本書包括理論篇和實踐篇兩部分,詳細介紹了云計算環境下的信息安全管理指南。理論篇從梳理Gartner、云計算安全聯盟(CSA)、歐洲網絡與信息安全局(ENISA)等知名研究組織提出的云計算環境下所面臨的安全問題著手,分析總結了現階段常見的云計算環境下的信息安全風險;同時,對現有的國內外成熟的云計算信息安全管理標準及常見的云計算信息安全管理方法和模型進行了分析,有針對性地提出了C-STAR分級模型及評估方法。實踐篇從應用和接口安全,審計保障與合規性,業務連續性管理和操作彈性,變更控制和配置管理,數據安全和信息生命周期管理,數據中心安全,加密和密鑰管理,治理和風險管理,人力資源,身份識別和訪問管理,基礎設施和虛擬化安全,互操作性和可移植性,移動安全,安全事件管理、電子證據及云端調查取證,供應鏈管理、透明性及責任,威脅和脆弱性管理等16個方面詳細解讀了C-STAR體系規范中各項條款的內容和含義,同時給出了企業實施落地的實踐參考,使C-STAR管理體系的建立者能深入理解各項條款的要求,并正確應用相關參考內容建設云計算環境的信息安全管理體系,有針對性地開展云計算安全管理。
理論篇
第1章 云計算發展歷程 (2)
1.1 云計算的出現和發展 (2)
1.2 云計算與傳統IT的聯系 (3)
1.2.1 云計算與網格計算的關系 (3)
1.2.2 云計算與對等計算的關系 (5)
1.2.3 云計算與集群計算的關系 (5)
1.2.4 云計算與資源虛擬化的關系 (6)
1.2.5 云計算與Web服務技術的關系 (8)
1.2.6 云計算與傳統IT的區別 (8)
1.3 云計算的特點 (10)
1.3.1 泛在網絡訪問 (11)
1.3.2 服務可度量 (11)
1.3.3 多租戶 (11)
1.3.4 按需自助服務 (11)
1.3.5 快速彈性伸縮 (12)
1.3.6 資源池化 (13)
1.4 本章小結 (14)
第2章 云計算所面臨的安全問題 (15)
2.1 案例分析 (16)
2.1.1 Google安全問題及事件分析 (16)
2.1.2 Amazon宕機事件及應對措施分析 (16)
2.1.3 Apple服務安全事件及應對措施分析 (17)
2.1.4 微軟云服務安全事件及應對措施分析 (17)
2.2 云計算所面臨的安全問題總結 (18)
2.2.1 云安全問題的研究分析 (18)
2.2.2 安全問題分類 (23)
2.3 本章小結 (31)
第3章 云計算信息安全管理標準介紹 (32)
3.1 云計算信息安全管理標準化工作概述 (32)
3.1.1 國外標準化概況 (32)
3.1.2 國內標準概況 (37)
3.2 云計算信息安全管理標準化主要成果分析 (42)
3.2.1 CSA云安全控制矩陣 (42)
3.2.2 國標云服務安全標準 (44)
3.2.3 美國聯邦政府風險與授權管理項目FedRAMP (47)
3.2.4 ENISA《云計算信息安全保障框架》 (51)
3.2.5 ISO/IEC 27018 《信息技術—安全技術—公有云中作為個人信息(PII)
處理者的個人信息保護實用規則》 (54)
3.2.6 ISO/IEC 27001:2013《信息技術—安全技術—信息安全管理體系要求》 (56)
3.3 本章小結 (58)
第4章 云計算信息安全管理方法和模型 (60)
4.1 常見的信息安全管理方法 (60)
4.1.1 信息安全管理體系 (60)
4.1.2 信息安全等級保護 (65)
4.1.3 CERT-RMM模型 (68)
4.1.4 其他ISMS 成熟度模型 (73)
4.1.5 專業領域的信息安全管理方法 (76)
4.2 云計算安全管理方法 (78)
4.2.1 云計算安全管理體系 (79)
4.2.2 云計算安全管理的實施 (81)
4.3 云計算信息安全評估模型 (84)
4.3.1 SSE-CMM模型 (84)
4.3.2 C-STAR模型 (87)
4.4 本章小結 (90)
實踐篇
第5章 應用和接口安全(AIS) (94)
5.1 應用和接口安全要求 (94)
5.1.1 應用和接口安全概述 (95)
5.1.2 控制條款解讀 (96)
5.2 落地實施建議 (100)
第6章 審計保障與合規性(AAC) (102)
