信息安全管理平臺(tái)理論與實(shí)踐

前言

　　前言　　隨著信息化的飛速發(fā)展，信息安全技術(shù)和管理都受到了廣泛的關(guān)注。信息安全管理體系和標(biāo)準(zhǔn)特別強(qiáng)調(diào)，信息安全不僅強(qiáng)調(diào)技術(shù)，還應(yīng)重視管理，要做到二者有機(jī)結(jié)合。如何體系化、流程化、平臺(tái)化地進(jìn)行信息安全平臺(tái)的建設(shè)，是當(dāng)前業(yè)界不斷討論和完善的重要話題之一?！　⌒畔踩脚_(tái)涵蓋了廣泛的信息安全技術(shù)和管理理念。機(jī)構(gòu)資產(chǎn)的梳理、防火墻的配置、入侵檢測(cè)系統(tǒng)的事件分析甚至整個(gè)信息系統(tǒng)的脆弱性和威脅分析等等，單一的因素都不能構(gòu)成完整的信息安全。機(jī)構(gòu)的信息安全不僅僅要求技術(shù)人員對(duì)于細(xì)節(jié)的關(guān)注，更需要管理者宏觀地對(duì)整體的安全現(xiàn)狀和態(tài)勢(shì)進(jìn)行了解和把握，果斷有效地傳達(dá)旨意采取措施。所以信息安全平臺(tái)建設(shè)的重要價(jià)值就是通過技術(shù)的實(shí)現(xiàn)手段加強(qiáng)對(duì)安全管理的關(guān)注?！　”緯鴮⑼ㄟ^信息安全平臺(tái)建設(shè)理論與實(shí)踐的方方面面，闡述信息安全的理論基礎(chǔ)和設(shè)計(jì)思路，并從實(shí)際應(yīng)用出發(fā)探討如何切實(shí)地落實(shí)信息安全工作?！　”緯鴮⒁孕畔踩脚_(tái)的建設(shè)理論和實(shí)踐為引線，分為三大部分：理論篇、設(shè)計(jì)篇和應(yīng)用篇?！　〉谝徊糠株U述了信息安全的理論基礎(chǔ)。此部分涉及廣泛的安全概念和技術(shù)知識(shí)，從信息安全的發(fā)展和未來趨勢(shì)談起，涉及諸多的安全技術(shù)，如防火墻、入侵檢測(cè)、防病毒等等；并涵蓋目前流行的安全理論基礎(chǔ)，如可信計(jì)算理論、信息安全服務(wù)模型、風(fēng)險(xiǎn)管理等等；并且涉及國(guó)際國(guó)內(nèi)的信息安全現(xiàn)狀和趨勢(shì)，所遵從的信息安全相關(guān)標(biāo)準(zhǔn)和規(guī)范體系，如ISO/IEC 15408（Common Criteria）、FIPS 140-2、ISO/IEC 27001（原BS7799）的安全要求，以及國(guó)內(nèi)的標(biāo)準(zhǔn)現(xiàn)狀、等級(jí)保護(hù)要求等。　　第二部分從設(shè)計(jì)的角度出發(fā)，闡述了平臺(tái)建設(shè)的設(shè)計(jì)理念。首先從平臺(tái)的基礎(chǔ)體系入手，介紹體系架構(gòu)和開發(fā)環(huán)境；然后探討平臺(tái)涉及的接口協(xié)議和格式，中間件概念及設(shè)計(jì)思路；安全域的網(wǎng)絡(luò)設(shè)計(jì)和平臺(tái)的結(jié)合；隨后探討平臺(tái)的保障功能設(shè)計(jì)，如身份認(rèn)證；并著重以模塊的形式探討信息安全平臺(tái)的設(shè)計(jì)思路和技術(shù)細(xì)節(jié)，并提出相關(guān)的增強(qiáng)輔助模塊設(shè)計(jì)，如自身安全考慮等?！　〉谌糠株U述了信息安全平臺(tái)建設(shè)的實(shí)踐和應(yīng)用。