《信息安全原理(第2版)》 - 清华大学出版社第五事业部

目    录

第1章  信息安全简介	1
1.1  引言	2
1.2  信息安全发展史	2
1.2.1  20世纪60年代	3
1.2.2  20世纪70年代和80年代	4
1.2.3  20世纪90年代	6
1.2.4  现在	6
1.3  安全的概念	6
1.4  信息的重要特性	7
1.4.1  可用性	7
1.4.2  精确性	8
1.4.3  真实性	8
1.4.4  机密性	8
1.4.5  完整性	9
1.4.6  效用性	10
1.4.7  所有性	10
1.5  NSTISSC安全模型	10
1.6  信息系统的组件	11
1.6.1  软件	11
1.6.2  硬件	11
1.6.3  数据	12
1.6.4  人员	12
1.6.5  过程	12
1.6.6  网络	12
1.7  保护IS组件的安全	13
1.8  平衡信息的安全和访问权	13
1.9  实现信息安全的方法	14
1.10  系统开发生命周期	15
1.10.1  方法学	15
1.10.2  阶段	15
1.10.3  调研	16
1.10.4  分析	16
1.10.5  逻辑设计	16
1.10.6  物理设计	16
1.10.7  实现	17
1.10.8  维护和修改	17
1.11  安全系统开发生命周期	17
1.11.1  调研	17
1.11.2  分析	17
1.11.3  逻辑设计	17
1.11.4  物理设计	18
1.11.5  实现	18
1.11.6  维护和修改	18
1.12  安全专业人士和机构	19
1.12.1  高级管理者	20
1.12.2  信息安全项目小组	20
1.12.3  数据所有人	20
1.13  利益团体	21
1.13.1  信息安全管理和专业人士	21
1.13.2  信息技术管理和专业人士	21
1.13.3  机构管理和专业人士	21
1.14  信息安全：是一门艺术
还是一门科学	21
1.14.1  作为艺术的安全	22
1.14.2  作为科学的安全	22
1.14.3  作为社会科学的安全	22
1.15  信息安全的术语	22
1.16  本章小结	24
1.17  复习题	24
1.18  练习	25
1.19  案例练习	25
第2章  安全需求	27
2.1  引言	28
2.2  业务需求在前，技术在后	28
2.2.1  保护机构运转的能力	28
2.2.2  实现应用程序的安全操作	28
2.2.3  保护机构收集和使用的数据	29
2.2.4  保护机构的技术资产	29
2.3  威胁	29
2.3.1  人为过失或失败的行为	30
2.3.2  知识产权的损害	31
2.3.3  间谍或者蓄意入侵行为	32
2.3.4  信息敲诈蓄意行为	37
2.3.5  蓄意破坏行为	37
2.3.6  蓄意窃取行为	39
2.3.7  蓄意软件攻击	39
2.3.8  自然灾害	43
2.3.9  服务质量差	44
2.3.10  技术硬件故障或者错误	45
2.3.11  技术软件故障或者错误	46
2.3.12  技术淘汰	46
2.4  攻击	46
2.4.1  恶意代码	47
2.4.2  恶作剧	47
2.4.3  后门	47
2.4.4  密码破解	48
2.4.5  暴力	48
2.4.6  词典方式	48
2.4.7  拒绝服务(DoS)及分布式
拒绝服务(DDoS)	48
2.4.8  欺骗	49
2.4.9  中间人	50
2.4.10  垃圾邮件	50
2.4.11  邮件炸弹	50
2.4.12  嗅探器	51
2.4.13  社会工程	51
2.4.14  缓冲区溢出	52
2.4.15  定时攻击	52
2.5  本章小结	52
2.6  复习题	54
2.7  练习	54
2.8  案例练习	55
第3章  信息安全中的法律、道德
以及专业人员问题	59
3.1  引言	59
3.2  信息安全的法律及道德	60
3.3  法律的类型	60
3.4  美国相关法律	60
3.4.1  一般计算机犯罪法	61
3.4.2  隐私	61
3.4.3  出口及间谍法	64
3.4.4  美国版权法	65
3.4.5  财务报表	65
3.4.6  1966年的信息自由法(FOIA)	65
3.4.7  州和本地法规	65
3.5  国际法及法律主体	66
3.5.1  欧洲计算机犯罪委员会条例	67
3.5.2  数字时代版权法	68
3.5.3  联合国宪章	68
3.6  政策与法律	69
3.7  道德和信息安全	69
3.7.1  不同文化中的道德差异	70
3.7.2  软件许可侵犯	70
3.7.3  违法使用	71
3.7.4  公司资源的滥用	71
3.7.5  道德和教育	74
3.7.6  不道德及违法行为的防范措施	74
3.8  道德规范和专业机构	75
3.8.1  IT的主要专业机构	76
3.8.2  其他安全机构	76
3.8.3  美国主要联邦机构	77
3.9  机构的责任和忠告	80
