信息安全管理基礎

內(nèi)容概要

為了推進我國信息化人才建設，CEAC國家信息化培訓認證管理辦公室組織IT和培訓領域的資深專家精心編寫了國家信息化計算機教育認證系列教材。本書作為國家信息化計算機教育認證項目電子政務與信息安全培訓認證專項的教材之一，以國際主流的安全技術為基礎，詳細介紹了信息安全涉及的安全理論知識與技術。    本書根據(jù)企事業(yè)單位和信息安全從業(yè)人員的實際需求，深入淺出地介紹了信息安全的物理安全、身份鑒別與認證、風險管理、安全管理策略等內(nèi)容，并詳細闡述了用戶必須了解的安全法規(guī)和標準。    本書結構清晰，講解詳細，并在每章后配有豐富的思考與練習題。非常適合作為信息安全技術的標準培訓教程，也可作為大中專院校、高職高專相應課程的教材和輔導教材，還可供讀者自學使用。

書籍目錄

第1章　信息安全管理概述  1.1　全球信息安全發(fā)展形勢    1.1.1　互聯(lián)網(wǎng)骨干網(wǎng)絡面臨的安全威脅    1.1.2　根域名服務器面臨安全威脅    1.1.3　全球黑客動向  1.2  中國信息安全形勢  1.3　信息安全管理基本概念    1.3.1　信息安全及信息安全管理    1.3.2　信息安全管理系統(tǒng)  1.4　我國的信息安全管理    1.4.1　我國的信息安全管理現(xiàn)狀    1.4.2　我國信息安全管理存在的問題  本章小結  思考與練習第2章　物理安全  2.1　物理安全威脅與安全需求  2.2　機房與設施安全    2.2.1　機房安全等級    2.2.2　機房場地的環(huán)境選擇    2.2.3　機房組成及面積    2.2.4　機房的環(huán)境條件    2.2.5  電源    2.2.6　圍墻和門禁    2.2.7　鎖的使用    2.2.8　網(wǎng)絡通信線路安全    2.2.9　機房物理基礎設施解決方案舉例  2.3　技術訪問控制    2.3.1  人員控制    2.3.2　檢測監(jiān)視系統(tǒng)    2.3.3　審計訪問記錄  2.4　防火安全    2.4.1　火災檢測    2.4.2　火災抑制  2.5  電磁泄漏    2.5.1　計算機設備防泄露措施    2.5.2　計算機設備的電磁輻射標準  2.6　有關物理安全威脅的特殊考慮  本章小結  思考與練習第3章　身份鑒別與認證  3.1  用戶標識與鑒別    3.1.1  什么是用戶標識    3.1.2  什么是用戶鑒別  3.2　用戶鑒別的原理    3.2.1  鑒別的分類    3.2.2  實現(xiàn)身份鑒別的途徑    3.2.3  Kerberos鑒別系統(tǒng)  3.3　證書授權技術    3.3.1  什么是PKI    3.3.2  什么是數(shù)字證書    3.3.3  X.509證書標準    3.3.4　認證中心    3.3.5　數(shù)字證書的應用    3.3.6　安全電子郵件  3.4　一次性口令認證    3.4.1　一次性口令    3.4.2　口令安全  本章小結  思考與練習第4章　風險管理  4.1  安傘威脅  4.2  風險管理    4.2.1　識別熟悉信息系統(tǒng)    4.2.2　識別檢查機構漏洞    4.2.3　所有的利益團體都應負責  4.3  風險識別    4.3.1　資產(chǎn)識別和評估    4.3.2　自動化風險管理工具    4.3.3　風險分類    4.3.4　威脅識別    4.3.5　漏洞識別    4.3.6　正確看待風險識別  4.4　風險評估    4.4.1　風險評估分析策略及實施流程    4.4.2　風險評估種類    4.4.3　風險評估分析方法    4.4.4　風險消減—實施安全計劃  4.5　風險控制策略    4.5.1　避免    4.5.2　轉移    4.5.3  緩解    4.5.4　承認    4.5.5　風險緩解策略選擇    4.5.6　控制的種類  4.6　有關風險管理的特殊考慮    4.6.1　風險可接受性    4.6.2　殘留風險    4.6.3　實施風險管理的一些建議  本章小結  思考與練習第5章　安全管理策略  5.1  安全策略    5.1.1　安全策略的建立    5.1.2　安全策略的設計與開發(fā)    5.1.3　制定安全策略  5.2　信息安全管理    5.2.1  信息安全    5.2.2　信息載體安全管理    5.2.3　信息密級標簽管理    5.2.4　信息存儲資源管理    5.2.5　信息訪問控制管理    5.2.6　數(shù)據(jù)備份管理    5.2.7　信息完整性管理    5.2.8　信息可用性管理    5.2.9　可疑信息跟蹤審計  5.3　安全應急響應    5.3.1　安全應急響應的概況    5.3.2　安全應急響應管理系統(tǒng)的建立    5.3.3　實施應急措施    5.3.4　安全應急響應管理系統(tǒng)的有效性測試    5.3.5　應急響應的成本分析    5.3.6　安全應急響應流程實例  本章小結  思考與練習第6章　安全法規(guī)和標準  6.1  國際信息安全標準組織    6.1.1  國際標準化組織發(fā)展概況    6.1.2  國際電工委員會（IEC）    6.1.3  國際電信聯(lián)盟（ITU）    6.1.4　ISO/IEC JTC1（第一聯(lián)合技術委員會）    6.1.5　其他信息安全管理標準化組織  6.2  ISO9000族簡介    6.2.1  ISO9000族標準的起源與發(fā)展    6.2.2  ISO9000族核心標準簡介    6.2.3  ISO9000族的新發(fā)展    6.2.4  ISO26000  6.3  國外信息安全標準化現(xiàn)狀    6.3.1  美國信息安全管理標準體系    6.3.2  英國信息安全管理標準體系    6.3.3  其他國家信息安全標準化現(xiàn)狀　6.4　我國信息安全標準化現(xiàn)狀　6.5　基礎信息安全標準    6.5.1　信息安全標準體系結構    6.5.2　安全框架標準指南    6.5.3　信息安全技術中的安全體制標準  6.6　環(huán)境與平臺安全標準    6.6.1  電磁泄漏發(fā)射技術標準指南    6.6.2　物理環(huán)境與保障標準    6.6.3　計算機安全等級標準    6.6.4　網(wǎng)絡平臺安全標準    6.6.5　應用平臺安全標準  6.7　信息安全管理    6.7.1　信息安全管理概念及標準簡介    6.7.2  BS7799    6.7.3  ISO/IEC 17799    6.7.4　我國的安全管理工作　本章小結思考與練習

