日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

目 錄

第1章 信息安全簡介 1

1.1 引言 2

1.2 信息安全發展史 3

1.2.1 20世紀60年代 3

1.2.2 20世紀70年代和80年代 4

1.2.3 20世紀90年代 8

1.2.4 2000年至今 8

1.3 安全的概念 9

1.3.1 重要的信息安全概念 10

1.3.2 信息的重要特性 12

1.4 CNSS安全模型 15

1.5 信息系統的組件 15

1.5.1 軟件 16

1.5.2 硬件 16

1.5.3 數據 17

1.5.4 人員 17

1.5.5 過程 17

1.5.6 網絡 17

1.6 平衡信息的安全和訪問 18

1.7 實現信息安全的方法 18

1.8 系統生命周期的安全性 19

1.8.1 系統開發生命周期 20

1.8.2 安全系統開發生命周期 21

1.8.3 軟件保障――SDLC中的安全性 23

1.8.4 軟件設計原則 24

1.8.5 保護SDLC的NIST方法 25

1.9 安全專業人士和機構 27

1.9.1 高級管理者 27

1.9.2 信息安全項目小組 28

1.9.3 數據責任 28

1.10 利益團體 29

1.10.1 信息安全管理和專業人士 29

1.10.2 信息技術管理和專業人士 29

1.10.3 機構管理和專業人士 29

1.11 信息安全：藝術還是科學 29

1.11.1 作為藝術的安全 30

1.11.2 作為科學的安全 30

1.11.3 作為社會科學的安全 30

1.12 本章小結 30

1.13 復習題 31

1.14 練習 32

1.15 案例練習 32

1.16 尾注 32

第2章 安全需求 35

2.1 引言 36

2.2 威脅和攻擊 37

2.2.1 25億潛在黑客 38

2.2.2 關于威脅的其他研究 38

2.2.3 常見攻擊模式枚舉與分類(CAPEC) 40

2.2.4 12類威脅 40

2.3 知識產權的損害 41

2.3.1 軟件盜版 41

2.3.2 版權保護和用戶注冊 42

2.4 服務質量差 43

2.4.1 互聯網服務問題 43

2.4.2 通信及其他服務提供商的問題 44

2.4.3 電源不穩定 44

2.5 間諜或蓄意入侵 45

2.5.1 黑客 45

2.5.2 黑客的變體 50

2.5.3 密碼攻擊 50

2.6 自然災害 52

2.6.1 火災 52

2.6.2 水災 52

2.6.3 地震 52

2.6.4 閃電 52

2.6.5 山崩或泥石流 53

2.6.6 龍卷風或風暴 53

2.6.7 颶風、臺風或熱帶低氣壓 53

2.6.8 海嘯 53

2.6.9 靜電放電 53

2.6.10 灰塵污染 54

2.7 人為過失或失敗 54

2.8 信息敲詐 58

2.9 蓄意破壞 59

2.10 軟件攻擊 61

2.10.1 惡意軟件 61

2.10.2 后門 66

2.10.3 拒絕服務(DoS)及分布式拒絕服務(DDoS)攻擊 67

2.10.4 電子郵件攻擊 67

2.10.5 通信攔截攻擊 68

2.11 技術硬件故障或錯誤 69

2.11.1 Intel Pentium CPU故障 69

2.11.2 平均故障間隔時間 70

2.12 技術軟件故障或錯誤 70

2.12.1 OWASP十大風險列表 70

2.12.2 軟件安全中的諸宗罪 71

2.13 技術淘汰 75

2.14 竊取 76

2.15 本章小結 77

2.16 復習題 77

2.17 練習 78

2.18 案例練習 78

2.19 尾注 79

第3章 信息安全中的法律、道德以及專業人員問題 83

3.1 引言 84

3.2 信息安全的法律及道德 84

3.2.1 機構的責任和忠告 84

3.2.2 政策與法律 84

3.2.3 法律的類型 85

3.3 美國相關法律 85

3.3.1 一般計算機犯罪法 85

3.3.2 出口及間諜法 93

3.3.3 美國版權法 94

3.3.4 財務報表 94

3.3.5 1966年信息自由法 95

3.3.6 支付卡行業數據安全標準(PCI DSS) 95

3.3.7 州和本地法規 96

3.4 國際法及法律主體 97

3.4.1 英國的計算機安全法 97

3.4.2 澳大利亞的計算機安全法 97

3.4.3 歐洲網絡犯罪委員會條例 98

3.4.4 世界貿易組織和與貿易有關的知識產權協議 98

3.4.5 數字千年版權法 98

3.5 道德和信息安全 99

