信息安全管理之道PDF电子书下载

第1章　信息安全的组织机构 1

1.1 轶事 1

1.2 引言 1

1.2.1　信息安全团队的位置 2

1.2.2　信息安全的位置：通过IT总监向上汇报 2

1.2.3　信息安全的位置：向审计负责人汇报 3

1.2.4 信息安全的位置：向CEO、CTO或CFO汇报 4

1.3　安全团队的使命 5

1.4　安全职能角色的工作内容 5

1.4.1 突发事件的管理和调查 6

1.4.2　法律法规方面的考虑 6

1.4.3　策略、标准和基准开发 7

1.4.4　业务咨询 7

1.4.5　体系结构和研究 8

1.4.6　评估和审计 8

1.4.7　运营安全 8

1.5　混合的安全团队：组织机构分析 9

1.5.1 交朋友 10

1.5.2　董事会 11

1.5.3 内部审计 11

1.5.4　法律方面的考虑 11

1.5.5 IT 11

1.6　做一个好的CISO 12

1.7 小结 13

第2章　信息安全策略 14

2.1 轶事 14

2.2 引言 15

2.3　策略、战略和标准：企业理论 15

2.3.1 战略 16

2.3.2　战术与策略 17

2.3.3　操作标准和过程 17

2.4　回到安全 18

2.5　安全战略和安全规划过程 18

2.6　重新讨论安全策略 22

2.7　重新讨论安全标准 25

2.8　一致性和执行 26

2.8.1　信息安全宣传：“胡萝卜” 27

2.8.2　积极执行：“大棒” 28

2.9 小结 29

第3章　术语、原理和概念 33

3.1 轶事 33

3.2 引言 33

3.3 CIA：保密性、完整性和可用性 34

3.3.1 保密性 34

3.3.2　完整性 34

3.3.3 可用性 35

3.3.4　认可 35

3.3.5　使用CIA的时机 36

3.4　弱点周期 36

3.5　控制的类型 38

3.5.1　保护控制 39

3.5.2　探测控制 39

3.5.3　恢复控制 39

3.5.4　管理控制 39

3.6　风险分析 40

3.6.1　风险分析的类型 40

3.6.2　定量分析 40

3.6.3　定性分析 41

3.6.4　它如何工作：长处和弱点 41

3.6.5　那么现在做什么 42

3.7 AAA 43

3.7.1　认证 43

3.7.2　授权 44

3.7.3　计费 44

3.7.4 真实生活中的AAA 45

3.8　其他需要知道的概念 45

3.8.1 最小特权 45

3.8.2　深度防御 45

3.8.3　故障处理方式 46

3.8.4　隐藏式安全 46

3.9　攻击的一般类型 46

3.9.1 网络枚举和发现 46

3.9.2　消息截获 47

3.9.3　消息注入／地址欺骗 47

3.9.4　会话劫持 47

3.9.5　拒绝服务 47

3.9.6　消息重放 47

3.9.7　社会工程学 47

3.9.8　对认证服务的暴力攻击 48

3.10　小结 48

第4章　信息安全法律法规 49

4.1 轶事 49

4.2 引言 50

4.3 英国的立法 50

4.3.1　计算机滥用法案1990 50

4.3.2　数据保护法案1998 51

4.3.3 其他的英国法案 53

4.4　美国法律 56

4.4.1　加利福尼亚SB 1 386 56

4.4.2　萨班斯—奥克斯利法案2002 57

4.4.3　格雷姆—里奇—比利雷法案（GLBA） 57

4.4.4　健康保险流通和责任法案（HIPAA） 58

4.4.5　美国爱国法2001 58

4.5 小结 58

第5章　信息安全标准和审核 60

5.1 轶事 60

5.2 引言 61

5.3　ISO/IEC 27001:2005:BS 7799现在的情况 67

5.4　PAS 56 67

5.4.1　PAS 56是什么 68

5.4.2　BCM生命周期的各个阶段 68

5.5 FIPS 140-2 70

5.5.1　是否应该关注FIPS 140-2 70

5.5.2　有哪些级别 70

5.6　通用标准认证 71

5.7　审核的类型 72

5.7.1 作为财务审计组成部分的计算机审核 72

5.7.2　银行审核 73

5.7.3 SAS 70 73

5.7.4　其他类型的审计 74

5.7.5　管理审计的技巧 75

5.8 小结 76

第6章　面试、老板和职员 77

6.1 轶事 77

6.2 引言 77

6.2.1　作为被面试者 77

6.2.2　面试问卷 80

6.2.3　作为面试者 82

6.3 老板 82

6.3.1　世界上最糟糕老板的亚军 83

