信息安全原理PDF电子书下载

第Ⅰ部分简 介 1

第1章信息安全简介 1

目录 1

1.1 介绍 3

1.2信息安全发展史 3

1.2.1 20世纪60年代 4

1.2.2 20世纪70年代和80年代 4

1.2.3 20 t世纪90年代 6

1.2.4现在 7

1.3安全的概念 7

1.5信息的重要特性 8

1.5.1可用性 8

1.4信息安全的概念 8

1.5.2精确性 9

1.5.3真实性 9

1.5.4机密性 9

1.5.5完整性 10

1.5.6效用性 11

1.5.7所有性 11

1.6 NSTISSC安全模型 11

1.7信息系统的组件 12

1.7.1软件 12

1.7.2硬件 13

1.7.3数据 13

1.7.4人员 13

1.9平衡安全性和访问性能 14

1.7.5过程 14

1.8保护IS组件的安全 14

1.10 自上而下地实现安全的方法 15

1.11 系统开发生命周期 16

1.11.1 方法学 17

1.11.2阶段 17

1.11.3调研 18

1.11.4分析 18

1.11.5逻辑设计 18

1.11.6物理设计 18

1.11.7实现 18

1.11.8维护和修改 18

1.12.3逻辑设计 19

1.12.4物理设计 19

1.12安全系统开发生命周期 19

1.12.2分析 19

1.12.1调研 19

1.12.5 实现 20

1.12.6维护和修改 20

1.13 关键术语 21

1.14安全专业人士和机构 23

1.14.1高级管理者 23

1.14.2安全项目队伍 24

1.15.2信息技术管理和专业人士 25

1.15.1信息安全管理和专业人士 25

1.15 兴趣团体 25

1.14.3数据所有权 25

1.15.3机构管理和专业人士 26

1.16信息安全：是一门艺术还是一门科学 26

1.16.1作为艺术的安全 26

1.16.2作为科学的安全 26

1.16.3作为社会科学的安全 27

1.17本章小结 27

1.18复习题 28

1.19练习 28

1.20案例练习 29

第Ⅱ部分安全调研阶段 32

第2章安全需求 32

2.2业务在前，技术在后 33

2.1 引言 33

2.2.1保护机构运转的能力 34

2.2.2实现应用程序的安全操作 34

2.2.3保护机构收集并使用的数据 34

2.2.4保护机构的技术资产 34

2.3威胁 35

2.3.1 威胁组一：疏忽行为 36

2.3.2威胁组二：蓄意行为 38

2.3.3威胁组三：天灾 50

2.3.4威胁组四：技术故障 52

2.3.5威胁组五：管理漏洞 52

2.4.1恶意代码 53

2.4攻击 53

2.4.3后门（backdoor） 54

2.4.4密码破解 54

2.4.5暴力 54

2.4.6词典方式 54

2.4.7拒绝服务（DoS）及分布式拒绝服务（DDoS） 54

2.4.2恶作剧 54

2.4.8欺骗 55

2.4.9 Man-in-the-Middle 56

2.4.12嗅探器 57

2.4.13社会工程 57

2.4.1 1邮件炸弹 57

2.4.10垃圾邮件 57

2.4.14缓冲区溢出 59

2.4.1 5定时攻击 59

2.5本章小结 59

2.6复习题 60

2.7练习 61

2.8案例练习 61

第3章信息安全中的法律、道德以及专业人员问题 66

3.1 引言 67

3.2信息安全的法律及道德 67

3.3法律类型 68

3.4美国相关法律 68

3.4.1普通计算机犯罪法 68

3.4.2隐私 69

3.4.3 出口及间谍法 72

3.4.4美国版权法 73

3.5 国际法及法律主体 74

3.5.1 欧洲计算机犯罪委员会条例 75

3.5.2数字时代版权法 76

3.5.3联合国宪章 76

3.6政策与法律 77

3.7信息安全的道德观念 78

3.7.1道德概念中的文化差异 78

3.7.2软件许可侵犯 78

3.7.3违法使用 79

3.7.4共同资源的滥用 79

3.7.6不道德及违法行为的制止因素 81

3.7.5道德和教育 81

3.8道德、认证以及专业机构的规则 82

3.8.1其他安全机构 88

3.8.2美国主要联邦机构 89

3.9机构商议的责任和需求 92

3.10本章小结 92

3.11 复习题 93

3.12练习 93

3.13案例练习 94

第Ⅲ部分安全分析 98

第4章风险管理：识别和评估风险 98

4.1 引言 99

4.2.3所有的利益团体都应负责 101

4.2.2知彼 101

4.2风险管理 101

4.2.1知己 101

4.2.4使风险管理与SecSDLC一体化 102

4.3风险识别 102

4.3.1 资产识别和评估 103

4.3.2 自动化风险管理工具 106

4.3.3信息资产分类 106

4.3.4信息资产评估 106

4.3.5记录资产的重要性 108

4.3.6数据分类及管理 109

4.3.7安全调查 110

4.3.8分类数据的管理 110

4.3.9威胁识别 111

4.3.10识别威胁及威胁代理，并区分其优先次序 112

4.3.11漏洞识别 115

4.4风险评估 116

