信息安全管理手册 卷IIIPDF电子书下载

目录 2

第1部分　访问控制系统和方法 2

第1章　生物测量学：有哪些新技术 2

1.1　指纹 2

1.2　眼睛扫描 2

1.3　面部识别 2

1.4　手和声音 3

1.5　生物测量学新技术 3

1.6　微软 4

1.9　结论 5

1.8　选择准则 5

1.7　标准化问题 5

第2章　医护行业中的隐私问题 7

2.1 引言 7

2.2 HIPAA 10

2.3　其他的病人隐私法 12

2.4　实施新隐私法的技术挑战 12

2.5　结论 16

第3章　新一代黑客工具及防卫方法 17

3.1　分布式攻击 17

3.2　动态嗅探 22

3.3　内核级RootKit的增殖 26

3.4　结论 28

4.1　引言 29

4.2　社交工程的定义 29

第4章　社交工程——被遗忘的危险 29

4.3　为什么社交工程起作用 30

4.4　社交工程的攻击 31

4.5　减小危险 32

4.6　对付社交工程的保护机制 33

4.7　概括 34

4.8　防卫社交工程的攻击 34

4.9　结论 36

5.1　网络是什么 38

5.2　网络设备 38

第2部分　电信和网络安全 38

第5章　安全和网络技术 38

5.3　网络类型 39

5.4　网络拓扑 40

5.5　网络格式 44

5.6　线缆类型 49

5.7　电缆损坏 50

5.8　结论 51

第6章　有线和无线物理层安全问题 52

6.1　有线网络拓扑基础 52

6.3　交换集线器扩展物理安全 53

6.2　共享集线器 53

6.4　虚拟局域网的不可信安全 54

6.5　VLAN／子网加交换 55

6.6　物理配线安全 55

6.7　无线物理层安全 56

6.8　结论 57

第7章 网络路由器安全 58

7.1　路由器硬件和软件构成 58

7.2　控制数据流 60

7.3　配置路由器 60

7.4　路由器访问列表 62

7.5　结论 65

第8章　无线Internet的安全 66

8.1　谁使用无线Internet 66

8.2　有什么类型的应用 67

8.3　传输方法的安全性如何 67

8.4　无线设备的安全性 70

8.5　网络基础设施部分的安全性如何 72

8.6　结论 76

参考文献 77

第9章　虚拟专用网（VPN）的利用和评价策略 78

9.1　VPN是什么 78

9.2　IPSec VPN应用 78

9.3　保证内部网络的安全 84

9.4　VPN开发模式 85

9.5　VPN性能评价 87

9.6　VPN外包 89

9.7　总结 90

词汇表 90

第10章　如何完成检查站防火墙的安全检查 92

10.1　防火墙检查的必要性 92

10.2　检查、核查和评价 92

10.3　防火墙检查的步骤 92

10.4　结论 103

第11章　防火墙技术比较 104

11.1　防火墙技术 105

11.2　边界防御和防火墙如何配置 107

11.3　总的建议和结论 110

第12章　虚拟专用网的安全 111

12.1　首要问题 111

12.2　漫游用户 111

12.3　Internet的采用 113

12.4　宽带 113

12.5　扩展访问 114

12.6　始终连接 114

12.7　访问公司网络 115

12.8　结束开放 116

12.10　安全的封装 117

12.9　访问点 117

12.11　易攻击性概念 118

12.12　退步 119

12.13　案例 121

12.14　解决方案 122

12.15　结论 122

第13章　E-mail安全 124

13.1　目标和无目标 124

13.2　E-mail通信的特定风险和问题 125

13.3　E-mail内容特定的风险和问题 128

13.4　无线安全 130

13.7　小结 131

13.6　更新 131

13.5　E-mail安全工具 131

第14章　Cookie和Web bug：它们是什么以及如何一起工作 132

14.1 Cookie是什么 132

14.2 Cookie的内容 132

14.3 Cookie的正面性 134

14.4 Cookie的负面问题 135

14.5 Web bug是什么 136

14.6 Web bug的隐私和其他问题 136

14.7 Web bug和Cookie的同步 136

14.8 小结 137

15.1 VPN的关键优势 138

第15章 利用虚拟专用网 138

15.2 融合的网络 139

15.3 WAN卸载 143

15.4 结论 146

第16章　无线LAN安全 147

16.1　标准 147

16.2　安全问题 147

16.5　MAC地址 148

16.6　服务组标识符 148

16.7　有线对等加密（WEP） 148

16.4　降低风险 148

16.3　默认安装 148

