《信息安全原理与实践》全面讲解网络信息安全，主要内容有：信息安全的基本原则和概念；信息安全的公共知识体系；安全管理；安全架构与模型；业务持续计划和灾难恢复计划；法律，调查与道德规范；操作安全；访问控制系统与方法论；密码学；电信、网络、以及Internet安全；应用程序的开发安全。

内容简介

目录

huojia

版权信息

书 名: 信息安全原理与实践

作　者：(美国)(Merkow.M.)梅柯 (美国)(Breithaupt.J.)布莱特普特

出版社： 清华大学出版社

出版时间： 2008

ISBN: 9787302180999

开本： 16

定价: 39.80 元

内容简介

《信息安全原理与实践》全面讲解网络信息安全，主要内容有：信息安全的基本原则和概念；信息安全的公共知识体系；安全管理；安全架构与模型；业务持续计划和灾难恢复计划；法律，调查与道德规范；操作安全；访问控制系统与方法论；密码学；电信、网络、以及Internet安全；应用程序的开发安全。

《信息安全原理与实践》具有完善的知识体系。知识的讲解细致详尽，循序渐进，通俗易懂，易于入手，深入浅出的剖析，逐步提高读者的使用能力，巩固学习技能。

另外，《信息安全原理与实践》注重实践、强调实用。大量的练习，由简单到复杂，完全覆盖了网络信息安全应用各个方面涉及的知识内容。辅助功能讲解的练习（inPractice）以及课后练习中的大量选择题（测试读者对知识的理解程度）、练习题（围绕章节中出现的个别概念设计的简要、引导性的课程项目）、项目题（综合一章内若干知识点的较长、引导性的课程项目）和案例研究（运用该章中的知识点来解决问题的实际场景），可以在理论知识的学习基础上边学边练，通过实际操作理解各种功能的实际应用。针对各种练习，书中提供了详细的操作步骤，注意事项，初学者以及具有一定基础的中级读者，只要按照步骤一步步学习，都能完成实例练习，并通过技巧的提示达到举一反三的目的，在较短的时间内快速掌握知识应用的精髓。

