安可林文章网新闻资讯
20来自07年清华大学出版社出版的图书,作者是梅柯、布莱特普特。
- 书名 《信息安全原理与实践》
- 作者 (美国)(Merkow.M.)梅柯、(美国)(Breithaupt.J.)布莱特普特
- 类别 大学教材 计算机类
- 原作品 《Information Security Principles and Practice》
- 译者 贺民,李波,李鹏飞
简介
《信息安全原理与实践》具有完善的知识体系。知识的讲解细致详尽,循序渐进,通俗易懂,易于入手,深入浅出的剖析,逐步提高读者的使用能力,巩固学来自习技能。
另外,《信息安360百科全原理与实践》注重实践、强调实用。大量的练习,由简单到复杂,完全覆盖了网宜孙较乎挥则朝胡密杀络信息安全应用各个方面涉及的知识内容。辅助功能讲解的练习(inPractice)以及课后练习中的大量选择题(测试读者对知识的理解程度)、练习题(围绕章节中出现的个别概念设计的简要、引导性的课程项目)、项目题(综合一章内若干知识点的较长、引导性的课程项难获还更结凯免八成目)和案例研究(运用该章中的知识点来解决问题的实际场景),可以在理论知识的学习基础上边学边练,通过实际操作理解各种功能的实际应用。针对各种练习,书中提供了详细的操作步骤,注意事项,初学者以及具有一定基础的中级读者,只要按照步骤一步步学习,都能完成实例练习,并通过技巧的提示达到举一反三的目的,在较短的时间内仍旧福缺量钟农唱快速掌握知识应用的精班度取技绝髓。
目录
1.1导言1
1.2增长的IT安全重要性与新的职业机会2
1.2.1政府和私营工商业的持续需求2
1.3成为信息安全专家3
1.3.1应运而生的教育机构5
1.3.坏宣连2综合学科研究法6
1.4信息安全的环境7
1助.4.1信息安全职业--业务安全的需要8
1.5本章小结9
1.6技能测试9
1.6.1多项选择题9
1.6.2练习题11
1.6.3项目题12
1.6.4案例研究12
第2章信息安全的成功原则15
2.1导言15
2.2原则1:没有绝对的安全16
2.均谈晚尽构路九3原则2:安全三目标--私密性、完整性和可用性17
2.3.1完整性模型17
2.3.2可用性模型18
2.4原则3:部署安全绍留绿绍简求良特再低构分层机制18
2.5原则4:人们容易自行做出最糟的安全决定19
2.6原则5:决定计算机安全的两项需求--功能性需求与保险性需语求20
2.7原则6:模糊性不是安全的解决之道儿顶报画晶尼21
2.8原则7:安全=风险管理21
2.9原则8:安全控制的三种类型:预防型控制、探测型控制和响应型控制23
2.1教衣0原则9:复杂性是安全性的大敌23
2.11原则10:担忧、不确定性、疑惑对销售安全没用24
2.12原则11:必要的人、流程、技术是系统或设施安全的保障24
2.13原则12:公开已知的漏洞有助于安全25
滑利教奏江2.14本章小结25
2.15技能测试26
2.15.1多项选择题26
促写 2.15.2练习题2你跳7
2.15.3项目题28
2.15.4案例研究29
第3章认证计划与公共知识体系31
3.1导言31
迅茶确收审3.2信息安全及其认证31
3.2.1国际信息系统安全认证联盟32
3.3信息安全的公共知识体个著未路房系(CBK)33
3.3.1安全管理实务33
3.3.2安全体系结构和模型34
3.3.3业务持续性计划34
3.3.4法律、调查和道诉斤喜诗油真础片缺货德35
3.3.5物理安全35
3.3.6操作安全35
3.3.7访问控制系统和方法36
3.3子析民龙觉委娘秋长.8密码学36
3.3.9电信、网络和Internet安全36
3.3.10应用开发安全37
3.4其他安全认证项目37
3.4.1注册信息系统审计师(CISA)37
3.4.2注册信息安全员(CISM)38
3.4.3全球信息保证证书(GIAC)38
3.4.4CompTIASecurity+认证38
3.4.5针对供应商的认证38
3.5本章小结40
3.6技能测试40
3.6.1多项选择题40
3.6.2练习题42
3.6.3项目题43
3.6.4案例研究44
第4章安全管理45
4.1导言45
4.2安全策略是成功的基础46
4.34种策略类型47
