开发和实施端到端的有效安全方案
当今的IT世界风起云涌,复杂的移动平台、云计算和无处不在的数据访问对每一位IT专业人士提出了新的安全需求。《信息安全参考手册(第2版)》是综合性的,着眼于不断发展变化的威胁环境,提供供应商中立的有关信息保护全方面细节的专业书籍。本书通过修订和扩充以涵盖现代信息安全的各个方面——从概念到细节——提供了一站式的参考,既适用于初学者,也适用于经验丰富的专业人士。
本书探索了如何基于经过验证的方法论、风险分析、合规和业务需求,构建一个的安全方案。你将学会如何成功地保护数据、网络、计算机和应用程序。书中还深入介绍了数据保护、加密、信息权限管理、网络安全、入侵检测和防御、UNIX和Windows安全、虚拟化和云安全、安全应用程序开发、灾难恢复、计算机取证及现实世界的攻击和对策。书中提供了一个丰富的安全术语表,以及基于标准的参考,这对于专业人士和学生都是一个相当丰富的资源。
Mark Rhodes-Ousley拥有20多年在信息安全领域,从项目管理到技术各个方面的经验。这些经验包括风险管理、安全策略、安全管理、技术/实施和运维、物理安全、灾难恢复和业务连续性规划。他有两个核心的理念:业务流程的重要性如同技术的重要性,因为安全需要依赖于人;安全应该是一个业务推动者,以提升客户体验为目标。Mark拥有CISSP、CISM和MCSE认证。
第I部分 概 述
第1章 信息安全概述 3
1.1 信息保护的重要性 3
1.2 信息安全的演变 5
1.3 合理的安全投资 7
1.3.1 业务灵活性 8
1.3.2 降低成本 8
1.3.3 可移植性 9
1.4 安全方法论 9
1.5 如何建立一个安全计划 12
1.5.1 授权 12
1.5.2 框架 13
1.5.3 评估 13
1.5.4 规划 13
1.5.5 实施 14
1.5.6 维护 14
1.6 不可能的工作 14
1.7 最薄弱的环节 15
1.8 战略与战术 16
1.9 业务流程与技术控制 17
1.10 本章小结 18
1.11 参考文献 19
第2章 风险分析 21
2.1 风险定义 21
2.1.1 入侵载体 22
2.1.2 威胁源和目标 24
2.2 攻击的种类 25
2.2.1 恶意移动代码 26
2.2.2 高级持续性渗透攻击(APT) 35
2.2.3 手动攻击 36
2.3 风险分析 43
2.4 本章小结 44
2.5 参考文献 44
第3章 遵循标准、法规和法律 47
3.1 信息安全标准 47
3.1.1 信息及相关技术控制目标(COBIT) 47
3.1.2 国际标准化组织(ISO) 27000系列 48
3.1.3 美国国家标准与技术研究院(NIST) 50
3.2 影响信息安全专家的法规 52
3.2.1 注意义务 53
3.2.2 Gramm-Leach-Bliley法案
(GLBA) 53
3.2.3 Sarbanes-Oxley法案 55
3.2.4 HIPAA隐私和安全规则 55
3.2.5 北美电力性公司关键基础设施保护(NERC CIP) 57
3.2.6 PCI DSS:支付卡行业数据安全标准 57
3.3 影响信息安全专家的法律 58
3.3.1 黑客法律 59
3.3.2 电子通信法律 62
3.3.3 其他实质性法律 65
3.4 本章小结 67
3.5 参考文献 67
第4章 安全设计原则 69
4.1 CIA三元组和其他模型 69
4.1.1 机密性 69
4.1.2 完整性 69
4.1.3 可用性 70
4.1.4 其他概念 70
4.2 防御模型 71
4.2.1 棒棒糖模型 71
4.2.2 洋葱模型 72
4.3 可信区域 73
4.4 网络防御的实践 75
4.4.1 安全的物理环境 75
4.4.2 密码保护启动 76
4.4.3 密码保护CMOS 76
4.4.4 禁止USB和CD引导 76
4.4.5 加固操作系统 76
4.4.6 保持补丁更新 77
4.4.7 使用防病毒扫描程序(实时扫描) 77
4.4.8 使用防火墙软件 77
4.4.9 安全的网络共享权限 77
4.4.10 使用加密 78
4.4.11 保护应用程序 78
4.4.12 系统备份 82
4.4.13 实施ARP中毒防御 83
4.4.14 建立计算机安全防御计划 83
4.5 本章小结 85
4.6 参考文献 85
第5章 安全策略、标准、流程和指南 87
5.1 安全策略 87
5.1.1 安全策略制定 88
5.1.2 安全策略参与者 89
5.1.3 安全策略阅读对象 90
5.1.4 策略种类 91
5.1.5 框架 91
5.1.6 安全意识 92
5.1.7 安全意识的重要性 93
