内 容 简 介本书详细介绍了信息安全领域的各方面内容,为每一位有志于成为商务决策人员的读者提供了全面的指导。作者借此次再版的机会,在真实的企业环境下讨论信息安全,包括目前专业人员面临的许多问题,还在每一章的“相关资料”中介绍了有趣的故事。本书从管理和技术两方面介绍了这一学科,并注重讲述了CISSP(认证信息系统安全专家)认证所需掌握的知识。其他主题包括信息安全中的法律和道德问题、网络和系统安全、密码学、信息安全维护等。
前 言 全球网络使世界各地的信息系统之间的互连变得越来越广泛,顺畅的通信和计算解决方案因而也变得更加重要,但诸如病毒、蠕虫攻击以及各种犯罪攻击事件的频繁出现,说明当前的信息技术十分薄弱,需要加强对这些系统的安全保护。 目前,各种机构对保护重要信息资产的需求正在不断增长。为了保护已有的系统和网络,企业必须招收一定数量的信息安全专业人员。企业还期望具有丰富经验和技巧的下一代专业人士能开发出更加安全的计算环境,参与和管理肯定会出现的、复杂的信息安全问题。为此,技术类的学生需要在大学教师的指导下,学习更高深的内容以及相关的技术材料,认识已有系统中存在的漏洞和薄弱部分,学习设计并开发将来所需的安全系统。 本书是一本阐述信息安全原理的优秀教材。目前有许多面向从业人员的、关于信息安全和保障的优秀出版物,但缺乏一本针对学生的、均衡地介绍安全管理和安全技术的教材。我们希望创作一本专门面向信息安全专业学生的教材来填补此空白。本书还解决了如何把信息安全作为一门学科来学习的问题。在开拓信息安全领域的过程中,人们发现,其他学科的学生和从业人员也需要学习本课程,例如信息系统、犯罪立法、政治学、会计信息系统等。这些领域未来的从业人员必须理解信息安全的基本原理,因为安全问题很可能影响他们的行业。因此,本书的基本原则为:现代机构内的信息安全是一个需要管理层来解决的问题,而不是仅通过技术就可解决的问题。换言之,机构的信息安全具有重要的经济效益,并对管理效果产生一定的影响。 0.1 方法 本书全面介绍了信息安全的整个领域,其中包括许多相关元素的背景,以及理解该领域所需的足够细节。本书包含了该学科的术语、简史,并概述了信息安全计划的管理模式。 下面是本书研究信息安全的一些特点: 信息系统安全专业人员资格认证的公共知识体系—— 因为本书作者是经过认证的信息系统安全专业人员(CISSP),CISSP的知识对本书的设计有一定的影响。虽然本书尽量避免成为一本CISSP学习指南类的书,但作者的背景导致了本书在介绍信息安全的知识时,在某种程度上结合了许多CISSP公共知识体系(CBK)。 章首场景—— 每章的开头都是一个小故事,讲述一个虚拟公司遇到某类现实世界常见的信息安全问题。每一章的最后都会简要复述这个小故事,并提出一些问题,让学生和老师讨论故事内容所隐含的根本问题。 相关资料和技术细节部分—— 这部分内容穿插在整本书中,重点讲述一些有趣的主题和详细的技术问题,让学生更深入地了解各种信息安全主题。 强化学习—— 在每章结尾提供了该章的小结、复习题和练习。这些内容便于学生在课堂外复习信息安全的内容。这些练习要求学生研究、分析和记录问题的答案,以巩固学习目标,并加深对本章内容的理解。 第2版中的改动—— 第2版更流畅地论述了安全系统开发生命周期,并大大加强了有关安全技术的章节。另外,还修改了下述内容: ● 把技术控制的内容扩展为三章,其中包含防火墙、VPN(虚拟专用网)、入侵检测系统、密码系统、漏洞检测工具等。 ● 把风险管理列为单独的一章,提供了解决该问题的一种更简明的方法,它是信息安全领域的核心。 ● 把规划(包括安全计划蓝图、一般规划)、事故响应、灾难恢复和业务持续性计划合并为单独的一章,论述了这些复杂而相互关联的主题。 一般情况下,第2版的这些变化会使全书的内容更有条理,满足以信息安全学科为基础的课程的一般要求。