开发和实施端到端的有效安全方案
当今的世界风起云涌,复杂的移动平台、云计算和无处不在的数据访问对每一位专业人士提出了新的安全需求。《信息安全参考手册第版》是综合性的,着眼于不断发展变化的威胁环境,提供供应商中立的有关信息保护全方面细节的专业书籍。本书通过修订和扩充以涵盖现代信息安全的各个方面——从概念到细节——提供了一站式的参考,既适用于初学者,也适用于经验丰富的专业人士。
本书探索了如何基于经过验证的方法论、风险分析、合规和业务需求,构建一个的安全方案。你将学会如何成功地保护数据、网络、计算机和应用程序。书中还深入介绍了数据保护、加密、信息权限管理、网络安全、入侵检测和防御、和安全、虚拟化和云安全、安全应用程序开发、灾难恢复、计算机取证及现实世界的攻击和对策。书中提供了一个丰富的安全术语表,以及基于标准的参考,这对于专业人士和学生都是一个相当丰富的资源。
Mark Rhodes-Ousley拥有20多年在信息安全领域,从项目管理到技术各个方面的经验。这些经验包括风险管理、安全策略、安全管理、技术/实施和运维、物理安全、灾难恢复和业务连续性规划。他有两个核心的理念:业务流程的重要性如同技术的重要性,因为安全需要依赖于人;安全应该是一个业务推动者,以提升客户体验为目标。Mark拥有CISSP、CISM和MCSE认证。
第部分概述
第章信息安全概述
信息保护的重要性
信息安全的演变
合理的安全投资
业务灵活性
降低成本
可移植性
安全方法论
如何建立一个安全计划
授权
框架
评估
规划
实施
维护
不可能的工作
最薄弱的环节
战略与战术
业务流程与技术控制
本章小结
参考文献
第章风险分析
风险定义
入侵载体
威胁源和目标
攻击的种类
恶意移动代码
高级持续性渗透攻击
手动攻击
风险分析
本章小结
参考文献
第章遵循标准、法规和法律
信息安全标准
信息及相关技术控制目标
国际标准化组织系列
美国国家标准与技术研究院
影响信息安全专家的法规
注意义务
法案
法案
隐私和安全规则
北美电力性公司关键基础设施保护
:支付卡行业数据安全标准
影响信息安全专家的法律
黑客法律
电子通信法律
其他实质性法律
本章小结
参考文献
第章安全设计原则
三元组和其他模型
机密性
完整性
可用性
其他概念
防御模型
棒棒糖模型
洋葱模型
可信区域
网络防御的实践
安全的物理环境
密码保护启动
密码保护
禁止和引导
加固操作系统
保持补丁更新
使用防病毒扫描程序实时扫描
使用防火墙软件
安全的网络共享权限
使用加密
保护应用程序
系统备份
实施中毒防御
建立计算机安全防御计划
本章小结
参考文献
第章安全策略、标准、流程和指南
安全策略
安全策略制定
安全策略参与者
安全策略阅读对象
策略种类
框架
安全意识
安全意识的重要性
意识计划的目标
提高效率
实施意识计划
执行
对供应商执行的策略
对员工执行的策略
基于软件的执行
安全策略主题示例
可接受的使用策略
计算机策略
网络策略
数据隐私策略
数据完整性策略
人事管理策略
安全管理策略
物理安全策略
安全标准
安全流程
安全指南
持续维护
本章小结
参考文献
第章安全组织
角色和职责
安全职位
安全事件响应小组
安全管理服务
通过提供的服务
可以通过监控的服务
安全委员会、指导委员会或董事会
与人力资源的相互关系
本章小结
参考文献
第章身份认证和授权
身份认证
用户名和密码
基于证书的认证
扩展认证协议
生物识别
额外使用的认证
授权
用户权限
基于角色的授权
访问控制列表
基于规则的授权
7
