網(wǎng)絡信息安全原理與技術

前言

隨著計算機安全已逐漸成為全球性的問題，包括IT、醫(yī)療、金融等行業(yè)內(nèi)的眾多企業(yè)、組織對于安全領域方面的預算和投入日益增多。即使面對全球經(jīng)濟危機的不利影響，絕大部分的機構(gòu)都仍然計劃維持甚至增長在安全方面的投入。CompTIA Security+國際認證在全球安全領域享有很高的聲譽，包括美國國防部、醫(yī)療業(yè)、金融業(yè)在內(nèi)的許多機構(gòu)都明確將CornpTIA Security+列為其相關領域雇員或供應商需要持有的安全認證之一。我們非常高興地看到，隨著中國經(jīng)濟的發(fā)展和國力的強大，計算機安全被越來越多的中國的企業(yè)、組織所重視。CompTIA Security+國際認證也隨之被中國計算機安全領域的有識之士所認可和推廣，本書正是典范之作。本書嚴謹?shù)馗鶕?jù)CompTIA Security+考綱設計，內(nèi)容涵蓋當今計算機安全領域的主要內(nèi)容，對于希望進入計算機安全領域工作并且以后能在計算機領域大展宏圖的人來說，是一本非常好的專業(yè)書籍。普希金曾經(jīng)說過：“人的影響短暫而微弱，書的影響則廣泛而深遠。”希望這本書能給未來從事計算機安全事業(yè)的人們奠定扎實的計算機安全知識基礎，在這樣堅如磐石的基礎之上搭建起個人事業(yè)的輝煌大廈，也為中國計算機安全領域的發(fā)展貢獻出自己的力量。

內(nèi)容概要

　　隨著計算機及信息技術的飛速發(fā)展，計算機安全和信息安全變得日益重要。本書除了對信息安全技術的介紹以外，還著重闡述了組織中確保計算機安全需要注意的內(nèi)容，包括組織策略、教育、培訓甚至組織管理和組織運營方面的知識。本書內(nèi)容涵蓋豐富、知識新穎，提供了大量的習題和豐富的教學資源?！　⊥瑫r，本書結(jié)合Comp TIA組織實施的著名國際認證Comp TIA Security+。它的考核內(nèi)容包括通信安全、基礎設施安全、密碼系統(tǒng)操作安全以及通用安全概念等方面的知識。本書能夠給讀者全面提供有關通過Security+考試所必需的全部材料。除了覆蓋Security+考試的目標以外，還包含了大量圍繞考綱的模擬考題和實戰(zhàn)練習。　　本書適合作為信息安全的技術和管理人員的參考書，為他們提供有價值、最新的信息技術幫助。

書籍目錄

第1章 一般安全概念　1.1 計算機安全的基本概念　　1.1.1 安全工作的三角形　　1.1.2 安全事件的一般形式　　1.1.3 安全目標　　1.1.4 信息安全的弱點和風險來源　1.2 理解信息安全的過程　　1.2.1 保證信息安全的一般方法　　1.2.2 安全區(qū)域和安全體系結(jié)構(gòu)模型　　1.2.3 應對新技術領域的安全挑戰(zhàn)　　1.2.4 非技術領域的安全相關問題　1.3 標準和組織　本章小結(jié)　實驗與習題第2章 密碼學基礎　2.1 密碼學綜述　2.2 加密算法介紹　　2.2.1 對稱加密算法　　2.2.2 非對稱加密算法　　2.2.3 散列（Hash）函數(shù)和應用　　2.2.4 其他加密系統(tǒng)的應用　本章小結(jié)　實驗與習題第3章 身份認證技術　3.1 身份認證　　3.1.1 基本概念　　3.1.2 身份認證的常用方法　　3.1.3 認證過程中的一些額外因素　　3.1.4 身份認證與權限管理　3.2 公鑰基礎設施（PKI）　　3.2.1 基本概念和基本結(jié)構(gòu)　　3.2.2 信任關系和證書驗證　　3.2.3 證書和密鑰管理，密鑰生命周期　本章小結(jié)　實驗與習題第4章 識別潛在的風險　4.1 攻擊行為分類　　4.1.1 按攻擊者所需達到的目的分類　　4.1.2 按攻擊針對的對象進行分類　　4.1.3 按攻擊方式分類　4.2 TCP／IP網(wǎng)絡相關的攻擊　　4.2.1 TCP／IP網(wǎng)絡基礎　　4.2.2 基于TCP協(xié)議的攻擊　　4.2.3 基于UDP協(xié)議的攻擊　　4.2.4 基于ICMP的攻擊　4.3 應用程序相關的攻擊和危險　　4.3.1 軟件缺陷引起的攻擊　　4.3.2 間諜軟件　　4.3.3 rootkit工具　4.4 惡意代碼　　4.4.1 計算機病毒　　4.4.2 蠕蟲　　4.4.3 特洛伊木馬　　4.4.4 垃圾郵件和惡作劇郵件　……第5章 網(wǎng)絡基礎設施安全第6章 網(wǎng)絡應用安全第7章 網(wǎng)絡安全防護和加固第8章 入侵檢測與防護第9章 安全管理附錄參考文獻