首先給出某機(jī)構(gòu)實(shí)現(xiàn)信息安全管理平臺(tái)的實(shí)例描述；之后從目前應(yīng)用面最廣泛的微軟產(chǎn)品線入手，介紹信息安全建設(shè)的應(yīng)用模型和實(shí)例；從行業(yè)發(fā)展來看，政府、電力、通信、軍工軍隊(duì)、金融，各個(gè)領(lǐng)域?qū)τ谛畔踩囊蟛粩嘣黾?，具有其共同點(diǎn)又存在差異。金融機(jī)構(gòu)從網(wǎng)絡(luò)基礎(chǔ)建設(shè)、數(shù)據(jù)大集中以來，安全建設(shè)將是重中之重。中國(guó)的信息安全起步和發(fā)展都處于世界前列，特別是在金融領(lǐng)域，2000年以來信息安全的技術(shù)和管理層面都已經(jīng)做了大量的工作。本部分將對(duì)各行業(yè)的信息安全勢(shì)態(tài)進(jìn)行分析和介紹，并著重于金融行業(yè)信息安全，分析其如何為金融客戶提供高可靠、高質(zhì)量的服務(wù)，使得金融機(jī)構(gòu)穩(wěn)步健康地發(fā)展。最后在本部分中，針對(duì)平臺(tái)相關(guān)的標(biāo)準(zhǔn)應(yīng)用進(jìn)行分析和介紹，如等級(jí)保護(hù)的實(shí)踐?！　”緯鴮⒁孕畔踩脚_(tái)建設(shè)為出發(fā)點(diǎn)，談及了如何切實(shí)地落實(shí)信息安全工作，特別是從安全管理理念考慮。平臺(tái)的建設(shè)是整個(gè)信息安全管理體系（ISMS）PDCA過程的重要的工作，各機(jī)構(gòu)在信息安全建設(shè)中，應(yīng)配合其實(shí)施和應(yīng)用，加強(qiáng)安全策略的制定、資產(chǎn)的梳理、風(fēng)險(xiǎn)評(píng)估工作、安全域的劃分、安全意識(shí)和培訓(xùn)、建立應(yīng)急響應(yīng)等等安全工作，從而將安全管理與技術(shù)手段有效地結(jié)合?！　≡诒緯木帉戇^程中，我們獲得了業(yè)界專家和同仁的巨大幫助。在此我們特別感謝潘柱廷、肖立昕、趙呈東、徐剛、吳茂標(biāo)、任平為本書提供寶貴的思路和參考資料；感謝郭斌、馬丹、楊帆在編寫過程中的幫助；感謝白海蔚、劉輝對(duì)本書進(jìn)行審核；感謝所有為本書的出版做出貢獻(xiàn)的人?！　”緯鴥?nèi)容深入淺出，涵蓋信息安全建設(shè)的各個(gè)方面，特別是從管理的角度探討信息安全并致力于技術(shù)實(shí)現(xiàn)。本書適用于廣泛的讀者群體，包括但不限于各行業(yè)機(jī)構(gòu)的IT管理者、機(jī)構(gòu)高層決策者、信息安全專家、研究學(xué)者、產(chǎn)品開發(fā)者等。我們希望和各方面的信息安全參與者共同研究，提高整體信息安全的管理和技術(shù)水平?！　∽鳌≌摺　?007年3月

內(nèi)容概要

　　 本書遵循由一般到具體、由理論到實(shí)踐的原則闡述了當(dāng)前國(guó)內(nèi)外信息安全領(lǐng)域的相關(guān)話題，探討了信息安全平臺(tái)建設(shè)的理論基礎(chǔ)和設(shè)計(jì)思路，并從實(shí)際應(yīng)用出發(fā)探討如何切實(shí)地落實(shí)信息安全工作。本書有助于組織構(gòu)建以風(fēng)險(xiǎn)管理為核心的保障體系，構(gòu)建符合ISO/IEC 15408 標(biāo)準(zhǔn)的系統(tǒng)，實(shí)現(xiàn)ISO/IEC 27001信息安全管理體系要求的控制措施，貫徹ISSE和IATF縱深防御的信息安全設(shè)計(jì)思路，從而能夠?qū)嶋H強(qiáng)化信息安全意識(shí)，提高安全防護(hù)水平。

書籍目錄

