微信扫一扫,移动浏览光盘
简介
随着网络应用的逐渐深入,电子商务的广泛开展,信息安全已经成为汀领域的重中之重,社会对专业信息安全人员的需求不断增加,要求也越来越高。而信息安全本身作为一项系统工程,涉及众多相关学科,相关知识的发展更是日新月异。
为此,国际信息系统安全认证协会(ISC)组织世界信息安全专家编写了信息安全公共知识体系(简称CBK),总结了信息安全专业人员所需最关键的10个知识领域,是目前最为完整和系统的信息安全行业标准体系。本书正是根据这个公共知识体系编写的,涵盖了安全管理、访问控制、网络安全、密码学、安全架构与模型、系统开发、灾难恢复、物理安全和法律伦理问题等信息安全专业人员的必知必会。
本书叙述简洁,层次清楚,并配有大量习题及其答案,适于课堂教学和读者自学。
本书随带光盘包含随机产生的练习题,读者可以使用随书光盘对自己进行测试!
目录
作者简介
序
前言
第1章 安全管理实践 1
1.1 概述 1
1.1.1 我们的目标 1
1.1.2 领域定义 1
1.1.3 管理的概念 2
1.1.4 信息分类过程 3
1.1.5 安全政策的实现 7
1.1.6 作用和责任 9
1.1.7 风险管理 10
1.1.8 安全意识 17
1.2 样本问题 18
1.3 额外的问题 20
1.4 高级的样本问题 20
第2章 访问控制系统 25
2.1 基本原理 25
2.2 控制 25
2.3 标识和认证 28
.2.3.1 口令 28
2.3.2 生物测定学 29
2.3.3 单点登录 31
2.3.4 kerberos 31
2.3.5 sesame 34
2.3.6 kryptoknight 34
2.3.7 访问控制方法 34
2.3.8 集中的访问控制 34
2.3.9 分散的/分布式的访问控制 35
2.3.10 入侵检测 38
2.4 一些访问控制问题 39
2.5 样本问题 39
2.6 额外的问题 41
2.7 高级的样本问题 42
第3章 电信和网络安全 45
3.1 我们的目的 45
3.2 领域定义 46
3.3 管理概念 46
3.3.1 c.i.a.三元组 46
3.3.2 远程访问安全管理 47
3.3.3 入侵检测和响应 48
3.3.4 技术概念 59
3.4 样本问题 94
3.5 额外的问题 96
3.6 高级的样本问题 97
第4章 加密技术 101
4.1 引言 101
4.1.1 定义 101
4.1.2 历史 104
4.2 密码技术 109
4.3 秘密密钥加密技术(对称密钥) 113
4.3.1 数据加密标准 114
4.3.2 三重des 116
4.3.3 高级加密标准 117
4.3.4 idea密码 119
4.3.5 rcs 119
4.4 公开(非对称)密钥加密系统 119
4.4.1 单向函数 120
4.4.2 公开密钥算法 120
4.4.3 公开密钥密码系统算法种类 122
4.4.4 散列函数的特性 124
4.4.5 公开密钥认证系统 126
4.5 契据保管加密方法 127
4.5.1 契据保管加密标准 127
4.5.2 使用公开密钥加密技术的密钥契据保管方法 128
4.5.3 密钥管理问题 129
4.5.4 电子邮件安全问题和解决方法 129
4.6 internet安全应用 130
4.6.1 报文认证代码(或金融机构报文认证标准) 130
4.6.2 安全电子交易 131
4.6.3 安全套接字层/交易层安全 131
4.6.4 internet开放贸易协议 131
4.6.5 mondex 131
4.6.6 ipsec 131
4.6.7 安全超文本传输协议 132
4.6.8 安全命令解释程序 132
4.6.9 无线安全 132
4.6.10 无线应用协议 133
4.6.11 ieee 802.11无线标准 134
4.7 样本问题 135
4.8 附加的问题 138
4.9 高级样本问题 138
第5章 安全体系结构和模型 145
5.1 安全体系结构 145
5.1.1 计算机体系结构 145
5.1.2 分布式体系结构 151
5.1.3 保护机制 152
