信息安全管理PDF电子书下载

第1章 信息安全管理简介 1

1.1　引言 1

1.2　安全 2

1.3　信息安全 2

1.3.1　信息安全概念 2

1.3.2　信息安全常用方法 2

1.3.3　信息安全属性 3

1.3.4　信息系统安全基本原则 4

1.4　管理 5

1.4.1　管理的特征 5

1.4.2　解决问题 7

1.5　信息安全管理 7

1.5.1　信息安全管理的含义 7

1.5.2　信息安全管理原则 8

第2章 信息安全管理体系 10

2.1 引言 10

2.2 ISMS的构架 10

2.2.1　建立信息安全管理框架 10

2.2.2　具体实施构架的ISMS 13

2.2.3　建立相关文档 13

2.2.4　文档的严格管理 14

2.2.5　安全事件记录、回馈 14

2.3　信息安全管理体系审核 15

2.3.1　体系审核的概念 15

2.3.2　审核准备 15

2.3.3 审核实施 16

2.3.4　审核报告 16

2.3.5　纠正措施 17

2.3.6　审核风险控制 17

2.4　信息安全管理体系评审 18

2.4.1　信息安全管理体系评审程序 18

2.4.2　体系评审与持续改进 18

2.5　信息安全管理体系认证 19

2.5.1 信息安全管理体系认证的目的 19

2.5.2　信息安全管理认证的依据与范围 19

2.5.3 申请认证 20

第3章 信息安全风险管理 22

3.1　引言 22

3.2　风险管理概述 22

3.2.1　知己 22

3.2.2　知彼 23

3.2.3　利益团体的作用 23

3.3　风险识别 23

3.3.1　资产识别和评估 24

3.3.2　信息资产分类 25

3.3.3　信息资产评估 25

3.3.4　安全调查 26

3.3.5　分类数据的管理 26

3.3.6　威胁识别和威胁评估 26

3.3.7　漏洞识别 27

3.4　风险评估 27

3.4.1　风险评估概述 28

3.4.2　信息安全风险评估原则 28

3.4.3　风险评估的过程 29

3.5　风险控制策略 30

3.5.1 避免 31

3.5.2　转移 31

3.5.3　缓解 32

3.5.4　接受 32

3.6　选择风险控制策略 33

3.7　风险管理的讨论要点 34

3.8　验证结果 34

第4章 安全规划 36

4.1 引言 36

4.2　信息安全政策与程序 36

4.2.1 为什么要制定安全政策与程序 36

4.2.2　什么是信息安全政策与程序 37

4.2.3　安全政策与程序的格式 41

4.3　信息安全管理标准 44

4.4　安全管理策略的制定与实施 51

4.4.1　安全管理策略的制定 51

4.4.2　安全管理策略的实施 53

4.4.3　制定和实施安全政策时要注意的问题 54

4.5　安全教育、培训和意识提升 55

4.5.1　安全教育 56

4.5.2　安全培训 56

4.5.3　安全意识 61

4.6　持续性策略 64

4.6.1　业务影响分析 65

4.6.2　事故响应计划 66

4.6.3　灾难恢复计划 66

4.6.4　业务持续性计划 67

第5章 信息安全管理的实现 70

5.1　引言 70

5.2　信息安全的项目管理 70

5.2.1　项目管理 70

5.2.2　信息安全的项目管理 71

5.3　实现的技术主题 80

5.3.1　转换策略 80

5.3.2　信息安全项目计划的靶心模型 80

5.3.3　外购还是自行开发 82

5.3.4　技术监督和变更控制 82

5.4　实现的非技术方面 82

5.4.1　改进管理的文化氛围 82

5.4.2　机构改进需要考虑的因素 84

第6章 物理安全管理 85

6.1 引言 85

6.2　访问控制 86

6.2.1　访问控制综述 86

6.2.2　身份标识和验证技术 88

6.2.3　访问控制技术 92

6.2.4　访问控制方法及实施 93

6.2.5　访问控制管理 94

6.3　物理访问控制 95

6.4　机房和设施安全 98

6.4.1　计算机机房的安全等级 98

6.4.2　机房场地的环境选择 99

6.4.3　机房建筑设计 100

6.4.4　机房组成及面积 101

6.4.5　设备布置 102

6.4.6　机房的环境条件 102

6.4.7　电源 105

6.4.8　计算机设备 107

6.4.9　通信线路的安全 107

6.5　技术控制 108

6.5.1　人员控制 108