3.5.1 不同文化中的道德差異 99

3.5.2 道德和教育 103

3.5.3 不道德及違法行為的防范措施 104

3.6 專業機構的道德規范 104

3.7 美國主要聯邦機構 106

3.7.1 本國安全部(DHS) 106

3.7.2 美國特勤局 109

3.7.3 聯邦調查局(FBI) 110

3.7.4 國家安全局(NSA) 111

3.8 本章小結 112

3.9 復習題 113

3.10 練習 113

3.11 案例練習 113

3.12 尾注 114

第4章 安全規劃 117

4.1 引言 117

4.2 信息安全規劃和治理 118

4.2.1 規劃級別 118

4.2.2 規劃和CISO 118

4.2.3 信息安全治理 119

4.2.4 信息安全治理效果 120

4.3 信息安全政策、標準及實踐 120

4.3.1 作為規劃基礎的政策 121

4.3.2 企業信息安全政策 123

4.3.3 特定問題的安全政策 124

4.3.4 特定系統的安全政策(SysSP) 127

4.3.5 政策管理 131

4.4 信息安全藍圖 132

4.4.1 ISO27000系列 133

4.4.2 NIST安全模式 136

4.4.3 安全框架的其他資源 141

4.4.4 安全體系的設計 142

4.5 安全教育、培訓和認識計劃 144

4.5.1 安全教育 145

4.5.2 安全培訓 145

4.5.3 安全意識 146

4.6 持續性策略 146

4.6.1 CP政策 150

4.6.2 業務影響分析 150

4.6.3 事故響應規劃 152

4.6.4 災難恢復計劃 162

4.6.5 業務持續性計劃 163

4.6.6 危機管理 165

4.6.7 統一的應急計劃 166

4.6.8 相關法律的實施 166

4.7 本章小結 166

4.8 復習題 167

4.9 練習 168

4.10 案例練習 168

4.11 尾注 169

第5章 風險管理 173

5.1 引言 174

5.2 風險管理概述 174

5.2.1 知己 176

5.2.2 知彼 176

5.2.3 利益團體的作用 176

5.2.4 風險胃納和殘余風險 177

5.3 風險識別 178

5.3.1 規劃、組織過程 178

5.3.2 資產的識別、建立清單和分類 178

5.3.3 信息資產的分類、估價和分級 182

5.3.4 威脅的識別和分級 188

5.3.5 指定資產的漏洞 192

5.4 風險評估 194

5.4.1 風險評估的規劃和組織 194

5.4.2 確定損失的頻率 195

5.4.3 估計損失的量級 197

5.4.4 計算風險 197

5.4.5 評估風險的可接受程度 198

5.4.6 風險評估的FAIR方法 199

5.5 風險控制策略 203

5.5.1 選擇控制策略 203

5.5.2 證實控制措施的有效性 206

5.5.3 風險控制的估計、評估及維護 209

5.6 定量和定性的風險管理實踐 209

5.7 推薦的控制風險實踐 215

5.7.1 驗證結果 215

5.7.2 NIST風險管理框架 216

5.8 本章小結 217

5.9 復習題 218

5.10 練習 219

5.11 案例練習 220

5.12 尾注 221

第6章 安全技術：防火墻和VPN 223

6.1 引言 224

6.2 訪問控制 224

6.2.1 訪問控制機制 226

6.2.2 生物測定學 229

6.2.3 訪問控制體系模型 231

6.3 防火墻 236

6.3.1 防火墻的處理模式 236

6.3.2 防火墻體系結構 244

6.3.3 選擇正確的防火墻 248

6.3.4 配置和管理防火墻 248

6.3.5 內容過濾器 255

6.4 保護遠程連接 256

6.4.1 遠程訪問 256

6.4.2 虛擬專用網絡 259

6.5 本章小結 262

6.6 復習題 263

6.7 練習 263

6.8 案例練習 264

6.9 尾注 264

第7章 安全技術：入侵檢測防護系統和其他安全工具 267

7.1 引言 268

7.2 入侵檢測防護系統 268

7.2.1 IDPS術語 269

7.2.2 使用IDPS的原因 270

7.2.3 IDPS的類型 271

7.2.4 IDPS檢測方法 278

7.2.5 IDPS響應行為 280

7.2.6 選擇IDPS方法和產品 282

7.2.7 IDPS的優缺點 286

7.2.8 IDPS的部署和實現 286

7.2.9 評估IDPS的效果 292

