信息安全保衛(wèi)戰(zhàn)

前言

社會(huì)信息化，已成不可阻擋的歷史潮流，成為大趨勢(shì)，引發(fā)可怕的信息安全威脅。可以看到，隨著新一代信息技術(shù)的飛速發(fā)展和應(yīng)用，給我們帶來好處的同時(shí)，也相應(yīng)地給我們帶了前所未有的信息安全威脅。信息安全逐漸告別傳統(tǒng)的病毒感染、網(wǎng)站被黑及資源濫用等時(shí)代，邁進(jìn)了一個(gè)復(fù)雜多元、綜合交互的新時(shí)期。如何在有效利用信息技術(shù)的同時(shí)，積極應(yīng)對(duì)和及時(shí)識(shí)別和規(guī)避這些風(fēng)險(xiǎn)，形成新的信息安全建設(shè)策略與實(shí)踐，打好信息安全保衛(wèi)戰(zhàn)，是我們大家必須面對(duì)的主題，也是本書討論和論述的話題。《信息安全保衛(wèi)戰(zhàn)》是筆者有關(guān)企業(yè)信息化建設(shè)系列叢書之一，她的出版和近年來筆者在清華大學(xué)出版社出版的《云計(jì)算——企業(yè)信息化建設(shè)策略與實(shí)踐》、《云計(jì)算——技術(shù)、平臺(tái)及應(yīng)用案例》以及《信息化與信息管理實(shí)踐之道》構(gòu)成一個(gè)完整的企業(yè)信息化建設(shè)四部曲。第一本云計(jì)算是云計(jì)算的普及圖書，全面系統(tǒng)地論述了云計(jì)算的概念、技術(shù)以及市場(chǎng)發(fā)展?fàn)顩r，并在此基礎(chǔ)上進(jìn)一步闡述基于云計(jì)算的企業(yè)信息化建設(shè)策略與實(shí)踐。第二本云計(jì)算是在第一本基礎(chǔ)上深入闡述云計(jì)算的概念、技術(shù)和架構(gòu)以及國(guó)內(nèi)外的應(yīng)用案例。第三本是有關(guān)企業(yè)信息化與信息管理的實(shí)戰(zhàn)圖書，從信息化規(guī)劃、管控、標(biāo)準(zhǔn)和項(xiàng)目實(shí)施等層面論述企業(yè)信息化建設(shè)的策略、方法與實(shí)踐。第四本也就是本書是對(duì)信息安全這一主題的全面深入論述。本書基于云計(jì)算理念，提出一個(gè)組織的整體安全概念，從組織的戰(zhàn)略、業(yè)務(wù)出發(fā)，結(jié)合安全標(biāo)準(zhǔn)和業(yè)界最佳實(shí)踐，形成系統(tǒng)的方法路徑，幫助組織定位安全現(xiàn)狀，了解安全需求，實(shí)施安全建設(shè)，以打贏我們的信息安全保衛(wèi)戰(zhàn)。目前業(yè)界已有眾多的信息安全書籍，但大都是針對(duì)某一系統(tǒng)的信息安全具體的技術(shù)探討。本書旨在對(duì)一個(gè)組織信息安全建設(shè)提供一個(gè)集成的、標(biāo)準(zhǔn)的信息安全框架，為組織信息安全平臺(tái)的建設(shè)、設(shè)計(jì)、實(shí)施提供指導(dǎo)。全書為11章，其主要內(nèi)容如下。第1章首先從全球一體化、信息技術(shù)的發(fā)展利用等方面綜述了信息化社會(huì)的信息安全威脅，并進(jìn)一步闡述了企業(yè)信息化的發(fā)展應(yīng)用對(duì)企業(yè)信息安全帶來的威脅。第2章通過企業(yè)合規(guī)經(jīng)營(yíng)風(fēng)險(xiǎn)分析引入企業(yè)風(fēng)險(xiǎn)與信息安全的關(guān)系，說明信息安全是確保企業(yè)合規(guī)經(jīng)營(yíng)的基本保障。第3章在分析企業(yè)信息安全現(xiàn)狀的基礎(chǔ)上進(jìn)一步論述了企業(yè)信息安全建設(shè)的目的意義，說明打贏信息安全保衛(wèi)戰(zhàn)的重要性。第4章介紹了信息安全發(fā)展歷程和國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)。