信息安全管理平臺理論與實踐

前言

　　前言　　隨著信息化的飛速發(fā)展，信息安全技術和管理都受到了廣泛的關注。信息安全管理體系和標準特別強調，信息安全不僅強調技術，還應重視管理，要做到二者有機結合。如何體系化、流程化、平臺化地進行信息安全平臺的建設，是當前業(yè)界不斷討論和完善的重要話題之一?！　⌒畔踩脚_涵蓋了廣泛的信息安全技術和管理理念。機構資產的梳理、防火墻的配置、入侵檢測系統(tǒng)的事件分析甚至整個信息系統(tǒng)的脆弱性和威脅分析等等，單一的因素都不能構成完整的信息安全。機構的信息安全不僅僅要求技術人員對于細節(jié)的關注，更需要管理者宏觀地對整體的安全現(xiàn)狀和態(tài)勢進行了解和把握，果斷有效地傳達旨意采取措施。所以信息安全平臺建設的重要價值就是通過技術的實現(xiàn)手段加強對安全管理的關注?！　”緯鴮⑼ㄟ^信息安全平臺建設理論與實踐的方方面面，闡述信息安全的理論基礎和設計思路，并從實際應用出發(fā)探討如何切實地落實信息安全工作。　　本書將以信息安全平臺的建設理論和實踐為引線，分為三大部分：理論篇、設計篇和應用篇?！　〉谝徊糠株U述了信息安全的理論基礎。此部分涉及廣泛的安全概念和技術知識，從信息安全的發(fā)展和未來趨勢談起，涉及諸多的安全技術，如防火墻、入侵檢測、防病毒等等；并涵蓋目前流行的安全理論基礎，如可信計算理論、信息安全服務模型、風險管理等等；并且涉及國際國內的信息安全現(xiàn)狀和趨勢，所遵從的信息安全相關標準和規(guī)范體系，如ISO/IEC 15408（Common Criteria）、FIPS 140-2、ISO/IEC 27001（原BS7799）的安全要求，以及國內的標準現(xiàn)狀、等級保護要求等?！　〉诙糠謴脑O計的角度出發(fā)，闡述了平臺建設的設計理念。首先從平臺的基礎體系入手，介紹體系架構和開發(fā)環(huán)境；然后探討平臺涉及的接口協(xié)議和格式，中間件概念及設計思路；安全域的網(wǎng)絡設計和平臺的結合；隨后探討平臺的保障功能設計，如身份認證；并著重以模塊的形式探討信息安全平臺的設計思路和技術細節(jié)，并提出相關的增強輔助模塊設計，如自身安全考慮等?！　〉谌糠株U述了信息安全平臺建設的實踐和應用。首先給出某機構實現(xiàn)信息安全管理平臺的實例描述；之后從目前應用面最廣泛的微軟產品線入手，介紹信息安全建設的應用模型和實例；從行業(yè)發(fā)展來看，政府、電力、通信、軍工軍隊、金融，各個領域對于信息安全的要求不斷增加，具有其共同點又存在差異。金融機構從網(wǎng)絡基礎建設、數(shù)據(jù)大集中以來，安全建設將是重中之重。中國的信息安全起步和發(fā)展都處于世界前列，特別是在金融領域，2000年以來信息安全的技術和管理層面都已經(jīng)做了大量的工作。本部分將對各行業(yè)的信息安全勢態(tài)進行分析和介紹，并著重于金融行業(yè)信息安全，分析其如何為金融客戶提供高可靠、高質量的服務，使得金融機構穩(wěn)步健康地發(fā)展。最后在本部分中，針對平臺相關的標準應用進行分析和介紹，如等級保護的實踐。　　本書將以信息安全平臺建設為出發(fā)點，談及了如何切實地落實信息安全工作，特別是從安全管理理念考慮。平臺的建設是整個信息安全管理體系（ISMS）PDCA過程的重要的工作，各機構在信息安全建設中，應配合其實施和應用，加強安全策略的制定、資產的梳理、風險評估工作、安全域的劃分、安全意識和培訓、建立應急響應等等安全工作，從而將安全管理與技術手段有效地結合?！　≡诒緯木帉戇^程中，我們獲得了業(yè)界專家和同仁的巨大幫助。在此我們特別感謝潘柱廷、肖立昕、趙呈東、徐剛、吳茂標、任平為本書提供寶貴的思路和參考資料；感謝郭斌、馬丹、楊帆在編寫過程中的幫助；感謝白海蔚、劉輝對本書進行審核；感謝所有為本書的出版做出貢獻的人?！　”緯鴥热萆钊霚\出，涵蓋信息安全建設的各個方面，特別是從管理的角度探討信息安全并致力于技術實現(xiàn)。本書適用于廣泛的讀者群體，包括但不限于各行業(yè)機構的IT管理者、機構高層決策者、信息安全專家、研究學者、產品開發(fā)者等。我們希望和各方面的信息安全參與者共同研究，提高整體信息安全的管理和技術水平。　　作　者　　2007年3月

