《信息系统安全管理》PDF下载

目录 1

第一章 信息系统安全综述 1

1.1 影响系统安全的因素 1

1.1.1 信息系统安全的重要性 1

1.1.2 影响信息系统安全的因素 1

1.2 信息系统安全策略 2

1.2.1 安全策略的一般原则 2

1.2.2 安全策略的职能 2

1.2.3 安全策略的措施 3

1.3　信息系统安全保障 4

1.3.1　信息系统的安全需求 4

1.3.2　信息系统的安全设计原则 5

1.3.3　信息系统的安全技术 6

1.4.1　信息系统的安全模型 7

1.4　信息系统安全设计 7

1.4.2　对系统安全性的认证 9

1.5　信息系统面临的威胁 9

本章思考 11

第二章　信息安全管理的标准 12

2.1　国际信息安全的标准 12

2.1.1　国际信息安全标准的发展历史 12

2.1.2　国际信息安全的管理方式 14

2.2　我国信息安全管理的标准 16

2.2.1　我国的信息安全标准化工作 16

2.2.2　我国的信息安全管理制度 17

2.3　信息安全管理的基本措施 19

2.3.1　安全管理的目的 19

2.3.2　安全管理遵循的原则 19

2.3.3　安全管理的实施 20

本章思考 21

第三章 ISO17799安全管理标准 22

3.1　标准的应用范围 22

3.2　标准的基本框架 23

3.3　标准的管理体系 24

3.3.1　总则 24

3.3.2　管理架构 25

3.3.3　实施 26

3.3.4　文件化 26

3.3.5　文件控制 27

3.3.6　记录 27

3.4　控制细则 28

3.4.1　安全方针 28

3.4.2　安全组织 28

3.4.4　人员安全 30

3.4.3　资产分类与控制 30

3.4.5　物理环境安全 32

3.4.6　通信与运作管理 33

3.4.7　访问控制 37

3.4.8　系统开发与维护 41

3.4.9　业务持续性管理 44

3.4.10　服从性 44

本章思考 46

第四章　信息系统安全管理的工程化架构 47

4.1　以创新精神思考信息安全问题 47

4.1.1　当代信息技术的特点 47

4.1.2　信息技术的工程化平台 48

4.1.3　建设信息系统安全技术平台 48

4.2　用信息安全工程理论规范信息系统安全建设 49

4.2.1　信息系统安全建设需要工程理念 49

4.2.2　信息系统安全的工程化特点 50

4.3　基于安全系统工程能力成熟模型的信息安全工程模型 51

4.4　信息系统安全管理中的信息安全工程学 52

本章思考 55

第五章　信息系统风险分析与评估 56

5.1　信息系统风险的特征 56

5.2　信息系统风险分析与评估的作用 57

5.3　信息系统风险分析与评估的目标和原则 57

5.4　信息系统风险分析与评估的益处 57

5.5　信息系统风险分析与评估的三个阶段和基本步骤 58

5.5.1　数据收集 58

5.5.2　分析 59

5.5.3　分析结论 60

5.6　对风险分析与评估的主要技术手段渗透测试的分析 60

5.6.1　概述 60

5.6.3　渗透测试的方法 61

5.6.2　渗透测试的目标 61

5.6.4　渗透测试的优势和局限性 62

本章思考 63

第六章　风险分析和评估的应用 64

6.1　风险分析和评估的技术背景 64

6.2　风险数据的收集 65

6.3　信息系统风险度的模糊综合评判法 66

6.3.1　风险的评判 66

6.3.2　风险事件成功概率的似然估计 66

6.3.3　风险事件影响程度的模糊综合评判 67

6.3.4　风险度的计算 67

6.3.5　应用案例 68

6.4　基于SSE—CMM模型的组合风险分析法 70

6.4.1　组合风险分析法的原理 70

6.4.2　组合风险分析法的计算步骤 70

6.4.3　方法验证 72

本章思考 74

第七章　信息系统安全审计 75

7.1　信息系统安全审计的基本知识 75

7.2　信息系统安全审计的基本要素 76

7.2.1　计划 76

7.2.2　工具 77

7.2.3　知识 78

7.3　信息系统安全审计的类型和步骤 79

7.3.1　安全审计的类型 79

7.3.2　安全审计的流程 79

7.3.3　安全审计的步骤 80

7.3.4　被审计方的准备工作 82

7.3.5　安全审计成本 82

7.4　安全审计科目 82

7.4.2　系统安全管理 83

7.4.1　制度、标准 83

7.4.3　物理安全 84

7.4.4　网络安全 85

7.4.5　网络用户的身份验证 85

7.4.6　网络防火墙 86

7.4.7　用户身份的识别和验证 87

7.4.8　系统完整性 88

7.4.9　监控和审计 88

7.4.10　应用软件安全审计 89

7.4.11　备份和突发事件计划审计 90

7.4.12　工作站安全审计 90

本章思考 91

第八章　Windows 2000系统的安全管理 92

8.1　安全模型简介 92

8.1.1　用户账号与安全标识符 92

8.1.2　登录认证机制 93

8.1.4　权限分配 95

8.1.3　对象与许可 95

8.1.5　小结 97

8.2　用户账号安全 97

8.2.1　账号安全管理的机制 97