第5章在分析云計(jì)算安全問題基礎(chǔ)上進(jìn)一步提出了云計(jì)算安全框架，并論述了云計(jì)算安全標(biāo)準(zhǔn)的發(fā)展情況，最后進(jìn)一步綜述了國(guó)內(nèi)外先進(jìn)的云計(jì)算安全提供商的云計(jì)算安全解決方案。第6章引入企業(yè)信息安全框架概念，并全面、完整地闡述了企業(yè)信息安全框架的定義、內(nèi)容以及建設(shè)意義。第7、8、9章分別對(duì)信息安全框架的三個(gè)組成部分：信息安全管理、運(yùn)維和技術(shù)體系深入介紹和描述。第10章從一個(gè)組織的戰(zhàn)略出發(fā)來全面考慮組織的信息安全的規(guī)劃、管理、技術(shù)、運(yùn)維等完整的信息安全框架設(shè)計(jì)與實(shí)施的策略與方法并進(jìn)行了系統(tǒng)論述，給出一個(gè)信息安全框架建設(shè)的方法和路徑，第11章并給出了相應(yīng)的實(shí)踐案例。本書定位于一個(gè)組織（包括政府、區(qū)域和城市、企業(yè)等）信息安全建設(shè)理論、技術(shù)、策略方法以及實(shí)踐案例介紹和論述，從系統(tǒng)工程層面來論述，體現(xiàn)企業(yè)信息安全建設(shè)的方法論。本書主要面向企業(yè)的CEO和企業(yè)管理人員，企業(yè)的CIO和從事信息化、信息安全建設(shè)的IT人；其次是咨詢公司的業(yè)務(wù)和IT咨詢?nèi)藛T以及企業(yè)信息安全項(xiàng)目實(shí)施人員；當(dāng)然對(duì)于政府的管理人員來講，是一個(gè)很好的信息安全知識(shí)水平和工作思路的提升學(xué)習(xí)的最佳參考書；對(duì)于大專院校的師生們進(jìn)一步系統(tǒng)地認(rèn)識(shí)企業(yè)信息安全建設(shè)、企業(yè)IT的實(shí)際情況，企業(yè)和社會(huì)信息安全建設(shè)思路是一個(gè)絕好的參考書；最后，對(duì)于從事企業(yè)信息安全的服務(wù)提供商也是一個(gè)很好的值得借鑒的參考書，因?yàn)橹挥猩羁塘私馄髽I(yè)的需求、信息安全建設(shè)的系統(tǒng)思維，才能實(shí)施好企業(yè)信息安全項(xiàng)目。本書由雷萬云博士主持編寫，華為技術(shù)公司、啟明星辰信息安全公司和深信服科技公司相關(guān)專家參加了編寫。他們分別是：華為企業(yè)網(wǎng)安全首席技術(shù)官何利文，IEEE高級(jí)會(huì)員，全國(guó)青聯(lián)IT聯(lián)誼會(huì)常務(wù)理事，英國(guó)謝菲爾德大學(xué)博士，曾任英國(guó)電信首席安全研究員；華為數(shù)據(jù)中心安全高級(jí)營(yíng)銷顧問時(shí)成閣；華為企業(yè)網(wǎng)安全高級(jí)營(yíng)銷顧問黃菲一。啟明星辰信息安全高級(jí)咨詢顧問劉德文和張艷博士。深信服科技市場(chǎng)技術(shù)總監(jiān)殷浩先生。雷萬云博士撰寫了大綱和各章節(jié)的主要內(nèi)容要點(diǎn)，對(duì)全書各章節(jié)內(nèi)容進(jìn)行了優(yōu)化、統(tǒng)稿和對(duì)全部?jī)?nèi)容進(jìn)行了審閱，并撰寫了前言。其中第1章、第3章和第4章由雷萬云博士撰寫；第2章由雷萬云博士、王靜撰寫；第5章由雷萬云博士、何利文、黃菲一撰寫；第6章由雷萬云博士、劉德文、張艷博士撰寫；第7章由劉德文、雷萬云博士、張艷撰寫；第8章由何利文、時(shí)成閣、劉德文、雷萬云博士撰寫；第9章由何利文、時(shí)成閣、雷萬云博士、殷浩撰寫；第10章由雷萬云博士、劉德文、張艷編寫，第11章由雷萬云博士、劉德文、張艷、殷浩編寫。李懿凌和韓金利畫了書中的大部分示圖。由于作者水平有限，書中難免有疏漏和不當(dāng)之處，敬請(qǐng)讀者批評(píng)指正。最后，謹(jǐn)向幫助、支持和鼓勵(lì)我完成本書的我的家人、同事、領(lǐng)導(dǎo)、朋友、合作伙伴以及清華出版社的領(lǐng)導(dǎo)、編輯表示真摯的感謝！博士2012年國(guó)慶假期于北京

