信息系统安全基础"
本书是Jones & Bartlett Learning出版的信息系统安全与保障系列丛书中非常重要且具有基础性的一本书。这本书中包含信息安全需求、信息安全技术以及信息安全相关的标准、教育、法律、认证等内容,能够使读者了解到信息系统安全的主要驱动因素、保障信息系统安全的核心技术、信息安全领域标准化组织和相关标准、信息系统安全知识学习和技能培训的途径、广泛被认可的信息安全认证以及美国相关信息安全的法律等。
本书是由Jones & Bartlett Learning 出版的信息系统安全与保障(ISSA)系列丛书之一。该系列丛书全面详细介绍了信息系统安全学科领域内最新的理论成果和发展趋势,适合IT 安全、网络安全、信息保护和信息系统安全等方面的课程教学。书中着重介绍了基本的信息安全原理,包含了大量的信息安全实例和案例。丛书由CISSP 专业人员编写,并由本领域内权威专家逐字审阅,涉及内容涵盖信息安全的全部领域。丛书不仅包含最新的内容,而且具有良好的前瞻性,不但可以帮助读者解决今天存在的网络安全问题,还有助于应对未来的网络安全挑战。 本书第一部分是信息安全基础。主要介绍数字时代带来的新的风险、威胁和脆弱性。如今无论是个人、学生、教育工作者还是公司机构、政府部门,其通信方式和工作模式都已发生重大改变。互联网和宽带通信早已融入我们日常生活中,数字革命已经对信息系统安全提出新的要求。最新的法律法规要求公司机构应切实确保隐私数据安全、降低信息安全风险责任,信息系统安全从来没有受到如此重视。 本书第二部分改编自官方的(ISC)2SSCP?CBK? 学习指南。本部分内容高度概括和总结了信息安全从业人员认证需要熟练掌握的7 个域:访问控制,密码技术,恶意代码及其行为,监控与分析,网络与通信,风险、响应和恢复,安全运营与管理。 本书第三部分为那些希望在信息安全标准、教育、专业认证和最新法律法规等方面了解更多信息的读者和学生提供了资源。这些资源也同样适合于那些想了解更多信息系统安全教育和就业机会的学生和个人。 本书的写作注重实践性,采用会话的方式。在全书中,结合大量实例循序渐进地介绍信息安全的各种概念和流程。每个章节起始部分介绍了本章学习目标。文中的插图既是对正文内容的补充说明,同时也使文字内容图形化、具体化,便于读者理解和掌握相关知识。本书还有诸多注释提示,提醒读者注意和了解与主体内容相关的其他有用信息。章节最后对本章内容进行了小结,以便读者能快速回顾和预览章节的主要内容,帮助其了解文中概念的重要性。 本书适合人群包括计算机专业或信息科学专业的大学生、二年制技术学院的学生以及具有基本知识背景的社区学院的学生或具备IT 安全基础知识并打算进一步提高学习的有关读者。
第一部分 信息安全需求 第1 章 信息系统安全 ........................................................................................ 1 1.1 信息系统安全 ....................................................................................... 1 1.2 信息系统安全要素 ............................................................................... 8 1.3 典型IT 基础构架的7 个域 .................................................................13 1.4 IT 基础架构安全性中最脆弱的环节 ..................................................34 1.5 IT 安全策略框架 ..................................................................................38 1.6 数据分类标准 ......................................................................................40 本章小结 .......................................................................................................41 第2 章 个人和商业通信的改变 ......................................................................42 2.1 语音通信革命 ......................................................................................42 2.2 VoIP 和SIP 风险、威胁和脆弱性 ......................................................50 2.3 转换到TCP/IP 世界 .............................................................................54 2.4 多模通信 ..............................................................................................60 2.5 从实体经济到电子商务的演变 ...........................................................67 2.6 为什么今天的商业公司需要互联网市场化战略 ................................69 2.7 万维网对个人、公司和其他机构组织的影响 ...................................70 2.8 IP 移动业务 ..........................................................................................70 本章小结 .......................................................................................................78 第3 章 恶意攻击、威胁与脆弱性 ....................................................................... 79 3.1 不断增长的恶意活动 .......................................................................... 79 3.2 保护的对象 ......................................................................................... 80 3.3 你想抓住的人 ..................................................................................... 84 3.4 攻击工具 ............................................................................................. 85 3.5 破坏安全的行为.................................................................................. 90 3.6 风险、威胁和脆弱性 .......................................................................... 96 3.7 恶意攻击 ........................................................................................... 101 3.8 恶意软件 ........................................................................................... 108 3.9 应对措施 ............................................................................................ 112 本章小结 ..................................................................................................... 115 第4 章 信息安全业务驱动因素 ..................................................................... 117 4.1 风险管控定义 .................................................................................... 117 4.2 实现BIA、BCP 和DRP ................................................................... 124 4.3 风险、威胁和脆弱性评估 ................................................................ 132 4.4 关闭信息安全缺口 ............................................................................ 133 4.5 坚持遵守法律法规 ............................................................................ 134 4.6 保持私人信息机密性 ........................................................................ 137 本章小结 .................................................................................................... 138 第二部分 (ISC)2?中系统安全从业者认证(SSCP?)以及专业认证 第5 章 访问控制 ........................................................................................... 139 5.1 访问控制的四个部分 ........................................................................ 140 5.2 访问控制的两种类型 ........................................................................ 140 5.3 制定授权策略 ................................................................................... 142 5.4 身份认证方法和指导原则 ................................................................ 143 5.5 认证流程及要求 ................................................................................ 144 5.6 问责政策与程序 ................................................................................ 156 5.7 访问控制形式化模型 ......................................................................... 159 5.8 访问控制面临的威胁 ......................................................................... 170 5.9 违反访问控制的后果 ......................................................................... 172 5.10 集中访问控制与分布式访问控制 ................................................... 173 本章小结 ..................................................................................................... 180 第6 章 安全运营和管理 ................................................................................. 182 6.1 安全管理 ............................................................................................ 182 6.2 遵守规则 ............................................................................................ 185 6.3 职业道德 ............................................................................................ 186 6.4 IT 安全策略基础结构 ........................................................................ 192 6.5 数据分类标准 .................................................................................... 197 6.6 配置管理 ............................................................................................ 199 6.7 变更管理过程 .................................................................................... 201 6.8 系统生命周期与系统开发生命周期 ................................................. 204 6.9 软件开发与安全 ................................................................................ 209 本章小结 ..................................................................................................... 213 第7 章 审计、测试和监控 ............................................................................. 214 7.1 安全审计与分析 ................................................................................ 214 7.2 定义审计计划 .................................................................................... 