信息安全精要：從概念到安全性評估

譯者序
前言
關(guān)于作者
關(guān)于技術(shù)審校者
致謝
第1章　信息安全概述1
1.1　信息安全的定義1
1.2　何時安全2
1.3　討論安全問題的模型4
1.3.1　機密性、完整性和可用性三要素4
1.3.2　Parkerian六角模型6
1.4　攻擊7
1.4.1　攻擊類型7
1.4.2　威脅、漏洞和風(fēng)險9
1.4.3　風(fēng)險管理10
1.4.4　事件響應(yīng)14
1.5　縱深防御16
1.6　小結(jié)19
1.7　習(xí)題20
第2章　身份識別和身份驗證21
2.1　身份識別21
2.1.1　我們聲稱自己是誰22
2.1.2　身份證實22
2.1.3　偽造身份23
2.2　身份驗證23
2.2.1　因子23
2.2.2　多因子身份驗證25
2.2.3　雙向驗證25
2.3　常見身份識別和身份驗證方法26
2.3.1　密碼26
2.3.2　生物識別27
2.3.3　硬件令牌30
2.4　小結(jié)31
2.5　習(xí)題32
第3章　授權(quán)和訪問控制33
3.1　什么是訪問控制33
3.2　實施訪問控制35
3.2.1　訪問控制列表35
3.2.2　能力40
3.3　訪問控制模型40
3.3.1　自主訪問控制41
3.3.2　強制訪問控制41
3.3.3　基于規(guī)則的訪問控制41
3.3.4　基于角色的訪問控制42
3.3.5　基于屬性的訪問控制42
3.3.6　多級訪問控制43
3.4　物理訪問控制46
3.5　小結(jié)47
3.6　習(xí)題48
第4章　審計和問責(zé)49
4.1　問責(zé)50
4.2　問責(zé)的安全效益51
4.2.1　不可否認性51
4.2.2　威懾52
4.2.3　入侵檢測與防御52
4.2.4　記錄的可接受性52
4.3　審計53
4.3.1　審計對象53
4.3.2　日志記錄54
4.3.3　監(jiān)視55
4.3.4　審計與評估55
4.4　小結(jié)56
4.5　習(xí)題57
第5章　密碼學(xué)58
5.1　密碼學(xué)歷史58
5.1.1　凱撒密碼59
5.1.2　加密機59
5.1.3　柯克霍夫原則63
5.2　現(xiàn)代密碼工具64
5.2.1　關(guān)鍵字密碼和一次性密碼本64
5.2.2　對稱和非對稱密碼學(xué)66
5.2.3　散列函數(shù)69
5.2.4　數(shù)字簽名70
5.2.5　證書71
5.3　保護靜態(tài)、動態(tài)和使用中的數(shù)據(jù)72
5.3.1　保護靜態(tài)數(shù)據(jù)72
5.3.2　保護動態(tài)數(shù)據(jù)74
5.3.3　保護使用中的數(shù)據(jù)75
5.4　小結(jié)75
5.5　習(xí)題76
第6章　合規(guī)、法律和法規(guī)77
6.1　什么是合規(guī)77
6.1.1　合規(guī)類型78
6.1.2　不合規(guī)的后果78
6.2　用控制實現(xiàn)合規(guī)79
6.2.1　控制類型79
6.2.2　關(guān)鍵控制與補償控制80
6.3　保持合規(guī)80
6.4　法律與信息安全81
6.4.1　政府相關(guān)監(jiān)管合規(guī)81
6.4.2　特定行業(yè)法規(guī)合規(guī)83
6.4.3　美國以外的法律85
6.5　采用合規(guī)框架86
6.5.1　國際標準化組織86
6.5.2　美國國家標準與技術(shù)研究所86
6.5.3　自定義框架87
6.6　技術(shù)變革中的合規(guī)87
6.6.1　云中的合規(guī)88
6.6.2　區(qū)塊鏈合規(guī)90
6.6.3　加密貨幣合規(guī)90
6.7　小結(jié)91
6.8　習(xí)題91
第7章　運營安全92
7.1　運營安全流程92
7.1.1　關(guān)鍵信息識別93
7.1.2　威脅分析93
7.1.3　漏洞分析94
7.1.4　風(fēng)險評估94
7.1.5　對策應(yīng)用95
7.2　運營安全定律95
7.2.1　第一定律：知道這些威脅95
7.2.2　第二定律：知道要保護什么96
7.2.3　第三定律：保護信息96
7.3　個人生活中的運營安全97
7.4　運營安全起源98
7.4.1　孫子99
7.4.2　喬治·華盛頓99
7.4.3　越南戰(zhàn)爭100
7.4.4　商業(yè)100
7.4.5　機構(gòu)間OPSEC支援人員101
7.5　小結(jié)102
7.6　習(xí)題102
第8章　人因安全103
8.1　搜集信息實施社會工程學(xué)攻擊103
8.1.1　人力情報104
8.1.2　開源情報104
8.1.3　其他類型的情報109
8.2　社會工程學(xué)攻擊類型110
8.2.1　托詞110
8.2.2　釣魚攻擊110
8.2.3　尾隨111
8.3　通過安全培訓(xùn)計劃來培養(yǎng)安全意識112
8.3.1　密碼112
8.3.2　社會工程學(xué)培訓(xùn)113
8.3.3　網(wǎng)絡(luò)使用113
8.3.4　惡意軟件114
8.3.5　個人設(shè)備114
8.3.6　清潔桌面策略114
8.3.7　熟悉政策和法規(guī)知識114
8.4　小結(jié)115
8.5　習(xí)題115
第9章　物理安全117
9.1　識別物理威脅117
9.2　物理安全控制118
9.2.1　威懾控制118
9.2.2　檢測控制118
9.2.3　預(yù)防控制119
9.2.4　使用物理訪問控制120
9.3　人員防護120
9.3.1　人的物理問題120
9.3.2　確保安全121
9.3.3　疏散121
9.3.4　行政管控122
9.4　數(shù)據(jù)防護123
9.4.1　數(shù)據(jù)的物理問題123
9.4.2　數(shù)據(jù)的可訪問性124
9.4.3　殘留數(shù)據(jù)124
9.5　設(shè)備防護125
9.5.1　設(shè)備的物理問題125
9.5.2　選址126
9.5.3　訪問安全127
9.5.4　環(huán)境條件127
9.6　小結(jié)128
9.7　習(xí)題128
第10章　網(wǎng)絡(luò)安全129
10.1　網(wǎng)絡(luò)防護130
10.1.1　設(shè)計安全的網(wǎng)絡(luò)130
10.1.2　使用防火墻130
10.1.3　實現(xiàn)網(wǎng)絡(luò)入侵檢測系統(tǒng)133
10.2　網(wǎng)絡(luò)流量防護134
10.2.1　使用虛擬專