信息系统安全管理

第一章 信息系统安全综述
1.1 影响系统安全的因素
1.1.1 信息系统安全的重要性
1.1.2 影响信息系统安全的因素
1.2 信息系统安全策略
1.2.1 安全策略的一般原则
1.2.2 安全策略的职能
1.2.3 安全策略的措施
1.3 信息系统安全保障
1.3.1 信息系统的安全需求
1.3.2 信息系统的安全设计原则
1.3.3 信息系统的安全技术
1.4 信息系统安全设计
1.4.1 信息系统的安全模型
1.4.2 对系统安全性的认证
1.5 信息系统面临的威胁
本章思考
第二章 信息安全管理的标准
2.1 国际信息安全的标准
2.1.1 国际信息安全标准的发展历史
2.1.2 国际信息安全的管理方式
2.2 我国信息安全管理的标准
2.2.1 我国的信息安全标准化工作
2.2.2 我国的信息安全管理制度
2.3 信息安全管理的基本措施
2.3.1 安全管理的目的
2.3.2 安全管理遵循的原则
2.3.3 安全管理的实施
本章思考
第三章 ISO17799安全管理标准
3.1 标准的应用范围
3.2 标准的基本框架
3.3 标准的管理体系
3.3.1 总则
3.3.2 管理架构
3.3.3 实施
3.3.4 文件化
3.3.5 文件控制
3.3.6 记录
3.4 控制细则
3.4.1 安全方针
3.4.2 安全组织
3.4.3 资产分类与控制
3.4.4 人员安全
3.4.5 物理环境安全
3.4.6 通信与运作管理
3.4.7 访问控制
3.4.8 系统开发与维护
3.4.9 业务持续性管理
3.4.10 服从性
本章思考
第四章 信息系统安全管理的工程化架构
4.1 以创新精神思考信息安全问题
4.1.1 当代信息技术的特点
4.1.2 信息技术的工程化平台
4.1.3 建设信息系统安全技术平台
4.2 用信息安全工程理论规范信息系统安全建设
4.2.1 信息系统安全建设需要工程理念
4.2.2 信息系统安全的工程化特点
4.3 基于安全系统工程能力成熟模型的信息安全工程模型
4.4 信息系统安全管理中的信息安全工程学
本章思考
第五章 信息系统风险分析与评估
5.1 信息系统风险的特征
5.2 信息系统风险分析与评估的作用
5.3 信息系统风险分析与评估的目标和原则
5.4 信息系统风险分析与评估的益处
5.5 信息系统风险分析与评估的三个阶段和基本步骤
5.5.1 数据收集
5.5.2 分析
5.5.3 分析结论
5.6 对风险分析与评估的主要技术手段渗透测试的分析
5.6.1 概述
5.6.2 渗透测试的目标
5.6.3 渗透测试的方法
5.6.4 渗透测试的优势和局限性
本章思考
第六章 风险分析和评估的应用
6.1 风险分析和评估的技术背景
6.2 风险数据的收集
6.3 信息系统风险度的模糊综合评判法
6.3.1 风险的评判
6.3.2 风险事件成功概率的似然估计
6.3.3 风险事件影响程度的模糊综合评判
6.3.4 风险度的计算
6.3.5 应用案例
6.4 基于SSE-CMM模型的组合风险分析法
6.4.1 组合风险分析法的原理
6.4.2 组合风险分析法的计算步骤
6.4.3 方法验证
本章思考
第七章 信息系统安全审计
7.1 信息系统安全审计的基本知识
7.2 信息系统安全审计的基本要素
7.2.1 计划
7.2.2 工具
7.2.3 知识
7.3 信息系统安全审计的类型和步骤
7.3.1 安全审计的类型
7.3.2 安全审计的流程
7.3.3 安全审计的步骤
7.3.4 被审计方的准备工作
7.3.5 安全审计成本
7.4 安全审计科目
7.4.1 制度、标准
7.4.2 系统安全管理
7.4.3 物理安全
7.4.4 网络安全
7.4.5 网络用户的身份验证
7.4.6 网络防火墙
7.4.7 用户身份的识别和验证
7.4.8 系统完整性
7.4.9 监控和审计
7.4.10 应用软件安全审计
7.4.11 备份和突发事件计划审计
7.4.12 工作站安全审计
本章思考
第八章 Windows2000系统的安全管理
8.1 安全模型简介
8.1.1 用户账号与安全标识符
8.1.2 登录认证机制
8.1.3 对象与许可