4.3.1程序层次的策略48
4.3.2框架层次的策略49
4.3.3面向问题的策略49
4.3.4面向系统的策略51
4.4安全策略的开发与管理51
4.4.1安全目标51
4.4.2可操作的安全52
4.4.3策略执行52
4.5策略支持文档53
4.5.1规范53
4.5.2标准和基准54
4.5.3方针55
4.5.4程序55
4.6推荐的标准的分类方法55
4.6.1资产分类55
4.6.2权力分离56
4.6.3职前雇用实践57
4.6.4风险分析和管理57
4.6.5教育、培训与安全意识59
4.7谁为安全负责59
4.8本章小结60
4.9技能测试60
4.9.1多项选择题60
4.9.2练习题63
4.9.3项目题63
4.9.4案例研究64
第5章安全架构与模型65
5.1导言65
5.2可信计算基础的定义66
5.2.1信任环66
5.3可信计算基础中的保护机制68
5.4"系统安全保证"概念70
5.4.1安全测试的目标70
5.4.2规范的安全测试模型70
5.5可信计算机的安全评估准则(TCSEC)71
5.5.1等级D:最低保护72
5.5.2等级C:自定式保护72
5.5.3等级B:强制式保护72
5.5.4等级A:可验证式保护73
5.5.5TCSEC中可信网络的解释(TNI)74
5.6信息技术的安全评估准则74
5.6.1ITSEC与TCSEC的比较74
5.6.2ITSEC的保证等级75
5.7加拿大可信计算机产品的评估准则75
5.8美国联邦信息技术的安全准则76
5.9通用准则76
5.9.1保护配置文件的组织形式78
5.9.2功能性安全需求78
5.9.3评估保证等级80
5.9.4通用评估方法论81
5.10私密性与完整性模型82
5.10.1Bell-LaPadula模型82
5.10.2Bila完整性模型83
5.10.3高级模型83
5.11本章小结84
5.12技能测试84
5.12.1多项选择题84
5.12.2练习题86
5.12.3项目题86
5.12.4案例研究87
第6章业务持续计划和灾难恢复计划89
6.1导言89
6.2总览业务持续计划与灾难恢复计划90
6.2.1为什么BCP如此重要?91
6.2.2中断事件的种类91
6.2.3BCP的定义范围92
6.2.4创建业务影响分析93
6.3灾难恢复计划93
6.3.1确定恢复策略94
6.3.2共享站点协议94
6.3.3备用站点94
6.3.4补充协议95
6.3.5测试灾难恢复计划95
6.3.6组织内与组织外96
6.4本章小结96
6.5技能测试97
6.5.1多项选择题97
6.5.2练习题99
6.5.3项目题100
6.5.4案例研究100
第7章法律、调查与道德规范103
7.1导言103
7.2计算机犯罪类型104
7.3如何实施网络犯罪105
7.4计算机及相关法律107
7.4.1司法体系中的立法部门107
7.4.2司法体系中的管理部门107
7.4.3司法体系中的判决部门107
7.5知识产权法108
7.5.1专利法108
7.5.2商标法109
7.5.3商业秘密法109
7.6隐私及相关法律110
7.6.1国际性的隐私问题110
7.6.2美国的隐私法111
7.7计算机取证112
7.8信息安全业的职业道德113
7.9其他道德规范114
7.9.1计算机伦理研究所114
7.9.2Internet活动委员会:道德和Internet114
7.9.3公平信息实践法规115
7.10本章小结115
7.11技能测试116
7.21.1多项选择题116
7.21.2练习题118
7.21.3项目题119
7.21.4案例研究120
第8章物理安全控制121
8.1导言121
8.2理解物理安全范畴122
8.3物理安全的威胁123
8.4提供物理安全123
8.4.1人事教育123
8.4.2行政式访问控制124
8.4.3物理安全控制125
8.4.4技术性控制127
8.4.5环境控制/生命安全控制130
8.5本章小结131
8.6技能测试132
8.6.1多项选择题132
8.6.2练习题134
8.6.3项目题135
8.6.4案例研究135