4.4.1风险评估介绍 116

4.4.2可能性 117

4.4.3信息资产评估 117

4.4.4 当前控制减轻风险的百分比 118

4.4.5风险确定 118

4.4.6识别可能的控制 118

4.4.7访问控制 119

4.5风险评估记录结果 120

4.6本章小结 122

4.7复习题 123

4.8练习 123

4.9案例练习 124

第5章风险管理：评估和控制风险 127

5.1 引言 128

5.2风险控制策略 128

5.2.1避免 129

5.2.2转移 131

5.2.3缓解 132

5.2.4承认 133

5.3风险缓解策略选择 134

5.4.1控制功能 135

5.4控制的种类 135

5.4.2体系结构层 136

5.4.3策略层 136

5.4.4信息安全原则 136

5.5可行性研究 137

5.5.1成本效益分析（CBA） 137

5.5.2其他可行性研究 146

5.6风险管理讨论要点 147

5.6.1风险可接受性 148

5.6.2残留风险 148

5.7结果归档 149

5.8推荐的控制风险实践 149

5.8.1定量评估 149

5.8.3风险管理和SecSDLC 150

5.8.2 Delphi技术 150

5.9本章小结 151

5.10复习题 151

5.11 练习 152

5.12案例练习 153

第Ⅳ部分逻辑设计 158

第6章安全蓝本 158

6.1 引言 159

6.2信息安全政策，标准及实践 159

6.2.1定义 160

6.2.2安全计划政策（SPP） 161

6.2.3特定问题安全政策（ISSP） 162

6.2.4特定系统政策（SysSP） 165

6.2.5政策管理 169

6.3 信息分类 170

6.4系统设计 171

6.5信息安全蓝本 172

6.6 ISO 17799/BS 7799 173

6.7 NIST安全模式 175

6.7.1 NIST Special Publication SP 800-12 175

6.7.2 NIST Special Publication 800-14 175

6.7.3 IETF安全结构 179

6.8 VISA国际安全模式 180

6.9信息安全系统蓝本的混合结构 182

6.10.1 安全教育 184

6.10安全教育、培训和意识计划 184

6.10.2安全培训 185

6.10.3安全意识 185

6.1 1安全结构设计 186

6.11.1深层防御 186

6.11.2安全周界 187

6.11.3关键技术组件 187

6.12本章小结 189

6.13复习题 190

6.14练习 191

6.15案例练习 191

第7章持续性计划 195

7.1 引言 196

7.2持续性策略 197

7.3商务影响分析 199

7.3.1威胁攻击识别和优先级次序 199

7.3.2商务单元分析 200

7.3.3攻击成功方案开发 200

7.3.4潜在破坏评估 201

7.3.5后续计划分类 201

7.4事故响应计划 201

7.4.1事故计划 202

7.4.2事故检测 204

7.4.3事故何时会成为一个灾难 206

7.5 事故反应 206

7.5.1关键人的通知 206

7.5.3事故遏制策略 207

7.5.2归档一个事故 207

7.6事故恢复 208

7.6.1 反应工作的优先次序 208

7.6.2破坏的评估 208

7.6.3恢复 209

7.6.4备份媒体 211

7.7 自动化响应 212

7.8灾难恢复计划 213

7.8.1灾难恢复计划 213

7.8.2危机管理 214

7.9.2持续性战略 215

7.9.1 开发持续性程序（BCP） 215

7.9商务持续性计划 215

7.8.3恢复操作 215

7.10统一的应急计划模型 217

7.11法律实施相关事物 219

7.11.1本地、州或联邦 219

7.11.2法律实施相关事物的优点和弊端 220

7.12本章小结 221

7.13复习题 222

7.14练习 222

7.15案例练习 223

第Ⅴ部分物理设计 226

第8章安全技术 226

8.2 SecSDLC的物理设计 227

8.1 引言 227

8.3 防火墙 228

8.3.1 防火墙发展 228

8.3.2防火墙体系结构 231

8.3.3配置和管理防火墙 234

8.4拨号的保护 235

8.5 入侵检测系统（IDS） 236

8.5.1基于主机的IDS 237

8.5.2基于网络的IDS 238

8.5.3基于签名的IDS 239

8.5.4基于异常事件统计的IDS 239

8.6浏览和分析工具 240

8.6.1 端口扫描器 241

8.6.2漏洞扫描器 242

8.6.3包嗅探器 243

8.7 内容过滤器 244

8.8 Trap和Trace（诱捕和跟踪） 244

8.9密码系统和基于加密的方案 244

8.9.1 加密定义 245

8.9.2加密运算 246

8.9.3Vemam加密 247

8.9.4书本或运行密钥加密 247

8.9.5对称加密 249

8.9.6非对称加密 250

8.9.8 RSA 251