6.3.2　世界上最糟糕的老板 83

6.4　最糟糕的雇员 84

6.5 小结 85

第7章　基础设施的安全 86

7.1 轶事 86

7.2 引言 87

7.2.1 网络周边的安全性 87

7.2.2　公司防火墙 88

7.2.3　远程访问DMZ 92

7.3 电子商务 93

7.4　检查 98

7.5 小结 98

第8章　防火墙 100

8.1 轶事 100

8.2 引言 100

8.2.1 防火墙的概念和作用 100

8.2.2　为什么需要防火墙 102

8.3　防火墙结构和设计 103

8.3.1　防火墙类型 103

8.3.2　防火墙的功能 105

8.4　其他类型的防火墙 110

8.4.1　隐形防火墙 110

8.4.2　虚拟防火墙 111

8.5　商业防火墙 111

8.5.1 Cisco PIX 111

8.5.2　Check Point Fire Wall-1 116

8.6　小结 123

第9章　入侵检测系统：原理 125

9.1　轶事 125

9.2 引言 126

9.3　使用IDS的原因 127

9.4　恼人的NIDS 129

9.4.1　探测缺陷 130

9.4.2　糟糕的部署 134

9.4.3　糟糕的配置 138

9.5　致善于技术钻研的读者 142

9.5.1 Snort 142

9.5.2 RealSecure 143

9.6 小结 146

第10章　入侵检测系统：实践 147

10.1 轶事 147

10.2　引言：诀窍、技巧和方法 148

10.2.1 部署NIDS：隐形模式 148

10.2.2　生成端口 149

10.2.3　分路器技术 150

10.2.4　非对称路由 152

10.3　IDS部署方法论 153

10.4　选择 154

10.5　部署 155

10.5.1　规划传感器位置并分配位置风险 156

10.5.2　建立监控策略和攻击严重等级 157

10.5.3　响应 159

10.5.4　进一步动作：IPS 160

10.6　信息管理 161

10.6.1 日志管理 162

10.6.2　控制台管理 162

10.7　事件响应和危机管理 163

10.7.1 识别 164

10.7.2　记录 164

10.7.3　通知 164

10.7.4 围堵对策 164

10.7.5　评估 165

10.7.6　恢复 165

10.7.7　清除 165

10.7.8　其他有价值的技巧 166

10.8　测试和微调 166

10.8.1 微调 166

10.8.2　测试 167

10.9 小结 168

第11章　入侵阻止和保护 169

11.1 轶事 169

11.2　引言 170

11.3　IPS的概念 170

11.4　主动响应：IPS的作用 171

11.5　快速浏览IPS实现产品 172

11.5.1　具有主动响应的传统IDS 172

11.5.2　嵌入式保护 173

11.5.3　欺骗技术 175

11.5.4　扩展的主机操作系统保护 176

11.6　部署的示例 177

11.6.1　对付DDoS攻击 177

11.6.2　一个开源嵌入式IDS/IPS:Hogwash 180

11.7 小结 183

第12章　网络渗透测试 184

12.1 轶事 184

12.2 引言 185

12.3　渗透测试的类型 186

12.3.1 网络渗透测试 186

12.3.2　应用程序渗透测试 186

12.3.3 周期性网络弱点评估 186

12.3.4　物理安全性 186

12.4　网络渗透测试 187

12.4.1 Internet测试过程 187

12.4.2　测试阶段 188

12.4.3 内部渗透测试 194

12.4.4　应用程序渗透测试 194

12.5　所需的控制和文件工作 197

12.5.1　赔偿和法律保护 197

12.5.2　范围和规划 197

12.6　渗透测试和黑客攻击的区别 198

12.7 小结 201

第13章　应用程序安全缺陷和应用程序测试 202

13.1　轶事 202

13.2　引言 202

13.3　配置管理 204

13.4　未经验证的输入 205

13.4.1 缓冲溢出 206

13.4.2　跨站点脚本 206

13.4.3　SQL注入 209

13.4.4　命令注入 211

13.5　糟糕的身份控制 212

13.5.1　强迫浏览 213

13.5.2　URL参数篡改 214

13.5.3　不安全的存储 214

13.6　修复工作 215

13.7　致善于技术钻研的读者 216

13.8　小结 218