5.2 保障 154
5.2.1 评估标准 155
5.2.2 认证和鉴定 156
5.2.3 系统安全工程能力成熟度模型 157
5.3 信息安全模型 159
5.3.1 访问控制模型 159
5.3.2 完整性模型 162
5.3.3 信息流模型 163
5.4 样本问题 165
5.5 额外的问题 167
5.6 高级样本问题 168
第6章 操作安全 173
6.1 我们的目标 173
6.2 领域定义 173
6.2.1 三元组 173
6.2.2 c.i.a. 174
6.3 控制和保护 174
6.3.1 控制类型 174
6.3.2 桔皮书控制 175
6.3.3 管理控制 179
6.3.4 操作控制 181
6.4 监视和审计 185
6.4.1 监视 185
6.4.2 审计 186
6.5 威胁和脆弱性 188
6.5.1 威胁 188
6.5.2 脆弱性 189
6.6 样本问题 189
6.7 额外的问题 191
6.8 高级样本问题 192
第7章 应用和系统开发 195
7.1 软件生存期开发过程 195
7.1.1 瀑布模型 196
7.1.2 螺旋模型 199
7.1.3 成本评估模型 200
7.1.4 信息安全和生存期模型 200
7.1.5 测试问题 200
7.1.6 软件维护阶段和变化控制过程 201
7.1.7 配置管理 202
7.2 软件能力成熟度模型 203
7.3 面向对象的系统 204
7.4 人工智能系统 206
7.4.1 专家系统 206
7.4.2 神经网络 207
7.4.3 遗传算法 208
7.5 数据库系统 208
7.5.1 数据库安全问题 209
7.5.2 数据仓库和数据挖掘 209
7.5.3 数据字典 210
7.6 应用控制 210
7.6.1 分布式系统 210
7.6.2 集中式结构 211
7.6.3 实时系统 211
7.7 样本问题 212
7.8 额外的问题 214
7.9 高级样本问题 214
第8章 业务连续性计划和灾难恢复计划 219
8.1 我们的目标 219
8.2 领域定义 219
8.3 业务连续性计划 220
8.3.1 连续性破坏事件 220
8.3.2 业务连续性计划的四个主要元素 221
8.3.3 业务影响评估 222
8.4 灾难恢复计划 225
8.4.1 灾难恢复计划的目标和任务 226
8.4.2 灾难恢复计划过程 226
8.4.3 测试灾难恢复计划 230
8.4.4 灾难恢复程序 231
8.5 样本问题 234
8.6 额外的问题 235
8.7 高级样本问题 236
第9章 法律、调查和道德标准 239
9.1 计算机犯罪的类型 239
9.2 法律 241
9.2.1 例子:美国 241
9.2.2 习惯法系统类型 242
9.2.3 保密优先权平台 244
9.2.4 计算机安全、保密和犯罪法 245
9.3 调查 248
9.4 责任 252
9.5 道德标准 254
9.5.1 (isc)2道德标准法规 254
9.5.2 计算机道德标准协会的计算机道德标准 254
9.5.3 因特网活动委员会道德标准和internet(rfc 1087) 255
9.5.4 美国公正信息实践的健康、教育和福利法规部 255
9.5.5 经济合作与发展组织 255
9.6 样本问题 257
9.7 额外问题 259
9.8 高级样本问题 259
第10章 物理安全 263
10.1 我们的目标 263
10.2 领域定义 263
10.3 对物理安全的威胁 263
10.4 对物理安全的控制 265
10.4.1 管理控制 265
10.4.2 环境的和生存期安全控制 267
10.4.3 物理和技术控制 272
10.5 样本问题 280
10.6 额外问题 281
10.7 高级样本问题 282
附录a nsa信息系统安全评估方法 285
附录b 公共标准 293
附录c bs7799 303
附录d 进一步研究的参考资料 305
附录e 光盘上的内容 309
附录f 术语表和缩写 311
