開發和實施端到端的有效安全方案
當今的IT世界風起云涌,復雜的移動平臺、云計算和無處不在的數據訪問對每一位IT專業人士提出了新的安全需求。《信息安全參考手冊(第2版)》是綜合性的,著眼于不斷發展變化的威脅環境,提供供應商中立的有關信息保護全方面細節的專業書籍。本書通過修訂和擴充以涵蓋現代信息安全的各個方面——從概念到細節——提供了一站式的參考,既適用于初學者,也適用于經驗豐富的專業人士。
本書探索了如何基于經過驗證的方法論、風險分析、合規和業務需求,構建一個的安全方案。你將學會如何成功地保護數據、網絡、計算機和應用程序。書中還深入介紹了數據保護、加密、信息權限管理、網絡安全、入侵檢測和防御、UNIX和Windows安全、虛擬化和云安全、安全應用程序開發、災難恢復、計算機取證及現實世界的攻擊和對策。書中提供了一個豐富的安全術語表,以及基于標準的參考,這對于專業人士和學生都是一個相當豐富的資源。
Mark Rhodes-Ousley擁有20多年在信息安全領域,從項目管理到技術各個方面的經驗。這些經驗包括風險管理、安全策略、安全管理、技術/實施和運維、物理安全、災難恢復和業務連續性規劃。他有兩個核心的理念:業務流程的重要性如同技術的重要性,因為安全需要依賴于人;安全應該是一個業務推動者,以提升客戶體驗為目標。Mark擁有CISSP、CISM和MCSE認證。
第I部分 概 述
第1章 信息安全概述 3
1.1 信息保護的重要性 3
1.2 信息安全的演變 5
1.3 合理的安全投資 7
1.3.1 業務靈活性 8
1.3.2 降低成本 8
1.3.3 可移植性 9
1.4 安全方法論 9
1.5 如何建立一個安全計劃 12
1.5.1 授權 12
1.5.2 框架 13
1.5.3 評估 13
1.5.4 規劃 13
1.5.5 實施 14
1.5.6 維護 14
1.6 不可能的工作 14
1.7 最薄弱的環節 15
1.8 戰略與戰術 16
1.9 業務流程與技術控制 17
1.10 本章小結 18
1.11 參考文獻 19
第2章 風險分析 21
2.1 風險定義 21
2.1.1 入侵載體 22
2.1.2 威脅源和目標 24
2.2 攻擊的種類 25
2.2.1 惡意移動代碼 26
2.2.2 高級持續性滲透攻擊(APT) 35
2.2.3 手動攻擊 36
2.3 風險分析 43
2.4 本章小結 44
2.5 參考文獻 44
第3章 遵循標準、法規和法律 47
3.1 信息安全標準 47
3.1.1 信息及相關技術控制目標(COBIT) 47
3.1.2 國際標準化組織(ISO) 27000系列 48
3.1.3 美國國家標準與技術研究院(NIST) 50
3.2 影響信息安全專家的法規 52
3.2.1 注意義務 53
3.2.2 Gramm-Leach-Bliley法案
(GLBA) 53
3.2.3 Sarbanes-Oxley法案 55
3.2.4 HIPAA隱私和安全規則 55
3.2.5 北美電力性公司關鍵基礎設施保護(NERC CIP) 57
3.2.6 PCI DSS:支付卡行業數據安全標準 57
3.3 影響信息安全專家的法律 58
3.3.1 黑客法律 59
3.3.2 電子通信法律 62
3.3.3 其他實質性法律 65
3.4 本章小結 67
3.5 參考文獻 67
第4章 安全設計原則 69
4.1 CIA三元組和其他模型 69
4.1.1 機密性 69
4.1.2 完整性 69
4.1.3 可用性 70
4.1.4 其他概念 70
4.2 防御模型 71
4.2.1 棒棒糖模型 71
4.2.2 洋蔥模型 72
4.3 可信區域 73
4.4 網絡防御的實踐 75
4.4.1 安全的物理環境 75
4.4.2 密碼保護啟動 76
4.4.3 密碼保護CMOS 76
4.4.4 禁止USB和CD引導 76
4.4.5 加固操作系統 76
4.4.6 保持補丁更新 77
4.4.7 使用防病毒掃描程序(實時掃描) 77
4.4.8 使用防火墻軟件 77
4.4.9 安全的網絡共享權限 77
4.4.10 使用加密 78
4.4.11 保護應用程序 78
4.4.12 系統備份 82
4.4.13 實施ARP中毒防御 83
4.4.14 建立計算機安全防御計劃 83
4.5 本章小結 85
4.6 參考文獻 85
第5章 安全策略、標準、流程和指南 87
5.1 安全策略 87
5.1.1 安全策略制定 88
5.1.2 安全策略參與者 89
5.1.3 安全策略閱讀對象 90
5.1.4 策略種類 91
5.1.5 框架 91
5.1.6 安全意識 92
5.1.7 安全意識的重要性 93
