目录 1
作者简介 1
序 1
前言 1
第1章 安全管理实践 1
1.1 概述 1
1.1.1 我们的目标 1
1.1.2 领域定义 1
1.1.3 管理的概念 2
1.1.4 信息分类过程 3
1.1.5 安全政策的实现 7
1.1.6 作用和责任 9
1.1.7 风险管理 10
1.1.8 安全意识 17
1.2 样本问题 18
1.3 额外的问题 20
1.4 高级的样本问题 20
第2章 访问控制系统 25
2.1 基本原理 25
2.2 控制 25
2.3 标识和认证 28
2.3.1 口令 28
2.3.2 生物测定学 29
2.3.4 Kerberos 31
2.3.3 单点登录 31
2.3.6 KryptoKnight 34
2.3.7 访问控制方法 34
2.3.8 集中的访问控制 34
2.3.5 SESAME 34
2.3.9 分散的/分布式的访问控制 35
2.3.10 入侵检测 38
2.4 一些访问控制问题 39
2.5 样本问题 39
2.6 额外的问题 41
2.7 高级的样本问题 42
3.1 我们的目的 45
第3章 电信和网络安全 45
3.2 领域定义 46
3.3 管理概念 46
3.3.1 C.I.A三元组 46
3.3.2 远程访问安全管理 47
3.3.3 入侵检测和响应 48
3.3.4 技术概念 59
3.4 样本问题 94
3.5 额外的问题 96
3.6 高级的样本问题 97
4.1.1 定义 101
4.1 引言 101
第4章 加密技术 101
4.1.2 历史 104
4.2 密码技术 109
4.3 秘密密钥加密技术(对称密钥) 113
4.3.1 数据加密标准 114
4.3.2 三重DES 116
4.3.3 高级加密标准 117
4.3.4 IDEA密码 119
4.3.5 RCS 119
4.4 公开(非对称)密钥加密系统 119
4.4.2 公开密钥算法 120
4.4.1 单向函数 120
4.4.3 公开密钥密码系统算法种类 122
4.4.4 散列函数的特性 124
4.4.5 公开密钥认证系统 126
4.5 契据保管加密方法 127
4.5.1 契据保管加密标准 127
4.5.2 使用公开密钥加密技术的密钥契据保管方法 128
4.5.3 密钥管理问题 129
4.5.4 电子邮件安全问题和解决方法 129
4.6 Internet安全应用 130
4.6.1 报文认证代码(或金融机构报文认证标准) 130
4.6.6 IPSec 131
4.6.5 MONDEX 131
4.6.3 安全套接字层/交易层安全 131
4.6.4 Internet开放贸易协议 131
4.6.2 安全电子交易 131
4.6.7 安全超文本传输协议 132
4.6.8 安全命令解释程序 132
4.6.9 无线安全 132
4.6.10 无线应用协议 133
4.6.11 IEEE 802.11无线标准 134
4.7 样本问题 135
4.8 附加的问题 138
4.9 高级样本问题 138
5.1.1 计算机体系结构 145
5.1 安全体系结构 145
第5章 安全体系结构和模型 145
5.1.2 分布式体系结构 151
5.1.3 保护机制 152
5.2 保障 154
5.2.1 评估标准 155
5.2.2 认证和鉴定 156
5.2.3 系统安全工程能力成熟度模型 157
5.3 信息安全模型 159
5.3.1 访问控制模型 159
5.3.2 完整性模型 162
5.3.3 信息流模型 163
5.4 样本问题 165
5.5 额外的问题 167
5.6 高级样本问题 168
第6章 操作安全 173
6.1 我们的目标 173
6.2 领域定义 173
6.2.1 三元组 173
6.2.2 C.I.A 174
6.3 控制和保护 174
6.3.1 控制类型 174
6.3.2 桔皮书控制 175
6.3.3 管理控制 179
6.3.4 操作控制 181
6.4 监视和审计 185
6.4.1 监视 185
6.4.2 审计 186
6.5 威胁和脆弱性 188
6.5.1 威胁 188
6.5.2 脆弱性 189
6.6 样本问题 189
6.7 额外的问题 191
6.8 高级样本问题 192
第7章 应用和系统开发 195
7.1 软件生存期开发过程 195
7.1.1 瀑布模型 196
7.1.2 螺旋模型 199
7.1.3 成本评估模型 200
7.1.4 信息安全和生存期模型 200
7.1.5 测试问题 200
7.1.6 软件维护阶段和变化控制过程 201
7.1.7 配置管理 202
7.2 软件能力成熟度模型 203
7.3 面向对象的系统 204
7.4 人工智能系统 206
7.4.1 专家系统 206
7.4.2 神经网络 207
7.5 数据库系统 208
7.4.3 遗传算法 208
7.5.1 数据库安全问题 209
7.5.2 数据仓库和数据挖掘 209
7.5.3 数据字典 210
7.6 应用控制 210
7.6.1 分布式系统 210
7.6.2 集中式结构 211
7.6.3 实时系统 211
7.7 样本问题 212
7.8 额外的问题 214
7.9 高级样本问题 214
8.2 领域定义 219
8.1 我们的目标 219
第8章 业务连续性计划和灾难恢复计划 219
8.3 业务连续性计划 220
8.3.1 连续性破坏事件 220
8.3.2 业务连续性计划的四个主要元素 221
8.3.3 业务影响评估 222
8.4 灾难恢复计划 225
8.4.1 灾难恢复计划的目标和任务 226
8.4.2 灾难恢复计划过程 226
8.4.3 测试灾难恢复计划 230
8.4.4 灾难恢复程序 231
8.5 样本问题 234
8.6 额外的问题 235
8.7 高级样本问题 236
第9章 法律、调查和道德标准 239
9.1 计算机犯罪的类型 239
9.2 法律 241
9.2.1 例子:美国 241
9.2.2 习惯法系统类型 242
9.2.3 保密优先权平台 244
9.2.4 计算机安全、保密和犯罪法 245
9.3 调查 248
9.4 责任 252
9.5.2 计算机道德标准协会的计算机道德标准 254
9.5.1 (ISC)2道德标准法规 254
9.5 道德标准 254
9.5.3 因特网活动委员会道德标准和Internet(RFC 1087) 255
9.5.4 美国公正信息实践的健康、教育和福利法规部 255
9.5.5 经济合作与发展组织 255
9.6 样本问题 257
9.7 额外问题 259
9.8 高级样本问题 259
第10章 物理安全 263
10.1 我们的目标 263
10.2 领域定义 263
10.3 对物理安全的威胁 263
10.4.1 管理控制 265
10.4 对物理安全的控制 265
10.4.2 环境的和生存期安全控制 267
10.4.3 物理和技术控制 272
10.5 样本问题 280
10.6 额外问题 281
10.7 高级样本问题 282
附录A NSA信息系统安全评估方法 285
附录B 公共标准 293
附录C BS7799 303
附录D 进一步研究的参考资料 305
附录E 光盘上的内容 309
附录F 术语表和缩写 311