信息系统安全原理与应用2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

信息系统安全原理与应用PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　信息系统安全保障体系概述1

1.1 信息系统安全介绍1

1.1.1　什么是信息1

1.1.2　信息的分类2

1.1.3　信息安全3

1.1.4　信息系统3

1.1.5　信息系统安全3

1.2　信息安全保障体系的基本概念4

1.2.1　人们对信息安全的认识历程4

1.2.2　信息安全的基本属性5

1.3　信息安全保障体系的构成6

1.3.1 国家信息安全保障体系的构成6

1.3.2　组织内部信息安全保障体系的构成7

1.3.3　信息系统安全保障体系建设的基本原则18

1.3.4　美国国家信息技术保障体系框架简介20

1.4　信息系统安全涉及的相关知识22

1.4.1　信息安全管理知识22

1.4.2　信息科学与技术23

1.4.3　现代密码技术与信息隐藏技术23

1.4.4　其他学科的知识23

第2章　信息安全等级保护25

2.1　信息安全等级保护概述25

2.1.1 国外信息安全等级保护的简介25

2.1.2　在我国实行信息安全等级保护的意义26

2.1.3　我国信息安全等级保护工作的开展情况26

2.2　信息安全等级保护制度原理27

2.2.1　信息安全等级保护制度的基本内容27

2.2.2　信息安全等级保护制度的基本原则与基本方法28

2.2.3　等级保护技术标准29

2.2.4　等级保护的要素及其关系30

2.2.5 实施过程31

2.2.6　系统间互联互通的等级保护要求35

2.3　信息安全等级保护工作角色与职责35

2.3.1 信息系统主管部门及运营单位35

2.3.2 国家信息安全的监管部门37

2.3.3　信息系统安全服务商40

第3章　基本安全控制原理41

3.1　访问控制42

3.1.1　访问控制的一般原理42

3.1.2　访问控制模型49

3.1.3　自主访问控制52

3.1.4　强制访问控制55

3.1.5　基于角色的访问控制58

3.1.6　新型访问控制62

3.2　信息流控制64

3.2.1　信息流的一般概述64

3.2.2　信息流的控制机制65

3.2.3　信息流控制实例73

3.3　安全模型74

3.3.1 安全模型的作用和特点75

3.3.2　Bell-LaPadula模型77

3.3.3　Biba模型80

第4章 可信计算基85

4.1　可信计算基的基本概念85

4.1.1 可信计算基的定义及构成85

4.1.2　信息系统的安全功能模型87

4.1.3　可信计算基的国际测评标准CC91

4.1.4　我国关于可信计算基的测评的标准93

4.1.5　可信计算96

4.2　安全功能技术要求98

4.2.1 安全审计98

4.2.2　标识与鉴别104

4.2.3　抗抵赖功能107

4.2.4　标记109

4.2.5　隐秘112

4.2.6　用户数据的保护113

4.2.7　隐蔽通道分析116

4.3　安全保证技术要求120

4.3.1　安全保障的必要性121

4.3.2　TCB自身的保护123

4.3.3　TCB的设计与开发132

4.3.4　TCB安全管理153

第5章　信息安全技术的基本分类156

5.1 计算机安全技术156

5.1.1　防火墙技术157

5.1.2　入侵检测与入侵防御技术167

5.1.3　漏洞扫描与网络隔离技术182

5.2　密码技术183

5.2.1　基本概念183

5.2.2　对称加密技术187

5.2.3　非对称加密技术190

5.2.4　数字签名192

5.2.5　密钥管理194

5.3　信息隐藏与数字水印技术199

5.3.1　信息隐藏200

5.3.2　数字水印204

第6章　网络安全211

6.1　IPv4协议的缺陷及导致的攻击211

6.1.1 网络层协议的缺陷与可能导致的攻击212

6.1.2　传输层存在的安全问题223

6.1.3　高层协议的安全问题227

6.2　开放互联协议提供的安全体系231

6.2.1　安全服务与安全机制231

6.2.2　安全服务与安全机制间的关系233

6.2.3　OSI安全管理的分类235

6.3　安全协议237

6.3.1 Kerberos协议237

6.3.2　安全套接字层SSL协议241

6.3.3　IPsec协议246

6.3.4　IPv6新一代网络的安全机制250

6.4　网络安全加固255

6.4.1 网络攻击255

6.4.2　网络安全防范259

6.5　等级保护中对网络安全的要求269

6.5.1 基本安全保护能力269

6.5.2　各等级应能对抗的威胁271

6.5.3　各等级具体的安全要求272

第7章　操作系统安全276

7.1　操作系统的安全问题276

7.1.1　操作系统安全的重要性276

7.1.2　操作系统面临的威胁277

7.1.3　操作系统自身的脆弱性277

7.2　操作系统可信计算基的构成278

7.3　操作系统安全的安全机制281

7.3.1　隔离机制与保护方法281

7.3.2　硬件的保护机制282

7.4　操作系统安全性评估288

7.4.1 可信计算机系统评测准则的要求288

7.4.2　我国安全保护等级划分技术要求293

7.5　Windows 2000/XP系统的安全机制298