8.1.4 权限分配
8.1.5 小结
8.2 用户账号安全
8.2.1 账号安全管理的机制
8.2.2 账号策略
8.2.3 使用强壮的口令
8.3 系统的安全策略
8.3.1 安全审计策略
8.3.2 安全选项策略
8.3.3 NTFS权限设置
8.3.4 TCP/IP筛选
8.3.5 加强注册表安全
8.4 入侵响应与分析
8.4.1 定义事件响应计划
8.4.2 检查相关文件
8.4.3 分析日志
本章思考
第九章 UNIX系统的安全管理
9.1 文件系统安全
9.1.1 文件与目录许可权
9.1.2 UID和GID
9.1.3 关键配置文件
9.2 UNIX系统的安全配置
9.2.1 UNIX的安全体系结构
9.2.2 加强账户管理
9.2.3 关闭无用服务
9.2.4 防止堆栈溢出
9.3 应用服务安全设置
9.3.1 MAIL安全
9.3.2 FTP安全
9.3.3 WWW安全
9.4 入侵响应与分析
9.4.1 日志文件分析
9.4.2 检查相关文件
本章思考
第十章 电子商务的安全管理
10.1 密钥管理与数字证书
10.1.1 密钥的结构与分配
10.1.2 第三方密钥托管协议
10.1.3 公钥基础设施与认证链
10.2 电子商务的安全策略
10.2.1 安全策略的重要性
10.2.2 安全策略的组成
10.2.3 安全策略的实现
10.3 实现一个安全的电子商务系统
10.3.1 安全站点的设计
10.3.2 安全区的划分
10.3.3 入侵检测的作用
10.3.4 管理和监控系统运行
10.4 建立完备的灾难恢复计划
10.4.1 拟定灾难恢复计划
10.4.2 确保信息的安全备份和恢复
10.4.3 防范硬件故障与自然灾害
本章思考
第十一章 电子政务的安全管理
11.1 电子政务安全管理的关键技术
11.1.1 基于PKI的信任服务体系
11.1.2 授权管理基础设施PMI技术
11.1.3 可信时间戳技术
11.1.4 可信的Web Service技术
11.1.5 网络信任域技术
11.2 电子政务的安全管理
11.2.1 统一的安全电子政务平台
11.2.2 安全基础设施建设
11.2.3 电子政务网络安全设计
11.3 电子政务的安全性分析
11.3.1 系统级的安全设计
11.3.2 统一的信息安全平台
11.3.3 统一的安全保密管理
11.3.4 统一的网络安全域
11.3.5 用户定制的授权管理
11.3.6 自主知识产品的应用
本章思考
第十二章 信息系统安全体系的设计
12.1 有效的安全体系的特征
12.2 安全体系的内容
12.3 安全体系的建立
12.3.1 相关概念
12.3.2 安全需求分析和制定安全策略
12.3.3 安全工程的实施与监理
12.4 评估安全体系
12.4.1 概述
12.4.2 安全评估框架结构
12.5 安全体系的检查与稽核
12.5.1 基本内容
12.5.2 方法与手段
12.6 安全管理制度的构建原则与示例
12.6.1 制度的生命周期
12.6.2 制度的制定
12.6.3 安全制度的组成
12.6.4 安全制度的实施
本章思考
第十三章 信息系统安全管理在高速公路收费系统中的应用
13.1 高速公路收费系统安全概述
13.3 收费系统安全现状分析
13.4 收费系统的安全需求
13.4.1 目前存在的主要安全问题
13.4.2 安全需求
13.5 总体安全解决方案
13.5.1 建立安全策略链
13.5.2 建立组织体系
13.5.3 建立制度体系
13.5.4 建立安全技术体系
本章思考
第十四章 计算机司法鉴定
14.1 计算机司法鉴定的意义
14.2 证据的管理
14.2.1 证据管理中常见的错误
14.2.2 最佳证据标准
14.2.3 保管链
14.3 初始鉴定响应
14.3.1 易失的数据
14.3.2 现场系统检查
14.4 司法鉴定复制
14.4.1 司法鉴定复制的方法
14.4.2 检查低层系统配置
14.4.3 司法鉴定的工具
14.5 司法鉴定分析
14.5.1 物理分析
14.5.2 逻辑分析
14.5.3 了解证据所在位置
本章思考
附录 安全在线资源
参考文献