信息安全保衛(wèi)戰(zhàn)

前言

社會信息化，已成不可阻擋的歷史潮流，成為大趨勢，引發(fā)可怕的信息安全威脅。可以看到，隨著新一代信息技術(shù)的飛速發(fā)展和應用，給我們帶來好處的同時，也相應地給我們帶了前所未有的信息安全威脅。信息安全逐漸告別傳統(tǒng)的病毒感染、網(wǎng)站被黑及資源濫用等時代，邁進了一個復雜多元、綜合交互的新時期。如何在有效利用信息技術(shù)的同時，積極應對和及時識別和規(guī)避這些風險，形成新的信息安全建設(shè)策略與實踐，打好信息安全保衛(wèi)戰(zhàn)，是我們大家必須面對的主題，也是本書討論和論述的話題。《信息安全保衛(wèi)戰(zhàn)》是筆者有關(guān)企業(yè)信息化建設(shè)系列叢書之一，她的出版和近年來筆者在清華大學出版社出版的《云計算——企業(yè)信息化建設(shè)策略與實踐》、《云計算——技術(shù)、平臺及應用案例》以及《信息化與信息管理實踐之道》構(gòu)成一個完整的企業(yè)信息化建設(shè)四部曲。第一本云計算是云計算的普及圖書，全面系統(tǒng)地論述了云計算的概念、技術(shù)以及市場發(fā)展狀況，并在此基礎(chǔ)上進一步闡述基于云計算的企業(yè)信息化建設(shè)策略與實踐。第二本云計算是在第一本基礎(chǔ)上深入闡述云計算的概念、技術(shù)和架構(gòu)以及國內(nèi)外的應用案例。第三本是有關(guān)企業(yè)信息化與信息管理的實戰(zhàn)圖書，從信息化規(guī)劃、管控、標準和項目實施等層面論述企業(yè)信息化建設(shè)的策略、方法與實踐。第四本也就是本書是對信息安全這一主題的全面深入論述。本書基于云計算理念，提出一個組織的整體安全概念，從組織的戰(zhàn)略、業(yè)務出發(fā)，結(jié)合安全標準和業(yè)界最佳實踐，形成系統(tǒng)的方法路徑，幫助組織定位安全現(xiàn)狀，了解安全需求，實施安全建設(shè)，以打贏我們的信息安全保衛(wèi)戰(zhàn)。目前業(yè)界已有眾多的信息安全書籍，但大都是針對某一系統(tǒng)的信息安全具體的技術(shù)探討。本書旨在對一個組織信息安全建設(shè)提供一個集成的、標準的信息安全框架，為組織信息安全平臺的建設(shè)、設(shè)計、實施提供指導。全書為11章，其主要內(nèi)容如下。第1章首先從全球一體化、信息技術(shù)的發(fā)展利用等方面綜述了信息化社會的信息安全威脅，并進一步闡述了企業(yè)信息化的發(fā)展應用對企業(yè)信息安全帶來的威脅。第2章通過企業(yè)合規(guī)經(jīng)營風險分析引入企業(yè)風險與信息安全的關(guān)系，說明信息安全是確保企業(yè)合規(guī)經(jīng)營的基本保障。第3章在分析企業(yè)信息安全現(xiàn)狀的基礎(chǔ)上進一步論述了企業(yè)信息安全建設(shè)的目的意義，說明打贏信息安全保衛(wèi)戰(zhàn)的重要性。第4章介紹了信息安全發(fā)展歷程和國內(nèi)外信息安全標準。第5章在分析云計算安全問題基礎(chǔ)上進一步提出了云計算安全框架，并論述了云計算安全標準的發(fā)展情況，最后進一步綜述了國內(nèi)外先進的云計算安全提供商的云計算安全解決方案。第6章引入企業(yè)信息安全框架概念，并全面、完整地闡述了企業(yè)信息安全框架的定義、內(nèi)容以及建設(shè)意義。第7、8、9章分別對信息安全框架的三個組成部分：信息安全管理、運維和技術(shù)體系深入介紹和描述。第10章從一個組織的戰(zhàn)略出發(fā)來全面考慮組織的信息安全的規(guī)劃、管理、技術(shù)、運維等完整的信息安全框架設(shè)計與實施的策略與方法并進行了系統(tǒng)論述，給出一個信息安全框架建設(shè)的方法和路徑，第11章并給出了相應的實踐案例。本書定位于一個組織（包括政府、區(qū)域和城市、企業(yè)等）信息安全建設(shè)理論、技術(shù)、策略方法以及實踐案例介紹和論述，從系統(tǒng)工程層面來論述，體現(xiàn)企業(yè)信息安全建設(shè)的方法論。本書主要面向企業(yè)的CEO和企業(yè)管理人員，企業(yè)的CIO和從事信息化、信息安全建設(shè)的IT人；其次是咨詢公司的業(yè)務和IT咨詢?nèi)藛T以及企業(yè)信息安全項目實施人員；當然對于政府的管理人員來講，是一個很好的信息安全知識水平和工作思路的提升學習的最佳參考書；對于大專院校的師生們進一步系統(tǒng)地認識企業(yè)信息安全建設(shè)、企業(yè)IT的實際情況，企業(yè)和社會信息安全建設(shè)思路是一個絕好的參考書；最后，對于從事企業(yè)信息安全的服務提供商也是一個很好的值得借鑒的參考書，因為只有深刻了解企業(yè)的需求、信息安全建設(shè)的系統(tǒng)思維，才能實施好企業(yè)信息安全項目。本書由雷萬云博士主持編寫，華為技術(shù)公司、啟明星辰信息安全公司和深信服科技公司相關(guān)專家參加了編寫。他們分別是：華為企業(yè)網(wǎng)安全首席技術(shù)官何利文，IEEE高級會員，全國青聯(lián)IT聯(lián)誼會常務理事，英國謝菲爾德大學博士，曾任英國電信首席安全研究員；華為數(shù)據(jù)中心安全高級營銷顧問時成閣；華為企業(yè)網(wǎng)安全高級營銷顧問黃菲一。啟明星辰信息安全高級咨詢顧問劉德文和張艷博士。深信服科技市場技術(shù)總監(jiān)殷浩先生。雷萬云博士撰寫了大綱和各章節(jié)的主要內(nèi)容要點，對全書各章節(jié)內(nèi)容進行了優(yōu)化、統(tǒng)稿和對全部內(nèi)容進行了審閱，并撰寫了前言。其中第1章、第3章和第4章由雷萬云博士撰寫；第2章由雷萬云博士、王靜撰寫；第5章由雷萬云博士、何利文、黃菲一撰寫；第6章由雷萬云博士、劉德文、張艷博士撰寫；第7章由劉德文、雷萬云博士、張艷撰寫；第8章由何利文、時成閣、劉德文、雷萬云博士撰寫；第9章由何利文、時成閣、雷萬云博士、殷浩撰寫；第10章由雷萬云博士、劉德文、張艷編寫，第11章由雷萬云博士、劉德文、張艷、殷浩編寫。李懿凌和韓金利畫了書中的大部分示圖。由于作者水平有限，書中難免有疏漏和不當之處，敬請讀者批評指正。最后，謹向幫助、支持和鼓勵我完成本書的我的家人、同事、領(lǐng)導、朋友、合作伙伴以及清華出版社的領(lǐng)導、編輯表示真摯的感謝！博士2012年國慶假期于北京