上篇（理論篇）　第1章  信息安全概述　　1.1  信息安全的內(nèi)涵　　1.2  信息安全發(fā)展歷程　　　1.2.1  發(fā)展的3個(gè)階段　　　1.2.2  主流技術(shù)發(fā)展　　　1.2.3  發(fā)展歷程小結(jié)　　1.3  信息安全的發(fā)展趨勢(shì)　　　1.3.1  發(fā)展的五大趨勢(shì)　　　1.3.2  信息安全管理越來越重要　　　1.3.3  平臺(tái)化整合成為必然　　1.4  小結(jié)　第2章  信息安全管理　　2.1  信息安全管理理論　　　2.1.1  PDCA循環(huán)　　　2.1.2  WPDRR模型　　　2.1.3  信息安全保障體系構(gòu)架　　　2.1.4  三觀安全體系　　2.2  信息安全管理標(biāo)準(zhǔn)　　　2.2.1  IT治理標(biāo)準(zhǔn)　　　2.2.2  信息安全評(píng)估標(biāo)準(zhǔn)　　　2.2.3  信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)　　　2.2.4  我國(guó)信息安全管理標(biāo)準(zhǔn)　　2.3  ISO/IEC 27001標(biāo)準(zhǔn)　　　2.3.1  標(biāo)準(zhǔn)的發(fā)展歷程　　　2.3.2  標(biāo)準(zhǔn)主導(dǎo)思路　　　2.3.3  與其他質(zhì)量管理體系的相關(guān)性　　　2.3.4  與風(fēng)險(xiǎn)管理的相關(guān)性　　　2.3.5  標(biāo)準(zhǔn)的主要內(nèi)容　　　2.3.6  簡(jiǎn)單評(píng)價(jià)　　2.4  共同準(zhǔn)則（CC）　　　2.4.1  評(píng)估準(zhǔn)則　　　2.4.2  標(biāo)準(zhǔn)的歷史和未來　　　2.4.3  早先的評(píng)估標(biāo)準(zhǔn)　　　2.4.4  標(biāo)準(zhǔn)的組成　　　2.4.5  評(píng)估方法論CEM　　2.5  小結(jié)　第3章  信息安全管理平臺(tái)　　3.1  信息安全管理平臺(tái)概述　　　3.1.1  平臺(tái)的需求　　　3.1.2  信息安全管理平臺(tái)的內(nèi)涵　　　3.1.3  平臺(tái)的原則　　3.2  平臺(tái)體系結(jié)構(gòu)　　　3.2.1  代表性平臺(tái)體系結(jié)構(gòu)　　　3.2.2  基于三觀論思想的平臺(tái)總體框架　　　3.2.3  主要功能　　　3.2.4  輔助功能　　　3.2.5  與其他平臺(tái)集成　　3.3  平臺(tái)關(guān)鍵技術(shù)　　　3.3.1  聯(lián)動(dòng)互操作技術(shù)　　　3.3.2  安全代理——數(shù)據(jù)采集標(biāo)準(zhǔn)化　　　3.3.3  可視化技術(shù)　　　3.3.4  基礎(chǔ)性支撐協(xié)議/技術(shù)　　3.4  小結(jié)　第4章  可信計(jì)算與安全平臺(tái)　　4.1  可信計(jì)算概述　　　4.1.1  TCG的可信計(jì)算理論　　　4.1.2  微軟的值得信賴系統(tǒng)　　4.2  可信計(jì)算基本理論　　　4.2.1  TPM　　　4.2.2  體系框架　　4.3  可信網(wǎng)絡(luò)連接TNC　　　4.3.1  TNC概述　　　4.3.2  TNC構(gòu)架　　4.4  可信計(jì)算應(yīng)用　　　4.4.1  信息加密保護(hù)　　　4.4.2  操作系統(tǒng)安全　　　4.4.3  網(wǎng)絡(luò)保護(hù)　　4.5  基于可信計(jì)算的安全平臺(tái)　　4.6  小結(jié)　第5章  