这些变化还更新了许多主题的陈旧内容,确保本书的内容足以应对信息安全中各种不同的要素。 0.2 作者团队 本书由Michael Whitman和Herbert Mattord联合创作,结合了本研究领域内的理论知识以及商界的实际经验。 Michael Whitman博士,是经过认证的信息系统安全专业人员,是乔治亚州Kennesaw州立大学计算机科学和信息系统系的教授,他还是该大学信息系统专业的硕士生导师,以及信息安全教育的KSU中心(infosec.Kennesaw.edu)的导师。Whitman博士的主要研究领域有信息安全、公平可靠地使用策略、计算道德准则和信息系统研究方法等。目前他讲授信息安全、局域网和数据通信等大学课程和研究生课程。他还在其领域的顶级刊物“Information Systems Research”、“Communications of the ACM”、“Information and Management”、“Journal of International Business Studies”和“Journal of Computer Information Systems”等发表了一些文章。他是信息系统安全学会、计算机安全研究所、防火墙委员会、计算机学会和信息系统学会的成员, Whitman博士还与他人合著了Management of Information Security、Readings and Cases in the Management of Information Security和The Hands-On Information Security Lab Manual,这些图书都由Course Technology出版社出版。在Whitman博士开始其学术生涯之前,他是一名美军的装甲骑兵队军官。 Herbert Mattord是工商管理学硕士和CISSP。他曾经做过应用程序开发人员、数据库管理员、项目经理和信息安全专业人员。他在结束了24年的IT职业生涯之后,于2002年进入Kennesaw州立大学。Mattord教授是信息安全教育的KSU中心(infosec.Kennesaw.edu)的业务经理、信息安全与推广中心内的计算机科学与信息系统认证KSU部门的协调员。在IT从业期间,他已经是Kennesaw州立大学、乔治亚州玛丽埃塔市Southern Polytechnic州立大学、得克萨斯州奥斯丁市Austin Community大学以及得克萨斯州圣马科斯市Southwest Texas州立大学的副教授。目前他讲授信息安全、数据通信、局域网、数据库技术、项目管理、系统分析和设计以及信息资源管理与策略等课程。他曾是Georgia-Pacific公司信息技术安全联合部的经理。本书包含了他的诸多实践知识。Mattord教授还与其他人合著了Management of Information Security、Readings and Cases in the Management of Information Security和The Hands-On Information Security Lab Manual,这些图书都由Course Technology出版社出版。 0.3 本书结构 本书的结构遵循一种称为安全系统软件开发生命周期(或SecSDLC)的模式。这个结构化方法可用于在几乎没有正式信息安全措施的企业中实现信息安全,也可以帮助改进已有的信息安全计划。SecSDLC提供了坚实的基础架构,非常类似于在应用程序开发、软件工程、传统的系统分析与设计以及联网工程中使用的架构。本书使用这个结构化方法,提供了一条不超越主题的主线,此主线可指导教师和学生对信息安全领域的各个方面进行详细研究。为此,将本书分为7个部分、12章。 第I部分—— 简介 第1章—— 信息安全简介 开篇章节讲述了理解信息安全各领域的基础内容。