目录

1.1导言1

1.2增长的IT安全重要性与新的职业机会2

1.2.1政府和私营工商业的持续需求2

1.3成为信息安全专家3

1.3.1应运而生的教育机构5

1.3.2综合学科研究法6

1.4信息安全的环境7

1.4.1信息安全职业--业务安全的需要8

1.5本章小结9

1.6技能测试9

1.6.1多项选择题9

1.6.2练习题11

1.6.3项目题12

1.6.4案例研究12

第2章信息安全的成功原则15

2.1导言15

2.2原则1:没有绝对的安全16

2.3原则2:安全三目标--私密性、完整性和可用性17

2.3.1完整性模型17

2.3.2可用性模型18

2.4原则3:部署安全分层机制18

2.5原则4:人们容易自行做出最糟的安全决定19

2.6原则5:决定计算机安全的两项需求--功能性需求与保险性需求20

2.7原则6:模糊性不是安全的解决之道21

2.8原则7:安全=风险管理21

2.9原则8:安全控制的三种类型：预防型控制、探测型控制和响应型控制23

2.10原则9:复杂性是安全性的大敌23

2.11原则10:担忧、不确定性、疑惑对销售安全没用24

2.12原则11:必要的人、流程、技术是系统或设施安全的保障24

2.13原则12:公开已知的漏洞有助于安全25

2.14本章小结25

2.15技能测试26

2.15.1多项选择题26

2.15.2练习题27

2.15.3项目题28

2.15.4案例研究29

第3章认证计划与公共知识体系31

3.1导言31

3.2信息安全及其认证31

3.2.1国际信息系统安全认证联盟32

3.3信息安全的公共知识体系（CBK)33

3.3.1安全管理实务33

3.3.2安全体系结构和模型34

3.3.3业务持续性计划34

3.3.4法律、调查和道德35

3.3.5物理安全35

3.3.6操作安全35

3.3.7访问控制系统和方法36

3.3.8密码学36

3.3.9电信、网络和Internet安全36

3.3.10应用开发安全37

3.4其他安全认证项目37

3.4.1注册信息系统审计师（CISA)37

3.4.2注册信息安全员（CISM)38

3.4.3全球信息保证证书（GIAC)38

3.4.4CompTIASecurity+认证38

3.4.5针对供应商的认证38

3.5本章小结40

3.6技能测试40

3.6.1多项选择题40

3.6.2练习题42

3.6.3项目题43

3.6.4案例研究44

第4章安全管理45

4.1导言45

4.2安全策略是成功的基础46

4.34种策略类型47

4.3.1程序层次的策略48

4.3.2框架层次的策略49

4.3.3面向问题的策略49

4.3.4面向系统的策略51

4.4安全策略的开发与管理51

4.4.1安全目标51

4.4.2可操作的安全52

4.4.3策略执行52

4.5策略支持文档53

4.5.1规范53

4.5.2标准和基准54

4.5.3方针55

4.5.4程序55

4.6推荐的标准的分类方法55

4.6.1资产分类55

4.6.2权力分离56

4.6.3职前雇用实践57

4.6.4风险分析和管理57

4.6.5教育、培训与安全意识59

4.7谁为安全负责59

4.8本章小结60

4.9技能测试60

4.9.1多项选择题60

4.9.2练习题63

4.9.3项目题63

4.9.4案例研究64

第5章安全架构与模型65

5.1导言65

5.2可信计算基础的定义66

5.2.1信任环66

5.3可信计算基础中的保护机制68

5.4“系统安全保证”概念70

5.4.1安全测试的目标70

5.4.2规范的安全测试模型70

5.5可信计算机的安全评估准则（TCSEC)71

5.5.1等级D:最低保护72

5.5.2等级C:自定式保护72

5.5.3等级B:强制式保护72

5.5.4等级A:可验证式保护73

5.5.5TCSEC中可信网络的解释（TNI)74

5.6信息技术的安全评估准则74

5.6.1ITSEC与TCSEC的比较74

5.6.2ITSEC的保证等级75

5.7加拿大可信计算机产品的评估准则75

5.8美国联邦信息技术的安全准则76

5.9通用准则76

5.9.1保护配置文件的组织形式78

5.9.2功能性安全需求78

5.9.3评估保证等级80

5.9.4通用评估方法论81

5.10私密性与完整性模型82

5.10.1Bell-LaPadula模型82

5.10.2Bila完整性模型83

5.10.3高级模型83

5.11本章小结84

5.12技能测试84

5.12.1多项选择题84

5.12.2练习题86

5.12.3项目题86

5.12.4案例研究87

第6章业务持续计划和灾难恢复计划89

6.1导言89

6.2总览业务持续计划与灾难恢复计划90

6.2.1为什么BCP如此重要？91

6.2.2中断事件的种类91

6.2.3BCP的定义范围92

6.2.4创建业务影响分析93

6.3灾难恢复计划93

6.3.1确定恢复策略94

6.3.2共享站点协议94

6.3.3备用站点94

6.3.4补充协议95

6.3.5测试灾难恢复计划95