5.1.8 意識計劃的目標 93
5.1.9 提高效率 94
5.1.10 實施意識計劃 95
5.1.11 執行 96
5.1.12 對供應商執行的策略 96
5.1.13 對員工執行的策略 97
5.1.14 基于軟件的執行 97
5.1.15 安全策略主題示例 98
5.1.16 可接受的使用策略 98
5.1.17 計算機策略 99
5.1.18 網絡策略 101
5.1.19 數據隱私策略 102
5.1.20 數據完整性策略 103
5.1.21 人事管理策略 105
5.1.22 安全管理策略 107
5.1.23 物理安全策略 108
5.2 安全標準 111
5.3 安全流程 112
5.4 安全指南 114
5.5 持續維護 115
5.6 本章小結 115
5.7 參考文獻 116
第6章 安全組織 117
6.1 角色和職責 117
6.1.1 安全職位 118
6.1.2 安全事件響應小組 123
6.2 安全管理服務 125
6.2.1 通過MSSP提供的服務 126
6.2.2 可以通過MSSP監控的服務 127
6.3 安全委員會、指導委員會或董事會 128
6.4 與人力資源的相互關系 128
6.5 本章小結 129
6.6 參考文獻 129
第7章 身份認證和授權 131
7.1 身份認證 131
7.1.1 用戶名和密碼 132
7.1.2 基于證書的認證 137
7.1.3 擴展認證協議(EAP) 141
7.1.4 生物識別 141
7.1.5 額外使用的認證 142
7.2 授權 142
7.2.1 用戶權限 142
7.2.2 基于角色的授權(RBAC) 143
7.2.3 訪問控制列表(ACL) 143
7.2.4 基于規則的授權 145
7
1.5.2 框架
安全策略規定了安全工作的框架。該策略描述了行政管理人員關于采取何種必要行動來符合
業務需求的意圖。該策略推動了各個方面的技術實現、類似策略和程序。理想情況下,安全策略
應記錄在案并在推行之前公布。安全策略代表了在一定的假設條件下如何做業務決策。如果假設
條件沒有記錄在案,它們可能不是很清晰或與其他活動發生沖突。將這些假設條件明確、易讀地
記錄在案,易用的策略有助于參與人員之間的溝通。
標準是在適當位置對產品特定的配置進行詳細介紹。在實施和管理網絡資源時,標準文檔提
供了持續性和一致性。隨著特性的增加和功能的變化,標準會根據軟件和硬件的每個版本變更,
并且對每個廠商有所不同。由于標準發生了變化,它們需要定期修訂,以反映其所適用的軟件和
硬件的變化。
使用軟件、計算機系統和網絡的指南應清晰地歸檔以便于使用這些技術的人員。指南在某種
程度上由技術驅動,包含關于如何應用這些工具的細節。它們還由安全策略推動,因為它們描述
了如何符合安全策略。
1.5.3 評估
風險評估提供了有關該組織的現有資產存在風險的觀點。這種評估用于優先考慮工作和預算
分配,這樣更大的風險就可以獲得更多的關注和資源。風險評估的結果是該組織關注的明確定義
的風險集。這些風險能夠減輕、轉移或接受。第2 章中會介紹風險評估的更多細節。
差距分析可以比較安全計劃的理想狀態與當前的實際狀態,并確定差異。這些差異或差距構
成了采取補救工作的行動目標的集合,從而提高組織的安全狀況與一個或多個標準、需求或戰略
趨于一致的過程。
補救計劃考慮到了風險、差距和安全計劃的其他目標,并把它們組合成按緩急次序的一系列
步驟,將安全計劃從現狀變成未來需要的樣子。
有用
很好,一大本,慢慢看
不錯
好書,值得一讀
還好吧。
東西不錯,物流很快,下次還買,賣家態度好,很喜歡,推薦給大家
實用
很好,推薦了
好
挺好的書,因為好,所以買!
服務質量好,態度熱情,值得推薦!
朋友介紹一起買的,收到了,謝謝了
好
好書
幫別人買的書,自己看不了這么專業的內容
一般
當當的書就是比其他競爭對手全
實用
一直都是當當,好評!
書還不錯……
非常專業,全面,用處很大,天天用得著!
信息安全參考書,非常全面
還不錯就是包裝有點舊
好評!!!
專業的人用專業的書
內容非常全面,快遞給力,
當今的IT世界風起云涌,復雜的移動平臺、云計算和無處不在的數據訪問對每一位IT專業人士提出了新的安全需求。《信息安全完全參考手冊(第2版)》是唯一綜合性的,著眼于不斷發展變化的威脅環境,提供供應商中立的有關信息保護全方面細節的專業書籍。本書通過全面修訂和擴充以涵蓋現代信息安全的各個方面——從概念到細節——提供了一站式的參考,既適用于初學者,也適用于經驗豐富的專業人士。
這本書還可以,和書店的差不多,價格雖然相差不了多少,但是覺得挺值得,么么噠
經典著作啊……只是本書是沒有關于我國的信息安全標準的一些概念。但就該領域而言介紹全面
