内容简介
第1章 为什么研究信息安全
1.1导言
1.2增长的IT安全重要性与新的职业机会
1.2.1政府和私营工商业的持续需求
1.3成为信息安全专家
1.3.1应运而生的教育机构
1.3.2综合学科研究法
1.4信息安全的环境
1.4.1信息安全职业——业务安全的需要
1.5本章小结
1.6技能测试
1.6.1多项选择题
1.6.2练习题
1.6.3项目题
1.6.4案例研究
第2章 信息安全的成功原则
2.1导言
2.2原则1:没有绝对的安全
2.3原则2:安全三目标——私密性、完整性和可用性
2.3.1完整性模型
2.3.2可用性模型
2.4原则3:部署安全分层机制
2.5原则4:人们容易自行做出最糟的安全决定
2.6原则5:决定计算机安全的两项需求——功能性需求与保险性需求
2.7原则6:模糊性不是安全的解决之道
2.8原则7:安全=风险管理
2.9原则8:安全控制的三种类型:预防型控制、探测型控制和响应型控制
2.10原则9:复杂性是安全性的大敌
2.11原则10:担忧、不确定性、疑惑对销售安全没用
2.12原则11:必要的人、流程、技术是系统或设施安全的保障
2.13原则12:公开已知的漏洞有助于安全
2.14本章小结
2.15技能测试
2.15.1多项选择题
2.15.2练习题
2.15.3项目题
2.15.4案例研究
第3章 认证计划与公共知识体系
3.1导言
3.2信息安全及其认证
3.2.1国际信息系统安全认证联盟
3.3信息安全的公共知识体系(CBK)
3.3.1安全管理实务
3.3.2安全体系结构和模型
3.3.3业务持续性计划
3.3.4法律、调查和道德
3.3.5物理安全
3.3.6操作安全
3.3.7访问控制系统和方法
3.3.8密码学
3.3.9电信、网络和Internet安全
3.3.10应用开发安全
3.4其他安全认证项目
3.4.1注册信息系统审计师(CISA)
3.4.2注册信息安全员(CISM)
3.4.3全球信息保证证书(GIAC)
3.4.4 CompTIA Security+认证
3.4.5针对供应商的认证
3.5本章小结
3.6技能测试
3.6.1多项选择题
3.6.2练习题
3.6.3项目题
3.6.4案例研究
第4章 安全管理
4.1导言
4.2安全策略是成功的基础
4.3 4种策略类型
4.3.1程序层次的策略
4.3.2框架层次的策略
4.3.3面向问题的策略
4.3.4面向系统的策略
4.4安全策略的开发与管理
4.4.1安全目标
4.4.2可操作的安全
4.4.3策略执行
4.5策略支持文档
4.5.1规范
4.5.2标准和基准
4.5.3方针
4.5.4程序
4.6推荐的标准的分类方法
4.6.1资产分类
4.6.2权力分离
4.6.3职前雇用实践
4.6.4风险分析和管理
4.6.5教育、培训与安全意识
4.7谁为安全负责
4.8本章小结
4.9技能测试
4.9.1多项选择题
4.9.2练习题
4.9.3项目题
4.9.4案例研究
第5章 安全架构与模型
5.1导言
5.2可信计算基础的定义
5.2.1信任环
5.3可信计算基础中的保护机制
5.4“系统安全保证”概念
5.4.1安全测试的目标
5.4.2规范的安全测试模型
5.5可信计算机的安全评估准则(TCSEC)
5.5.1等级D:最低保护
5.5.2等级C:自定式保护
5.5.3等级B:强制式保护
5.5.4等级A:可验证式保护
5.5.5 TCSEC中可信网络的解释(TNI)
5.6信息技术的安全评估准则
5.6.1 ITSEC与TCSEC的比较
5.6.2 ITSEC的保证等级
5.7加拿大可信计算机产品的评估准则
5.8美国联邦信息技术的安全准则
5.9通用准则
5.9.1保护配置文件的组织形式
5.9.2功能性安全需求
5.9.3评估保证等级
5.9.4通用评估方法论
5.10私密性与完整性模型
5.10.1 Bell-LaPadula模型
5.10.2 Bila完整性模型
5.10.3高级模型
5.11本章小结
5.12技能测试
5.12.1多项选择题
5.12.2练习题
5.12.3项目题
5.12.4案例研究
第6章 业务持续计划和灾难恢复计划
6.1导言
6.2总览业务持续计划与灾难恢复计划
6.2.1为什么BCP如此重要?