風(fēng)險(xiǎn)管理與安全平臺(tái)　　5.1  風(fēng)險(xiǎn)管理概述　　5.2  一般風(fēng)險(xiǎn)管理模型　　　5.2.1  ISO13335風(fēng)險(xiǎn)管理模型　　　5.2.2  AS/NZS4360風(fēng)險(xiǎn)管理模型　　　5.2.3  微軟風(fēng)險(xiǎn)管理流程　　5.3  風(fēng)險(xiǎn)評(píng)估　　　5.3.1  風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的關(guān)系　　　5.3.2  風(fēng)險(xiǎn)評(píng)估模型　　　5.3.3  風(fēng)險(xiǎn)評(píng)估過程　　　5.3.4  風(fēng)險(xiǎn)評(píng)估方法　　　5.3.5  評(píng)估工具　　5.4  風(fēng)險(xiǎn)管理理論與安全平臺(tái)建設(shè)　　5.5  小結(jié)中篇（設(shè)計(jì)篇）　第6章  平臺(tái)基礎(chǔ)體系設(shè)計(jì)　　6.1  軟件體系結(jié)構(gòu)　　　6.1.1  歷史和發(fā)展　　　6.1.2  常用體系風(fēng)格　　6.2  基于SOA的體系結(jié)構(gòu)　　　6.2.1  基本概念　　　6.2.2  應(yīng)用系統(tǒng)框架　　　6.2.3  結(jié)構(gòu)框架　　　6.2.4  設(shè)計(jì)原則　　6.3  J2EE體系結(jié)構(gòu)　　　6.3.1  組件——容器　　　6.3.2  EJB　　　6.3.3  平臺(tái)標(biāo)準(zhǔn)服務(wù)　　　6.3.4  多層應(yīng)用模型　　　6.3.5  基于J2EE的平臺(tái)架構(gòu)　　6.4  .NET體系結(jié)構(gòu)　　　6.4.1  框架內(nèi)核　　　6.4.2  CLR　　　6.4.3  類庫　　　6.4.4  基于.NET的平臺(tái)架構(gòu)　　6.5  小結(jié)　第7章  平臺(tái)接口和中間件　　7.1  接口設(shè)計(jì)　　　7.1.1  簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議　　　7.1.2  Syslog功能　　　7.1.3  格式對(duì)比　　　7.1.4  數(shù)據(jù)標(biāo)準(zhǔn)的分類　　7.2  中間件　　　7.2.1  概念和分類　　　7.2.2  主要的中間件類型　　　7.2.3  面臨的一些問題　　　7.2.4  開發(fā)方法　　7.3  小結(jié)　第8章  安全域網(wǎng)絡(luò)設(shè)計(jì)　　8.1  安全域簡(jiǎn)介　　　8.1.1  基本概念　　　8.1.2  安全域的作用　　　8.1.3  安全域的特性　　　8.1.4  安全域依存關(guān)系　　　8.1.5  安全域的防護(hù)　　8.2  安全域設(shè)計(jì)思想　　　8.2.1  劃分方法　　　8.2.2  IATF安全域劃分　　　8.2.3  同構(gòu)劃分　　　8.2.4  劃分步驟　　8.3  安全域設(shè)計(jì)實(shí)例　　　8.3.1  某金融組織案例分析　　　8.3.2  某電信組織案例分析　　8.4  安全域與平臺(tái)的相輔相成　　　8.4.1  安全域劃分的意義　　　8.4.2  結(jié)合的建設(shè)成效　　8.5  小結(jié)　第9章  保障功能設(shè)計(jì)　　9.1  認(rèn)證體系設(shè)計(jì)　　　9.1.1  