內容概要

　　 本書遵循由一般到具體、由理論到實踐的原則闡述了當前國內外信息安全領域的相關話題，探討了信息安全平臺建設的理論基礎和設計思路，并從實際應用出發(fā)探討如何切實地落實信息安全工作。本書有助于組織構建以風險管理為核心的保障體系，構建符合ISO/IEC 15408 標準的系統(tǒng)，實現(xiàn)ISO/IEC 27001信息安全管理體系要求的控制措施，貫徹ISSE和IATF縱深防御的信息安全設計思路，從而能夠實際強化信息安全意識，提高安全防護水平。

書籍目錄

上篇（理論篇）　第1章  信息安全概述　　1.1  信息安全的內涵　　1.2  信息安全發(fā)展歷程　　　1.2.1  發(fā)展的3個階段　　　1.2.2  主流技術發(fā)展　　　1.2.3  發(fā)展歷程小結　　1.3  信息安全的發(fā)展趨勢　　　1.3.1  發(fā)展的五大趨勢　　　1.3.2  信息安全管理越來越重要　　　1.3.3  平臺化整合成為必然　　1.4  小結　第2章  信息安全管理　　2.1  信息安全管理理論　　　2.1.1  PDCA循環(huán)　　　2.1.2  WPDRR模型　　　2.1.3  信息安全保障體系構架　　　2.1.4  三觀安全體系　　2.2  信息安全管理標準　　　2.2.1  IT治理標準　　　2.2.2  信息安全評估標準　　　2.2.3  信息安全風險管理標準　　　2.2.4  我國信息安全管理標準　　2.3  ISO/IEC 27001標準　　　2.3.1  標準的發(fā)展歷程　　　2.3.2  標準主導思路　　　2.3.3  與其他質量管理體系的相關性　　　2.3.4  與風險管理的相關性　　　2.3.5  標準的主要內容　　　2.3.6  簡單評價　　2.4  共同準則（CC）　　　2.4.1  評估準則　　　2.4.2  標準的歷史和未來　　　2.4.3  早先的評估標準　　　2.4.4  標準的組成　　　2.4.5  評估方法論CEM　　2.5  小結　第3章  信息安全管理平臺　　3.1  信息安全管理平臺概述　　　3.1.1  平臺的需求　　　3.1.2  信息安全管理平臺的內涵　　　3.1.3  平臺的原則　　3.2  平臺體系結構　　　3.2.1  代表性平臺體系結構　　　3.2.2  基于三觀論思想的平臺總體框架　　　3.2.3  主要功能　　　3.2.4  輔助功能　　　3.2.5  與其他平臺集成　　3.3  平臺關鍵技術　　　3.3.1  聯(lián)動互操作技術　　　3.3.2  安全代理——數(shù)據(jù)采集標準化　　　3.3.3  可視化技術　　　3.3.4  基礎性支撐協(xié)議/技術　　3.4  小結　第4章  可信計算與安全平臺　　4.1  可信計算概述　　　4.1.1  TCG的可信計算理論　　　4.1.2  微軟的值得信賴系統(tǒng)　　4.2  可信計算基本理論　　　4.2.1  TPM　　　4.2.2  體系框架　　4.3  可信網(wǎng)絡連接TNC　　　4.3.1  TNC概述　　　4.3.2  TNC構架　　4.4  可信計算應用　　　4.4.1  信息加密保護　　　4.4.2  操作系統(tǒng)安全　　　4.4.3  網(wǎng)絡保護　　4.5  基于可信計算的安全平臺　　4.6  小結　第5章  風險管理與安全平臺　　5.1  風險管理概述　　5.2  一般風險管理模型　　　5.2.1  ISO13335風險管理模型　　　5.2.2  AS/NZS4360風險管理模型　　　5.2.3  微軟風險管理流程　　5.3  風險評估　　　5.3.1  風險評估與風險管理的關系　　　5.3.2  風險評估模型　　　5.3.3  風險評估過程　　　5.3.4  風險評估方法　　　5.3.5  評估工具　　5.4  風險管理理論與安全平臺建設　　5.5  小結中篇（設計篇）　第6章  平臺基礎體系設計　　6.1  軟件體系結構　　　6.1.1  