无标题文档
首
页
│
所有图书
│
出版社简介
│
下载页面
│
勘误页面
│
邮购指南
│
投稿热线
当前位置:
首页
\
计算机科学
\
信息技术
书名:《信息安全原理》
定价:¥54.00
《设计师的马克笔——从概念到商..
《2016年MBA、MPA、MPAcc管理类..
《SharePoint 2013开发高级教程..
《iOS高级编程》
《成品——NukeX 7.0高级影视后..
《Illustrator CS6平面设计应用..
《圈子圈套》
《通信网——基本概念与主体结构..
《大学梦起飞的地方》
《Photoshop CS数码相片处理经典..
《搜主义——Google持续成长的秘..
《公共服务行业管理信息化创新》
《财务软件应用技术(用友财务通..
《Windows XP操作系统简明教程》
《市场营销学案例》
《Java游戏高级编程》
《漫画ERP》
《ERP制胜》
《ERP与企业管理:理论、方法、..
《ERP123》
更多...
版权信息和内容简介
作    者:(美)惠特曼(Whitman,M.E),(美)马托德(Mattord,H.J.)著
版    次:2004年3月第1版  2004年3月第1次印刷
书    号:ISBN 7-302-07678-2/TP•5623
开    本:185×260
字    数:723千字
印    张:28.25
定    价:54.00元
前 言:
暂无
目录:
目 录 第Ⅰ部分 简 介 第1章 信息安全简介 1 1.1 介绍 3 1.2 信息安全发展史 3 1.2.1 20世纪60年代 4 1.2.2 20世纪70年代和80年代 4 1.2.3 20世纪90年代 6 1.2.4 现在 7 1.3 安全的概念 7 1.4 信息安全的概念 8 1.5 信息的重要特性 8 1.5.1 可用性 8 1.5.2 精确性 9 1.5.3 真实性 9 1.5.4 机密性 9 1.5.5 完整性 10 1.5.6 效用性 11 1.5.7 所有性 11 1.6 NSTISSC安全模型 11 1.7 信息系统的组件 12 1.7.1 软件 12 1.7.2 硬件 13 1.7.3 数据 13 1.7.4 人员 13 1.7.5 过程 14 1.8 保护IS组件的安全 14 1.9 平衡安全性和访问性能 14 1.10 自上而下地实现安全的方法 15 1.11 系统开发生命周期 16 1.11.1 方法学 17 1.11.2 阶段 17 1.11.3 调研 18 1.11.4 分析 18 1.11.5 逻辑设计 18 1.11.6 物理设计 18 1.11.7 实现 18 1.11.8 维护和修改 18 1.12 安全系统开发生命周期 19 1.12.1 调研 19 1.12.2 分析 19 1.12.3 逻辑设计 19 1.12.4 物理设计 19 1.12.5 实现 20 1.12.6 维护和修改 20 1.13 关键术语 21 1.14 安全专业人士和机构 23 1.14.1 高级管理者 23 1.14.2 安全项目队伍 24 1.14.3 数据所有权 25 1.15 兴趣团体 25 1.15.1 信息安全管理和专业人士 25 1.15.2 信息技术管理和专业人士 25 1.15.3 机构管理和专业人士 26 1.16 信息安全:是一门艺术还是一门科学 26 1.16.1 作为艺术的安全 26 1.16.2 作为科学的安全 26 1.16.3 作为社会科学的安全 27 1.17 本章小结 27 1.18 复习题 28 1.19 练习 28 1.20 案例练习 29 第Ⅱ部分 安全调研阶段 第2章 安全需求 32 2.1 引言 33 2.2 业务在前,技术在后 33 2.2.1 保护机构运转的能力 34 2.2.2 实现应用程序的安全操作 34 2.2.3 保护机构收集并使用的数据 34 2.2.4 保护机构的技术资产 34 2.3 威胁 35 2.3.1 威胁组一:疏忽行为 36 2.3.2 威胁组二:蓄意行为 38 2.3.3 威胁组三:天灾 50 2.3.4 威胁组四:技术故障 52 2.3.5 威胁组五:管理漏洞 52 2.4 攻击 53 2.4.1 恶意代码 53 2.4.2 恶作剧 54 2.4.3 后门(backdoor) 54 2.4.4 密码破解 54 2.4.5 暴力 54 2.4.6 词典方式 54 2.4.7 拒绝服务(DoS)及分布式拒绝服务(DDoS) 54 2.4.8 欺骗 55 2.4.9 