附录g 通过hipaa-cmm来遵从hipaa的过程方法(参见随书光盘) 351
附录h 道德黑客攻击的案例(参见随书光盘) 377
附录i hipaa补充材料(参见随书光盘) 381
附录j 样本问题和额外问题的答案(参见随书光盘) 387
附录k 高级样本问题的答案(参见随书光盘) 415
序
前言
第1章 安全管理实践 1
1.1 概述 1
1.1.1 我们的目标 1
1.1.2 领域定义 1
1.1.3 管理的概念 2
1.1.4 信息分类过程 3
1.1.5 安全政策的实现 7
1.1.6 作用和责任 9
1.1.7 风险管理 10
1.1.8 安全意识 17
1.2 样本问题 18
1.3 额外的问题 20
1.4 高级的样本问题 20
第2章 访问控制系统 25
2.1 基本原理 25
2.2 控制 25
2.3 标识和认证 28
.2.3.1 口令 28
2.3.2 生物测定学 29
2.3.3 单点登录 31
2.3.4 kerberos 31
2.3.5 sesame 34
2.3.6 kryptoknight 34
2.3.7 访问控制方法 34
2.3.8 集中的访问控制 34
2.3.9 分散的/分布式的访问控制 35
2.3.10 入侵检测 38
2.4 一些访问控制问题 39
2.5 样本问题 39
2.6 额外的问题 41
2.7 高级的样本问题 42
第3章 电信和网络安全 45
3.1 我们的目的 45
3.2 领域定义 46
3.3 管理概念 46
3.3.1 c.i.a.三元组 46
3.3.2 远程访问安全管理 47
3.3.3 入侵检测和响应 48
3.3.4 技术概念 59
3.4 样本问题 94
3.5 额外的问题 96
3.6 高级的样本问题 97
第4章 加密技术 101
4.1 引言 101
4.1.1 定义 101
4.1.2 历史 104
4.2 密码技术 109
4.3 秘密密钥加密技术(对称密钥) 113
4.3.1 数据加密标准 114
4.3.2 三重des 116
4.3.3 高级加密标准 117
4.3.4 idea密码 119
4.3.5 rcs 119
4.4 公开(非对称)密钥加密系统 119
4.4.1 单向函数 120
4.4.2 公开密钥算法 120
4.4.3 公开密钥密码系统算法种类 122
4.4.4 散列函数的特性 124
4.4.5 公开密钥认证系统 126
4.5 契据保管加密方法 127
4.5.1 契据保管加密标准 127
4.5.2 使用公开密钥加密技术的密钥契据保管方法 128
4.5.3 密钥管理问题 129
4.5.4 电子邮件安全问题和解决方法 129
4.6 internet安全应用 130
4.6.1 报文认证代码(或金融机构报文认证标准) 130
4.6.2 安全电子交易 131
4.6.3 安全套接字层/交易层安全 131
4.6.4 internet开放贸易协议 131
4.6.5 mondex 131
4.6.6 ipsec 131
4.6.7 安全超文本传输协议 132
4.6.8 安全命令解释程序 132
4.6.9 无线安全 132
4.6.10 无线应用协议 133
4.6.11 ieee 802.11无线标准 134
4.7 样本问题 135
4.8 附加的问题 138
4.9 高级样本问题 138
第5章 安全体系结构和模型 145
5.1 安全体系结构 145
5.1.1 计算机体系结构 145
5.1.2 分布式体系结构 151
5.1.3 保护机制 152
5.2 保障 154
5.2.1 评估标准 155
5.2.2 认证和鉴定 156
5.2.3 系统安全工程能力成熟度模型 157
5.3 信息安全模型 159
5.3.1 访问控制模型 159
5.3.2 完整性模型 162
5.3.3 信息流模型 163
5.4 样本问题 165
5.5 额外的问题 167
5.6 高级样本问题 168
第6章 操作安全 173
6.1 我们的目标 173
6.2 领域定义 173
6.2.1 三元组 173
6.2.2 c.i.a. 174