內(nèi)容概要

　　本書定位于一個(gè)組織信息安全建設(shè)理論、技術(shù)、策略方法以及實(shí)踐案例的介紹和論述，描述當(dāng)今信息化社會(huì)環(huán)境下，如何打贏信息安全保衛(wèi)戰(zhàn)。全書分為11章，首先綜述了信息化社會(huì)的信息安全威脅，說明打贏信息安全保衛(wèi)戰(zhàn)的重要意義。其次論述了信息安全發(fā)展歷程和信息安全標(biāo)準(zhǔn)以及云計(jì)算安全發(fā)展?fàn)顩r。再次，提出了企業(yè)信息安全框架的概念和內(nèi)容，最后給出了一個(gè)組織信息安全框架建設(shè)的策略與方法以及實(shí)踐案例，幫助讀者形成信息安全建設(shè)的思路和系統(tǒng)的方法路徑以及最佳實(shí)踐。
　　本書面向組織的管理者、CIO和從事信息化、信息安全建設(shè)的IT人；其次是咨詢公司的業(yè)務(wù)和IT咨詢?nèi)藛T以及企業(yè)信息安全項(xiàng)目實(shí)施人員。對(duì)于大專院校的師生們進(jìn)一步系統(tǒng)地認(rèn)識(shí)企業(yè)信息安全建設(shè)、形成科學(xué)系統(tǒng)的信息安全建設(shè)思路是一個(gè)絕好的參考書。
　　基于云計(jì)算理念，本書提出一個(gè)組織的整體安全框架，從組織的戰(zhàn)略、業(yè)務(wù)出發(fā)，結(jié)合安全標(biāo)準(zhǔn)和業(yè)界最佳實(shí)踐，形成系統(tǒng)的信息安全建設(shè)方法路徑。
　　幫助組織定位安全現(xiàn)狀，了解安全需求，實(shí)施安全建設(shè)，以打贏信息安全保衛(wèi)戰(zhàn)。

作者簡(jiǎn)介

　　雷萬云先生先后從中國(guó)電子科技大學(xué)、西安交通大學(xué)、西北工業(yè)大學(xué)畢業(yè)，分別獲得電子信息科學(xué)技術(shù)專業(yè)的學(xué)士、碩士和博士學(xué)位，并在德國(guó)技術(shù)物理研究院學(xué)習(xí)工作二年。
　　雷博士曾任國(guó)家某大型國(guó)防科技研究所副所長(zhǎng)、國(guó)家電子信息技術(shù)領(lǐng)域技術(shù)專家、國(guó)家電子信息技術(shù)學(xué)報(bào)編委會(huì)主任、主編，某大型金融證券資訊公司總裁。雷博士有20余年信息化方面的研究開發(fā)、實(shí)施和管理經(jīng)驗(yàn)，是管理與信息化方面的專家；國(guó)家認(rèn)證的高級(jí)企業(yè)信息管理師，尤其對(duì)集團(tuán)企業(yè)和醫(yī)藥行業(yè)的信息化建設(shè)有深刻理解和最佳實(shí)踐。近年來致力于云計(jì)算系統(tǒng)研究，并著有《云計(jì)算——企業(yè)信息化建設(shè)策略與實(shí)踐》和《云計(jì)算——技術(shù)、平臺(tái)與應(yīng)用案例》兩本書，現(xiàn)從事醫(yī)藥行業(yè)信息化管理工作。

