本書作為網絡空間安全系列教材之一,在廣泛吸納讀者意見和建議的基礎上,不僅定位于信息安全管理的基本概念、信息安全管理的各項內容和任務的講解,還適當加入了國內和國際上信息安全技術和管理方面的成果,反映出信息安全管理與方法的研究和應用現狀。本書內容共8章。第1章是緒論,第2章介紹信息安全管理標準與法律法規,第3章介紹信息安全管理體系,第4章介紹信息安全風險評估,第5章介紹信息系統安全測評,第6章介紹信息安全災難恢復與業務連續性,第7章介紹信息系統安全審計,第8章介紹網絡及系統安全保障機制。每章后面配有習題以鞏固相關知識,另外配有大量的參考文獻。
湯永利,博士研究生,現任河南理工大學計算機學院系主任。中國密碼學會教育與科普工作委員會主任委員,參與了多類科研項目并獲得了多次成果獎。多篇,出版教材2部。
第1章緒論 1
1.1信息安全 1
1.1.1信息安全的現狀 1
1.1.2信息安全的概念、特點及意義 2
1.1.3信息安全威脅 3
1.2信息安全管理 5
1.2.1信息安全管理的概念 5
1.2.2信息安全管理的基本內容 6
1.3信息安全管理的指導原則 6
1.3.1策略原則 6
1.3.2工程原則 7
1.4信息安全管理的意義 8
1.5信息安全管理的國內外研究發展 9
1.5.1國內信息安全管理現狀 9
1.5.2我國信息安全管理存在的問題 10
1.5.3國外信息安全管理現狀 10
1.6本書內容安排 11
本章小結 11
習題 11
第2章信息安全管理標準與法律法規 12
2.1信息安全風險評估標準 12
2.1.1風險評估技術標準 12
2.1.2風險評估管理標準 13
2.1.3標準間的比較分析 14
2.2我國信息系統等級保護標準 15
2.2.1概述 15
2.2.2計算機信息系統安全保護等級劃分準則 16
2.2.3信息系統安全管理要求 16
2.2.4信息系統通用安全技術要求 16
2.2.5信息系統安全保護定級指南 17
2.3信息安全管理體系標準 17
2.3.1概述 17
2.3.2ISMS標準的發展經歷 17
2.3.3ISMS國際標準化組織 18
2.3.4ISMS標準的類型 18
2.3.5ISMS認證 19
2.3.6我國的信息安全標準化技術委員會 19
2.3.7美國的ISMS標準 20
2.4ISO/IEC 27000系列標準 21
2.4.1ISO/IEC 27000 21
2.4.2ISO/IEC 27001 21
2.4.3ISO/IEC 27002 22
2.4.4ISO/IEC 27003 22
2.4.5ISO/IEC 27004 23
2.4.6ISO/IEC 27005 23
2.4.7ISO/IEC 27006 23
2.5信息安全法律法規 23
2.5.1我國信息安全法律法規體系 23
2.5.2信息安全法律法規的法律地位 26
2.5.3信息安全法律法規的基本原則 27
2.5.4信息系統安全相關法律法規 28
2.5.5互聯網安全管理相關法律法規 36
本章小結 46
習題 47
第3章信息安全管理體系 48
3.1ISMS實施方法與模型 48
3.2ISMS實施過程 49
3.2.1ISMS的規劃和設計 49
3.2.2ISMS的建立—P階段 51
3.2.3ISMS的實施和運行—D階段 64
3.2.4ISMS的監視和評審—C階段 64
3.2.5ISMS的保持和改進—A階段 66
3.3ISMS、等級保護、風險評估三者的關系 66
3.3.1ISMS建設與風險評估的關系 66
3.3.2ISMS與等級保護的共同之處 66
3.3.3ISMS與等級保護、等級測評的區別 67
3.3.4ISMS與等級保護的融合 68
3.3.5風險評估與等級保護的關系 70
3.4國外ISMS實踐 71
3.4.1西澳大利亞政府電子政務的信息安全管理 71
3.4.2ISMS在國外電子政務中的應用 72
本章小結 73
習題 73
第4章信息安全風險評估 75
4.1信息安全風險評估策略 75
4.1.1基線風險評估 75
4.1.2詳細風險評估 76
4.1.3綜合風險評估 76
4.2信息安全風險評估過程 77
4.2.1風險評估流程概述 77
4.2.2風險評估的準備 78
4.2.3資產識別與評估 78
4.2.4威脅識別與評估 80
4.2.5脆弱點識別與評估 82
4.2.6已有安全措施的確認 83
4.2.7風險分析 83
4.2.8安全措施的選取 86
4.2.9風險評估文件記錄 86
4.3典型的風險分析方法 86
4.3.1故障樹分析 87
4.3.2故障模式影響及危害性分析 89
4.3.3模糊綜合評價法 90