內(nèi)容概要

　　本書定位于一個組織信息安全建設(shè)理論、技術(shù)、策略方法以及實踐案例的介紹和論述，描述當今信息化社會環(huán)境下，如何打贏信息安全保衛(wèi)戰(zhàn)。全書分為11章，首先綜述了信息化社會的信息安全威脅，說明打贏信息安全保衛(wèi)戰(zhàn)的重要意義。其次論述了信息安全發(fā)展歷程和信息安全標準以及云計算安全發(fā)展狀況。再次，提出了企業(yè)信息安全框架的概念和內(nèi)容，最后給出了一個組織信息安全框架建設(shè)的策略與方法以及實踐案例，幫助讀者形成信息安全建設(shè)的思路和系統(tǒng)的方法路徑以及最佳實踐。
　　本書面向組織的管理者、CIO和從事信息化、信息安全建設(shè)的IT人；其次是咨詢公司的業(yè)務和IT咨詢?nèi)藛T以及企業(yè)信息安全項目實施人員。對于大專院校的師生們進一步系統(tǒng)地認識企業(yè)信息安全建設(shè)、形成科學系統(tǒng)的信息安全建設(shè)思路是一個絕好的參考書。
　　基于云計算理念，本書提出一個組織的整體安全框架，從組織的戰(zhàn)略、業(yè)務出發(fā)，結(jié)合安全標準和業(yè)界最佳實踐，形成系統(tǒng)的信息安全建設(shè)方法路徑。
　　幫助組織定位安全現(xiàn)狀，了解安全需求，實施安全建設(shè)，以打贏信息安全保衛(wèi)戰(zhàn)。