3.10  本章小结	80
3.11  复习题	81
3.12  练习	81
3.13  案例练习	82
第4章  风险管理	84
4.1  引言	85
4.2  风险管理概述	86
4.2.1  知己	86
4.2.2  知彼	86
4.2.3  利益团体的作用	86
4.3  风险识别	87
4.3.1  资产识别和评估	87
4.3.2  自动化风险管理工具	91
4.3.3  信息资产分类	91
4.3.4  信息资产评估	91
4.3.5  按照重要性列出资产	93
4.3.6  数据的分类及管理	93
4.3.7  安全调查	95
4.3.8  分类数据的管理	95
4.3.9  威胁识别	95
4.3.10  识别威胁及威胁代理，并区
分其优先次序	96
4.3.11  漏洞识别	99
4.4  风险评估	100
4.4.1  风险评估概述	100
4.4.2  可能性	101
4.4.3  信息资产评估	101
4.4.4  风险的确定	102
4.4.5  识别可能的控制	102
4.4.6  访问控制	103
4.4.7  记录风险评估的结果	103
4.5  风险控制策略	105
4.5.1  避免	105
4.5.2  实现避免	106
4.5.3  转移	107
4.5.4  缓解	108
4.5.5  灾难恢复计划	108
4.5.6  接受	109
4.6  选择风险控制策略	110
4.6.1  风险控制的估计、评估及维护	111
4.6.2  控制的种类	111
4.6.3  可行性研究	113
4.6.4  其他可行性研究	121
4.7  风险管理的讨论要点	122
4.7.1  风险的可接受程度	122
4.7.2  残留风险	123
4.8  验证结果	123
4.9  推荐的控制风险实践	124
4.9.1  定量评估	125
4.9.2  Delphi技术	125
4.10  本章小结	125
4.11  复习题	126
4.12  练习	126
4.13  案例练习	128
第5章  安全规划	130
5.1  引言	130
5.2  信息安全政策、标准及实践	131
5.2.1  定义	132
5.2.2  企业信息安全政策	133
5.2.3  特定问题安全政策	133
5.2.4  特定系统政策(SysSP)	136
5.2.5  政策管理	139
5.2.6  信息的分类	140
5.3  信息安全蓝本	141
5.3.1  ISO 17799/BS 7799	141
5.3.2  NIST安全模式	143
5.3.3  IETF安全结构	148
5.3.4  VISA国际安全模式	148
5.3.5  基线和最佳业务实践	149
5.3.6  信息安全系统蓝本的混合结构	149
5.3.7  安全体系的设计	152
5.4  安全教育、培训和认识计划	155
5.4.1  安全教育	156
5.4.2  安全培训	156
5.4.3  安全意识	156
5.5  持续性策略	157
5.5.1  业务影响分析	159
5.5.2  事故响应计划	161
5.5.3  灾难恢复计划	171
5.5.4  业务持续性计划	173
5.5.5  统一的应急计划模型	175
5.5.6  相关法律的实施	176
5.6  本章小结	178
5.7  复习题	178
5.8  练习	179
5.9  案例练习	180
第6章  安全技术：防火墙和VPN	182
6.1  引言	182
6.2  物理设计	183
6.3  防火墙	183
6.3.1  防火墙的分类方法	183
6.3.2  防火墙体系结构	193
6.3.3  选择正确的防火墙	196
6.3.4  配置和管理防火墙	197
6.3.5  内容过滤器	203
6.4  保护远程连接	204
6.4.1  拨号	204
6.4.2  虚拟专用网络	207
6.5  本章小结	210
6.6  复习题	210
6.7  练习	211
6.8  案例练习	211
第7章  安全技术：入侵检测、访问
    控制和其他安全工具	213
7.1  引言	214
7.2  入侵检测系统(IDS)	215
7.2.1  IDS术语	215
7.2.2  使用IDS的原因	216
7.2.3  IDS的类型和检测方法	217
7.2.4  IDS响应行为	224
7.2.5  选择IDS方法和产品	227
7.2.6  IDS的优缺点	230
7.2.7  IDS的部署和实现	231
7.2.8  评估IDS的效果	236
7.3  蜜罐、蜜网和填充单元系统	237
7.3.1  诱捕和跟踪系统	238
7.3.2  积极阻止入侵	239
7.4  浏览和分析工具	239
7.4.1  端口扫瞄仪	241
7.4.2  防火墙分析工具	242
7.4.3  操作系统检测工具	243
7.4.4  漏洞扫瞄仪	243
7.4.5  包嗅探器	247
7.4.6  无线安全工具	248
7.5  访问控制设备	249
7.5.1  身份验证	250
7.5.2  生物测定学的有效性	252