6.2.2中断事件的种类
6.2.3 BCP的定义范围
6.2.4创建业务影响分析
6.3灾难恢复计划
6.3.1确定恢复策略
6.3.2共享站点协议
6.3.3备用站点
6.3.4补充协议
6.3.5测试灾难恢复计划
6.3.6组织内与组织外
6.4本章小结
6.5技能测试
6.5.1多项选择题
6.5.2练习题
6.5.3项目题
6.5.4案例研究
第7章 法律、调查与道德规范
7.1导言
7.2计算机犯罪类型
7.3如何实施网络犯罪
7.4计算机及相关法律
7.4.1司法体系中的立法部门
7.4.2司法体系中的管理部门
7.4.3司法体系中的判决部门
7.5知识产权法
7.5.1专利法
7.5.2商标法
7.5.3商业秘密法
7.6隐私及相关法律
7.6.1国际性的隐私问题
7.6.2美国的隐私法
7.7计算机取证
7.8信息安全业的职业道德
7.9其他道德规范
7.9.1计算机伦理研究所
7.9.2 Internet活动委员会:道德和Internet
7.9.3公平信息实践法规
7.10本章小结
7.11技能测试
7.21.1多项选择题
7.21.2练习题
7.21.3项目题
7.21.4案例研究
第8章 物理安全控制
8.1导言
8.2理解物理安全范畴
8.3物理安全的威胁
8.4提供物理安全
8.4.1人事教育
8.4.2行政式访问控制
8.4.3物理安全控制
8.4.4技术性控制
8.4.5环境控制/生命安全控制
8.5本章小结
8.6技能测试
8.6.1多项选择题
8.6.2练习题
8.6.3项目题
8.6.4案例研究
第9章 操作安全
9.1导言
9.2操作安全的原则
9.3安全操作过程控制
9.4实施中的安全操作
9.4.1软件支持
9.4.2配置与变更管理
9.4.3备份
9.4.4媒体控制
9.4.5文档
9.4.6维护
9.4.7相依性
9.5本章小结
9.6技能测试
9.6.1多项选择题
9.6.2练习题
9.6.3项目题
9.6.4案例研究
第10章 访问控制体系和方法论
10.1概述
10.2术语和概念
10.2.1标识
10.2.2认证
10.2.3最低特权(须知)
10.2.4信息所有者
10.2.5自由访问控制
10.2.6访问控制列表
10.2.7强制访问控制
10.2.8基于角色的访问控制
10.3认证原则
10.3.1密码问题
10.3.2多要素认证
10.4生理学
10.5单点登录
10.5.1 Kerberos
10.5.2联合标识
10.6远程用户访问和认证
10.6.1远程访问用户拨入服务
10.6.2虚拟专用网
10.7本章小结
10.8技能测试
10.8.1多项选择题
10.8.2练习题
10.8.3项目题
10.8.4案例研究
第11章 密码学
11.1导言
11.2将密码学应用于信息系统
11.3术语和概念
11.4密码系统的强度
11.4.1密码系统满足了当今电子商务的需要
11.4.2密码系统中密钥的角色
11.5综合应用
11.5.1摘要数据
11.5.2数字证书
11.6调查数字化密码系统
11.6.1散列函数
11.6.2密文块
11.6.3 PPK密码系统的实现
11.7本章小结
11.8技能测试
11.8.1多项选择题
11.8.2练习题
11.8.3项目题
11.8.4案例研究
第12章 通信、网络和Internet安全
12.1导言
12.2网络和通信安全
12.3网络安全背景
12.4开放系统互联(OSI)参考模型
12.4.1协议栈
12.4.2 OSI参考模型和TCP/IP
12.4.3 OSI模型和安全
12.5数据网络类型
12.5.1局域网
12.5.2广域网
12.5.3 Internet
12.5.4企业内部网
12.5.5企业外部网
12.6保护TCP/IP网络
12.7基本安全架构
12.7.1路由器
12.7.2数据包过滤
12.7.3包过滤路由器的优点
12.7.4包过滤路由器的局限
12.8防火墙
12.8.1应用级防火墙
12.8.2堡垒主机
12.8.3应用级网关的优点
12.8.4应用级网关的局限
12.8.5防火墙实例
12.8.6明智选择
12.9入侵检测系统
12.9.1什么样的入侵?