Man-in-the-Middle 56 2.4.10 垃圾邮件 57 2.4.11 邮件炸弹 57 2.4.12 嗅探器 57 2.4.13 社会工程 57 2.4.14 缓冲区溢出 59 2.4.15 定时攻击 59 2.5 本章小结 59 2.6 复习题 60 2.7 练习 61 2.8 案例练习 61 第3章 信息安全中的法律、道德以及专业人员问题 66 3.1 引言 67 3.2 信息安全的法律及道德 67 3.3 法律类型 68 3.4 美国相关法律 68 3.4.1 普通计算机犯罪法 68 3.4.2 隐私 69 3.4.3 出口及间谍法 72 3.4.4 美国版权法 73 3.5 国际法及法律主体 74 3.5.1 欧洲计算机犯罪委员会条例 75 3.5.2 数字时代版权法 76 3.5.3 联合国宪章 76 3.6 政策与法律 77 3.7 信息安全的道德观念 78 3.7.1 道德概念中的文化差异 78 3.7.2 软件许可侵犯 78 3.7.3 违法使用 79 3.7.4 共同资源的滥用 79 3.7.5 道德和教育 81 3.7.6 不道德及违法行为的制止因素 81 3.8 道德、认证以及专业机构的规则 82 3.8.1 其他安全机构 88 3.8.2 美国主要联邦机构 89 3.9 机构商议的责任和需求 92 3.10 本章小结 92 3.11 复习题 93 3.12 练习 93 3.13 案例练习 94 第Ⅲ部分 安 全 分 析 第4章 风险管理:识别和评估风险 98 4.1 引言 99 4.2 风险管理 101 4.2.1 知己 101 4.2.2 知彼 101 4.2.3 所有的利益团体都应负责 101 4.2.4 使风险管理与SecSDLC一体化 102 4.3 风险识别 102 4.3.1 资产识别和评估 103 4.3.2 自动化风险管理工具 106 4.3.3 信息资产分类 106 4.3.4 信息资产评估 106 4.3.5 记录资产的重要性 108 4.3.6 数据分类及管理 109 4.3.7 安全调查 110 4.3.8 分类数据的管理 110 4.3.9 威胁识别 111 4.3.10 识别威胁及威胁代理,并区分其优先次序 112 4.3.11 漏洞识别 115 4.4 风险评估 116 4.4.1 风险评估介绍 116 4.4.2 可能性 117 4.4.3 信息资产评估 117 4.4.4 当前控制减轻风险的百分比 118 4.4.5 风险确定 118 4.4.6 识别可能的控制 118 4.4.7 访问控制 119 4.5 风险评估记录结果 120 4.6 本章小结 122 4.7 复习题 123 4.8 练习 123 4.9 案例练习 124 第5章 风险管理:评估和控制风险 127 5.1 引言 128 5.2 风险控制策略 128 5.2.1 避免 129 5.2.2 转移 131 5.2.3 缓解 132 5.2.4 承认 133 5.3 风险缓解策略选择 134 5.4 控制的种类 135 5.4.1 控制功能 135 5.4.2 体系结构层 136 5.4.3 策略层 136 5.4.4 信息安全原则 136 5.5 可行性研究 137 5.5.1 成本效益分析(CBA) 137 5.5.2 其他可行性研究 146 5.6 风险管理讨论要点 147 5.6.1 风险可接受性 148 5.6.2 残留风险 148 5.7 结果归档 149 5.8 推荐的控制风险实践 149 5.8.1 定量评估 149 5.8.2 Delphi技术 150 5.8.3 风险管理和SecSDLC 150 5.9 本章小结 151 5.10 复习题 151 5.11 练习 152 5.12 案例练习 153 第Ⅳ部分 逻 辑 设 计 第6章 安全蓝本 158 6.1 引言 159 6.2 信息安全政策,标准及实践 159 6.2.1 定义 160 6.2.2 安全计划政策(SPP) 161 6.2.3 特定问题安全政策(ISSP) 162 6.2.4 特定系统政策(SysSP) 165 6.2.5 政策管理 169 6.3 信息分类 170 6.4 系统设计 171 6.5 信息安全蓝本 172 6.6 ISO 17799/BS 7799 173 6.7 NIST安全模式 175 6.7.1 NIST Special Publication SP 800-12 175 6.7.2 NIST Special Publication 800-14 