新書推薦:
《
地下(村上春树沙林毒气事件的长篇纪实)
》
售價:HK$
76.7
《
偿还:债务与财富的阴暗面
》
售價:HK$
80.2
《
清华大学藏战国竹简校释(壹):《命训》诸篇
》
售價:HK$
94.4
《
封建社会农民战争问题导论(光启文库)
》
售價:HK$
68.4
《
虚弱的反攻:开禧北伐
》
售價:HK$
92.0
《
泰山:一种中国信仰专论(法国汉学经典译丛)
》
售價:HK$
81.4
《
花外集斠箋
》
售價:HK$
151.0
《
有兽焉.8
》
售價:HK$
70.6
內容簡介:
信息安全涉及的知识领域十分广泛,既有技术层面的,也有道德、法律层面的,同时对经验和实践能力的要求较高。本书全方位展示了信息安全的理论知识,每章都从一个小故事起步,逐步引出该章要讨论的安全主题,章末则再次回顾故障场景,总结安全知识的应用。
本书特色
●
由权威专家、教授执笔,系统阐述信息安全涉及的理论、技术和道德知识
●
每章由精心设计的小故事引出要讨论的安全话题,趣味性强
●
提供大量用于强化知识的自测题、总结、知识拓展等内容
●
体现了信息安全领域的最新理论及技术成果
關於作者:
Michael E.Whitman拥有哲学博士学位,以及CISM和CISSP认证资格,是肯尼索州立大学CSIS系信息系统和安全专业的教授,同时担任信息安全教育KSU中心主任。Whitman教授目前为研究生和本科生讲授信息安全和数据通信的课程。他还是多家学术协会的活跃会员,包括计算机安全协会CSI、信息系统安全协会ISSA、乔治亚电子商务协会信息安全工作组、美国计算机协会ACM以及国际信息系统协会AIS。
Herbert J.Mattord拥有工商管理硕士学位,以及CISM和CISSP认证资格,拥有24年的IT行业经验,从事过应用开发、数据库管理、项目管理和信息安全,十多年前进入肯尼索州立大学执教。目前为本科生讲授信息安全、数据通信、局域网、数据库技术、项目管理、系统分析和设计课程。Mattord拥有丰富的IT从业经验,尤其是担任过某公司企业信息技术安全经理的经历,为本教材贡献了大量的实践性知识。
目錄 :
目 录
第1章 信息安全简介1
1.1 引言2
1.2 信息安全发展史3
1.2.1 20世纪60年代3
1.2.2 20世纪70年代和80年代4
1.2.3 20世纪90年代8
1.2.4 2000年至今8
1.3 安全的概念9
1.3.1 重要的信息安全概念10
1.3.2 信息的重要特性12
1.4 CNSS安全模型15
1.5 信息系统的组件15
1.5.1 软件16
1.5.2 硬件16
1.5.3 数据17
1.5.4 人员17
1.5.5 过程17
1.5.6 网络17
1.6 平衡信息的安全和访问18
1.7 实现信息安全的方法18
1.8 系统生命周期的安全性19
1.8.1 系统开发生命周期20
1.8.2 安全系统开发生命周期21
1.8.3 软件保证――SDLC中的安全性23
1.8.4 软件设计原则24
1.8.5 保护SDLC的NIST方法25
1.9 安全专业人士和机构27
1.9.1 高级管理者27
1.9.2 信息安全项目小组28
1.9.3 数据责任28
1.10 利益团体29
1.10.1 信息安全管理和专业人士29
1.10.2 信息技术管理和专业人士29
1.10.3 机构管理和专业人士29
1.11 信息安全:艺术还是科学29
1.11.1 作为艺术的安全30
1.11.2 作为科学的安全30
1.11.3 作为社会科学的安全30
1.12 本章小结30
1.13 复习题31
1.14 练习32
1.15 案例练习32
1.16 尾注32
第2章 安全需求35
2.1 引言36
2.2 威胁和攻击37
2.2.1 25亿潜在黑客38
2.2.2 关于威胁的其他研究38
2.2.3 常见攻击模式枚举与分类CAPEC40
2.2.4 12类威胁40
2.3 知识产权的损害41
2.3.1 软件盗版41
2.3.2 版权保护和用户注册42
2.4 服务质量差43
2.4.1 互联网服务问题43
2.4.2 通信及其他服务提供商的问题44
2.4.3 电源不稳定44
2.5 间谍或蓄意入侵45
2.5.1 黑客45
2.5.2 黑客的变体50
2.5.3 密码攻击50
2.6 自然灾害52
2.6.1 火灾52
2.6.2 水灾52
2.6.3 地震52
2.6.4 闪电52
2.6.5 山崩或泥石流53
2.6.6 龙卷风或风暴53
2.6.7 飓风、台风或热带低气压53
2.6.8 海啸53
2.6.9 静电放电53
2.6.10 灰尘污染54
2.7 人为过失或失败54
2.8 信息敲诈58
2.9 蓄意破坏59
2.10 软件攻击61
2.10.1 恶意软件61
2.10.2 后门66
2.10.3 拒绝服务DoS及分布式拒绝服务DDoS攻击67
2.10.4 电子邮件攻击67