本部分定义关键术语,解释基本概念,并概述此领域的起源。 第II部分—— 安全调研阶段 第2章—— 安全需求 本章介绍商界对信息安全越来越感兴趣的原因。本章介绍了现代企业在信息安全领域的需求,强调并构建了第1章介绍的概念。一个原理性概念是:信息安全主要是一个管理问题,而不是技术问题。换言之,信息安全领域中的最佳实践过程是在考虑了商务需求后,才应用具体的技术。 本章还介绍了企业面临的各种威胁,并给出对这些威胁进行分级的过程,以便在企业开始进行安全计划时利用相应的优先级。本章继续讲解上述威胁可能导致的各种攻击,以及它们对机构的信息系统产生的影响。本章结束部分进一步讨论了信息安全的重要原理,其中一些在第1章已经介绍过,如机密性、完整性、可用性、身份验证和标识、授权、责任和私密性。 第3章—— 信息安全中的法律、道德以及专业人员问题 除了SecSDLC调研过程的基本部分之外,本章对国家和国际条款中的现有法律、规章和公共道德进行了详细介绍,深刻阐述了商业交往中所遵循的规范。本章介绍了信息安全领域的几个重要法律,并详细描述了实现安全的人员必须遵守的计算机道德。不懂法律不是借口,但忽视法律(懂法但不守法)更危险。本章也介绍了现今企业中经常出现的几个法律和道德问题,以及可提升道德和法律责任的正规专业机构。 第III部分—— 安全分析 第4章—— 风险管理 在开始设计一个新的信息安全方案前,信息安全分析人员必须首先要理解企业的当前状况以及它和信息安全的关系。企业目前有正规的信息安全机制吗?它们的效率如何?企业给安全管理人员和终端用户发布了什么策略和过程?本章描述了标识威胁和资产,并评定其优先级的过程,以及标识当前可用于保护这些资产免受威胁的控制措施的过程,进而介绍了实施基本的信息安全评估的方式。本章还讨论了各种可利用的控制机制类型,并指明进行最初风险评估所涉及的步骤。本章把风险管理定义为识别、评估风险,并将其降低至可接受的程度、实现有效的控制措施以维持此风险级别的过程。最后讨论了风险分析和各种可行性分析。 第IV部分—— 逻辑设计 第5章—— 安全的规划 本章给出了许多被广泛接受的安全模型和基础框架,还介绍了最佳商务实践方案以及合理注意、谨慎处理的标准,并扼要介绍了安全策略的开发。本章详细描述了安全策略每一层次的主要组成内容、范围和目标对象,还解释了军队和私人的数据分类模式以及安全教育培训和意识(SETA)计划。本章论述了支持业务持续、灾难恢复和事故响应的规划过程,描述了在发生事故时机构的作用,以及机构需要外部法律执行部门的时机。 第V部分—— 物理设计 本部分的内容为信息系统专业的学生介绍信息安全领域中使用的技术控制。如果读者不熟悉联网技术和TCP/IP协议,可能会觉得第6、7和8章的内容比较难理解。如果读者不具备网络协议的基础知识,在学习本部分的内容之前,应先学习联网教材中有关TCP/IP协议的一两章内容。 第6章—— 安全技术:防火墙和VPN 本章详细论述了如何配置和使用把企业和不安全的Internet隔离开来的技术。本章包含防火墙技术的许多定义和分类,以及可以部署防火墙的体系结构。接着讨论了与防火墙的正确配置和使用相关的规则。本章还阐述了远程拨号服务,以及为仍使用这种旧式技术的企业保护该访问点所必须的安全预防措施。之后介绍了过滤内容的能力和注意事项。最后讨论了通过虚拟专用网为授权用户提供远程访问权的技术。 第7章—— 安全技术:入侵检测、访问控制和其他安全工具 本章继续讨论安全技术,介绍入侵的概念,防止、检测、响应入侵和恢复到入侵前的状态的技术。阐述了入侵检测系统(IDS)的特定类型:主机IDS、网络IDS和应用IDS及相应的配置和用法。本章继续论述专门的检测技术,将攻击者诱入诱骗系统(因而远离重要的系统),或简单地把攻击者的入口指向这些诱骗的区域,这些区域称为蜜罐、蜜网或填充单元系统。本章还介绍跟踪系统,跟踪被诱入诱骗系统的攻击者的真实地址。