7.5.3  生物测定学的可接受性	252
7.6  本章小结	253
7.7  复习题	253
7.8  练习	254
7.9  案例练习	254
第8章  密码学	257
8.1  引言	258
8.2  密码简史	258
8.3  密码系统的原则	260
8.3.1  基本的加密定义	260
8.3.2  加密方法	261
8.3.3  加密系统的元素	261
8.3.4  加密密钥的长度	275
8.3.5  密码原则的总结	277
8.4  加密工具	277
8.4.1  公钥基础结构	277
8.4.2  数字签名	278
8.4.3  数字证书	279
8.4.4  混合加密系统	281
8.4.5  密码术	281
8.5  安全通信协议	282
8.5.1  用S-HTTP和SSL保护
Internet通信	283
8.5.2  使用S/MIME、PEM和PGP
保护电子邮件	283
8.5.3  使用SET、SSL和S-HTTP
保护Web事务	284
8.5.4  用IPSec和PGP保护TCP/IP	285
8.6  密码系统的攻击	287
8.6.1  中间人攻击	288
8.6.2  相关性攻击	288
8.6.3  字典式攻击	288
8.6.4  定时攻击	288
8.6.5  防御攻击	289
8.7  本章小结	289
8.8  复习题	290
8.9  练习	290
8.10  案例分析	291
第9章  物理安全	293
9.1  引言	294
9.2  物理访问控制	295
9.3  防火安全	301
9.4  支持设备发生故障和建筑物倒塌	307
9.4.1  取暖、通风和空调	307
9.4.2  电力管理和调整	309
9.4.3  水问题	312
9.4.4  建筑物的倒塌	312
9.4.5  设施系统的维护	312
9.5  数据的侦听	312
9.6  可移动和便携系统	313
9.7  物理安全威胁的特殊考虑	316
9.8  本章小结	316
9.9  复习题	317
9.10  练习	318
9.11  案例练习	319
第10章  实现信息安全	321
10.1  引言	322
10.2  信息安全的项目管理	323
10.2.1  制定项目计划	323
10.2.2  项目计划的考虑	327
10.2.3  范围考虑	329
10.2.4  项目管理需求	330
10.3  实现的技术主题	331
10.3.1  转换策略	331
10.3.2  信息安全项目计划的
靶心模型	332
10.3.3  外购还是自行开发	333
10.3.4  技术监督和改进控制	334
10.4  实现的非技术方面	334
10.4.1  改进管理的文化氛围	334
10.4.2  机构改进的考虑	334
10.5  本章小结	335
10.6  复习题	336
10.7  练习	337
10.8  案例练习	338
第11章  安全和人员	339
11.1  引言	340
11.2  确定安全部门的人员配备	340
11.3  信息安全专业人员的认证	346
11.3.1  认证信息系统安全专业
人员(CISSP)和系统安全认证
从业者(SSCP)	347
11.3.2  认证信息系统审计员
(CISA)和认证信息系统
经理(CISM)	348
11.3.3  全球信息保险认证(GIAC)	349
11.3.4  安全认证专业人员(SCP)	350
11.3.5  TruSecure ICSA认证
安全联合(TICSA)	350
11.3.6  Security+	351
11.3.7  认证信息系统辩论调查员	351
11.3.8  相关认证	352
11.3.9  获得认证的费用	352
11.3.10  给信息安全专业人员
的建议	353
11.4  招聘政策和实践	354
11.4.1  工作描述	355
11.4.2  面试	355
11.4.3  背景检查	355
11.4.4  聘用合同	356
11.4.5  新员工的定位	356
11.4.6  工作期间的安全培训	356
11.4.7  业绩评估	357
11.4.8  解聘	357
11.5  非员工的安全考虑	359
11.5.1  临时工	359
11.5.2  合同工	359
11.5.3  顾问	359
11.5.4  业务伙伴	360
11.6  责任的分离和共谋	360
11.7  人员数据的秘密性和安全	361
11.8  本章小结	362
11.9  复习题	363
11.10  练习	364
11.11  案例练习	364
第12章  信息安全维护	366
12.1  引言	367
12.2  安全管理模式	368
12.3  维护模式	374
12.3.1  监控外部环境	375
12.3.2  监控内部环境	378
12.3.3  规划与风险评估	381
12.3.4  漏洞评估和补救	386
12.3.5  备用状态与审查	392
12.4  本章小节	393
12.5  复习题	394
12.6  练习	394
12.7  案例练习	395
术语表	397