2.10.5 通信拦截攻击68
2.11 技术硬件故障或错误69
2.11.1 Intel Pentium CPU故障69
2.11.2 平均故障间隔时间70
2.12 技术软件故障或错误70
2.12.1 OWASP十大风险列表70
2.12.2 软件安全中的诸宗罪71
2.13 技术淘汰75
2.14 窃取76
2.15 本章小结77
2.16 复习题77
2.17 练习78
2.18 案例练习78
2.19 尾注79
第3章 信息安全中的法律、道德以及专业人员问题83
3.1 引言84
3.2 信息安全的法律及道德84
3.2.1 机构的责任和忠告84
3.2.2 政策与法律84
3.2.3 法律的类型85
3.3 美国相关法律85
3.3.1 一般计算机犯罪法85
3.3.2 出口及间谍法93
3.3.3 美国版权法94
3.3.4 财务报表94
3.3.5 1966年信息自由法95
3.3.6 支付卡行业数据安全标准PCI DSS95
3.3.7 州和本地法规96
3.4 国际法及法律主体97
3.4.1 英国的计算机安全法97
3.4.2 澳大利亚的计算机安全法97
3.4.3 欧洲网络犯罪委员会条例98
3.4.4 世界贸易组织和与贸易有关的知识产权协议98
3.4.5 数字千年版权法98
3.5 道德和信息安全99
3.5.1 不同文化中的道德差异99
3.5.2 道德和教育103
3.5.3 不道德及违法行为的防范措施104
3.6 专业机构的道德规范104
3.7 美国主要联邦机构106
3.7.1 本国安全部DHS106
3.7.2 美国特勤局109
3.7.3 联邦调查局FBI110
3.7.4 国家安全局NSA111
3.8 本章小结112
3.9 复习题113
3.10 练习113
3.11 案例练习113
3.12 尾注114
第4章 安全规划117
4.1 引言117
4.2 信息安全规划和治理118
4.2.1 规划级别118
4.2.2 规划和CISO118
4.2.3 信息安全治理119
4.2.4 信息安全治理效果120
4.3 信息安全政策、标准及实践120
4.3.1 作为规划基础的政策121
4.3.2 企业信息安全政策123
4.3.3 特定问题的安全政策124
4.3.4 特定系统的安全政策SysSP127
4.3.5 政策管理131
4.4 信息安全蓝图132
4.4.1 ISO27000系列133
4.4.2 NIST安全模式136
4.4.3 安全框架的其他资源141
4.4.4 安全体系的设计142
4.5 安全教育、培训和认识计划144
4.5.1 安全教育145
4.5.2 安全培训145
4.5.3 安全意识146
4.6 持续性策略146
4.6.1 CP政策150
4.6.2 业务影响分析150
4.6.3 事故响应规划152
4.6.4 灾难恢复计划162
4.6.5 业务持续性计划163
4.6.6 危机管理165
4.6.7 统一的应急计划166
4.6.8 相关法律的实施166
4.7 本章小结166
4.8 复习题167
4.9 练习168
4.10 案例练习168
4.11 尾注169
第5章 风险管理173
5.1 引言174
5.2 风险管理概述174
5.2.1 知己176
5.2.2 知彼176
5.2.3 利益团体的作用176
5.2.4 风险胃纳和残余风险177
5.3 风险识别178
5.3.1 规划、组织过程178
5.3.2 资产的识别、建立清单和分类178
5.3.3 信息资产的分类、估价和分级182
5.3.4 威胁的识别和分级188
5.3.5 指定资产的漏洞192
5.4 风险评估194
5.4.1 风险评估的规划和组织194
5.4.2 确定损失的频率195
5.4.3 估计损失的量级197
5.4.4 计算风险197
5.4.5 评估风险的可接受程度198
5.4.6 风险评估的FAIR方法199
5.5 风险控制策略203
5.5.1 选择控制策略203
5.5.2 证实控制措施的有效性206
5.5.3 风险控制的估计、评估及维护209
5.6 定量和定性的风险管理实践209
5.7 推荐的控制风险实践215
5.7.1 验证结果215
5.7.2 NIST风险管理框架216
5.8 本章小结217
5.9 复习题218
5.10 练习219
5.11 案例练习220
5.12 尾注221
第6章 安全技术:防火墙和VPN223
6.1 引言224
6.2 访问控制224
6.2.1 访问控制机制226
6.2.2 生物测定学229
6.2.3 访问控制体系模型231
6.3 防火墙236
6.3.1 防火墙的处理模式236
6.3.2 防火墙体系结构244
6.3.3 选择正确的防火墙248
6.3.4 配置和管理防火墙248
6.3.5 内容过滤器255
6.4 保护远程连接256
6.4.1 远程访问256