7.3 蜜罐、蜜網和填充單元系統 294

7.3.1 誘捕和跟蹤系統 295

7.3.2 積極阻止入侵 296

7.4 瀏覽和分析工具 296

7.4.1 端口掃描儀 299

7.4.2 防火墻分析工具 300

7.4.3 操作系統檢測工具 301

7.4.4 漏洞掃描儀 301

7.4.5 包嗅探器 305

7.4.6 無線安全工具 306

7.5 本章小結 308

7.6 復習題 308

7.7 練習 309

7.8 案例練習 309

7.9 尾注 310

第8章 密碼學 313

8.1 引言 314

8.2 密碼簡史 314

8.3 加密方法 317

8.3.1 置換加密 318

8.3.2 移項加密 321

8.3.3 異或 322

8.3.4 Vernam加密 323

8.3.5 基于書本的加密 324

8.3.6 散列函數 325

8.4 加密算法 326

8.4.1 對稱加密 327

8.4.2 非對稱加密 329

8.4.3 加密密鑰的長度 331

8.5 加密工具 333

8.5.1 公鑰基礎結構 333

8.5.2 數字簽名 334

8.5.3 數字證書 335

8.5.4 混合加密系統 337

8.5.5 密碼術 338

8.6 安全通信協議 339

8.6.1 用S-HTTP和SSL保護Internet通信 339

8.6.2 使用S/MIME、PEM和PGP保護電子郵件 340

8.6.3 使用SET、SSL和S-HTTP保護Web事務 341

8.6.4 用WEP或WPA保護無線網絡 342

8.6.5 用IPSec和PGP保護TCP/IP 344

8.7 本章小結 347

8.8 復習題 348

8.9 練習 348

8.10 案例分析 349

8.11 尾注 349

第9章 物理安全 251

9.1 引言 352

9.2 物理訪問控制 353

9.3 防火安全 360

9.4 支持設備發生故障和建筑物倒塌 365

9.4.1 取暖、通風和空調 365

9.4.2 電力管理和調整 367

9.4.3 水問題 369

9.4.4 建筑物的倒塌 369

9.4.5 設施系統的維護 369

9.5 數據的偵聽 370

9.6 可移動和便攜系統的安全性 371

9.7 物理安全威脅的特殊考慮 373

9.8 本章小結 374

9.9 復習題 375

9.10 練習 375

9.11 案例練習 376

9.12 尾注 376

第10章 實現信息安全 379

10.1 引言 380

10.2 信息安全的項目管理 381

10.2.1 制定項目計劃 381

10.2.2 項目計劃的考慮 384

10.2.3 范圍考慮 386

10.2.4 項目管理需求 387

10.2.5 安全項目管理證書 388

10.3 實現的技術主題 389

10.3.1 轉換策略 389

10.3.2 靶心模型 391

10.3.3 外購還是自行開發 392

10.3.4 技術監督和改進控制 392

10.3.5 SANS的20個最重要的安全控制 393

10.4 實現的非技術方面 394

10.4.1 改進管理的文化氛圍 394

10.4.2 機構改進的考慮 394

10.5 信息系統安全證書和鑒定 395

10.5.1 證書和鑒定書 395

10.5.2 NIST安全生命周期方法 396

10.5.3 NSTISS證書和鑒定書 401

10.5.4 ISO 27001/27002系統認證和鑒定 405

10.6 本章小結 407

10.7 復習題 408

10.8 練習 408

10.9 案例練習 409

10.10 尾注 410

第11章 安全和人員 411

11.1 引言 412

11.2 確定安全部門的人員配備 412

11.3 信息安全專業人員的認證 422

11.3.1 (ISC)2證書 422

11.3.2 ISACA 認證 425

11.3.3 SANS認證 427

11.3.4 EC委員會認證 427

11.3.5 CompTIA認證 428

11.3.6 ISFCE 認證 429

11.3.7 獲得認證的費用 429

11.3.8 給信息安全專業人員的建議 430

11.4 招聘政策和實踐 432

11.4.1 工作描述 432

11.4.2 面試 432

11.4.3 背景檢查 433

11.4.4 聘用合同 433

11.4.5 新員工的定位 434

11.4.6 工作期間的安全培訓 434

11.4.7 業績評估 434

11.4.8 解聘 434

11.5 臨時工、顧問和其他工