開發和實施端到端的有效安全方案
當今的世界風起云涌,復雜的移動平臺、云計算和無處不在的數據訪問對每一位專業人士提出了新的安全需求。《信息安全參考手冊第版》是綜合性的,著眼于不斷發展變化的威脅環境,提供供應商中立的有關信息保護全方面細節的專業書籍。本書通過修訂和擴充以涵蓋現代信息安全的各個方面——從概念到細節——提供了一站式的參考,既適用于初學者,也適用于經驗豐富的專業人士。
本書探索了如何基于經過驗證的方法論、風險分析、合規和業務需求,構建一個的安全方案。你將學會如何成功地保護數據、網絡、計算機和應用程序。書中還深入介紹了數據保護、加密、信息權限管理、網絡安全、入侵檢測和防御、和安全、虛擬化和云安全、安全應用程序開發、災難恢復、計算機取證及現實世界的攻擊和對策。書中提供了一個豐富的安全術語表,以及基于標準的參考,這對于專業人士和學生都是一個相當豐富的資源。
Mark Rhodes-Ousley擁有20多年在信息安全領域,從項目管理到技術各個方面的經驗。這些經驗包括風險管理、安全策略、安全管理、技術/實施和運維、物理安全、災難恢復和業務連續性規劃。他有兩個核心的理念:業務流程的重要性如同技術的重要性,因為安全需要依賴于人;安全應該是一個業務推動者,以提升客戶體驗為目標。Mark擁有CISSP、CISM和MCSE認證。
第部分概述
第章信息安全概述
信息保護的重要性
信息安全的演變
合理的安全投資
業務靈活性
降低成本
可移植性
安全方法論
如何建立一個安全計劃
授權
框架
評估
規劃
實施
維護
不可能的工作
最薄弱的環節
戰略與戰術
業務流程與技術控制
本章小結
參考文獻
第章風險分析
風險定義
入侵載體
威脅源和目標
攻擊的種類
惡意移動代碼
高級持續性滲透攻擊
手動攻擊
風險分析
本章小結
參考文獻
第章遵循標準、法規和法律
信息安全標準
信息及相關技術控制目標
國際標準化組織系列
美國國家標準與技術研究院
影響信息安全專家的法規
注意義務
法案
法案
隱私和安全規則
北美電力性公司關鍵基礎設施保護
:支付卡行業數據安全標準
影響信息安全專家的法律
黑客法律
電子通信法律
其他實質性法律
本章小結
參考文獻
第章安全設計原則
三元組和其他模型
機密性
完整性
可用性
其他概念
防御模型
棒棒糖模型
洋蔥模型
可信區域
網絡防御的實踐
安全的物理環境
密碼保護啟動
密碼保護
禁止和引導
加固操作系統
保持補丁更新
使用防病毒掃描程序實時掃描
使用防火墻軟件
安全的網絡共享權限
使用加密
保護應用程序
系統備份
實施中毒防御
建立計算機安全防御計劃
本章小結
參考文獻
第章安全策略、標準、流程和指南
安全策略
安全策略制定
安全策略參與者
安全策略閱讀對象
策略種類
框架
安全意識
安全意識的重要性
意識計劃的目標
提高效率
實施意識計劃
執行
對供應商執行的策略
對員工執行的策略
基于軟件的執行
安全策略主題示例
可接受的使用策略
計算機策略
網絡策略
數據隱私策略
數據完整性策略
人事管理策略
安全管理策略
物理安全策略
安全標準
安全流程
安全指南
持續維護
本章小結
參考文獻
第章安全組織
角色和職責
安全職位
安全事件響應小組
安全管理服務
通過提供的服務
可以通過監控的服務
安全委員會、指導委員會或董事會
與人力資源的相互關系
本章小結
參考文獻
第章身份認證和授權
身份認證
用戶名和密碼
基于證書的認證
擴展認證協議
生物識別
額外使用的認證
授權
用戶權限
基于角色的授權
訪問控制列表
基于規則的授權
7