統(tǒng)一身份認(rèn)證　　　9.1.2  密鑰管理系統(tǒng)　　　9.1.3  CA和PKI體系　　9.2  平臺(tái)認(rèn)證思路　　　9.2.1  證書的應(yīng)用　　　9.2.2  系統(tǒng)平臺(tái)建設(shè)　　9.3  安全監(jiān)控9.3.1  原理和要素9.3.2  體系結(jié)構(gòu)9.4  可信接入設(shè)計(jì)　　　9.4.1  從TNC到可信接入　　　9.4.2  Cisco自防御網(wǎng)絡(luò)　　9.5  小結(jié)　第10章  平臺(tái)模塊設(shè)計(jì)　　10.1  遠(yuǎn)程安全信息采集　　　10.1.1  概述　　　10.1.2  總體設(shè)計(jì)思路　　　10.1.3  功能需求　　　10.1.4  非功能性需求　　10.2  綜合安全監(jiān)測(cè)　　　10.2.1  概述　　　10.2.2  總體設(shè)計(jì)思路　　　10.2.3  功能需求　　10.3  安全風(fēng)險(xiǎn)分析　　　10.3.1  概述　　　10.3.2  總體設(shè)計(jì)思路　　　10.3.3  功能需求　　　10.3.4  非功能性需求　　10.4  應(yīng)急響應(yīng)支持　　　10.4.1  一般處理流程　　　10.4.2  總體設(shè)計(jì)思路　　10.5  遠(yuǎn)程安全管理　　　10.5.1  概述　　　10.5.2  總體設(shè)計(jì)思路　　　10.5.3  功能需求　　　10.5.4  非功能性需求　　10.6  用戶終端10.6.1  概述10.6.2  總體設(shè)計(jì)思路　　　10.6.3  功能需求　　　10.6.4  非功能性需求　　10.7  互聯(lián)網(wǎng)安全誘捕　　　10.7.1  概述　　　10.7.2  總體設(shè)計(jì)思路　　　10.7.3  功能需求　　　10.7.4  非功能性需求　　10.8  平臺(tái)的多級(jí)架構(gòu)互連　　10.9  小結(jié)　第11章  增強(qiáng)功能設(shè)計(jì)　　11.1  平臺(tái)報(bào)表管理　　　11.1.1  概述　　　11.1.2  報(bào)表管理設(shè)計(jì)　　　11.1.3  功能需求　　　11.1.4  非功能性需求　　11.2  平臺(tái)系統(tǒng)配置　　　11.2.1  概述　　　11.2.2  系統(tǒng)配置設(shè)計(jì)方案　　　11.2.3  系統(tǒng)功能設(shè)計(jì)　　　11.2.4  非功能性需求　　11.3  平臺(tái)系統(tǒng)安全　　　11.3.1  系統(tǒng)安全概述　　　11.3.2  系統(tǒng)安全總體設(shè)計(jì)　　　11.3.3  日志和審計(jì)　　　11.3.4  用戶安全　　　11.3.5  系統(tǒng)升級(jí)管理　　　11.3.6  系統(tǒng)數(shù)據(jù)安全　　　11.3.7  非功能性需求　　11.4  合規(guī)性管理　　　11.4.1  概述　　　11.4.2  指標(biāo)體系　　　11.4.3  典型合規(guī)實(shí)例　　　11.5  小結(jié)下篇（應(yīng)用篇）　第12章  平臺(tái)實(shí)現(xiàn)實(shí)例　　12.1  體系架構(gòu)　　　12.1.1  環(huán)境與開發(fā)語言　　　12.1.2  平臺(tái)結(jié)構(gòu)　　12.2  實(shí)例總體設(shè)計(jì)分析　　　12.2.1  信息資產(chǎn)等級(jí)保護(hù)　　　