8.2.2　账号策略 98

8.2.3　使用强壮的口令 100

8.3　系统的安全策略 101

8.3.1　安全审计策略 101

8.3.2　安全选项策略 102

8.3.3 NTFS权限设置 104

8.3.4 TCP/IP筛选 106

8.3.5 加强注册表安全 107

8.4.1 定义事件响应计划 109

8.4.2 检查相关文件 109

8.4 入侵响应与分析 109

8.4.3 分析日志 115

本章思考 117

第九章 UNIX系统的安全管理 118

9.1 文件系统安全 118

9.1.1 文件与目录许可权 118

9.1.2 UID和GID 119

9.1.3 关键配置文件 119

9.2 UNIX系统的安全配置 120

9.2.1 UNIX的安全体系结构 120

9.2.2 加强账户管理 121

9.2.3 关闭无用服务 121

9.2.4 防止堆栈溢出 122

9.3 应用服务安全设置 123

9.3.1 MAIL安全 123

9.3.2 FTP安全 126

9.3.3 WWW安全 127

9.4 入侵响应与分析 128

9.4.1 日志文件分析 128

9.4.2 检查相关文件 132

本章思考 133

第十章　电子商务的安全管理 134

10.1　密钥管理与数字证书 134

10.1.1　密钥的结构与分配 134

10.1.2　第三方密钥托管协议 143

10.1.3　公钥基础设施与认证链 148

10.2　电子商务的安全策略 155

10.2.1　安全策略的重要性 155

10.2.2　安全策略的组成 157

10.2.3　安全策略的实现 163

10.3　实现一个安全的电子商务系统 165

10.3.1　安全站点的设计 165

10.3.2　安全区的划分 184

10.3.3　入侵检测的作用 188

10.3.4　管理和监控系统运行 191

10.4　建立完备的灾难恢复计划 193

10.4.1　拟定灾难恢复计划 193

10.4.2　确保信息的安全备份和恢复 196

10.4.3　防范硬件故障与自然灾害 198

本章思考 201

第十一章　电子政务的安全管理 202

11.1　电子政务安全管理的关键技术 202

11.1.1　基于PKI的信任服务体系 202

11.1.2　授权管理基础设施PMI技术 204

11.1.3　可信时间戳技术 204

11.1.4　可信的Web Service技术 204

11.1.5　网络信任域技术 205

11.2.2　安全基础设施建设 207

11.2　电子政务的安全管理 207

11.2.1　统一的安全电子政务平台 207

11.2.3　电子政务网络安全设计 225

11.3　电子政务的安全性分析 226

11.3.1　系统级的安全设计 226

11.3.2　统一的信息安全平台 226

11.3.3　统一的安全保密管理 226

11.3.4　统一的网络安全域 227

11.3.5　用户定制的授权管理 227

11.3.6　自主知识产品的应用 227

本章思考 228

第十二章　信息系统安全体系的设计 229

12.1　有效的安全体系的特征 229

12.2　安全体系的内容 229

12.3.1　相关概念 230

12.3　安全体系的建立 230

12.3.2　安全需求分析和制定安全策略 231

12.3.3　安全工程的实施与监理 235

12.4　评估安全体系 237

12.4.1　概述 237

12.4.2　安全评估框架结构 238

12.5　安全体系的检查与稽核 241

12.5.1　基本内容 241

12.5.2　方法与手段 242

12.6　安全管理制度的构建原则与示例 242

12.6.1　制度的生命周期 242

12.6.2　制度的制定 243

12.6.3　安全制度的组成 245

12.6.4　安全制度的实施 247

本章思考 247

13.1　高速公路收费系统安全概述 248

第十三章　信息系统安全管理在高速公路收费系统中的应用 248

13.3　收费系统安全现状分析 251

13.4　收费系统的安全需求 253

13.4.1　目前存在的主要安全问题 253

13.4.2　安全需求 254

13.5　总体安全解决方案 255

13.5.1　建立安全策略链 255

13.5.2　建立组织体系 256

13.5.3　建立制度体系 257

13.5.4　建立安全技术体系 258

本章思考 261

第十四章　计算机司法鉴定 262

14.1　计算机司法鉴定的意义 262

14.2　证据的管理 262

14.2.1　证据管理中常见的错误 262

14.2.3　保管链 263

14.2.2　最佳证据标准 263

14.3　初始鉴定响应 265

14.3.1　易失的数据 265

14.3.2　现场系统检查 266

14.4　司法鉴定复制 266

14.4.1　司法鉴定复制的方法 267

14.4.2　检查低层系统配置 267

14.4.3　司法鉴定的工具 268

14.5　司法鉴定分析 269

14.5.1　物理分析 269

14.5.2　逻辑分析 270

14.5.3　了解证据所在位置 270

本章思考 273

附录　安全在线资源 274

参考文献 276