書籍目錄

第1章 信息化社會(huì)的信息安全威脅
1.1 信息化是世界發(fā)展的大趨勢(shì)
1.1.1 社會(huì)信息化的趨勢(shì)
1.1.2 新IT技術(shù)應(yīng)用帶來新風(fēng)險(xiǎn)
1.2 全球一體化的趨勢(shì)
1.3 企業(yè)發(fā)展與競(jìng)爭(zhēng)的趨勢(shì)
1.4 信息安全威脅綜述
1.4.1 信息安全面臨的主要威脅
1.4.2 信息安全問題分析
1.4.3 信息安全管理現(xiàn)狀分析
1.4.4 信息安全形勢(shì)和事故分析
1.4.5 信息安全對(duì)企業(yè)威脅分析
第2章 企業(yè)風(fēng)險(xiǎn)與信息安全
2.1 企業(yè)合規(guī)風(fēng)險(xiǎn)
2.1.1 從企業(yè)合規(guī)風(fēng)險(xiǎn)看IT管理風(fēng)險(xiǎn)
2.1.2 從SOX合規(guī)性看我國(guó)IT內(nèi)控規(guī)范
2.1.3 安全合規(guī)性管理
2.2 企業(yè)數(shù)據(jù)泄密風(fēng)險(xiǎn)
2.2.1 數(shù)據(jù)安全評(píng)估
2.2.2 數(shù)據(jù)安全風(fēng)險(xiǎn)分析
2.2.3 數(shù)據(jù)安全風(fēng)險(xiǎn)治理
2.3 從企業(yè)風(fēng)險(xiǎn)分析認(rèn)識(shí)信息安全風(fēng)險(xiǎn)
第3章 信息安全管理內(nèi)涵
3.1 信息安全概述
3.1.1 傳統(tǒng)信息安全的定義
3.1.2 信息安全技術(shù)與信息安全管理
3.1.3 當(dāng)代信息安全的新內(nèi)容
3.1.4 信息安全框架及其實(shí)施內(nèi)涵
3.2 信息安全建設(shè)階段分析
3.3 信息安全建設(shè)目的意義
第4章 信息安全發(fā)展與相關(guān)標(biāo)準(zhǔn)
4.1 信息安全發(fā)展
4.1.1 信息安全發(fā)展歷程
4.1.2 信息安全發(fā)展趨勢(shì)
4.2 信息安全管理標(biāo)準(zhǔn)的提出與發(fā)展
4.3 ISO/IEC 2700X系列國(guó)際標(biāo)準(zhǔn)
4.3.1 信息安全管理體系（ISO/IEC 27001: 2005）
4.3.2 信息安全管理實(shí)施細(xì)則（ISO/IEC 27002）
4.4 信息安全管理實(shí)施建議與指導(dǎo)類標(biāo)準(zhǔn)
4.5 信息安全測(cè)評(píng)標(biāo)準(zhǔn)
4.5.1 美國(guó)可信計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)（TCSEC）
4.5.2 國(guó)際通用準(zhǔn)則（CC）
4.6 信息安全國(guó)家標(biāo)準(zhǔn)簡(jiǎn)介
4.7 國(guó)家信息安全等級(jí)保護(hù)體系
4.7.1 國(guó)家信息安全保障工作的主要內(nèi)容
4.7.2 開展等級(jí)保護(hù)工作依據(jù)的政策和標(biāo)準(zhǔn)
4.7.3 等級(jí)保護(hù)工作的具體內(nèi)容和要求
4.7.4 中央企業(yè)開展等級(jí)保護(hù)工作要求
第5章 云計(jì)算安全
5.1 云計(jì)算安全問題分析
5.1.1 云計(jì)算的主要安全威脅分析
5.1.2 從云計(jì)算服務(wù)模式看安全
5.2 云計(jì)算安全框架
5.2.1 架構(gòu)即服務(wù)（IaaS）
5.2.2 網(wǎng)絡(luò)即服務(wù)（NaaS）
5.2.3 平臺(tái)即服務(wù)（PaaS）
5.2.4 數(shù)據(jù)即服務(wù)（DaaS）
5.2.5 軟件即服務(wù)（SaaS）
5.2.6 安全是一個(gè)過程
5.3 云計(jì)算安全標(biāo)準(zhǔn)化現(xiàn)狀
5.3.1 國(guó)際和國(guó)外標(biāo)準(zhǔn)化組織
5.3.2 國(guó)內(nèi)標(biāo)準(zhǔn)化組織
5.4 云計(jì)算安全解決方案概述
5.4.1 亞馬遜云計(jì)算安全解決方案
5.4.2 IBM虛擬化安全sHype解決方案
5.4.3 IBM基于XEN的可信虛擬域（TVD）
5.4.4 VMware虛擬化安全VMSafe
5.4.5 Cisco云數(shù)據(jù)中心安全解決方案
5.4.6 華為云安全解決方案
5.5 云計(jì)算安全開放命題
第6章 企業(yè)信息安全框架
第7章 信息安全管理體系
第8章 信息安全運(yùn)維體系
第9章 信息安全技術(shù)體系
第10章 信息安全體系建設(shè)
第11章 信息安全建設(shè)案例
參考文獻(xiàn)

