信息安全管理基礎(chǔ)

內(nèi)容概要

為了推進(jìn)我國(guó)信息化人才建設(shè)，CEAC國(guó)家信息化培訓(xùn)認(rèn)證管理辦公室組織IT和培訓(xùn)領(lǐng)域的資深專(zhuān)家精心編寫(xiě)了國(guó)家信息化計(jì)算機(jī)教育認(rèn)證系列教材。本書(shū)作為國(guó)家信息化計(jì)算機(jī)教育認(rèn)證項(xiàng)目電子政務(wù)與信息安全培訓(xùn)認(rèn)證專(zhuān)項(xiàng)的教材之一，以國(guó)際主流的安全技術(shù)為基礎(chǔ)，詳細(xì)介紹了信息安全涉及的安全理論知識(shí)與技術(shù)。    本書(shū)根據(jù)企事業(yè)單位和信息安全從業(yè)人員的實(shí)際需求，深入淺出地介紹了信息安全的物理安全、身份鑒別與認(rèn)證、風(fēng)險(xiǎn)管理、安全管理策略等內(nèi)容，并詳細(xì)闡述了用戶必須了解的安全法規(guī)和標(biāo)準(zhǔn)。    本書(shū)結(jié)構(gòu)清晰，講解詳細(xì)，并在每章后配有豐富的思考與練習(xí)題。非常適合作為信息安全技術(shù)的標(biāo)準(zhǔn)培訓(xùn)教程，也可作為大中專(zhuān)院校、高職高專(zhuān)相應(yīng)課程的教材和輔導(dǎo)教材，還可供讀者自學(xué)使用。