6.4.2 虚拟专用网络259
6.5 本章小结262
6.6 复习题263
6.7 练习263
6.8 案例练习264
6.9 尾注264
第7章 安全技术:入侵检测防护系统和其他安全工具267
7.1 引言268
7.2 入侵检测防护系统268
7.2.1 IDPS术语269
7.2.2 使用IDPS的原因270
7.2.3 IDPS的类型271
7.2.4 IDPS检测方法278
7.2.5 IDPS响应行为280
7.2.6 选择IDPS方法和产品282
7.2.7 IDPS的优缺点286
7.2.8 IDPS的部署和实现286
7.2.9 评估IDPS的效果292
7.3 蜜罐、蜜网和填充单元系统294
7.3.1 诱捕和跟踪系统295
7.3.2 积极阻止入侵296
7.4 浏览和分析工具296
7.4.1 端口扫描仪299
7.4.2 防火墙分析工具300
7.4.3 操作系统检测工具301
7.4.4 漏洞扫描仪301
7.4.5 包嗅探器305
7.4.6 无线安全工具306
7.5 本章小结308
7.6 复习题308
7.7 练习309
7.8 案例练习309
7.9 尾注310
第8章 密码学313
8.1 引言314
8.2 密码简史314
8.3 加密方法317
8.3.1 置换加密318
8.3.2 移项加密321
8.3.3 异或322
8.3.4 Vernam加密323
8.3.5 基于书本的加密324
8.3.6 散列函数325
8.4 加密算法326
8.4.1 对称加密327
8.4.2 非对称加密329
8.4.3 加密密钥的长度331
8.5 加密工具333
8.5.1 公钥基础结构333
8.5.2 数字签名334
8.5.3 数字证书335
8.5.4 混合加密系统337
8.5.5 密码术338
8.6 安全通信协议339
8.6.1 用S-HTTP和SSL保护Internet通信339
8.6.2 使用SMIME、PEM和PGP保护电子邮件340
8.6.3 使用SET、SSL和S-HTTP保护Web事务341
8.6.4 用WEP或WPA保护无线网络342
8.6.5 用IPSec和PGP保护TCPIP344
8.7 本章小结347
8.8 复习题348
8.9 练习348
8.10 案例分析349
8.11 尾注349
第9章 物理安全251
9.1 引言352
9.2 物理访问控制353
9.3 防火安全360
9.4 支持设备发生故障和建筑物倒塌365
9.4.1 取暖、通风和空调365
9.4.2 电力管理和调整367
9.4.3 水问题369
9.4.4 建筑物的倒塌369
9.4.5 设施系统的维护369
9.5 数据的侦听370
9.6 可移动和便携系统的安全性371
9.7 物理安全威胁的特殊考虑373
9.8 本章小结374
9.9 复习题375
9.10 练习375
9.11 案例练习376
9.12 尾注376
第10章 实现信息安全379
10.1 引言380
10.2 信息安全的项目管理381
10.2.1 制定项目计划381
10.2.2 项目计划的考虑384
10.2.3 范围考虑386
10.2.4 项目管理需求387
10.2.5 安全项目管理证书388
10.3 实现的技术主题389
10.3.1 转换策略389
10.3.2 靶心模型391
10.3.3 外购还是自行开发392
10.3.4 技术监督和改进控制392
10.3.5 SANS的20个最重要的安全控制393
10.4 实现的非技术方面394
10.4.1 改进管理的文化氛围394
10.4.2 机构改进的考虑394
10.5 信息系统安全证书和鉴定395
10.5.1 证书和鉴定书395
10.5.2 NIST安全生命周期方法396
10.5.3 NSTISS证书和鉴定书401
10.5.4 ISO 2700127002系统认证和鉴定405
10.6 本章小结407
10.7 复习题408
10.8 练习408
10.9 案例练习409
10.10 尾注410
第11章 安全和人员411
11.1 引言412
11.2 确定安全部门的人员配备412
11.3 信息安全专业人员的认证422
11.3.1 ISC2证书422
11.3.2 ISACA 认证425
11.3.3 SANS认证427
11.3.4 EC委员会认证427
11.3.5 CompTIA认证428
11.3.6 ISFCE 认证429
11.3.7 获得认证的费用429
11.3.8 给信息安全专业人员的建议430
11.4 招聘政策和实践432
11.4.1 工作描述432
11.4.2 面试432
11.4.3 背景检查433
11.4.4 聘用合同433
11.4.5 新员工的定位434
11.4.6 工作期间的安全培训434
11.4.7 业绩评估434
11.4.8 解聘434
11.5 临时工、顾问和其他工