12.9.2优秀入侵检测系统的特征
12.9.3假阳性、假阴性和颠覆攻击
12.10虚拟专用网
12.10.1 IPSec
12.10.2安全策略
12.10.3 IPSec密钥管理
12.11本章小结
12.12技能测试
12.12.1多项选择题
12.12.2练习题
12.12.3项目题
12.12.4案例研究
第13章 应用开发的安全性
13.1导言
13.2软件项目实践
13.3软件开发生命周期
13.4分布式系统
13.4.1软件代理
13.4.2 Java
13.4.3 Java Applets
13.4.4 ActiveX控件
13.4.5分布式对象
13.4.6恶意软件
13.5反病毒软件
13.6通过SDLC提高安全性
13.6.1教育组
13.6.2软件过程组
13.6.3补丁管理组
13.6.4激励组
13.7本章小结
13.8技能测试
13.8.1多项选择题
13.8.2练习题
13.8.3项目题
13.8.4案例研究
第14章 未来的安全性的未来
14.1导言
14.2持续监控和时刻警戒
14.3运转合格接收人
14.4身份窃取和美国监管环境
14.5不断增加的威胁
14.5.1销售商试图使安全研究人员保持沉默
14.5.2域欺骗增强了作为网络钓鱼攻击的补充
14.6安全威胁的趋势
14.7信息安全专家的美好未来
14.7.1要求高于安全技能
14.8本章小结
14.9技能测试
14.9.1多项选择题
14.9.2练习题
14.9.3项目题
14.9.4案例研究
附录A 公共知识体系
A.1安全管理实践
A.1.1关键知识域
A.2安全架构和模型
A.2.1关键知识域
A.3业务连续性计划(BCP)和灾难恢复计划(DRP)
A.3.1关键知识域
A.4法律、调查和道德规范
A.4.1关键知识域
A.5物理安全
A.5.1关键知识域
A.6运作安全
A.6.1关键知识域
A.7访问控制系统和方法学
A.7.1关键知识域
A.8密码学
A.8.1关键知识域
A.9电信和网络安全
A.9.1关键知识域
A.10应用和系统开发安全
A.10.1关键知识域
附录B 安全策略和标准分类
B.1安全管理策略
B.1.1信息安全组织
B.1.2训练和意识
B.2风险管理策略
B.2.1信息所有权
B.2.2信息分类
B.2.3风险评估
B.3安全基准
B.3.1防拷贝介质的安全性
B.3.2电子介质的安全性
B.4人事安全策略
B.4.1雇佣前控制
B.4.2责任分离
B.4.3雇佣时控制
B.4.4人事管理
B.4.5转职/辞职/解雇控制
B.5物理安全策略
B.5.1设备的安全性
B.5.2信息系统的安全性
B.5.3火灾保护
B.5.4水灾保护
B.5.5环境控制
B.6运作管理策略
B.6.1运作管理和控制
B.6.2恶意代码和病毒
B.6.3备份和恢复
B.6.4软件支持
B.7安全监控和响应策略
B.7.1行为监控(Monitoring Activities)
B.7.2事件响应
B.8通信管理策略
B.8.1加密
B.8.2信息交换
B.8.3电子邮件、Internet和其他电子通信
B.8.4语音/传真/影像通信
B.8.5会议和谈话
B.9访问控制策略
B.9.1用户注册和授权
B.9.2标识
B.9.3认证
B.9.4特权和特定账户的访问
B.9.5远程访问
B.10网络安全策略
B.10.1网络访问
B.10.2网络安全控制设备
B.11第三方服务策略
B.11.1第三方服务
B.12应用开发策略
B.12.1应用开发过程
B.12.2商业系统需求
B.12.3应用测试(Application Testing)
B.13恢复和业务连贯性区域
B.13.1业务连贯性管理程序
B.13.2恢复/业务连贯性计划测试需求
B.13.3恢复网站
B.13.4法定的、一致的和受控的需求
B.13.5安全符合测试
附录C 策略样本
C.1计算机可接受使用策略样本
C.2邮件使用策略样本
C.3密码策略样本
C.4无线网络(Wi-Fi)使用策略样本
附录D 安全策略和标准管理系统内幕
附录E HIPAA安全规则和标准
E.1 HIPAA安全标准
E.2行政程序
E.3物理保障措施
E.4技术安全服务
E.5技术安全机制
术语表