6.3 控制和保护 174
6.3.1 控制类型 174
6.3.2 桔皮书控制 175
6.3.3 管理控制 179
6.3.4 操作控制 181
6.4 监视和审计 185
6.4.1 监视 185
6.4.2 审计 186
6.5 威胁和脆弱性 188
6.5.1 威胁 188
6.5.2 脆弱性 189
6.6 样本问题 189
6.7 额外的问题 191
6.8 高级样本问题 192
第7章 应用和系统开发 195
7.1 软件生存期开发过程 195
7.1.1 瀑布模型 196
7.1.2 螺旋模型 199
7.1.3 成本评估模型 200
7.1.4 信息安全和生存期模型 200
7.1.5 测试问题 200
7.1.6 软件维护阶段和变化控制过程 201
7.1.7 配置管理 202
7.2 软件能力成熟度模型 203
7.3 面向对象的系统 204
7.4 人工智能系统 206
7.4.1 专家系统 206
7.4.2 神经网络 207
7.4.3 遗传算法 208
7.5 数据库系统 208
7.5.1 数据库安全问题 209
7.5.2 数据仓库和数据挖掘 209
7.5.3 数据字典 210
7.6 应用控制 210
7.6.1 分布式系统 210
7.6.2 集中式结构 211
7.6.3 实时系统 211
7.7 样本问题 212
7.8 额外的问题 214
7.9 高级样本问题 214
第8章 业务连续性计划和灾难恢复计划 219
8.1 我们的目标 219
8.2 领域定义 219
8.3 业务连续性计划 220
8.3.1 连续性破坏事件 220
8.3.2 业务连续性计划的四个主要元素 221
8.3.3 业务影响评估 222
8.4 灾难恢复计划 225
8.4.1 灾难恢复计划的目标和任务 226
8.4.2 灾难恢复计划过程 226
8.4.3 测试灾难恢复计划 230
8.4.4 灾难恢复程序 231
8.5 样本问题 234
8.6 额外的问题 235
8.7 高级样本问题 236
第9章 法律、调查和道德标准 239
9.1 计算机犯罪的类型 239
9.2 法律 241
9.2.1 例子:美国 241
9.2.2 习惯法系统类型 242
9.2.3 保密优先权平台 244
9.2.4 计算机安全、保密和犯罪法 245
9.3 调查 248
9.4 责任 252
9.5 道德标准 254
9.5.1 (isc)2道德标准法规 254
9.5.2 计算机道德标准协会的计算机道德标准 254
9.5.3 因特网活动委员会道德标准和internet(rfc 1087) 255
9.5.4 美国公正信息实践的健康、教育和福利法规部 255
9.5.5 经济合作与发展组织 255
9.6 样本问题 257
9.7 额外问题 259
9.8 高级样本问题 259
第10章 物理安全 263
10.1 我们的目标 263
10.2 领域定义 263
10.3 对物理安全的威胁 263
10.4 对物理安全的控制 265
10.4.1 管理控制 265
10.4.2 环境的和生存期安全控制 267
10.4.3 物理和技术控制 272
10.5 样本问题 280
10.6 额外问题 281
10.7 高级样本问题 282
附录a nsa信息系统安全评估方法 285
附录b 公共标准 293
附录c bs7799 303
附录d 进一步研究的参考资料 305
附录e 光盘上的内容 309
附录f 术语表和缩写 311
附录g 通过hipaa-cmm来遵从hipaa的过程方法(参见随书光盘) 351
附录h 道德黑客攻击的案例(参见随书光盘) 377
附录i hipaa补充材料(参见随书光盘) 381
附录j 样本问题和额外问题的答案(参见随书光盘) 387
附录k 高级样本问题的答案(参见随书光盘) 415
信息安全基础
- 名称
- 类型
- 大小
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×
亲爱的云图用户,
光盘内的文件都可以直接点击浏览哦
无需下载,在线查阅资料!