之后详细论述重要的安全工具,信息安全专家可以使用这些工具检查企业系统的当前状态,标识出系统中已有的潜在薄弱区域或企业的整体安全态势中存在的潜在薄弱区域。最后讨论现代操作系统中广泛部署的访问控制设备,以及生物测定学中的新技术,对已有的实现方案提供强有力的身份验证。 第8章—— 密码学 本章详细介绍了现代密码系统的基础知识、体系结构和实现方案。本章首先概述了现代密码系统的历史,在该历史中有重要作用的各种密码,还论述了组成密码系统的一些数学技术,包括散列函数。接着,比较传统的对称加密系统和现代的非对称加密系统,非对称系统是公共密钥加密系统的基础。然后,本章概述在安全通信中使用的、基于加密技术的协议,包括SHTTP、SMIME、SET、SSH和其他几个协议。之后讨论隐写术,这是一个新兴的技术,是隐藏信息的一种有效方式。最后讨论信息安全中专门针对加密系统的攻击。 第9章—— 物理安全 物理安全是信息安全过程中的一个重要环节,关注的是物理设施的管理,物理访问控制的实现以及环境控制的监督。本章讲解了现代企业在面对各种物理安全威胁时应特别注意的事项:设计一个安全的数据中心,评估警卫和看门狗的相对价值,分析火灾抑制和电力调节的技术问题等。 第VI部分—— 实现方案 第10章—— 实现安全 前面的章节介绍了企业设计信息安全计划的规则,本章介绍实现该设计所需的重要元素。本章主要实现了信息安全的靶心模型,讨论了企业是否应外购信息安全计划中的各种组件。此外,还讨论了变动的管理,程序的改进和业务持续性工作的额外计划等内容。 第11章—— 安全和人员 实现阶段的下一领域解决的是人员问题。本章介绍了人员的两个方面:安全人员和人员的安全。具体内容有:人员问题、专业人员安全证书以及雇佣政策的实现和实践。本章还讨论了信息安全政策与顾问、临时工和外部商务伙伴之间影响和被影响的方式。 第VII部分—— 维护和改进 第12章—— 信息安全维护 最后也是最重要的一部分是对维护和改进的讨论。本章介绍了对信息安全计划的实时技术性和管理性评估,企业必须执行该信息安全计划,才能维护其信息系统的安全。本章介绍了实时风险分析、风险评估和度量,这些都将保证风险管理计划的效率。最后考虑了用于建立和管理漏洞分析和渗透测试的实践。 0.4 教师资源 为支持本书内容,我们准备了许多教学工具,它们在多方面增强了课堂教学内容。请参阅书后的“教辅资料申请表”索取相关材料。 电子教师手册 —— 教师手册包括使用本书的建议和策略,甚至还包括了讲座主题的提示。教师手册还包括每章结束处复习题的答案以及练习的建议方案。 图形文件—— 图形文件允许教师利用本书的图形创建自己的演示文稿。 PowerPoint演示—— 本书的每一章都提供了相应的Microsoft PowerPoint幻灯片。它们可以用作课堂演示,让学生在网络上回顾每章的内容,或打印出来,分发给学生。教师还可以为在课堂上额外介绍的主题加入自己的幻灯片。 实验室手册 —— Course Technology出版社出版了与本书和其他书配套的实验手册The Hands - On Information Security Lab Manual (ISBN 0-619-21631-X)。该实验室手册提供了跟踪痕迹、枚举和防火墙配置等安全性强化练习,以及诸多作为实验室组件或课堂项目的练习和案例,作为本书的补充材料。要了解详细信息,请与Course Technology出版社的销售代理联系。 ExamView—— ExamView是基于对象的测试需求的终极工具。它是一个功能强大的基于对象的试卷生成器,教师可从专门为Course Technology教材设计的试题库中创建书面的、基于LAN或基于Web的试卷。使用非常有效的QuickTest Wizard可以在不到5分钟的时间内利用Course Technology的试题库创建试卷,或重新定制自己的考试题。