書(shū)籍目錄

第1章　信息安全管理概述  1.1　全球信息安全發(fā)展形勢(shì)    1.1.1　互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)面臨的安全威脅    1.1.2　根域名服務(wù)器面臨安全威脅    1.1.3　全球黑客動(dòng)向  1.2  中國(guó)信息安全形勢(shì)  1.3　信息安全管理基本概念    1.3.1　信息安全及信息安全管理    1.3.2　信息安全管理系統(tǒng)  1.4　我國(guó)的信息安全管理    1.4.1　我國(guó)的信息安全管理現(xiàn)狀    1.4.2　我國(guó)信息安全管理存在的問(wèn)題  本章小結(jié)  思考與練習(xí)第2章　物理安全  2.1　物理安全威脅與安全需求  2.2　機(jī)房與設(shè)施安全    2.2.1　機(jī)房安全等級(jí)    2.2.2　機(jī)房場(chǎng)地的環(huán)境選擇    2.2.3　機(jī)房組成及面積    2.2.4　機(jī)房的環(huán)境條件    2.2.5  電源    2.2.6　圍墻和門(mén)禁    2.2.7　鎖的使用    2.2.8　網(wǎng)絡(luò)通信線路安全    2.2.9　機(jī)房物理基礎(chǔ)設(shè)施解決方案舉例  2.3　技術(shù)訪問(wèn)控制    2.3.1  人員控制    2.3.2　檢測(cè)監(jiān)視系統(tǒng)    2.3.3　審計(jì)訪問(wèn)記錄  2.4　防火安全    2.4.1　火災(zāi)檢測(cè)    2.4.2　火災(zāi)抑制  2.5  電磁泄漏    2.5.1　計(jì)算機(jī)設(shè)備防泄露措施    2.5.2　計(jì)算機(jī)設(shè)備的電磁輻射標(biāo)準(zhǔn)  2.6　有關(guān)物理安全威脅的特殊考慮  本章小結(jié)  思考與練習(xí)第3章　身份鑒別與認(rèn)證  3.1  用戶標(biāo)識(shí)與鑒別    3.1.1  什么是用戶標(biāo)識(shí)    3.1.2  什么是用戶鑒別  3.2　用戶鑒別的原理    3.2.1  鑒別的分類(lèi)    3.2.2  實(shí)現(xiàn)身份鑒別的途徑    3.2.3  Kerberos鑒別系統(tǒng)  3.3　證書(shū)授權(quán)技術(shù)    3.3.1  什么是PKI    3.3.2  什么是數(shù)字證書(shū)    3.3.3  X.509證書(shū)標(biāo)準(zhǔn)    3.3.4　認(rèn)證中心    3.3.5　數(shù)字證書(shū)的應(yīng)用    3.3.6　安全電子郵件  3.4　一次性口令認(rèn)證    3.4.1　一次性口令    3.4.2　口令安全  本章小結(jié)  思考與練習(xí)第4章　風(fēng)險(xiǎn)管理  4.1  安傘威脅  4.2  風(fēng)險(xiǎn)管理    4.2.1　識(shí)別熟悉信息系統(tǒng)    4.2.2　識(shí)別檢查機(jī)構(gòu)漏洞    4.2.3　所有的利益團(tuán)體都應(yīng)負(fù)責(zé)  4.3  風(fēng)險(xiǎn)識(shí)別    4.3.1　資產(chǎn)識(shí)別和評(píng)估    4.3.2　自動(dòng)化風(fēng)險(xiǎn)管理工具    4.3.3　風(fēng)險(xiǎn)分類(lèi)    4.3.4　威脅識(shí)別    4.3.5　漏洞識(shí)別    4.3.6　正確看待風(fēng)險(xiǎn)識(shí)別  4.4　風(fēng)險(xiǎn)評(píng)估    4.4.1　風(fēng)險(xiǎn)評(píng)估分析策略及實(shí)施流程    4.4.2　風(fēng)險(xiǎn)評(píng)估種類(lèi)    4.4.3　風(fēng)險(xiǎn)評(píng)估分析方法    4.4.4　風(fēng)險(xiǎn)消減—實(shí)施安全計(jì)劃  4.5　風(fēng)險(xiǎn)控制策略    4.5.1　避免    4.5.2　轉(zhuǎn)移    4.5.3  緩解    4.5.4　承認(rèn)    4.5.5　風(fēng)險(xiǎn)緩解策略選擇    4.5.6　控制的種類(lèi)  4.6　有關(guān)風(fēng)險(xiǎn)管理的特殊考慮    4.6.1　風(fēng)險(xiǎn)可接受性    4.6.2　殘留風(fēng)險(xiǎn)    4.6.3　實(shí)施風(fēng)險(xiǎn)管理的一些建議  本章小結(jié)  思考與練習(xí)第5章　安全管理策略  5.1  安全策略    5.1.1　安全策略的建立    5.1.2　安全策略的設(shè)計(jì)與開(kāi)發(fā)    5.1.3　制定安全策略  5.2　信息安全管理    5.2.1  信息安全    5.2.2　信息載體安全管理    5.2.3　信息密級(jí)標(biāo)簽管理    5.2.4　信息存儲(chǔ)資源管理    5.2.5　信息訪問(wèn)控制管理    5.2.6　數(shù)據(jù)備份管理    5.2.7　信息完整性管理    5.2.8　信息可用性管理    5.2.9　可疑信息跟蹤審計(jì)  5.3　安全應(yīng)急響應(yīng)    5.3.1　安全應(yīng)急響應(yīng)的概況    5.3.2　安全應(yīng)急響應(yīng)管理系統(tǒng)的建立    5.3.3　實(shí)施應(yīng)急措施    5.3.4　安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性測(cè)試    5.3.5　應(yīng)急響應(yīng)的成本分析    5.3.6　安全應(yīng)急響應(yīng)流程實(shí)例  本章小結(jié)  思考與練習(xí)第6章　安全法規(guī)和標(biāo)準(zhǔn)  6.1  國(guó)際信息安全標(biāo)準(zhǔn)組織    6.1.1  國(guó)際標(biāo)準(zhǔn)化組織發(fā)展概況    6.1.2  國(guó)際電工委員會(huì)（IEC）    6.1.3  國(guó)際電信聯(lián)盟（ITU）    6.1.4　ISO/IEC JTC1（第一聯(lián)合技術(shù)委員會(huì)）    6.1.5　其他信息安全管理標(biāo)準(zhǔn)化組織  6.2  ISO9000族簡(jiǎn)介    6.2.1  ISO9000族標(biāo)準(zhǔn)的起源與發(fā)展    6.2.2  ISO9000族核心標(biāo)準(zhǔn)簡(jiǎn)介    6.2.3  ISO9000族的新發(fā)展    6.2.4  ISO26000  6.3  國(guó)外信息安全標(biāo)準(zhǔn)化現(xiàn)狀    6.3.1  美國(guó)信息安全管理標(biāo)準(zhǔn)體系    6.3.2  英國(guó)信息安全管理標(biāo)準(zhǔn)體系    6.3.3  其他國(guó)家信息安全標(biāo)準(zhǔn)化現(xiàn)狀　6.4　我國(guó)信息安全標(biāo)準(zhǔn)化現(xiàn)狀　6.5　基礎(chǔ)信息安全標(biāo)準(zhǔn)    6.5.1　信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)    6.5.2　安全框架標(biāo)準(zhǔn)指南    6.5.3　信息安全技術(shù)中的安全體制標(biāo)準(zhǔn)  6.6　環(huán)境與平臺(tái)安全標(biāo)準(zhǔn)    6.6.1  電磁泄漏發(fā)射技術(shù)標(biāo)準(zhǔn)指南    6.6.2　物理環(huán)境與保障標(biāo)準(zhǔn)    6.6.3　計(jì)算機(jī)安全等級(jí)標(biāo)準(zhǔn)    6.6.4　網(wǎng)絡(luò)平臺(tái)安全標(biāo)準(zhǔn)    6.6.5　應(yīng)用平臺(tái)安全標(biāo)準(zhǔn)  6.7　信息安全管理    6.7.1　信息安全管理概念及標(biāo)準(zhǔn)簡(jiǎn)介    6.7.2  BS7799    6.7.3  ISO/IEC 17799    6.7.4　我國(guó)的安全管理工作　本章小結(jié)思考與練習(xí)

