開發(fā)和實(shí)施端到端的有效安全方案
當(dāng)今的世界風(fēng)起云涌,復(fù)雜的移動(dòng)平臺(tái)、云計(jì)算和無(wú)處不在的數(shù)據(jù)訪問(wèn)對(duì)每一位專業(yè)人士提出了新的安全需求。《信息安全參考手冊(cè)第版》是綜合性的,著眼于不斷發(fā)展變化的威脅環(huán)境,提供供應(yīng)商中立的有關(guān)信息保護(hù)全方面細(xì)節(jié)的專業(yè)書籍。本書通過(guò)修訂和擴(kuò)充以涵蓋現(xiàn)代信息安全的各個(gè)方面——從概念到細(xì)節(jié)——提供了一站式的參考,既適用于初學(xué)者,也適用于經(jīng)驗(yàn)豐富的專業(yè)人士。
本書探索了如何基于經(jīng)過(guò)驗(yàn)證的方法論、風(fēng)險(xiǎn)分析、合規(guī)和業(yè)務(wù)需求,構(gòu)建一個(gè)的安全方案。你將學(xué)會(huì)如何成功地保護(hù)數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算機(jī)和應(yīng)用程序。書中還深入介紹了數(shù)據(jù)保護(hù)、加密、信息權(quán)限管理、網(wǎng)絡(luò)安全、入侵檢測(cè)和防御、和安全、虛擬化和云安全、安全應(yīng)用程序開發(fā)、災(zāi)難恢復(fù)、計(jì)算機(jī)取證及現(xiàn)實(shí)世界的攻擊和對(duì)策。書中提供了一個(gè)豐富的安全術(shù)語(yǔ)表,以及基于標(biāo)準(zhǔn)的參考,這對(duì)于專業(yè)人士和學(xué)生都是一個(gè)相當(dāng)豐富的資源。
Mark Rhodes-Ousley擁有20多年在信息安全領(lǐng)域,從項(xiàng)目管理到技術(shù)各個(gè)方面的經(jīng)驗(yàn)。這些經(jīng)驗(yàn)包括風(fēng)險(xiǎn)管理、安全策略、安全管理、技術(shù)/實(shí)施和運(yùn)維、物理安全、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性規(guī)劃。他有兩個(gè)核心的理念:業(yè)務(wù)流程的重要性如同技術(shù)的重要性,因?yàn)榘踩枰蕾囉谌耍话踩珣?yīng)該是一個(gè)業(yè)務(wù)推動(dòng)者,以提升客戶體驗(yàn)為目標(biāo)。Mark擁有CISSP、CISM和MCSE認(rèn)證。
第部分概述
第章信息安全概述
信息保護(hù)的重要性
信息安全的演變
合理的安全投資
業(yè)務(wù)靈活性
降低成本
可移植性
安全方法論
如何建立一個(gè)安全計(jì)劃
授權(quán)
框架
評(píng)估
規(guī)劃
實(shí)施
維護(hù)
不可能的工作
最薄弱的環(huán)節(jié)
戰(zhàn)略與戰(zhàn)術(shù)
業(yè)務(wù)流程與技術(shù)控制
本章小結(jié)
參考文獻(xiàn)
第章風(fēng)險(xiǎn)分析
風(fēng)險(xiǎn)定義
入侵載體
威脅源和目標(biāo)
攻擊的種類
惡意移動(dòng)代碼
高級(jí)持續(xù)性滲透攻擊
手動(dòng)攻擊
風(fēng)險(xiǎn)分析
本章小結(jié)
參考文獻(xiàn)
第章遵循標(biāo)準(zhǔn)、法規(guī)和法律
信息安全標(biāo)準(zhǔn)
信息及相關(guān)技術(shù)控制目標(biāo)
國(guó)際標(biāo)準(zhǔn)化組織系列
美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院
影響信息安全專家的法規(guī)
注意義務(wù)
法案
法案
隱私和安全規(guī)則
北美電力性公司關(guān)鍵基礎(chǔ)設(shè)施保護(hù)
:支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
影響信息安全專家的法律
黑客法律
電子通信法律
其他實(shí)質(zhì)性法律
本章小結(jié)
參考文獻(xiàn)
第章安全設(shè)計(jì)原則
三元組和其他模型
機(jī)密性
完整性
可用性
其他概念
防御模型
棒棒糖模型
洋蔥模型
可信區(qū)域
網(wǎng)絡(luò)防御的實(shí)踐
安全的物理環(huán)境
密碼保護(hù)啟動(dòng)
密碼保護(hù)
禁止和引導(dǎo)
加固操作系統(tǒng)
保持補(bǔ)丁更新
使用防病毒掃描程序?qū)崟r(shí)掃描
使用防火墻軟件
安全的網(wǎng)絡(luò)共享權(quán)限
使用加密
保護(hù)應(yīng)用程序
系統(tǒng)備份
實(shí)施中毒防御
建立計(jì)算機(jī)安全防御計(jì)劃
本章小結(jié)
參考文獻(xiàn)
第章安全策略、標(biāo)準(zhǔn)、流程和指南
安全策略
安全策略制定
安全策略參與者
安全策略閱讀對(duì)象
策略種類
框架
安全意識(shí)
安全意識(shí)的重要性
意識(shí)計(jì)劃的目標(biāo)
提高效率
實(shí)施意識(shí)計(jì)劃
執(zhí)行
對(duì)供應(yīng)商執(zhí)行的策略
對(duì)員工執(zhí)行的策略
基于軟件的執(zhí)行
安全策略主題示例
可接受的使用策略
計(jì)算機(jī)策略
網(wǎng)絡(luò)策略
數(shù)據(jù)隱私策略
數(shù)據(jù)完整性策略
人事管理策略
安全管理策略
物理安全策略
安全標(biāo)準(zhǔn)
安全流程
安全指南
持續(xù)維護(hù)
本章小結(jié)
參考文獻(xiàn)
第章安全組織
角色和職責(zé)
安全職位
安全事件響應(yīng)小組
安全管理服務(wù)
通過(guò)提供的服務(wù)
可以通過(guò)監(jiān)控的服務(wù)
安全委員會(huì)、指導(dǎo)委員會(huì)或董事會(huì)
與人力資源的相互關(guān)系
本章小結(jié)
參考文獻(xiàn)
第章身份認(rèn)證和授權(quán)
身份認(rèn)證
用戶名和密碼
基于證書的認(rèn)證
擴(kuò)展認(rèn)證協(xié)議
生物識(shí)別
額外使用的認(rèn)證
授權(quán)
用戶權(quán)限
基于角色的授權(quán)
訪問(wèn)控制列表
基于規(guī)則的授權(quán)
7