8.9.7 数字签名 251

8.9.9 PKI 252

8.9.10什么是数字证书和证书颁发机构 252

8.9.11 混合系统 253

8.9.12保护电子邮件的安全 254

8.9.13保护Web的安全 254

8.9.14保护身份验证的安全 255

8.9.15 Sesame 257

8.10访问控制设备 257

8.10.1 身份验证 258

8.10.2生物测定学的有效性 260

8.11 小结 261

8.10.3 生物测定学的可接受性 261

8.12 复习题 262

8.13 练习 263

8.14案例练习 263

第9章物理安全 267

9.1 引言 268

9.2访问控制 269

9.3 防火安全 275

9.4支持设施故障和建筑倒塌 281

9.4.1加热、通风和空调 281

9.4.2 电力管理和调整 282

9.4.3测试设备系统 286

9.5数据的侦听 286

9.6可移动和便携系统 287

9.7物理安全威胁的特殊考虑 290

9.8本章小结 291

9.9复习题 292

9.10练习 293

9.11 案例练习 293

第Ⅵ部分实 现 297

第1 0章实现安全 297

10.1 引言 298

10.2实现阶段中的项目管理 299

10.2.1开发项目计划 300

10.2.2项目计划考虑 303

10.2.5执行计划 306

10.2.3项目管理需求 306

10.2.4管理的实现 306

10.2.6综合报导 307

10.3 实现的技术主题 307

10.3.1转换策略 308

10.3.2信息安全项目计划的靶心模型 308

10.3.3外购还是自行开发 309

10.3.4技术监督和改动控制 310

10.4实现的非技术方面 310

10.4.1改动管理的文化 310

10.4.2机构改动的考虑 312

10.5 本章小结 312

106复习题 313

10.7练习 314

10.8 案例练习 315

第11章安全和人员 318

11.1 引言 319

11.2 机构结构内的安全职能 319

11.3 安全职能的人员配备 320

11.3.1资格和需求 320

11.3.2进入安全专业的入口 321

11.3.3信息安全位置 322

11.4信息安全专业人员的认证 325

11.4.1 认证信息系统安全专业人员（C.ISSP）和系统安全认证从业者（SSCP） 325

11.4.2安全认证专业人员 327

11.4.3 TruSecure ICSA认证安全联合（T.I.CSA）和TruSecure ICSA认证 328

安全专家（TICSE） 328

11.4.4安全＋ 329

11.4.5 认证信息系统审计员（CISA） 329

11.4.6认证信息系统辩论调查员 330

11.4.7相关认证 330

11.4.8 获得认证的费用 331

11.4.9对信息安全专业人员的建议 331

11.5雇佣政策和实践 332

11.5.1雇佣和解雇问题 333

11.5.2工作成绩评估 335

11.5.3解雇 335

11.6.1暂时雇员 336

11.6非雇员的安全考虑 336

11.6.2合同雇员 337

11.6.3 顾问 337

11.6.4商务伙伴 338

11.7责任的分离和共谋 338

11.8人员数据的秘密性和安全 339

11.9本章小结 339

11.10复习题 341

11.11练习 342

11.12案例练习 342

第Ⅶ部分维护和改动 345

第12章信息安全维护 345

12.1 引言 346

12.2改动的管理 347

12.3安全管理模式 347

12.4维护模式 355

12.4.1监控外部环境 355

12.4.2监控内部环境 359

12.4.3规划与风险评估 362

12.4.4漏洞评估和补救 366

12.4.5备用状态与审查 372

12.5本章小节 374

12.6复习题 375

12.7练习 376

12.8案例练习 377

A.1 引言 379

附录A密码学 379

A.2定义 381

A.3密码类型 383

A.3.1多字母置换密码 383

A.3.2移项密码 384

A.3.3加密算法 385

A.3.4非对称密码或公开密钥密码使用法 387

A.3.5混合密码系统 388

A.4流行的加密算法 389

A.4.1 数据加密标准（DES） 389

A.4.2数据加密核心过程 391

A.4.3 公钥基础结构（PKI） 395

A.4.5数字证书 396

A.4.4数字签名 396

A.4.6 Pretty Good Privacy（PGP） 398

A.4.7安全方案的PGP套件 398

A.5安全通信协议 399

A.5.1 S-HTTP和SSL 399

A.5.2 Secure/Multipurpose Internet mail Extension（S/MIME） 400

A.5.3 Internet Protocol Security（IPSec） 400

A.6密码系统的攻击 402

A.6.1 中间人攻击 402

A.6.2相关性攻击 402

A.6.3 字典攻击 402

A.6.4定时攻击 402

术语表 405