6.5.2　检测监视系统 109

6.5.3　智能卡／哑卡 111

6.5.4　生物访问控制 112

6.5.5　审计访问记录 112

6.6　环境与人身安全 113

6.6.1　防火安全 113

6.6.2　漏水和水灾 115

6.6.3 自然灾害 116

6.6.4　物理安全威胁 116

6.7　电磁泄露 116

6.7.1　计算机设备防泄露措施 117

6.7.2　计算机设备的电磁辐射标准 118

6.7.3　我国的TEMPEST标准研究 120

第7章 人员安全管理 121

7.1　引言 121

7.2　安全组织机构 121

7.3　安全职能 125

7.4　人员安全审查 126

7.5　岗位安全考核 128

7.6　信息安全专业人员的认证 129

7.6.1 认证信息系统安全专业人员和系统安全认证从业者 129

7.6.2　认证信息系统审计员和认证信息系统经理 130

7.6.3　全球信息保险认证 130

7.6.4　安全认证专业人员 131

7.6.5　给信息安全专业人员的建议 132

7.7　安全事故与安全故障反应 132

7.8　安全保密契约的管理 134

7.9　离岗人员的安全管理 134

第8章 软件和应用系统安全管理 136

8.1　引言 136

8.2　软件安全管理 136

8.2.1　影响软件安全的因素 136

8.2.2　软件安全管理的措施 137

8.2.3　软件的选型、购置与储藏 138

8.2.4　软件安全检测方法 143

8.2.5　软件安全跟踪与报告 143

8.2.6　软件版本控制 144

8.2.7　软件使用与维护 145

8.3　应用系统安全 147

8.3.1　应用系统安全概述 147

8.3.2　系统启动安全审查管理 149

8.3.3　应用系统运行管理 158

8.3.4　应用软件监控管理 162

第9章 设备、运行安全管理 164

9.1　引言 164

9.2　设备安全管理 164

9.2.1　设备选型 164

9.2.2　设备检测 164

9.2.3　设备安装 165

9.2.4　设备登记 165

9.2.5　设备使用管理 165

9.3　运行管理 165

9.3.1　故障管理 165

9.3.2　性能管理 170

9.3.3　变更管理 171

9.3.4　排障工具 174

第10章 信息安全技术 176

10.1　引言 176

10.2　防火墙 176

10.2.1　防火墙技术 177

10.2.2　包过滤防火墙 180

10.2.3　屏蔽主机防火墙 181

10.2.4　屏蔽子网防火墙 182

10.2.5　防火墙的局限性 182

10.3　入侵检测技术 183

10.3.1　入侵检测与技术 183

10.3.2　入侵检测分类 186

10.3.3　入侵检测数学模型 187

10.3.4　入侵检测的特征分析和协议分析 188

10.3.5　入侵检测响应机制 191

10.4　数据加密技术 192

10.4.1　对称密钥密码体系 192

10.4.2　非对称密钥密码体系 194

10.5　数字签名技术 194

10.6　数字证书 195

10.6.1　数字证书的内容 195

10.6.2　数字证书的作用 195

10.6.3　数字证书的管理 196

10.7　信息隐藏技术 196

10.7.1　信息隐藏系统的特性 197

10.7.2　信息隐藏技术的分类 197

第11章 信息安全法律法规 201

11.1　引言 201

11.2　信息安全法规概述 201

11.2.1 电子信息的法律地位 202

11.2.2　信息安全法 202

11.3　电子商务法 205

11.3.1　电子商务法的调整对象 205

11.3.2　电子商务法的适用范围 206

11.3.3 电子商务法的特征 206

11.3.4　电子商务法的基本原则 207

11.3.5 电子商务法的现实状况 208

11.4　电子政务法 209

11.4.1　电子政府 209

11.4.2　电子政务法概念 209

11.4.3　电子政务法的立法现状 209

11.5　网络环境下的知识产权 211

11.5.1　域名的法律问题及立法对策 211

11.5.2　信息网络传播权问题 212

11.6　计算机取证 214

11.6.1　计算机取证的原则和步骤 215

11.6.2　计算机取证的工具体系 216

11.6.3　计算机取证的技术方法 216

参考文献 218