5.1.8 意识计划的目标 93
5.1.9 提高效率 94
5.1.10 实施意识计划 95
5.1.11 执行 96
5.1.12 对供应商执行的策略 96
5.1.13 对员工执行的策略 97
5.1.14 基于软件的执行 97
5.1.15 安全策略主题示例 98
5.1.16 可接受的使用策略 98
5.1.17 计算机策略 99
5.1.18 网络策略 101
5.1.19 数据隐私策略 102
5.1.20 数据完整性策略 103
5.1.21 人事管理策略 105
5.1.22 安全管理策略 107
5.1.23 物理安全策略 108
5.2 安全标准 111
5.3 安全流程 112
5.4 安全指南 114
5.5 持续维护 115
5.6 本章小结 115
5.7 参考文献 116
第6章 安全组织 117
6.1 角色和职责 117
6.1.1 安全职位 118
6.1.2 安全事件响应小组 123
6.2 安全管理服务 125
6.2.1 通过MSSP提供的服务 126
6.2.2 可以通过MSSP监控的服务 127
6.3 安全委员会、指导委员会或董事会 128
6.4 与人力资源的相互关系 128
6.5 本章小结 129
6.6 参考文献 129
第7章 身份认证和授权 131
7.1 身份认证 131
7.1.1 用户名和密码 132
7.1.2 基于证书的认证 137
7.1.3 扩展认证协议(EAP) 141
7.1.4 生物识别 141
7.1.5 额外使用的认证 142
7.2 授权 142
7.2.1 用户权限 142
7.2.2 基于角色的授权(RBAC) 143
7.2.3 访问控制列表(ACL) 143
7.2.4 基于规则的授权 145
7
1.5.2 框架
安全策略规定了安全工作的框架。该策略描述了行政管理人员关于采取何种必要行动来符合
业务需求的意图。该策略推动了各个方面的技术实现、类似策略和程序。理想情况下,安全策略
应记录在案并在推行之前公布。安全策略代表了在一定的假设条件下如何做业务决策。如果假设
条件没有记录在案,它们可能不是很清晰或与其他活动发生冲突。将这些假设条件明确、易读地
记录在案,易用的策略有助于参与人员之间的沟通。
标准是在适当位置对产品特定的配置进行详细介绍。在实施和管理网络资源时,标准文档提
供了持续性和一致性。随着特性的增加和功能的变化,标准会根据软件和硬件的每个版本变更,
并且对每个厂商有所不同。由于标准发生了变化,它们需要定期修订,以反映其所适用的软件和
硬件的变化。
使用软件、计算机系统和网络的指南应清晰地归档以便于使用这些技术的人员。指南在某种
程度上由技术驱动,包含关于如何应用这些工具的细节。它们还由安全策略推动,因为它们描述
了如何符合安全策略。
1.5.3 评估
风险评估提供了有关该组织的现有资产存在风险的观点。这种评估用于优先考虑工作和预算
分配,这样更大的风险就可以获得更多的关注和资源。风险评估的结果是该组织关注的明确定义
的风险集。这些风险能够减轻、转移或接受。第2 章中会介绍风险评估的更多细节。
差距分析可以比较安全计划的理想状态与当前的实际状态,并确定差异。这些差异或差距构
成了采取补救工作的行动目标的集合,从而提高组织的安全状况与一个或多个标准、需求或战略
趋于一致的过程。
补救计划考虑到了风险、差距和安全计划的其他目标,并把它们组合成按缓急次序的一系列
步骤,将安全计划从现状变成未来需要的样子。
有用
很好,一大本,慢慢看
不错
好书,值得一读
还好吧。
东西不错,物流很快,下次还买,卖家态度好,很喜欢,推荐给大家
实用
很好,推荐了
好
挺好的书,因为好,所以买!
服务质量好,态度热情,值得推荐!
朋友介绍一起买的,收到了,谢谢了
好
好书
帮别人买的书,自己看不了这么专业的内容
一般
当当的书就是比其他竞争对手全
实用
一直都是当当,好评!
书还不错……
非常专业,全面,用处很大,天天用得着!
信息安全参考书,非常全面
还不错就是包装有点旧
好评!!!
专业的人用专业的书
内容非常全面,快递给力,
当今的IT世界风起云涌,复杂的移动平台、云计算和无处不在的数据访问对每一位IT专业人士提出了新的安全需求。《信息安全完全参考手册(第2版)》是唯一综合性的,着眼于不断发展变化的威胁环境,提供供应商中立的有关信息保护全方面细节的专业书籍。本书通过全面修订和扩充以涵盖现代信息安全的各个方面——从概念到细节——提供了一站式的参考,既适用于初学者,也适用于经验丰富的专业人士。
这本书还可以,和书店的差不多,价格虽然相差不了多少,但是觉得挺值得,么么哒
经典著作啊……只是本书是没有关于我国的信息安全标准的一些概念。但就该领域而言介绍全面