章節(jié)摘錄

版權(quán)頁(yè)：   插圖：   2.組織機(jī)構(gòu)與職責(zé)分工 成立由企業(yè)主管領(lǐng)導(dǎo)任責(zé)任人的信息安全管理機(jī)構(gòu)，管理機(jī)構(gòu)具有以下職責(zé)： （1）組織、協(xié)調(diào)和指導(dǎo)本企業(yè)信息化建設(shè)、使用和維護(hù)開發(fā)工作； （2）組織制定信息化安全策略、流程和各種規(guī)章制度； （3）組織信息安全風(fēng)險(xiǎn)評(píng)估及信息安全教育培訓(xùn)； （4）組織信息化設(shè)備、設(shè)施、介質(zhì)等授權(quán)使用和管理、維護(hù)、監(jiān)督檢查； （5）落實(shí)年度安全計(jì)劃、報(bào)告等； （6）與國(guó)家相關(guān)主管部門建立日常工作關(guān)系； （7）執(zhí)行國(guó)家相關(guān)法律法規(guī)。 3.企業(yè)信息安全制度建立 企業(yè)信息安全管理機(jī)構(gòu)組織建立相應(yīng)的信息安全管理制度，明確崗位職責(zé)，實(shí)行領(lǐng)導(dǎo)責(zé)任制，層層落實(shí)，責(zé)任到人，使各個(gè)環(huán)節(jié)的每個(gè)工作人員明確應(yīng)承擔(dān)的職責(zé)和義務(wù)。信息安全管理制度要涵蓋信息化的產(chǎn)生、存儲(chǔ)、處理、傳輸、歸檔和銷毀的全過程，從人員、物理設(shè)施與環(huán)境、設(shè)備與介質(zhì)、運(yùn)行與開發(fā)和數(shù)據(jù)安全等諸多方面制定相應(yīng)的制度。 4.信息安全管理文件體系建立 （1）確立信息安全管理體系范圍和體系環(huán)境所需的過程； （2）戰(zhàn)略性和組織化的信息安全管理環(huán)境： （3）組織的信息安全風(fēng)險(xiǎn)管理方法； （4）信息安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)以及所要求的保證程度； （5）信息資產(chǎn)識(shí)別的范圍。 信息安全文件體系也可能在其他信息安全管理體系的控制范圍內(nèi)。在這種情況下，上下級(jí)控制的關(guān)系有下列兩種可能： 下級(jí)信息安全管理體系不使用上級(jí)信息安全管理體系的控制：在這種情況下，上級(jí)信息安全管理體系的控制不影響下級(jí)信息安全管理活動(dòng)。 下級(jí)信息安全管理體系使用上級(jí)信息安全管理體系的控制：在這種情況下，上級(jí)信息安全管理體系的控制可以被認(rèn)為是下級(jí)信息安全管理體系策劃活動(dòng)的“外部控制”。盡管此類外部控制并不影響下級(jí)信息安全管理體系的實(shí)施、檢查、措施活動(dòng)，但是下級(jí)信息安全管理體系仍然有責(zé)任確認(rèn)這些外部控制提供了充分的保護(hù)。 5.信息安全管理過程建立 （1）IT規(guī)劃管理：信息化規(guī)劃制定和跟蹤的流程。 （2）IT制度管理：信息化管理制度體系化建設(shè)和完善的流程。 （3）IT資源管理：對(duì)IT資源（包括人員、財(cái)務(wù)和IT資產(chǎn)）申請(qǐng)、審核、配備、評(píng)估的流程。 （4）監(jiān)督管理：依據(jù)IT規(guī)劃和制度對(duì)IT管理工作進(jìn)行監(jiān)督、檢查和跟蹤整改的流程。 （5）違規(guī)管理：對(duì)IT管理制度執(zhí)行過程中的違規(guī)行為進(jìn)行糾正與處罰的流程。 （6）外部環(huán)境：對(duì)影響IT管理目標(biāo)實(shí)現(xiàn)的外部因素進(jìn)行跟蹤、響應(yīng)、控制的流程。外部環(huán)境包括供應(yīng)商管理、市場(chǎng)、經(jīng)濟(jì)環(huán)境、金融安全等。

編輯推薦

《信息安全保衛(wèi)戰(zhàn):企業(yè)信息安全建設(shè)策略與實(shí)踐》基于云計(jì)算理念，提出一個(gè)組織的整體安全框架，從組織的戰(zhàn)略、業(yè)務(wù)出發(fā)，結(jié)合安全標(biāo)準(zhǔn)和業(yè)界最佳實(shí)踐，形成系統(tǒng)的信息安全建設(shè)方法路徑?！缎畔踩Ｐl(wèi)戰(zhàn):企業(yè)信息安全建設(shè)策略與實(shí)踐》幫助組織定位安全現(xiàn)狀，了解安全需求，實(shí)施安全建設(shè)，以打贏信息安全保衛(wèi)戰(zhàn)。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全保衛(wèi)戰(zhàn) PDF格式下載

---