章節(jié)摘錄

第1章　信息安全管理概述隨著信息技術(shù)的發(fā)展，人們?cè)谙硎苄畔⒓夹g(shù)帶來(lái)的方便與高效的同時(shí)也面臨著嚴(yán)重的信息安全的威脅。怎樣保證信息被合法有效的利用，是目前信息安全技術(shù)所面臨的一大課題。構(gòu)建良好的信息安全管理策略是構(gòu)建信息安全平臺(tái)的前提條件。1.1　全球信息安全發(fā)展形勢(shì)Intemet是信息傳輸?shù)募械?，在上面充斥著大量有用和無(wú)用的信息。Internet是一個(gè)龐雜的系統(tǒng)，其設(shè)計(jì)本身不可避免會(huì)出現(xiàn)很多不安全的因素。Intemet是一個(gè)開(kāi)放式的網(wǎng)絡(luò)，任何使用者都可能成為它的安全威脅者。1.1.1 互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)面臨的安全威脅Intemet主要由路由器和DNS服務(wù)器兩大基本架構(gòu)組成，其中路由器構(gòu)成Internet的主干，DNS服務(wù)器負(fù)責(zé)將域名解析為IP地址。攻擊互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)最直接的方式就是攻擊互聯(lián)網(wǎng)主干路由器和DNS服務(wù)器。如果一個(gè)攻擊者能成功地破壞主干路由器用來(lái)共享路由信息的邊界網(wǎng)關(guān)協(xié)議（BGP），或者更改網(wǎng)絡(luò)中的DNS服務(wù)器，就會(huì)使Intemet陷入一片混亂。為了尋找一些能夠使主干路由器和DNS服務(wù)器徹底崩潰或者能夠取得其系統(tǒng)管理權(quán)限的緩沖溢出或其他安全漏洞，惡意的高級(jí)攻擊者通常會(huì)非常仔細(xì)地檢查一些主干路由器和DNS服務(wù)器的服務(wù)程序代碼和它們之間的通信協(xié)議的實(shí)現(xiàn)代碼。路由代碼非常復(fù)雜，目前已經(jīng)發(fā)現(xiàn)并已修復(fù)了許多重要的安全問(wèn)題，但是仍舊可能存在許多更嚴(yán)重的問(wèn)題，并且很可能被黑客發(fā)現(xiàn)和利用。DNS軟件過(guò)去經(jīng)常發(fā)生緩沖溢出這樣的問(wèn)題，在以后也肯定會(huì)發(fā)生類(lèi)似的問(wèn)題。如果攻擊者發(fā)現(xiàn)了路由、DNS或通信協(xié)議的安全漏洞，并對(duì)其進(jìn)行大舉攻擊，那么大部分Intemet將會(huì)迅速癱瘓。2002年8月，互聯(lián)網(wǎng)賴(lài)以運(yùn)行的基礎(chǔ)通信規(guī)則之一——ASN NO.1信令的安全脆弱性就嚴(yán)重威脅了互聯(lián)網(wǎng)骨干網(wǎng)基礎(chǔ)設(shè)施的安全。黑客利用ASN NO.1信令的安全漏洞開(kāi)發(fā)相應(yīng)的攻擊程序，關(guān)閉ISP的骨干路由器、交換機(jī)和眾多的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，可最終引起整個(gè)互聯(lián)網(wǎng)癱瘓。ASN NO.1信令的安全脆弱性使得超過(guò)100家的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備提供商將要為此付出代價(jià)，而彌補(bǔ)這些缺陷的投入將超過(guò)1億美元。由于多個(gè)互聯(lián)網(wǎng)通信協(xié)議都是基于ASN NO.1計(jì)算機(jī)網(wǎng)絡(luò)語(yǔ)言的，因此ASN NO.1的脆弱性將廣泛威脅通信行業(yè)。最為顯著的例子就是造成SNMP協(xié)議多個(gè)安全漏洞。

編輯推薦

《國(guó)家信息化計(jì)算機(jī)教育認(rèn)證CEAC指定教材·信息安全管理基礎(chǔ)》結(jié)構(gòu)清晰，講解詳細(xì)，并在每章后配有豐富的思考與練習(xí)題。非常適合作為信息安全技術(shù)的標(biāo)準(zhǔn)培訓(xùn)教程，也可作為大中專(zhuān)院校、高職高專(zhuān)相應(yīng)課程的教材和輔導(dǎo)教材，還可供讀者自學(xué)使用。

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全管理基礎(chǔ) PDF格式下載

---