6.3.6组织内与组织外96

6.4本章小结96

6.5技能测试97

6.5.1多项选择题97

6.5.2练习题99

6.5.3项目题100

6.5.4案例研究100

第7章法律、调查与道德规范103

7.1导言103

7.2计算机犯罪类型104

7.3如何实施网络犯罪105

7.4计算机及相关法律107

7.4.1司法体系中的立法部门107

7.4.2司法体系中的管理部门107

7.4.3司法体系中的判决部门107

7.5知识产权法108

7.5.1专利法108

7.5.2商标法109

7.5.3商业秘密法109

7.6隐私及相关法律110

7.6.1国际性的隐私问题110

7.6.2美国的隐私法111

7.7计算机取证112

7.8信息安全业的职业道德113

7.9其他道德规范114

7.9.1计算机伦理研究所114

7.9.2Internet活动委员会：道德和Internet114

7.9.3公平信息实践法规115

7.10本章小结115

7.11技能测试116

7.21.1多项选择题116

7.21.2练习题118

7.21.3项目题119

7.21.4案例研究120

第8章物理安全控制121

8.1导言121

8.2理解物理安全范畴122

8.3物理安全的威胁123

8.4提供物理安全123

8.4.1人事教育123

8.4.2行政式访问控制124

8.4.3物理安全控制125

8.4.4技术性控制127

8.4.5环境控制/生命安全控制130

8.5本章小结131

8.6技能测试132

8.6.1多项选择题132

8.6.2练习题134

8.6.3项目题135

8.6.4案例研究135

第9章操作安全137

9.1导言137

9.2操作安全的原则138

9.3安全操作过程控制139

9.4实施中的安全操作140

9.4.1软件支持141

9.4.2配置与变更管理141

9.4.3备份141

9.4.4媒体控制142

9.4.5文档143

9.4.6维护144

9.4.7相依性144

9.5本章小结145

9.6技能测试145

9.6.1多项选择题145

9.6.2练习题146

9.6.3项目题147

9.6.4案例研究148

第10章访问控制体系和方法论149

10.1概述149

10.2术语和概念150

10.2.1标识150

10.2.2认证150

10.2.3最低特权（须知）150

10.2.4信息所有者150

10.2.5自由访问控制151

10.2.6访问控制列表151

10.2.7强制访问控制151

10.2.8基于角色的访问控制152

10.3认证原则153

10.3.1密码问题153

10.3.2多要素认证154

10.4生理学155

10.5单点登录156

10.5.1Kerberos157

10.5.2联合标识157

10.6远程用户访问和认证160

10.6.1远程访问用户拨入服务160

10.6.2虚拟专用网161

10.7本章小结161

10.8技能测试161

10.8.1多项选择题161

10.8.2练习题163

10.8.3项目题164

10.8.4案例研究165

第11章密码学167

11.1导言167

11.2将密码学应用于信息系统168

11.3术语和概念169

11.4密码系统的强度170

11.4.1密码系统满足了当今电子商务的需要172

11.4.2密码系统中密钥的角色173

11.5综合应用174

11.5.1摘要数据175

11.5.2数字证书177

11.6调查数字化密码系统179

11.6.1散列函数179

11.6.2密文块179

11.6.3PPK密码系统的实现180

11.7本章小结183

11.8技能测试183

11.8.1多项选择题183

11.8.2练习题185

11.8.3项目题186

11.8.4案例研究187

第12章通信、网络和Internet安全189

12.1导言189

12.2网络和通信安全190

12.3网络安全背景190

12.4开放系统互联（OSI）参考模型191

12.4.1协议栈191

12.4.2OSI参考模型和TCP/IP193

12.4.3OSI模型和安全195

12.5数据网络类型196

12.5.1局域网197

12.5.2广域网197

12.5.3Internet197

12.5.4企业内部网198

12.5.5企业外部网198

12.6保护TCP/IP网络198

12.7基本安全架构198

12.7.1路由器198

12.7.2数据包过滤199

12.7.3包过滤路由器的优点200

12.7.4包过滤路由器的局限200

12.8防火墙201

12.8.1应用级防火墙201

12.8.2堡垒主机202

12.8.3应用级网关的优点203

12.8.4应用级网关的局限203

12.8.5防火墙实例203

12.8.6明智选择207

12.9入侵检测系统207

12.9.1什么样的入侵？207

12.9.2优秀入侵检测系统的特征208

12.9.3假阳性、假阴性和颠覆攻击209

12.10虚拟专用网210

