信息安全:原理与实践
点此进入淘宝搜索页搜索分类: 图书,计算机/网络,信息安全,
作者: (美)梅柯,(美)布莱特普特 著,贺民 等译
出 版 社: 清华大学出版社
出版时间: 2008-10-1字数: 514000版次: 1页数: 312印刷时间: 2008/10/01开本: 16开印次: 1纸张: 胶版纸I S B N : 9787302180999包装: 平装内容简介
本书以国际信息系统安全认证联盟制定的知识体系为背景.首先概述了信息安全的基本原则和概念,然后介绍了信息安全的公共知识体系,而且提供了该体系10个知识范畴的概况:安全管理.安全架构与模型,业务持续计划和灾难恢复计划,法律、调查与道德规范,操作安全,访问控制系统与方法论,密码学和电信、网络以及Internet安全。
本书适用于高等院校计算机及相关专业的本科生和教师、从事信息安全方面的专业人员。
作者简介
Mark Merkow获得了CISSP和CISM认证。他和他公司的CIO办公室一同致力于建立用于金融管理和设施的IT安全策略。其中所含的金融设施包括信用卡、银行业以及证券产品和服务。Mark是ANSIX9F委员会代表,曾和国家标准与技术研究所(National Institute of Standards and Technology,NIST)紧密合作“通用安全准则的测试与评估方法论”研究。
目录
第1章 为什么研究信息安全
1.1 导言
1.2 增长的IT安全重要性与新的职业机会
1.2.1 政府和私营工商业的持续需求
1.3 成为信息安全专家
1.3.1 应运而生的教育机构5
1.3.2 综合学科研究法
1.4 信息安全的环境
1.4.1 信息安全职业——业务安全的需要
1.5 本章小结
1.6 技能测试
1.6.1 多项选择题
1.6.2 练习题
1.6.3 项目题
1.6.4 案例研究
第2章 信息安全的成功原则
2.1 导言
2.2 原则1: 没有绝对的安全
2.3 原则2: 安全三目标——私密性、完整性和可用性
2.3.1 完整性模型
2.3.2 可用性模型
2.4 原则3: 部署安全分层机制
2.5 原则4: 人们容易自行做出最糟的安全决定
2.6 原则5: 决定计算机安全的两项需求——功能性需求与保险性需求
2.7 原则6: 模糊性不是安全的解决之道
2.8 原则7: 安全=风险管理
2.9 原则8: 安全控制的三种类型: 预防型控制、探测型控制和响应型控制
2.10 原则9: 复杂性是安全性的大敌
2.11 原则10: 担忧、不确定性、疑惑对销售安全没用
2.12 原则11: 必要的人、流程、技术是系统或设施安全的保障
2.13 原则12: 公开已知的漏洞有助于安全
2.14 本章小结
2.15 技能测试
2.15.1 多项选择题
2.15.2 练习题
2.15.3 项目题
2.15.4 案例研究
第3章 认证计划与公共知识体系
3.1 导言
3.2 信息安全及其认证
3.2.1 国际信息系统安全认证联盟信息安全——原理与实践
3.3 信息安全的公共知识体系(CBK)
3.3.1 安全管理实务
3.3.2 安全体系结构和模型
3.3.3 业务持续性计划
3.3.4 法律、调查和道德
3.3.5 物理安全
3.3.6 操作安全
3.3.7 访问控制系统和方法
3.3.8 密码学
3.3.9 电信、网络和Internet安全
3.3.10 应用开发安全
3.4 其他安全认证项目
3.4.1 注册信息系统审计师(CISA)
3.4.2 注册信息安全员(CISM)
3.4.3 全球信息保证证书(GIAC)
3.4.4 CompTIA Security+认证
3.4.5 针对供应商的认证
3.5 本章小结
3.6 技能测试
3.6.1 多项选择题
3.6.2 练习题
3.6.3 项目题
3.6.4 案例研究
第4章 安全管理
第5章 安全架构与模型
第6章 业务持续计划和灾难恢复计划
第7章 法律、调查与道德规范
第8章 物理安全控制
第9章 操作安全
第10章 访问控制体系和方法论
第11章 密码学
第12章 通信、网络和Internet安全
第13章 应用开发的安全性
第14章 未来的安全性的未来
附录A 公共知识体系
附录B 安全策略和标准分类
附录C 策略样本
附录D 安全策略和标准管理系统内幕
附录E HIPAA安全规则和标准
书摘插图
第1章为什么研究信息安全
本章目标
通过阅读本章与完成章末的习题,应该掌握如下内容:
认识到在IT(Information Technology)业中,信息安全专家日益增长的重要性,以及信息安全业如何成为收入可观的行业。
制定投身信息安全职业的战略。
理解在一定商业背景下的信息安全需求和内涵。
1.1 导言
随着网络化的计算机技术数十年的快速进步和Internet的惊人扩张,公众愈加关注网络犯罪对个人隐私的威胁。偷窃身份、盗版银行账户、伪造,这一连串的电子化犯罪,正如犯罪分子恶意运用计算机技术的想象力一般一——不可限量。由于Internet使用方便,计算机网络的开放,客户和业务越多,公众越容易遭受精明但居心不良的网络罪犯的攻击。为了对计算机、网络以及其中存储的信息进行保密,各个组织机构纷纷寻求信息安全专家的帮助。
信息安全专家不仅仅是狙击黑客攻击网站的技术人员。实际上,你将惊讶地了解到,信息安全学科既是商业管理的坚实基础,也是对密码学以及防火墙技术(用于保障信息系统的两项技术)的综合。本书将审视理论及实践中的技巧,但首先,我们先回答大多数学员开始该领域学习的第一个问题:为什么要研究信息安全?
1.2增长的IT安全重要性与新的职业机会
在首席信息官(Chief Information Officer,CIO)看来,信息安全是要保护数据私密性、完整性以及可用性,以免数据被意外抑或故意误用。信息安全学科包含技术与非技术性的两个方面,用以降低信息系统越来越多地使用开放架构的风险。也就是说,组织对客户、商业伙伴以及员工开放越来越多的系统内部细节时,它们也将自身置身于更大的黑客攻击风险中。如银行对客户开通网上支票或信用卡交互业务,也就开启了伪造好像是来自于该银行的电子邮件的攻击的魔盒。这些伪装来自于银行的电子邮件,巧妙地收集用户访问网上银行的ID号与密码。一旦ID与密码被获取,银行客户就会吃惊地获悉,他们的账户莫名其妙地被洗劫一空。
……