章節(jié)摘錄

插圖：①行政政策：行政政策制定組織安全的指導方針和預期效果。對于日常業(yè)務，行政政策應明確說明何時進行以及以何種方式進行，還應當確定監(jiān)管者、執(zhí)行者以及審查者。行政政策應該是一個框架式的文件，制定者需要在主旨與細節(jié)之間取得一個較好的平衡。因為實際執(zhí)行該政策的人員不可避免地需要對現(xiàn)場環(huán)境做出一定的妥協(xié)。②災難恢復計劃：災難恢復計劃（disease recovery plan，DRP）用于在安全事故發(fā)生之后，以最快的速度恢復可用性的方案。它基于組織對可能發(fā)生的安全事件進行的風險評估。一個良好的DRP應具有良好的完整性，即考慮到所有類型的安全事件發(fā)生的可能性以及部署相應的應對措施。DRP的制定過程中，良好的資產(chǎn)評估和有效的測試有助于完善DRP。③信息政策：信息政策是指組織如何管理信息和保證信息安全的基本政策，包括訪問信息、分級和分類信息、標記和儲存信息、傳輸和銷毀信息的方法。信息政策最顯著的特點就是對組織擁有的信息進行分類和分級。④安全政策：安全政策定義了如何配置系統(tǒng)和網(wǎng)絡，如何確保計算機機房和數(shù)據(jù)中心的安全以及如何進行身份鑒別和身份認證。同時還確定如何進行訪問控制、審計、報告和處理網(wǎng)絡連接、加密和反病毒。安全政策還規(guī)定密碼選擇、賬戶到期、登錄嘗試失敗處理等相關領域的程序和步驟。⑤軟件設計要求：軟件設計要求將規(guī)定自行開發(fā)的軟件系統(tǒng)或外購的軟件系統(tǒng)必須能夠達到的安全指標。軟件設計要求是根據(jù)企業(yè)的行政、信息、安全政策綜合考慮進行制定的，必須達到以上幾項政策所提出的安全要求。軟件設計要求應該是具體的、可實施的。同時軟件設計要求需要考慮到未來一段時期內(nèi)網(wǎng)絡環(huán)境和系統(tǒng)環(huán)境所發(fā)生的變化，以便軟件系統(tǒng)得到合理的升級或補充。⑥使用政策：包括如何使用信息和資源，該政策需要向組織成員或系統(tǒng)使用者解釋使用組織資源的方法和用途。這些政策包括計算機使用的規(guī)定、隱私、所有權和不當行為的后果。政策制定者應該闡明他們對用戶的期望。通常最簡單的使用政策描述為“本計算機所有權屬于公司，只能應用于公司事務”。⑦用戶管理政策：用戶管理政策描述員工在系統(tǒng)內(nèi)的權限范圍，同時需要包括員工地位或崗位變化所導致的系統(tǒng)變動。員工崗位輪替或變換是一種正常的現(xiàn)象，但是在員工轉(zhuǎn)移到新崗位時，必須重新設定該員工的權限并將其原有權限撤銷。否則可能導致權限超越或員工獲取不應獲取的信息。用戶管理政策需要與人力資源策略緊密相連，一旦員工人事狀況發(fā)生變動，用戶管理政策應及時應對該變動并能夠根據(jù)預定方案進行反應。

編輯推薦

《網(wǎng)絡信息安全原理與技術》共九章。介紹了一般性的安全概念、密碼學、身份認證、安全人員可能遇到的潛在安全威脅、網(wǎng)絡基礎設施、網(wǎng)絡應用的安全問題和應對網(wǎng)絡安全的各類防護手段?！毒W(wǎng)絡信息安全原理與技術》最后闡述了非技術領域的內(nèi)容。也是安全的一個重要方面。即組織的管理?！毒W(wǎng)絡信息安全原理與技術》可以作為信息安全技術或管理工作者的參考書，提供有價值、最新的信息技術幫助。內(nèi)容涵蓋豐富、知識體系新穎，注重培養(yǎng)信息安全領域知識框架的構(gòu)建能力。作者具有多年的教學經(jīng)歷和企業(yè)IT安全顧問的工作經(jīng)驗；內(nèi)容編寫遵循教學規(guī)律，又面向企業(yè)實際應用。嚴格參照美國CompTIA制定的行業(yè)需求標準，是CompTIA國際認證的指定用書。美國計算機行業(yè)協(xié)會，CompTIA-Computing Technology Industry Association全球ICT領域最具影響力的、最大的、全球領先的行業(yè)協(xié)會全球最大的第三方IT認證機構(gòu)

圖書封面

評論、評分、閱讀與下載

---

    網(wǎng)絡信息安全原理與技術 PDF格式下載

---