220 7.3 审计基准 ............................................................................................ 221 7.4 审计数据搜集方法............................................................................. 222 7.5 安全监控 ............................................................................................ 226 7.6 日志信息类型 .................................................................................... 230 7.7 安全控制验证 .................................................................................... 232 7.8 监控和测试安全系统 ......................................................................... 239 本章小结 .................................................................................................... 247 第8 章 风险、响应与恢复 ............................................................................ 248 8.1 风险管理与信息安全 ........................................................................ 248 8.2 风险管理过程 ................................................................................... 252 8.3 风险分析 ........................................................................................... 253 8.4 两个方法:定量分析和定性分析 .................................................... 254 8.5 制定风险处理策略 ............................................................................ 258 8.6 评估应对措施 ................................................................................... 260 8.7 控制及其在安全生命周期中的地位 ................................................ 262 8.8 防灾计划 ........................................................................................... 263 8.9 备份数据和应用................................................................................ 269 8.10 处理事故步骤 ................................................................................. 270 8.11 灾难恢复 ......................................................................................... 272 8.12 灾难恢复的基本步骤 ...................................................................... 273 本章小结 .................................................................................................... 278 第9 章 密码学 ............................................................................................... 280 9.1 什么是密码学 ................................................................................... 280 9.2 密码学满足的商务安全需求 ............................................................ 285 9.3 密码学在信息系统安全中的应用 .................................................... 287 9.4 密码学原理、概念及术语 ................................................................ 290 9.5 密码学应用、工具及资源 ................................................................ 303 9.6 证书和密钥管理................................................................................ 310 本章小结 .................................................................................................... 312 第10 章 网络与通信 ..................................................................................... 313 10.1 开放系统互连参考模型 .................................................................. 314 10.2 网络的两种类型 .............................................................................. 315 10.3 TCP/IP 及其工作原理 ..................................................................... 321 10.4 网络安全风险 .................................................................................. 324 10.5 网络安全防御基本工具 ................................................................... 327 10.6 无线网络 .......................................................................................... 333 本章小结 ..................................................................................................... 336 第11 章 恶意代码 .......................................................................................... 337 11.1 恶意软件特点、体系结构和操作 ................................................... 338 11.2 恶意软件主要类型 ........................................................................... 338 11.3 恶意代码历史................................................................................... 357 11.4 对商业组织的威胁 ........................................................................... 360 11.5 攻击分析 .......................................................................................... 362 11.6 攻防工具和技术 ............................................................................... 369 11.7 事件检测工具和技术 ....................................................................... 372 本章小结 ..................................................................................................... 374 第三部分 信息安全标准、教育、认证及法规 第12 章 信息安全标准 .......................................................................... 375 12.1 标准组织 .......................................................................................... 375 12.2 ISO 17799 ......................................................................................... 384 12.3 ISO/IEC 27002 ................................................................................. 385 12.4 PCI DSS ............................................................................................ 386 本章小结 ..................................................................................................... 387 第13 章 信息系统安全教育与培训 ............................................................... 389 13.1 自学 .................................................................................................. 389 13.2 继续教育项目 .................................................................................. 393 13.3 大学学位课程 .................................................................................. 395 13.4 信息安全培训课程 ........................................................................... 402 本章小结 .................................................................................................... 405 第14 章 信息安全专业认证 .................................................................. 406 14.1 美国国防部/军用——8570.01 标准 ............................................... 406 14.2 中立供应商的专业认证 .................................................................. 409 14.3 供应商特定认证 .............................................................................. 415 本章小结 .................................................................................................... 420 第15 章 美国相关法律 .......................................................................... 421 15.1 遵守法律 ......................................................................................... 421 15.2 联邦信息安全管理法案 .................................................................. 424 15.3 健康保险携带和责任法案 .............................................................. 430 15.4 金融服务现代化法案 ...................................................................... 437 15.5 萨班斯法案 ..................................................................................... 442 15.6 家庭教育权和隐私权法案 .............................................................. 446 15.7 儿童互联网保护法案 ...................................................................... 448 15.8 遵守信息安全法规的意义 .............................................................. 452 本章小结 .................................................................................................... 453 参考文献 ........................................................................................................... 454