12.10.1IPSec210

12.10.2安全策略213

12.10.3IPSec密钥管理213

12.11本章小结213

12.12技能测试214

12.12.1多项选择题214

12.12.2练习题216

12.12.3项目题216

12.12.4案例研究217

第13章应用开发的安全性219

13.1导言219

13.2软件项目实践220

13.3软件开发生命周期221

13.4分布式系统223

13.4.1软件代理224

13.4.2Java224

13.4.3JavaApplets224

13.4.4ActiveX控件224

13.4.5分布式对象225

13.4.6恶意软件226

13.5反病毒软件226

13.6通过SDLC提高安全性227

13.6.1教育组228

13.6.2软件过程组228

13.6.3补丁管理组229

13.6.4激励组229

13.7本章小结230

13.8技能测试230

13.8.1多项选择题230

13.8.2练习题232

13.8.3项目题233

13.8.4案例研究234

第14章未来的安全性的未来235

14.1导言235

14.2持续监控和时刻警戒235

14.3运转合格接收人237

14.4身份窃取和美国监管环境238

14.5不断增加的威胁238

14.5.1销售商试图使安全研究人员保持沉默239

14.5.2域欺骗增强了作为网络钓鱼攻击的补充239

14.6安全威胁的趋势240

14.7信息安全专家的美好未来240

14.7.1要求高于安全技能241

14.8本章小结241

14.9技能测试242

14.9.1多项选择题242

14.9.2练习题244

14.9.3项目题244

14.9.4案例研究245

附录A公共知识体系247

A.1安全管理实践247

A.1.1关键知识域247

A.2安全架构和模型249

A.2.1关键知识域249

A.3业务连续性计划（BCP）和灾难恢复计划（DRP)251

A.3.1关键知识域251

A.4法律、调查和道德规范254

A.4.1关键知识域254

A.5物理安全256

A.5.1关键知识域256

A.6运作安全258

A.6.1关键知识域258

A.7访问控制系统和方法学262

A.7.1关键知识域262

A.8密码学264

A.8.1关键知识域264

A.9电信和网络安全266

A.9.1关键知识域266

A.10应用和系统开发安全268

A.10.1关键知识域268

附录B安全策略和标准分类273

B.1安全管理策略273

B.1.1信息安全组织273

B.1.2训练和意识273

B.2风险管理策略274

B.2.1信息所有权274

B.2.2信息分类274

B.2.3风险评估274

B.3安全基准274

B.3.1防拷贝介质的安全性274

B.3.2电子介质的安全性275

B.4人事安全策略275

B.4.1雇佣前控制275

B.4.2责任分离275

B.4.3雇佣时控制275

B.4.4人事管理275

B.4.5转职/辞职/解雇控制276

B.5物理安全策略276

B.5.1设备的安全性276

B.5.2信息系统的安全性276

B.5.3火灾保护276

B.5.4水灾保护277

B.5.5环境控制277

B.6运作管理策略277

B.6.1运作管理和控制277

B.6.2恶意代码和病毒278

B.6.3备份和恢复278

B.6.4软件支持278

B.7安全监控和响应策略278

B.7.1行为监控（MonitoringActivities)278

B.7.2事件响应279

B.8通信管理策略279

B.8.1加密279

B.8.2信息交换279

B.8.3电子邮件、Internet和其他电子通信279

B.8.4语音/传真/影像通信280

B.8.5会议和谈话280

B.9访问控制策略280

B.9.1用户注册和授权280

B.9.2标识280

B.9.3认证280

B.9.4特权和特定账户的访问281

B.9.5远程访问281

B.10网络安全策略282

B.10.1网络访问282

B.10.2网络安全控制设备282

B.11第三方服务策略283

B.11.1第三方服务283

B.12应用开发策略283

B.12.1应用开发过程283

B.12.2商业系统需求283

B.12.3应用测试（ApplicationTesting)284

B.13恢复和业务连贯性区域284

B.13.1业务连贯性管理程序284

B.13.2恢复/业务连贯性计划测试需求284

B.13.3恢复网站284

B.13.4法定的、一致的和受控的需求284

B.13.5安全符合测试285

附录C策略样本287

C.1计算机可接受使用策略样本287

C.2邮件使用策略样本290

C.3密码策略样本292

C.4无线网络（Wi-Fi）使用策略样本295

附录D安全策略和标准管理系统内幕297

附录EHIPAA安全规则和标准305

E.1HIPAA安全标准305

E.2行政程序306

E.3物理保障措施306

E.4技术安全服务307

E.5技术安全机制307术语表309

……