章節(jié)摘錄

第1章　信息安全管理概述隨著信息技術的發(fā)展，人們在享受信息技術帶來的方便與高效的同時也面臨著嚴重的信息安全的威脅。怎樣保證信息被合法有效的利用，是目前信息安全技術所面臨的一大課題。構建良好的信息安全管理策略是構建信息安全平臺的前提條件。1.1　全球信息安全發(fā)展形勢Intemet是信息傳輸?shù)募械?，在上面充斥著大量有用和無用的信息。Internet是一個龐雜的系統(tǒng)，其設計本身不可避免會出現(xiàn)很多不安全的因素。Intemet是一個開放式的網(wǎng)絡，任何使用者都可能成為它的安全威脅者。1.1.1 互聯(lián)網(wǎng)骨干網(wǎng)絡面臨的安全威脅Intemet主要由路由器和DNS服務器兩大基本架構組成，其中路由器構成Internet的主干，DNS服務器負責將域名解析為IP地址。攻擊互聯(lián)網(wǎng)骨干網(wǎng)絡最直接的方式就是攻擊互聯(lián)網(wǎng)主干路由器和DNS服務器。如果一個攻擊者能成功地破壞主干路由器用來共享路由信息的邊界網(wǎng)關協(xié)議（BGP），或者更改網(wǎng)絡中的DNS服務器，就會使Intemet陷入一片混亂。為了尋找一些能夠使主干路由器和DNS服務器徹底崩潰或者能夠取得其系統(tǒng)管理權限的緩沖溢出或其他安全漏洞，惡意的高級攻擊者通常會非常仔細地檢查一些主干路由器和DNS服務器的服務程序代碼和它們之間的通信協(xié)議的實現(xiàn)代碼。路由代碼非常復雜，目前已經(jīng)發(fā)現(xiàn)并已修復了許多重要的安全問題，但是仍舊可能存在許多更嚴重的問題，并且很可能被黑客發(fā)現(xiàn)和利用。DNS軟件過去經(jīng)常發(fā)生緩沖溢出這樣的問題，在以后也肯定會發(fā)生類似的問題。如果攻擊者發(fā)現(xiàn)了路由、DNS或通信協(xié)議的安全漏洞，并對其進行大舉攻擊，那么大部分Intemet將會迅速癱瘓。2002年8月，互聯(lián)網(wǎng)賴以運行的基礎通信規(guī)則之一——ASN NO.1信令的安全脆弱性就嚴重威脅了互聯(lián)網(wǎng)骨干網(wǎng)基礎設施的安全。黑客利用ASN NO.1信令的安全漏洞開發(fā)相應的攻擊程序，關閉ISP的骨干路由器、交換機和眾多的基礎網(wǎng)絡設備，可最終引起整個互聯(lián)網(wǎng)癱瘓。ASN NO.1信令的安全脆弱性使得超過100家的計算機網(wǎng)絡設備提供商將要為此付出代價，而彌補這些缺陷的投入將超過1億美元。由于多個互聯(lián)網(wǎng)通信協(xié)議都是基于ASN NO.1計算機網(wǎng)絡語言的，因此ASN NO.1的脆弱性將廣泛威脅通信行業(yè)。最為顯著的例子就是造成SNMP協(xié)議多個安全漏洞。

編輯推薦

《國家信息化計算機教育認證CEAC指定教材·信息安全管理基礎》結構清晰，講解詳細，并在每章后配有豐富的思考與練習題。非常適合作為信息安全技術的標準培訓教程，也可作為大中專院校、高職高專相應課程的教材和輔導教材，還可供讀者自學使用。

圖書封面

評論、評分、閱讀與下載

---

    信息安全管理基礎 PDF格式下載

---