獻
第2章 風險分析
2.1 風險定義
2.1.1 入侵載體
2.1.2 威脅源和目標
2.2 攻擊的種類
2.2.1 惡意移動代碼
2.2.2 高級持續(xù)性滲透攻擊(APT)
2.2.3 手動攻擊
2.3 風險分析
2.4 本章小結
2.5 參考文獻
第3章 遵循標準、法規(guī)和法律
3.1 信息安全標準
3.1.1 信息及相關技術控制目標(COBIT)
3.1.2 國際標準化組織(ISO) 27000系列
3.1.3 美國國家標準與技術研究院(NIST)
3.2 影響信息安全專家的法規(guī)
3.2.1 注意義務
3.2.2 Gramm-Leach-Bliley法案
(GLBA)
3.2.3 Sarbanes-Oxley法案
3.2.4 HIPAA隱私和安全規(guī)則
3.2.5 北美電力可靠性公司關鍵基礎設施保護(NERC CIP)
3.2.6 PCI DSS：支付卡行業(yè)數據安全標準
3.3 影響信息安全專家的法律
3.3.1 黑客法律
3.3.2 電子通信法律
3.3.3 其他實質性法律
3.4 本章小結
3.5 參考文獻
第4章 安全設計原則
4.1 CIA三元組和其他模型
4.1.1 機密性
4.1.2 完整性
4.1.3 可用性
4.1.4 其他概念
4.2 防御模型
4.2.1 棒棒糖模型
4.2.2 洋蔥模型
4.3 可信區(qū)域
4.4 網絡防御的最佳實踐
4.4.1 安全的物理環(huán)境
4.4.2 密碼保護啟動
4.4.3 密碼保護CMOS
4.4.4 禁止USB和CD引導
4.4.5 加固操作系統(tǒng)
4.4.6 保持補丁更新
4.4.7 使用防病毒掃描程序(實時掃描)
4.4.8 使用防火墻軟件
4.4.9 安全的網絡共享權限
4.4.10 使用加密
4.4.11 保護應用程序
4.4.12 系統(tǒng)備份
4.4.13 實施ARP中毒防御
4.4.14 建立計算機安全防御計劃
4.5 本章小結
4.6 參考文獻
第5章 安全策略、標準、流程和指南
5.1 安全策略
5.1.1 安全策略制定
5.1.2 安全策略參與者
5.1.3 安全策略閱讀對象
5.1.4 策略種類
5.1.5 框架
5.1.6 安全意識
5.1.7 安全意識的重要性
5.1.8 意識計劃的目標
5.1.9 提高效率
5.1.10 實施意識計劃
5.1.11 執(zhí)行
5.1.12 對供應商執(zhí)行的策略
5.1.13 對員工執(zhí)行的策略
5.1.14 基于軟件的執(zhí)行
5.1.15 安全策略主題示例
5.1.16 可接受的使用策略
5.1.17 計算機策略
5.1.18 網絡策略
5.1.19 數據隱私策略
5.1.20 數據完整性策略
5.1.21 人事管理策略
5.1.22 安全管理策略
5.1.23 物理安全策略
5.2 安全標準
5.3 安全流程
5.4 安全指南
5.5 持續(xù)維護
5.6 本章小結
5.7 參考文獻
第6章 安全組織
6.1 角色和職責
6.1.1 安全職位
6.1.2 安全事件響應小組
....