第9章操作安全137
9.1导言137
9.2操作安全的原则138
9.3安全操作过程控制139
9.4实施中的安全操作140
9.4.1软件支持141
9.4.2配置与变更管理141
9.4.3备份141
9.4.4媒体控制142
9.4.5文档143
9.4.6维护144
9.4.7相依性144
9.5本章小结145
9.6技能测试145
9.6.1多项选择题145
9.6.2练习题146
9.6.3项目题147
9.6.4案例研究148
第10章访问控制体系和方法论149
10.1概述149
10.2术语和概念150
10.2.1标识150
10.2.2认证150
10.2.3最低特权(须知)150
10.2.4信息所有者150
10.2.5自由访问控制151
10.2.6访问控制列表151
10.2.7强制访问控制151
10.2.8基于角色的访问控制152
10.3认证原则153
10.3.1密码问题153
10.3.2多要素认证154
10.4生理学155
10.5单点登录156
10.5.1Kerberos157
10.5.2联合标识157
10.6远程用户访问和认证160
10.6.1远程访问用户拨入服务160
10.6.2虚拟专用网161
10.7本章小结161
10.8技能测试161
10.8.1多项选择题161
10.8.2练习题163
10.8.3项目题164
10.8.4案例研究165
第11章密码学167
11.1导言167
11.2将密码学应用于信息系统168
11.3术语和概念169
11.4密码系统的强度170
11.4.1密码系统满足了当今电子商务的需要172
11.4.2密码系统中密钥的角色173
11.5综合应用174
11.5.1摘要数据175
11.5.2数字证书177
11.6调查数字化密码系统179
11.6.1散列函数179
11.6.2密文块179
11.6.3PPK密码系统的实现180
11.7本章小结183
11.8技能测试183
11.8.1多项选择题183
11.8.2练习题185
11.8.3项目题186
11.8.4案例研究187
第12章通信、网络和Internet安全189
12.1导言189
12.2网络和通信安全190
12.3网络安全背景190
12.4开放系统互联(OSI)参考模型191
12.4.1协议栈191
12.4.2OSI参考模型和TCP/IP193
12.4.3OSI模型和安全195
12.5数据网络类型196
12.5.1局域网197
12.5.2广域网197
12.5.3Internet197
12.5.4企业内部网198
12.5.5企业外部网198
12.6保护TCP/IP网络198
12.7基本安全架构198
12.7.1路由器198
12.7.2数据包过滤199
12.7.3包过滤路由器的优点200
12.7.4包过滤路由器的局限200
12.8防火墙201
12.8.1应用级防火墙201
12.8.2堡垒主机202
12.8.3应用级网关的优点203
12.8.4应用级网关的局限203
12.8.5防火墙实例203
12.8.6明智选择207
12.9入侵检测系统207
12.9.1什么样的入侵?207
12.9.2优秀入侵检测系统的特征208
12.9.3假阳性、假阴性和颠覆攻击209
12.10虚拟专用网210
12.10.1IPSec210
12.10.2安全策略213
12.10.3IPSec密钥管理213
12.11本章小结213
12.12技能测试214
12.12.1多项选择题214
12.12.2练习题216
12.12.3项目题216
12.12.4案例研究217
第13章应用开发的安全性219
13.1导言219
13.2软件项目实践220
13.3软件开发生命周期221
13.4分布式系统223
13.4.1软件代理224
13.4.2Java224
13.4.3JavaApplets224
13.4.4ActiveX控件224
13.4.5分布式对象225
13.4.6恶意软件226
13.5反病毒软件226
13.6通过SDLC提高安全性227
13.6.1教育组228
13.6.2软件过程组228