7.5.1　Windows系统的安全子系统298

7.5.2　用户账户管理300

7.5.3　登录验证302

7.5.4　系统访问控制304

7.5.5 Windows 2000的安全策略311

7.5.6　Windows 2000操作系统安全检查表314

7.6　等级保护中操作系统安全要求319

7.6.1　对抗威胁的要求319

7.6.2　保护能力要求320

第8章　数据库系统安全324

8.1　数据库安全概述324

8.1.1　数据库面临的安全问题324

8.1.2　数据库的安全目标和安全策略329

8.2　数据库安全控制331

8.2.1　数据库的安全性331

8.2.2　数据库的完整性335

8.2.3　数据库的并发控制337

8.2.4　数据库的备份与恢复339

8.2.5　推理泄露与控制342

8.3　数据库安全等级要求348

8.3.1　组成与相互关系348

8.3.2　数据库管理系统安全等级的划分349

8.4　SQL Server数据库的安全机制353

8.4.1 SQL Server的安全体系结构353

8.4.2　SQL Server的安全管理354

8.4.3　SQL Server的安全策略357

8.4.4　SQL Server 2000的常用安全工具359

8.4.5 SQL Server 2000安全管理实例359

8.5　其他主流数据库的安全机制介绍362

8.5.1 Oracle安全机制362

8.5.2　Sybase的安全机制365

第9章　应用的安全性367

9.1　应用系统安全的重要性367

9.1.1　应用系统的重要性367

9.1.2　应用系统可能存在的脆弱性368

9.1.3　恶意程序分析370

9.2　应用程序安全375

9.2.1 应用程序的安全要求375

9.2.2　应用程序的安全机制377

9.2.3　应用程序中典型的脆弱性分析384

9.2.4　安全编程387

9.2.5　Web安全389

9.2.6　等级保护对应用程序安全的基本要求398

9.2.7　等级保护对数据安全的基本要求401

9.3　安全程序的开发403

9.3.1　软件工程过程的安全403

9.3.2　应用开发基本原则和框架411

9.3.3　开发工具的安全特性413

第10章　保护信息的分等级技术体系419

10.1　信息分类、分等级保护体系建设的概述419

10.1.1　信息保护体系建设的标准419

10.1.2　信息安全等级保护的实施过程420

10.2　系统定级422

10.2.1 实施流程422

10.2.2　本书的定级方法428

10.3　安全规划设计432

10.3.1　实施流程432

10.3.2　等级化风险评估432

10.3.3　安全总体设计436

10.3.4　安全建设规划440

10.4　安全实施／实现442

10.4.1　实施流程443

10.4.2　安全方案设计443

10.4.3　安全技术实施445

第11章　风险评估与风险管理449

11.1　风险评估概述449

11.1.1　风险评估定义与意义449

11.1.2　风险评估模型450

11.2　风险评估的基本流程451

11.2.1　风险评估的准备452

11.2.2　风险评估的实施455

11.3 风险评估的相关因素465

11.3.1　风险评估与信息系统生命周期465

11.3.2　风险评估的形式及角色运用467

11.3.3　风险评估的工具473

11.4　信息安全的风险管理474

11.4.1　风险管理中的控制论思想474

11.4.2　控制理论和信息安全477

第12章　信息安全事件的响应与处置480

12.1　信息安全事件的分类及分级480

12.1.1　信息安全事件分类480

12.1.2　信息安全事件的分级483

12.2　应急响应组织与应急响应体系484

12.2.1　应急响应组织484

12.2.2　应急响应体系研究491

12.3　应急响应的准备497

12.3.1　预案497

12.3.2　工具与设备的准备498

12.4　信息安全事件响应处置499

12.4.1　信息安全事件应急响应的一般过程500

12.4.2　安全响应的流程507

12.5　计算机取证技术514

12.5.1　计算机取证的含义514

12.5.2　取证关键技术和相关工具516

12.5.3 当前计算机取证软件的原理和实现518

12.5.4 当前计算机取证技术的局限和反取证技术521

12.5.5　计算机取证的发展趋势522

第13章　信息系统安全运行维护体系524

13.1　信息安全运行维护技术与管理524

13.1.1　安全运行维护技术要求524

13.1.2　安全运行管理529

13.2　系统运行维护等级技术与管理要求531

13.2.1 自主保护级531

13.2.2　指导保护级安全运行维护要求533

13.2.3　监督保护级安全运行维护要求535

13.2.4　强制保护级运行维护要求539

13.3　安全运行维护中的各类活动540

13.3.1　操作管理和控制541

13.3.2　变更管理和控制542

13.3.3　安全状态监控544

13.3.4　安全事件处置和应急预案545

13.3.5　安全风险评估和持续改进546

13.3.6　安全措施验收与测试548

13.3.7　恶意代码及计算机病毒的防治549

13.3.8　备份与数据恢复552

13.3.9　监督检查555

参考文献557