175 6.7.3 IETF安全结构 179 6.8 VISA国际安全模式 180 6.9 信息安全系统蓝本的混合结构 182 6.10 安全教育、培训和意识计划 184 6.10.1 安全教育 184 6.10.2 安全培训 185 6.10.3 安全意识 185 6.11 安全结构设计 186 6.11.1 深层防御 186 6.11.2 安全周界 187 6.11.3 关键技术组件 187 6.12 本章小结 189 6.13 复习题 190 6.14 练习 191 6.15 案例练习 191 第7章 持续性计划 195 7.1 引言 196 7.2 持续性策略 197 7.3 商务影响分析 199 7.3.1 威胁攻击识别和优先级次序 199 7.3.2 商务单元分析 200 7.3.3 攻击成功方案开发 200 7.3.4 潜在破坏评估 201 7.3.5 后续计划分类 201 7.4 事故响应计划 201 7.4.1 事故计划 202 7.4.2 事故检测 204 7.4.3 事故何时会成为一个灾难 206 7.5 事故反应 206 7.5.1 关键人的通知 206 7.5.2 归档一个事故 207 7.5.3 事故遏制策略 207 7.6 事故恢复 208 7.6.1 反应工作的优先次序 208 7.6.2 破坏的评估 208 7.6.3 恢复 209 7.6.4 备份媒体 211 7.7 自动化响应 212 7.8 灾难恢复计划 213 7.8.1 灾难恢复计划 213 7.8.2 危机管理 214 7.8.3 恢复操作 215 7.9 商务持续性计划 215 7.9.1 开发持续性程序(BCP) 215 7.9.2 持续性战略 215 7.10 统一的应急计划模型 217 7.11 法律实施相关事物 219 7.11.1 本地、州或联邦 219 7.11.2 法律实施相关事物的优点和弊端 220 7.12 本章小结 221 7.13 复习题 222 7.14 练习 222 7.15 案例练习 223 第V部分 物 理 设 计 第8章 安全技术 226 8.1 引言 227 8.2 SecSDLC的物理设计 227 8.3 防火墙 228 8.3.1 防火墙发展 228 8.3.2 防火墙体系结构 231 8.3.3 配置和管理防火墙 234 8.4 拨号的保护 235 8.5 入侵检测系统(IDS) 236 8.5.1 基于主机的IDS 237 8.5.2 基于网络的IDS 238 8.5.3 基于签名的IDS 239 8.5.4 基于异常事件统计的IDS 239 8.6 浏览和分析工具 240 8.6.1 端口扫描器 241 8.6.2 漏洞扫描器 242 8.6.3 包嗅探器 243 8.7 内容过滤器 244 8.8 Trap和Trace(诱捕和跟踪) 244 8.9 密码系统和基于加密的方案 244 8.9.1 加密定义 245 8.9.2 加密运算 246 8.9.3 Vernam加密 247 8.9.4 书本或运行密钥加密 247 8.9.5 对称加密 249 8.9.6 非对称加密 250 8.9.7 数字签名 251 8.9.8 RSA 251 8.9.9 PKI 252 8.9.10 什么是数字证书和证书颁发机构 252 8.9.11 混合系统 253 8.9.12 保护电子邮件的安全 254 8.9.13 保护Web的安全 254 8.9.14 保护身份验证的安全 255 8.9.15 Sesame 257 8.10 访问控制设备 257 8.10.1 身份验证 258 8.10.2 生物测定学的有效性 260 8.10.3 生物测定学的可接受性 261 8.11 小结 261 8.12 复习题 262 8.13 练习 263 8.14 案例练习 263 第9章 物理安全 267 9.1 引言 268 9.2 访问控制 269 9.3 防火安全 275 9.4 支持设施故障和建筑倒塌 281 9.4.1 加热、通风和空调 281 9.4.2 电力管理和调整 282 9.4.3 测试设备系统 286 9.5 数据的侦听 286 9.6 可移动和便携系统 287 9.7 物理安全威胁的特殊考虑 290 9.8 本章小结 291 9.9 复习题 292 9.10 练习 293 9.11 案例练习 293 第Ⅵ部分 实 现 第10章 实现安全 297 10.1 引言 298 10.2 实现阶段中的项目管理 299 10.2.1 开发项目计划 