信息安全管理基础PDF电子书下载

第1章　信息安全管理概述 1

1.1　全球信息安全发展形势 2

1.1.1　互联网骨干网络面临的安全威胁 2

1.1.2　根域名服务器面临安全威胁 3

1.1.3　全球黑客动向 4

1.2　中国信息安全形势 6

1.3　信息安全管理基本概念 8

1.3.1　信息安全及信息安全管理 8

1.3.2　信息安全管理系统 10

1.4　我国的信息安全管理 11

1.4.1　我国的信息安全管理现状 11

1.4.2　我国信息安全管理存在的问题 13

本章小结 14

思考与练习 14

第2章　物理安全 15

2.1　物理安全威胁与安全需求 16

2.2　机房与设施安全 16

2.2.1　机房安全等级 16

2.2.2　机房场地的环境选择 17

2.2.3　机房组成及面积 19

2.2.4　机房的环境条件 19

2.2.5 电源 25

2.2.6　围墙和门禁 26

2.2.7　锁的使用 27

2.2.8　网络通信线路安全 28

2.2.9　机房物理基础设施解决方案举例 29

2.3　技术访问控制 31

2.3.1　人员控制 32

2.3.2　检测监视系统 33

2.3.3　审计访问记录 36

2.4　防火安全 36

2.4.1 火灾检测 37

2.4.2　火灾抑制 38

2.5 电磁泄漏 40

2.5.1　计算机设备防泄露措施 41

2.5.2　计算机设备的电磁辐射标准 43

2.6　有关物理安全威胁的特殊考虑 46

本章小结 47

思考与练习 47

第3章　身份鉴别与认证 49

3.1　用户标识与鉴别 50

3.1.1　什么是用户标识 50

3.1.2　什么是用户鉴别 51

3.2　用户鉴别的原理 55

3.2.1　鉴别的分类 55

3.2.2　实现身份鉴别的途径 56

3.2.3　Kerberos鉴别系统 63

3.3　证书授权技术 67

3.3.1　什么是PKI 68

3.3.2　什么是数字证书 69

3.3.3　X.509证书标准 71

3.3.4　认证中心 73

3.3.5　数字证书的应用 74

3.3.6　安全电子邮件 80

3.4　一次性口令认证 82

3.4.1 一次性口令 83

3.4.2 口令安全 87

本章小结 92

思考与练习 92

第4章　风险管理 95

4.1 安全威胁 97

4.2　风险管理 101

4.2.1 识别熟悉信息系统 101

4.2.2　识别检查机构漏洞 101

4.2.3　所有的利益团体都应负责 101

4.3 风险识别 102

4.3.1　资产识别和评估 103

4.3.2　自动化风险管理工具 105

4.3.3　风险分类 106

4.3.4　威胁识别 107

4.3.5　漏洞识别 109

4.3.6　正确看待风险识别 110

4.4　风险评估 111

4.4.1　风险评估分析策略及实施流程 112

4.4.2　风险评估种类 113

4.4.3　风险评估分析方法 116

4.4.4　风险消减—实施安全计划 124

4.5　风险控制策略 125

4.5.1　避免 125

4.5.2　转移 126

4.5.3　缓解 127

4.5.4　承认 130

4.5.5　风险缓解策略选择 131

4.5.6　控制的种类 132

4.6　有关风险管理的特殊考虑 134

4.6.1　风险可接受性 134

4.6.2　残留风险 135

4.6.3　实施风险管理的一些建议 136

本章小结 137

思考与练习 138

第5章　安全管理策略 139

5.1 安全策略 140

5.1.1　安全策略的建立 140

5.1.2　安全策略的设计与开发 141

5.1.3　制定安全策略 142

5.2　信息安全管理 148

5.2.1 信息安全 148

5.2.2　信息载体安全管理 149

5.2.3　信息密级标签管理 151

5.2.4　信息存储资源管理 155

5.2.5　信息访问控制管理 159

5.2.6　数据备份管理 160

5.2.7　信息完整性管理 161

5.2.8　信息可用性管理 162

5.2.9　可疑信息跟踪审计 162

5.3　安全应急响应 164

5.3.1　安全应急响应的概况 164

5.3.2　安全应急响应管理系统的建立 166

5.3.3　实施应急措施 171

5.3.4　安全应急响应管理系统的有效性测试 177

5.3.5　应急响应的成本分析 178

5.3.6　安全应急响应流程实例 179

本章小结 183

思考与练习 183

第6章　安全法规和标准 185

6.1 国际信息安全标准组织 186

6.1.1 国际标准化组织发展概况 186

6.1.2　国际电工委员会（IEC） 188

6.1.3　国际电信联盟（ITU） 190

6.1.4 ISO/IEC JTC1（第一联合技术委员会） 192

6.1.5　其他信息安全管理标准化组织 193

6.2 ISO9000族简介 194

6.2.1　ISO9000族标准的起源与发展 194

6.2.2　ISO9000族核心标准简介 195

6.2.3　ISO9000族的新发展 197

6.2.4　ISO26000 197

6.3　国外信息安全标准化现状 198

6.3.1 美国信息安全管理标准体系 198

6.3.2　英国信息安全管理标准体系 200

6.3.3　其他国家信息安全标准化现状 200

6.4　我国信息安全标准化现状 200

6.5　基础信息安全标准 205

6.5.1　信息安全标准体系结构 205

6.5.2　安全框架标准指南 211

6.5.3　信息安全技术中的安全体制标准 224

6.6　环境与平台安全标准 245

6.6.1 电磁泄漏发射技术标准指南 245

6.6.2　物理环境与保障标准 246

6.6.3　计算机安全等级标准 253

6.6.4　网络平台安全标准 265

6.6.5　应用平台安全标准 268

6.7　信息安全管理 286

6.7.1　信息安全管理概念及标准简介 286

6.7.2 BS7799 288

6.7.3 ISO/IEC 17799 296

6.7.4　我国的安全管理工作 300

本章小结 305

思考与练习 305