12.2.2  安全事件管理　　　12.2.3  網(wǎng)絡(luò)行為審計(jì)　　　12.2.4  脆弱性掃描和評(píng)估　　　12.2.5  風(fēng)險(xiǎn)管理　　　12.2.6  響應(yīng)管理　　　12.2.7  知識(shí)管理　　　12.2.8  綜合顯示　　　12.2.9  用戶管理　　12.3  平臺(tái)用戶管理的使用　　　12.3.1  用戶登錄　　　12.3.2  用戶組管理　　　12.3.3  用戶管理　　　12.3.4  審計(jì)查看　　12.4  小結(jié)　第13章  微軟系統(tǒng)的平臺(tái)應(yīng)用　　13.1  體系架構(gòu)　　13.2  操作系統(tǒng)　　13.3  平臺(tái)中基于微軟產(chǎn)品的應(yīng)用　　　13.3.1  郵件系統(tǒng)　　　13.3.2  數(shù)據(jù)庫系統(tǒng)　　　13.3.3  補(bǔ)丁管理　　13.4  監(jiān)控管理系統(tǒng)　　13.5  小結(jié)　第14章  行業(yè)安全實(shí)踐　　14.1  金融行業(yè)安全實(shí)踐　　14.1.1  概述　　　14.1.2  體系建設(shè)思路　　　14.1.3  技術(shù)體系建設(shè)　　　14.1.4  網(wǎng)上銀行安全思路　　　14.1.5  構(gòu)建信息安全管理平臺(tái)　　14.2  電力行業(yè)安全實(shí)踐　　　14.2.1  總體建設(shè)思路　　　14.2.2  安全技術(shù)要求　　　14.2.3  安全管理層面　　14.3  電信行業(yè)安全實(shí)踐　　　14.3.1  數(shù)據(jù)網(wǎng)　　　14.3.2  辦公系統(tǒng)　　14.4  政府組織安全實(shí)踐　　　14.4.1  需求分析　　　14.4.2  現(xiàn)狀和威脅分析　　　14.4.3  建設(shè)思路　　14.5  軍隊(duì)軍工領(lǐng)域?qū)嵺`　　　14.5.1  背景　　　14.5.2  規(guī)劃原則　　　14.5.3  需求分析　　　14.5.4  解決方案　　　14.5.5  建設(shè)步驟規(guī)劃　　14.6  教育行業(yè)安全實(shí)踐　　　14.6.1  需求分析　　　14.6.2  總體設(shè)計(jì)思路　　14.7  小結(jié)　第15章  基于標(biāo)準(zhǔn)的應(yīng)用　　15.1  等級(jí)保護(hù)的思路　　　15.1.1  背景介紹　　　15.1.2  概念　　　15.1.3  安全等級(jí)的劃分　　　15.1.4  等級(jí)的保護(hù)能力　　15.2  準(zhǔn)備計(jì)劃　　　15.2.1  系統(tǒng)識(shí)別和描述　　　15.2.2  業(yè)務(wù)子系統(tǒng)劃分　　　15.2.3  信息系統(tǒng)劃分　　　15.2.4  安全等級(jí)確定　　15.3  規(guī)劃設(shè)計(jì)　　　15.3.1  安全需求分析　　　15.3.2  總體設(shè)計(jì)　　15.4  實(shí)施建設(shè)　　　15.4.1  詳細(xì)設(shè)計(jì)　　　15.4.2  管理實(shí)施　　　15.4.3  技術(shù)實(shí)施　　15.5  運(yùn)行維護(hù)　　15.6  小結(jié)結(jié)束語主要參考文獻(xiàn)

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全管理平臺(tái)理論與實(shí)踐 PDF格式下載

---