16.8　认证解决方案 149

16.9　第3方产品 149

16.10　网关控制 149

16.11　结论 150

第3部分　安全管理实践 152

第17章　维持经理的承诺 152

17.1 “你最近为我做了些什么？！” 152

17.2　交流 152

17.3　会议 154

17.4　教育 155

17.5　激励因素 157

17.6　小结 159

第18章　加强安全意识 160

18.1　确立目标 161

18.2　确定具体的内容 161

18.3　实施（发布）选项 161

18.4　克服困难 163

18.5　评估 163

18.6　小结 164

18.7　培训 164

18.8　总结 169

19.1　培训方略（培训内容发布的模式） 171

第19章　加强安全意识：附录 171

19.2　推荐的IT系统安全培训课程 172

第20章　策略的制定 179

20.1　组织机构文化的影响 179

20.2　安全策略的发展历史 179

20.3　为什么需要策略 182

20.4　管理职责 183

20.5　为策略做计划 185

20.6　策略管理层次 185

20.7　策略的类型 186

20.8　编写策略 187

20.10　定义规程 190

20.9　定义标准 190

20.11　定义方针 191

20.12　发布策略 192

20.13　建立一个通用格式 192

20.14　使用一个通用的制订过程 194

20.15　总结 196

参考文献 196

第21章　信任问题 197

21.1　信任问题 197

21.2　保护基础结构 202

21.3　风险管理101 203

21.5　赢得信任 207

21.4　底线 207

致谢 208

参考文献 208

第22章　风险管理和分析 211

22.1　定量风险分析 212

22.2　定性风险分析 213

22.3　要点 215

22.4　风险管理 216

22.5　小结 217

第23章　信息风险管理的新趋势 218

23.1　传统方法 218

23.2　尽力做到最好 218

23.3　相关常识：怎样进行防护 219

23.4　业务连续性管理 220

23.5　重新进行企业的防护工作 221

23.6　小结 223

第24章　企业的信息安全性 225

24.1　安全需求：访问公司数据 225

24.2　信息安全需求 226

24.3　主要的安全功能 226

24.4　IT需求 228

24.5　加密：实现安全性的关键因素 229

24.6　企业安全框架的实施 232

24.7　选择技术供应商 234

24.8　实施以及测试 235

24.9　小结 236

第25章　企业安全信息管理 237

25.1　企业安全性信息来源 237

25.2　入侵检测系统 239

25.3　防火墙类型及其在加强安全方面的作用 243

25.4　操作系统日志 245

25.5　路由器及交换机 247

25.6　企业信息管理的策略 248

25.7　安全漏洞数据 251

25.8　小结 251

参考文献 252

26.1　系统安全工程能力成熟模型（SSE-CMM）概述 253

第26章　配置管理 253

26.2　安全工程 256

26.3　配置管理 257

26.4　配置管理的基础实践 258

26.5　建立配置管理方法 258

26.6　识别控制单元 260

26.7　维护工件基线 262

26.8　控制已建立的配置单元的变更 262

26.9　交流配置状态 264

26.10　小结 266

27.1　Web应用程序的安全性 270

第4部分　应用程序及系统开发的安全性 270

第27章　Web应用程序的安全性 270

27.2　跨站脚本执行 272

27.3　参数篡改 272

27.4　cookie中毒 272

27.5　输入操作 273

27.6　缓冲区溢出 273

27.7　直接存取浏览 273

27.8　防护措施 273

27.9　技术工具及解决方案 275

27.10　小结 276

第28章　理想状态下的安全体系 281

28.1　构造完美的安全体系 282

28.2　法律法规：策略、方法、标准及准则 285

28.3　周边安全（⑩） 286

28.4　台式机 286

28.5　网络 287

28.6　服务器和主机 287

28.7　应用程序 288

28.8　数据库 288

28.9　小结 289

第29章　XML及其他元数据语言的安全性 290

29.1　元数据 290

29.2　万维网的安全性 295

29.3　推荐做法 296

29.4　小结 297

参考文献 297

第30章　XML以及信息的安全性 298

30.1　XML基础 298

30.2　HTML的局限性 298

30.3　其他XML工具 301

30.4　XML的安全问题 302

30.5　小结 304