作者簡介

　　雷萬云先生先后從中國電子科技大學、西安交通大學、西北工業(yè)大學畢業(yè)，分別獲得電子信息科學技術(shù)專業(yè)的學士、碩士和博士學位，并在德國技術(shù)物理研究院學習工作二年。
　　雷博士曾任國家某大型國防科技研究所副所長、國家電子信息技術(shù)領(lǐng)域技術(shù)專家、國家電子信息技術(shù)學報編委會主任、主編，某大型金融證券資訊公司總裁。雷博士有20余年信息化方面的研究開發(fā)、實施和管理經(jīng)驗，是管理與信息化方面的專家；國家認證的高級企業(yè)信息管理師，尤其對集團企業(yè)和醫(yī)藥行業(yè)的信息化建設(shè)有深刻理解和最佳實踐。近年來致力于云計算系統(tǒng)研究，并著有《云計算——企業(yè)信息化建設(shè)策略與實踐》和《云計算——技術(shù)、平臺與應用案例》兩本書，現(xiàn)從事醫(yī)藥行業(yè)信息化管理工作。

書籍目錄

第1章 信息化社會的信息安全威脅
1.1 信息化是世界發(fā)展的大趨勢
1.1.1 社會信息化的趨勢
1.1.2 新IT技術(shù)應用帶來新風險
1.2 全球一體化的趨勢
1.3 企業(yè)發(fā)展與競爭的趨勢
1.4 信息安全威脅綜述
1.4.1 信息安全面臨的主要威脅
1.4.2 信息安全問題分析
1.4.3 信息安全管理現(xiàn)狀分析
1.4.4 信息安全形勢和事故分析
1.4.5 信息安全對企業(yè)威脅分析
第2章 企業(yè)風險與信息安全
2.1 企業(yè)合規(guī)風險
2.1.1 從企業(yè)合規(guī)風險看IT管理風險
2.1.2 從SOX合規(guī)性看我國IT內(nèi)控規(guī)范
2.1.3 安全合規(guī)性管理
2.2 企業(yè)數(shù)據(jù)泄密風險
2.2.1 數(shù)據(jù)安全評估
2.2.2 數(shù)據(jù)安全風險分析
2.2.3 數(shù)據(jù)安全風險治理
2.3 從企業(yè)風險分析認識信息安全風險
第3章 信息安全管理內(nèi)涵
3.1 信息安全概述
3.1.1 傳統(tǒng)信息安全的定義
3.1.2 信息安全技術(shù)與信息安全管理
3.1.3 當代信息安全的新內(nèi)容
3.1.4 信息安全框架及其實施內(nèi)涵
3.2 信息安全建設(shè)階段分析
3.3 信息安全建設(shè)目的意義
第4章 信息安全發(fā)展與相關(guān)標準
4.1 信息安全發(fā)展
4.1.1 信息安全發(fā)展歷程
4.1.2 信息安全發(fā)展趨勢
4.2 信息安全管理標準的提出與發(fā)展
4.3 ISO/IEC 2700X系列國際標準
4.3.1 信息安全管理體系（ISO/IEC 27001: 2005）
4.3.2 信息安全管理實施細則（ISO/IEC 27002）
4.4 信息安全管理實施建議與指導類標準
4.5 信息安全測評標準
4.5.1 美國可信計算機安全評估標準（TCSEC）
4.5.2 國際通用準則（CC）
4.6 信息安全國家標準簡介
4.7 國家信息安全等級保護體系
4.7.1 國家信息安全保障工作的主要內(nèi)容
4.7.2 開展等級保護工作依據(jù)的政策和標準
4.7.3 等級保護工作的具體內(nèi)容和要求
4.7.4 中央企業(yè)開展等級保護工作要求
第5章 云計算安全
5.1 云計算安全問題分析
5.1.1 云計算的主要安全威脅分析
5.1.2 從云計算服務模式看安全
5.2 云計算安全框架
5.2.1 架構(gòu)即服務（IaaS）
5.2.2 網(wǎng)絡即服務（NaaS）
5.2.3 平臺即服務（PaaS）
5.2.4 數(shù)據(jù)即服務（DaaS）
5.2.5 軟件即服務（SaaS）
5.2.6 安全是一個過程
5.3 云計算安全標準化現(xiàn)狀
5.3.1 國際和國外標準化組織
5.3.2 國內(nèi)標準化組織
5.4 云計算安全解決方案概述
5.4.1 亞馬遜云計算安全解決方案
5.4.2 IBM虛擬化安全sHype解決方案
5.4.3 IBM基于XEN的可信虛擬域（TVD）
5.4.4 VMware虛擬化安全VMSafe
5.4.5 Cisco云數(shù)據(jù)中心安全解決方案
5.4.6 華為云安全解決方案
5.5 云計算安全開放命題
第6章 企業(yè)信息安全框架
第7章 信息安全管理體系
第8章 信息安全運維體系
第9章 信息安全技術(shù)體系
第10章 信息安全體系建設(shè)
第11章 信息安全建設(shè)案例
參考文獻