歷史和發(fā)展　　　6.1.2  常用體系風格　　6.2  基于SOA的體系結構　　　6.2.1  基本概念　　　6.2.2  應用系統(tǒng)框架　　　6.2.3  結構框架　　　6.2.4  設計原則　　6.3  J2EE體系結構　　　6.3.1  組件——容器　　　6.3.2  EJB　　　6.3.3  平臺標準服務　　　6.3.4  多層應用模型　　　6.3.5  基于J2EE的平臺架構　　6.4  .NET體系結構　　　6.4.1  框架內核　　　6.4.2  CLR　　　6.4.3  類庫　　　6.4.4  基于.NET的平臺架構　　6.5  小結　第7章  平臺接口和中間件　　7.1  接口設計　　　7.1.1  簡單網(wǎng)絡管理協(xié)議　　　7.1.2  Syslog功能　　　7.1.3  格式對比　　　7.1.4  數(shù)據(jù)標準的分類　　7.2  中間件　　　7.2.1  概念和分類　　　7.2.2  主要的中間件類型　　　7.2.3  面臨的一些問題　　　7.2.4  開發(fā)方法　　7.3  小結　第8章  安全域網(wǎng)絡設計　　8.1  安全域簡介　　　8.1.1  基本概念　　　8.1.2  安全域的作用　　　8.1.3  安全域的特性　　　8.1.4  安全域依存關系　　　8.1.5  安全域的防護　　8.2  安全域設計思想　　　8.2.1  劃分方法　　　8.2.2  IATF安全域劃分　　　8.2.3  同構劃分　　　8.2.4  劃分步驟　　8.3  安全域設計實例　　　8.3.1  某金融組織案例分析　　　8.3.2  某電信組織案例分析　　8.4  安全域與平臺的相輔相成　　　8.4.1  安全域劃分的意義　　　8.4.2  結合的建設成效　　8.5  小結　第9章  保障功能設計　　9.1  認證體系設計　　　9.1.1  統(tǒng)一身份認證　　　9.1.2  密鑰管理系統(tǒng)　　　9.1.3  CA和PKI體系　　9.2  平臺認證思路　　　9.2.1  證書的應用　　　9.2.2  系統(tǒng)平臺建設　　9.3  安全監(jiān)控9.3.1  原理和要素9.3.2  體系結構9.4  可信接入設計　　　9.4.1  從TNC到可信接入　　　9.4.2  Cisco自防御網(wǎng)絡　　9.5  小結　第10章  平臺模塊設計　　10.1  遠程安全信息采集　　　10.1.1  概述　　　10.1.2  總體設計思路　　　10.1.3  功能需求　　　10.1.4  非功能性需求　　10.2  綜合安全監(jiān)測　　　10.2.1  概述　　　10.2.2  總體設計思路　　　10.2.3  功能需求　　10.3  安全風險分析　　　10.3.1  概述　　　10.3.2  總體設計思路　　　10.3.3  功能需求　　　10.3.4  非功能性需求　　10.4  應急響應支持　　　10.4.1  一般處理流程　　　10.4.2  總體設計思路　　10.5  遠程安全管理　　　10.5.1  概述　　　10.5.2  總體設計思路　　　10.5.3  功能需求　　　10.5.4  非功能性需求　　10.6  用戶終端10.6.1  概述10.6.2  總體設計思路　　　10.6.3  功能需求　　　10.6.4  非功能性需求　　10.7  互聯(lián)網(wǎng)安全誘捕　　　10.7.1  概述　　　10.7.2  總體設計思路　　　10.7.3  功能需求　　　10.7.4  非功能性需求　　10.8  平臺的多級架構互連　　10.9  小結　第11章  增強功能設計　　11.1  平臺報表管理　　　11.1.1  概述　　　11.1.2  報表管理設計　　　11.1.3  功能需求　　　11.1.4  非功能性需求　　11.2  平臺系統(tǒng)配置　　　11.2.1  概述　　　11.2.2  系統(tǒng)配置設計方案　　　