300 10.2.2 项目计划考虑 303 10.2.3 项目管理需求 306 10.2.4 管理的实现 306 10.2.5 执行计划 306 10.2.6 综合报导 307 10.3 实现的技术主题 307 10.3.1 转换策略 308 10.3.2 信息安全项目计划的靶心模型 308 10.3.3 外购还是自行开发 309 10.3.4 技术监督和改动控制 310 10.4 实现的非技术方面 310 10.4.1 改动管理的文化 310 10.4.2 机构改动的考虑 312 10.5 本章小结 312 10.6 复习题 313 10.7 练习 314 10.8 案例练习 315 第11章 安全和人员 318 11.1 引言 319 11.2 机构结构内的安全职能 319 11.3 安全职能的人员配备 320 11.3.1 资格和需求 320 11.3.2 进入安全专业的入口 321 11.3.3 信息安全位置 322 11.4 信息安全专业人员的认证 325 11.4.1 认证信息系统安全专业人员(CISSP)和系统安全认证从业者(SSCP) 325 11.4.2 安全认证专业人员 327 11.4.3 TruSecure ICSA认证安全联合(T.I.C.S.A)和TruSecure ICSA认证 安全专家(T.I.C.S.E) 328 11.4.4 安全+ 329 11.4.5 认证信息系统审计员(CISA) 329 11.4.6 认证信息系统辩论调查员 330 11.4.7 相关认证 330 11.4.8 获得认证的费用 331 11.4.9 对信息安全专业人员的建议 331 11.5 雇佣政策和实践 332 11.5.1 雇佣和解雇问题 333 11.5.2 工作成绩评估 335 11.5.3 解雇 335 11.6 非雇员的安全考虑 336 11.6.1 暂时雇员 336 11.6.2 合同雇员 337 11.6.3 顾问 337 11.6.4 商务伙伴 338 11.7 责任的分离和共谋 338 11.8 人员数据的秘密性和安全 339 11.9 本章小结 339 11.10 复习题 341 11.11 练习 342 11.12 案例练习 342 第Ⅶ部分 维护和改动 第12章 信息安全维护 345 12.1 引言 346 12.2 改动的管理 347 12.3 安全管理模式 347 12.4 维护模式 355 12.4.1 监控外部环境 355 12.4.2 监控内部环境 359 12.4.3 规划与风险评估 362 12.4.4 漏洞评估和补救 366 12.4.5 备用状态与审查 372 12.5 本章小节 374 12.6 复习题 375 12.7 练习 376 12.8 案例练习 377 附录A 密码学 379 A.1 引言 379 A.2 定义 381 A.3 密码类型 383 A.3.1 多字母置换密码 383 A.3.2 移项密码 384 A.3.3 加密算法 385 A.3.4 非对称密码或公开密钥密码使用法 387 A.3.5 混合密码系统 388 A.4 流行的加密算法 389 A.4.1 数据加密标准(DES) 389 A.4.2 数据加密核心过程 391 A.4.3 公钥基础结构(PKI) 395 A.4.4 数字签名 396 A.4.5 数字证书 396 A.4.6 Pretty Good Privacy(PGP) 398 A.4.7 安全方案的PGP套件 398 A.5 安全通信协议 399 A.5.1 S-HTTP和SSL 399 A.5.2 Secure/Multipurpose Internet mail Extension(S/MIME) 400 A.5.3 Internet Protocol Security(IPSec) 400 A.6 密码系统的攻击 402 A.6.1 中间人攻击 402 A.6.2 相关性攻击 402 A.6.3 字典攻击 402 A.6.4 定时攻击 402 术语表 405
Copyrights(C) 2005 By 清华大学出版社第五事业部(
www.tupwk.com.cn
) All Rights Reserved
技术支持: 025-84210020 FAX: 025-84210020 E-Mail:
wkservice@vip.163.com
地址:北京市海淀区双清路学研大厦B座405B 电话:010-62794504 邮编:100084
京ICP备19055430号-1 1号中国数据主机