6.1 審計保障與合規性要求 (102)
6.1.1 審計保障與合規性概述 (103)
6.1.2 控制條款解讀 (103)
6.2 落地實施建議 (113)
第7章 業務連續性管理和操作彈性(BCR) (116)
7.1 業務連續性管理和操作彈性要求 (116)
7.1.1 業務連續性管理和操作彈性概述 (117)
7.1.2 控制條款解讀 (117)
7.2 落地實施建議 (126)
第8章 變更控制和配置管理(CCC) (133)
8.1 變更控制和配置管理要求 (133)
8.1.1 變更控制和配置管理概述 (134)
8.1.2 控制條款解讀 (135)
8.2 落地實施建議 (138)
第9章 數據安全和信息生命周期管理(DSI) (150)
9.1 數據安全和信息生命周期管理要求 (150)
9.1.1 數據安全和信息生命周期管理概述 (151)
9.1.2 控制條款解讀 (151)
9.2 落地實施建議 (157)
第10章 數據中心安全(DCS) (161)
10.1 數據中心安全要求 (161)
10.1.1 數據中心安全概述 (162)
10.1.2 控制條款詳解 (162)
10.2 落地實施建議 (167)
第11章 加密和密鑰管理(EKM) (170)
11.1 加密和密鑰管理要求 (170)
11.1.1 加密和密鑰管理概述 (171)
11.1.2 控制條款解讀 (172)
11.2 落地實施建議 (176)
第12章 治理和風險管理(GRM) (178)
12.1 治理和風險管理要求 (178)
12.1.1 治理和風險管理概述 (179)
12.1.2 控制條款解讀 (179)
12.2 落地實施建議 (189)
第13章 人力資源(HRS) (197)
13.1 人力資源安全要求 (197)
13.1.1 人力資源安全概述 (198)
13.1.2 控制條款解讀 (199)
13.2 落地實施建議 (208)
第14章 身份識別和訪問管理(IAM) (210)
14.1 身份識別和訪問管理要求 (210)
14.1.1 身份識別和訪問管理概述 (211)
14.1.2 控制條款解讀 (212)
14.2 落地實施建議 (221)
第15章 基礎設施和虛擬化安全(IVS) (225)
15.1 基礎設施和虛擬化安全要求 (225)
15.1.1 基礎設施和虛擬化安全概述 (226)
15.1.2 控制條款解讀 (227)
15.2 落地實施建議 (241)
第16章 互操作性和可移植性(IPY) (243)
16.1 互操作性和可移植性要求 (243)
16.1.1 互操作性和可移植性概述 (244)
16.1.2 控制條款解讀 (245)
16.2 落地實施建議 (248)
第17章 移動安全(MOS) (250)
17.1 移動安全要求 (250)
17.1.1 移動安全概述 (251)
17.1.2 控制條款解讀 (252)
17.2 落地實施建議 (269)
第18章 安全事件管理、電子證據及云端調查取證(SEF) (271)
18.1 安全事件管理、電子證據及云端調查取證要求 (271)
18.1.1 安全事件管理、電子證據及云端調查取證概述 (272)
18.1.2 控制條款解讀 (273)
18.2 落地實施建議 (278)
第19章 供應鏈管理、透明性及責任(STA) (283)
19.1 供應鏈管理、透明性及責任要求 (283)
19.1.1 供應鏈管理、透明性及責任概述 (284)
19.1.2 控制條款解讀 (286)
19.2 落地實施建議 (292)
第20章 威脅和脆弱性管理(TVM) (295)
20.1 威脅和脆弱性管理要求 (295)
20.1.1 威脅和脆弱性管理概述 (296)
20.1.2 控制條款解讀 (297)
20.2 落地實施建議 (300)
附錄A CSA云安全控制矩陣ISO/IEC 27001:2013對照條款 (302)
參考文獻 (317)
快,好
非常棒的職場工具書,
不錯
書本包裝都沒一層薄膜覆蓋了。。。
書寄丟了,郁悶,重拍沒有貨了,價位也高了
替人買的,他說書很好,值得一看,專業性強
學習中。。。
送貨很及時
為什么沒有包裝呀、快遞四五天才到。將就。
書很好,物流很快!