13.6.3补丁管理组229
13.6.4激励组229
13.7本章小结230
13.8技能测试230
13.8.1多项选择题230
13.8.2练习题232
13.8.3项目题233
13.8.4案例研究234
第14章未来的安全性的未来235
14.1导言235
14.2持续监控和时刻警戒235
14.3运转合格接收人237
14.4身份窃取和美国监管环境238
14.5不断增加的威胁238
14.5.1销售商试图使安全研究人员保持沉默239
14.5.2域欺骗增强了作为网络钓鱼攻击的补充239
14.6安全威胁的趋势240
14.7信息安全专家的美好未来240
14.7.1要求高于安全技能241
14.8本章小结241
14.9技能测试242
14.9.1多项选择题242
14.9.2练习题244
14.9.3项目题244
14.9.4案例研究245
附录A公共知识体系247
A.1安全管理实践247
A.1.1关键知识域247
A.2安全架构和模型249
A.2.1关键知识域249
A.3业务连续性计划(BCP)和灾难恢复计划(DRP)251
A.3.1关键知识域251
A.4法律、调查和道德规范254
A.4.1关键知识域254
A.5物理安全256
A.5.1关键知识域256
A.6运作安全258
A.6.1关键知识域258
A.7访问控制系统和方法学262
A.7.1关键知识域262
A.8密码学264
A.8.1关键知识域264
A.9电信和网络安全266
A.9.1关键知识域266
A.10应用和系统开发安全268
A.10.1关键知识域268
附录B安全策略和标准分类273
B.1安全管理策略273
B.1.1信息安全组织273
B.1.2训练和意识273
B.2风险管理策略274
B.2.1信息所有权274
B.2.2信息分类274
B.2.3风险评估274
B.3安全基准274
B.3.1防拷贝介质的安全性274
B.3.2电子介质的安全性275
B.4人事安全策略275
B.4.1雇佣前控制275
B.4.2责任分离275
B.4.3雇佣时控制275
B.4.4人事管理275
B.4.5转职/辞职/解雇控制276
B.5物理安全策略276
B.5.1设备的安全性276
B.5.2信息系统的安全性276
B.5.3火灾保护276
B.5.4水灾保护277
B.5.5环境控制277
B.6运作管理策略277
B.6.1运作管理和控制277
B.6.2恶意代码和病毒278
B.6.3备份和恢复278
B.6.4软件支持278
B.7安全监控和响应策略278
B.7.1行为监控(MonitoringActivities)278
B.7.2事件响应279
B.8通信管理策略279
B.8.1加密279
B.8.2信息交换279
B.8.3电子邮件、Internet和其他电子通信279
B.8.4语音/传真/影像通信280
B.8.5会议和谈话280
B.9访问控制策略280
B.9.1用户注册和授权280
B.9.2标识280
B.9.3认证280
B.9.4特权和特定账户的访问281
B.9.5远程访问281
B.10网络安全策略282
B.10.1网络访问282
B.10.2网络安全控制设备282
B.11第三方服务策略283
B.11.1第三方服务283
B.12应用开发策略283
B.12.1应用开发过程283
B.12.2商业系统需求283
B.12.3应用测试(ApplicationTesting)284
B.13恢复和业务连贯性区域284
B.13.1业务连贯性管理程序284
B.13.2恢复/业务连贯性计划测试需求284
B.13.3恢复网站284
B.13.4法定的、一致的和受控的需求284
B.13.5安全符合测试285
附录C策略样本287
C.1计算机可接受使用策略样本287
C.2邮件使用策略样本290
C.3密码策略样本292
C.4无线网络(Wi-Fi)使用策略样本295
附录D安全策略和标准管理系统内幕297
附录EHIPAA安全规则和标准305
E.1HIPAA安全标准305
E.2行政程序306
E.3物理保障措施306
E.4技术安全服务307
E.5技术安全机制307术语表309
……