章節(jié)摘錄

版權(quán)頁：   插圖：   2.組織機構(gòu)與職責分工 成立由企業(yè)主管領(lǐng)導任責任人的信息安全管理機構(gòu)，管理機構(gòu)具有以下職責： （1）組織、協(xié)調(diào)和指導本企業(yè)信息化建設(shè)、使用和維護開發(fā)工作； （2）組織制定信息化安全策略、流程和各種規(guī)章制度； （3）組織信息安全風險評估及信息安全教育培訓； （4）組織信息化設(shè)備、設(shè)施、介質(zhì)等授權(quán)使用和管理、維護、監(jiān)督檢查； （5）落實年度安全計劃、報告等； （6）與國家相關(guān)主管部門建立日常工作關(guān)系； （7）執(zhí)行國家相關(guān)法律法規(guī)。 3.企業(yè)信息安全制度建立 企業(yè)信息安全管理機構(gòu)組織建立相應的信息安全管理制度，明確崗位職責，實行領(lǐng)導責任制，層層落實，責任到人，使各個環(huán)節(jié)的每個工作人員明確應承擔的職責和義務。信息安全管理制度要涵蓋信息化的產(chǎn)生、存儲、處理、傳輸、歸檔和銷毀的全過程，從人員、物理設(shè)施與環(huán)境、設(shè)備與介質(zhì)、運行與開發(fā)和數(shù)據(jù)安全等諸多方面制定相應的制度。 4.信息安全管理文件體系建立 （1）確立信息安全管理體系范圍和體系環(huán)境所需的過程； （2）戰(zhàn)略性和組織化的信息安全管理環(huán)境： （3）組織的信息安全風險管理方法； （4）信息安全風險評價標準以及所要求的保證程度； （5）信息資產(chǎn)識別的范圍。 信息安全文件體系也可能在其他信息安全管理體系的控制范圍內(nèi)。在這種情況下，上下級控制的關(guān)系有下列兩種可能： 下級信息安全管理體系不使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制不影響下級信息安全管理活動。 下級信息安全管理體系使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制可以被認為是下級信息安全管理體系策劃活動的“外部控制”。盡管此類外部控制并不影響下級信息安全管理體系的實施、檢查、措施活動，但是下級信息安全管理體系仍然有責任確認這些外部控制提供了充分的保護。 5.信息安全管理過程建立 （1）IT規(guī)劃管理：信息化規(guī)劃制定和跟蹤的流程。 （2）IT制度管理：信息化管理制度體系化建設(shè)和完善的流程。 （3）IT資源管理：對IT資源（包括人員、財務和IT資產(chǎn)）申請、審核、配備、評估的流程。 （4）監(jiān)督管理：依據(jù)IT規(guī)劃和制度對IT管理工作進行監(jiān)督、檢查和跟蹤整改的流程。 （5）違規(guī)管理：對IT管理制度執(zhí)行過程中的違規(guī)行為進行糾正與處罰的流程。 （6）外部環(huán)境：對影響IT管理目標實現(xiàn)的外部因素進行跟蹤、響應、控制的流程。外部環(huán)境包括供應商管理、市場、經(jīng)濟環(huán)境、金融安全等。

編輯推薦

《信息安全保衛(wèi)戰(zhàn):企業(yè)信息安全建設(shè)策略與實踐》基于云計算理念，提出一個組織的整體安全框架，從組織的戰(zhàn)略、業(yè)務出發(fā)，結(jié)合安全標準和業(yè)界最佳實踐，形成系統(tǒng)的信息安全建設(shè)方法路徑?！缎畔踩Ｐl(wèi)戰(zhàn):企業(yè)信息安全建設(shè)策略與實踐》幫助組織定位安全現(xiàn)狀，了解安全需求，實施安全建設(shè)，以打贏信息安全保衛(wèi)戰(zhàn)。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    信息安全保衛(wèi)戰(zhàn) PDF格式下載

---