4.3.4德爾菲法 91
4.3.5層次分析法 91
4.3.6事件樹分析法 92
4.3.7原因-后果分析 93
4.3.8概率風險評估和動態風險概率評估 93
4.3.9OCTAVE模型 93
4.4數據采集方法與評價工具 93
4.4.1風險分析數據的采集方法 94
4.4.2風險評價工具 94
4.5風險評估實例報告 96
本章小結 107
習題 107
第5章信息系統安全測評 109
5.1信息系統安全測評原則 109
5.2信息系統安全等級測評要求 109
5.2.1術語和定義 110
5.2.2測評框架 110
5.2.3等級測評內容 111
5.2.4測評力度 111
5.2.5使用方法 111
5.2.6信息系統單元測評 112
5.2.7信息系統整體測評 126
5.2.8等級測評結論 127
5.3信息系統安全測評流程 128
5.4信息系統安全管理測評 130
5.4.1術語和定義 130
5.4.2管理評估的基本原則 130
5.4.3評估方法 131
5.4.4評估實施 135
5.5信息安全等級保護與等級測評 137
5.5.1信息安全等級保護 137
5.5.2信息安全等級測評 142
5.6等級測評實例 157
本章小結 190
習題 190
第6章業務連續性與災難恢復 191
6.1業務連續性 191
6.1.1業務連續性概述 191
6.1.2業務連續性管理概述及標準 191
6.1.3業務連續性管理體系 192
6.1.4業務影響分析 193
6.1.5制訂和實施業務連續性計劃 193
6.1.6意識培養和培訓項目 193
6.1.7測試和維護計劃 194
6.2災難恢復 194
6.2.1災難恢復的概念 194
6.2.2災難恢復的工作范圍 195
6.2.3災難恢復需求的確定 195
6.2.4災難恢復策略的制定 196
6.2.5災難恢復策略的實現 199
6.2.6災難恢復預案的制定、落實和管理 200
6.2.7災難恢復的等級劃分 201
6.2.8災難恢復與災難備份、數據備份的關系 204
6.3數據備份與恢復 204
6.3.1備份策略 205
6.3.2備份分類 206
6.3.3備份技術 207
6.3.4數據恢復工具 209
本章小結 210
習題 210
第7章信息系統安全審計 211
7.1信息系統安全審計概述 211
7.1.1概念 211
7.1.2主要目標 212
7.1.3功能 212
7.1.4分類 212
7.2安全審計系統的體系結構 213
7.2.1信息安全審計系統的一般組成 213
7.2.2集中式安全審計系統的體系結構 213
7.2.3分布式安全審計系統的體系結構 214
7.3安全審計的一般流程 215
7.3.1策略定義 215
7.3.2事件采集 216
7.3.3事件分析 216
7.3.4事件響應 216
7.3.5結果匯總 216
7.4安全審計的數據源 216
7.5安全審計的分析方法 218
7.6信息安全審計與標準 219
7.6.1TCSES中的安全審計功能需求 219
7.6.2CC中的安全審計功能需求 220
7.6.3GB 17859—1999對安全審計的要求 221
7.6.4信息系統安全審計產品技術要求 221
7.7計算機取證 222
7.7.1計算機取證的發展歷程 222
7.7.2計算機取證的概念 223
7.7.3計算機取證流程 223
7.7.4計算機取證相關技術 224
7.7.5計算機取證工具 226
本章小結 228
習題 229
第8章網絡及系統安全保障機制 230
8.1概述 230
8.2身份認證技術 230
8.2.1概念 230
8.2.2口令機制 231
8.2.3對稱密碼認證 232
8.2.4證書認證 232
8.2.5生物認證技術 233
8.3網絡邊界及通信安全技術 234
8.3.1物理隔離技術 234
8.3.2防火墻技術 235
8.3.3網絡通信安全技術 236
8.3.4傳輸層安全技術 237
8.3.5虛擬專網技術 238
8.4網絡入侵檢測技術 238
8.4.1P2DR模型 238
8.4.2入侵檢測系統 239
8.4.3入侵防御系統 241
8.5計算環境安全技術 242
8.5.1軟件安全 242
8.5.2補丁技術 243
8.5.3防病毒技術 244
8.6虛擬化安全防護技術 245
8.6.1虛擬化安全威脅 245
8.6.2虛擬化安全增強的難題 246
8.6.3虛擬機自省技術 246
8.6.4虛擬化安全防護措施 247
本章小結 248
習題 248
參考文獻 249