11.2.3  系統(tǒng)功能設計　　　11.2.4  非功能性需求　　11.3  平臺系統(tǒng)安全　　　11.3.1  系統(tǒng)安全概述　　　11.3.2  系統(tǒng)安全總體設計　　　11.3.3  日志和審計　　　11.3.4  用戶安全　　　11.3.5  系統(tǒng)升級管理　　　11.3.6  系統(tǒng)數(shù)據(jù)安全　　　11.3.7  非功能性需求　　11.4  合規(guī)性管理　　　11.4.1  概述　　　11.4.2  指標體系　　　11.4.3  典型合規(guī)實例　　　11.5  小結下篇（應用篇）　第12章  平臺實現(xiàn)實例　　12.1  體系架構　　　12.1.1  環(huán)境與開發(fā)語言　　　12.1.2  平臺結構　　12.2  實例總體設計分析　　　12.2.1  信息資產等級保護　　　12.2.2  安全事件管理　　　12.2.3  網(wǎng)絡行為審計　　　12.2.4  脆弱性掃描和評估　　　12.2.5  風險管理　　　12.2.6  響應管理　　　12.2.7  知識管理　　　12.2.8  綜合顯示　　　12.2.9  用戶管理　　12.3  平臺用戶管理的使用　　　12.3.1  用戶登錄　　　12.3.2  用戶組管理　　　12.3.3  用戶管理　　　12.3.4  審計查看　　12.4  小結　第13章  微軟系統(tǒng)的平臺應用　　13.1  體系架構　　13.2  操作系統(tǒng)　　13.3  平臺中基于微軟產品的應用　　　13.3.1  郵件系統(tǒng)　　　13.3.2  數(shù)據(jù)庫系統(tǒng)　　　13.3.3  補丁管理　　13.4  監(jiān)控管理系統(tǒng)　　13.5  小結　第14章  行業(yè)安全實踐　　14.1  金融行業(yè)安全實踐　　14.1.1  概述　　　14.1.2  體系建設思路　　　14.1.3  技術體系建設　　　14.1.4  網(wǎng)上銀行安全思路　　　14.1.5  構建信息安全管理平臺　　14.2  電力行業(yè)安全實踐　　　14.2.1  總體建設思路　　　14.2.2  安全技術要求　　　14.2.3  安全管理層面　　14.3  電信行業(yè)安全實踐　　　14.3.1  數(shù)據(jù)網(wǎng)　　　14.3.2  辦公系統(tǒng)　　14.4  政府組織安全實踐　　　14.4.1  需求分析　　　14.4.2  現(xiàn)狀和威脅分析　　　14.4.3  建設思路　　14.5  軍隊軍工領域實踐　　　14.5.1  背景　　　14.5.2  規(guī)劃原則　　　14.5.3  需求分析　　　14.5.4  解決方案　　　14.5.5  建設步驟規(guī)劃　　14.6  教育行業(yè)安全實踐　　　14.6.1  需求分析　　　14.6.2  總體設計思路　　14.7  小結　第15章  基于標準的應用　　15.1  等級保護的思路　　　15.1.1  背景介紹　　　15.1.2  概念　　　15.1.3  安全等級的劃分　　　15.1.4  等級的保護能力　　15.2  準備計劃　　　15.2.1  系統(tǒng)識別和描述　　　15.2.2  業(yè)務子系統(tǒng)劃分　　　15.2.3  信息系統(tǒng)劃分　　　15.2.4  安全等級確定　　15.3  規(guī)劃設計　　　15.3.1  安全需求分析　　　15.3.2  總體設計　　15.4  實施建設　　　15.4.1  詳細設計　　　15.4.2  管理實施　　　15.4.3  技術實施　　15.5  運行維護　　15.6  小結結束語主要參考文獻

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    信息安全管理平臺理論與實踐 PDF格式下載

---