第31章　关系数据库应用程序中的数字签名 306

31.1　数字签名的基本概念 306

31.2　不同的数据库 308

31.3　集成方法 310

31.4　关系数据库中数字签名的通用方法 312

31.5　小结 314

第32章　数据仓库的安全和隐私 315

32.1　隐私问题概述 315

32.2　商业问题 319

32.3　支持隐私性的商业需求 321

32.4　技术问题 324

32.5　小结 330

参考文献 330

33.1 AES处理过程 332

第33章　先进的加密标准（AES） 332

第5部分　密码术 332

33.2 AES候选者 333

33.3 Rijndael 335

33.4 NIST为什么选择Rijndael码 335

33.5 Rijndael的问题 335

33.6 AES会被解密吗？ 336

33.7 AES的影响 336

第34章　保存PKI 337

34.1　PKI 337

34.2　构建密码安全数字标记（CSDT） 339

34.3　层次分离 339

34.4　有CSDT证书的发行 340

34.5　小结 341

参考文献 342

第6部分　安全结构和模型 344

第35章　数据库完整性的思考 344

35.1　概念和描述 344

35.2　方法 345

35.3　结论 348

35.4　建议 348

第36章：智能入侵分析：四位机怎样能识别计算机的入侵风险 352

36.1　为什么有人工智能 352

第7部分　操作安全 352

36.2　知识的作用 353

36.3　入侵检测的模式匹配方法 353

36.4　与入侵检测系统匹配的模式 356

36.5　进行中的系统 359

36.6　概念的扩展 362

36.7　挑战和局限 363

36.8　小结 364

参考文献 364

第37章　审查电子商务环境 365

37.1　策略 365

37.3　隐私 366

37.2　合法性 366

37.4　出口控制 367

37.5　法规 367

37.6　项目管理 368

37.7　可靠性 368

37.8　开发 371

37.9　连接性 371

37.10　安全性 372

37.11　电子商务服务器的安全性 375

37.12　操作系统的安全性 377

37.13　后台系统应用软件 378

致谢 380

37.14　结论 380

第8部分　商业持续性计划和灾难恢复计划 382

第38章　对商业持续性计划流程的再设计 382

38.1　持续性计划：高度的管理意识——极差的执行效果 382

38.2　接受巨变：CP流程的改善 383

38.3　处理持续性计划的流程方案 385

38.4　创造一个CP流程的改善环境 386

38.5　CP的价值历程 388

38.6　对机构性变化管理的需求 388

38.7　如何衡量成功 389

38.8　持续性计划在互联网中的应用情况 391

参考文献 393

38.9　小结 393

第39章　商业恢复计划和灾难复原：案例历史 395

39.1　案例历史 396

39.2　专业支持 399

39.3　BCP：更新 401

39.4　工会 401

39.5　风险管理介入 401

39.6　裁员 402

39.7　文献资料 402

39.8　局部处理：谁获得优先 402

39.9　注意其他那些会影响最基本恢复点的灾难 402

参考文献 403

39.10　小结 403

第9部分　法律、调查和道德标准 406

第40章　发生了什么 406

第41章　因特网抱怨网站：Bally v.Faber 410

41.1　Bally v.Faber的事实 411

41.2　商标法的概述 411

41.3　分析：商标侵犯 412

41.4　分析：商标品牌降低 413

41.5　对各企业的建议 413

41.6　结论 413

参考文献 413

第42章　对垃圾邮件的控制：Washington v.Heckel 415

42.1　案件的事实 416

42.2　州际贸易条款 416

42.3　Heckel的分析 417

42.4　结论 418

参考文献 418

第10部分　物理安全 420

第43章　物理安全：信息安全的基础 420

43.1　如何着手物理安全 420

43.2　物理安全的心理学 420

43.3　物理安全设施 421

43.4　信息系统的物理安全 427

43.5　意识培训 428

43.6　小结 429

参考文献 429

第44章　物理安全：控制访问和层次防卫 430

44.1　控制访问 430

44.2　物理安全技术 432

44.3　物理安全的作用 434

44.4　多科学防卫 434

44.5　将物理安全与IT安全结合成整体的策略 437

44.6　物理安全的困难 437

44.7　IT和物理安全的协力合作 438

44.8　购买更多的信息 440

44.9　小结 440