信息安全原理2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

信息安全原理PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第Ⅰ部分简 介1

第1章信息安全简介1

目录1

1.1 介绍3

1.2信息安全发展史3

1.2.1 20世纪60年代4

1.2.2 20世纪70年代和80年代4

1.2.3 20 t世纪90年代6

1.2.4现在7

1.3安全的概念7

1.5信息的重要特性8

1.5.1可用性8

1.4信息安全的概念8

1.5.2精确性9

1.5.3真实性9

1.5.4机密性9

1.5.5完整性10

1.5.6效用性11

1.5.7所有性11

1.6 NSTISSC安全模型11

1.7信息系统的组件12

1.7.1软件12

1.7.2硬件13

1.7.3数据13

1.7.4人员13

1.9平衡安全性和访问性能14

1.7.5过程14

1.8保护IS组件的安全14

1.10 自上而下地实现安全的方法15

1.11 系统开发生命周期16

1.11.1 方法学17

1.11.2阶段17

1.11.3调研18

1.11.4分析18

1.11.5逻辑设计18

1.11.6物理设计18

1.11.7实现18

1.11.8维护和修改18

1.12.3逻辑设计19

1.12.4物理设计19

1.12安全系统开发生命周期19

1.12.2分析19

1.12.1调研19

1.12.5 实现20

1.12.6维护和修改20

1.13 关键术语21

1.14安全专业人士和机构23

1.14.1高级管理者23

1.14.2安全项目队伍24

1.15.2信息技术管理和专业人士25

1.15.1信息安全管理和专业人士25

1.15 兴趣团体25

1.14.3数据所有权25

1.15.3机构管理和专业人士26

1.16信息安全：是一门艺术还是一门科学26

1.16.1作为艺术的安全26

1.16.2作为科学的安全26

1.16.3作为社会科学的安全27

1.17本章小结27

1.18复习题28

1.19练习28

1.20案例练习29

第Ⅱ部分安全调研阶段32

第2章安全需求32

2.2业务在前，技术在后33

2.1 引言33

2.2.1保护机构运转的能力34

2.2.2实现应用程序的安全操作34

2.2.3保护机构收集并使用的数据34

2.2.4保护机构的技术资产34

2.3威胁35

2.3.1 威胁组一：疏忽行为36

2.3.2威胁组二：蓄意行为38

2.3.3威胁组三：天灾50

2.3.4威胁组四：技术故障52

2.3.5威胁组五：管理漏洞52

2.4.1恶意代码53

2.4攻击53

2.4.3后门（backdoor）54

2.4.4密码破解54

2.4.5暴力54

2.4.6词典方式54

2.4.7拒绝服务（DoS）及分布式拒绝服务（DDoS）54

2.4.2恶作剧54

2.4.8欺骗55

2.4.9 Man-in-the-Middle56

2.4.12嗅探器57

2.4.13社会工程57

2.4.1 1邮件炸弹57

2.4.10垃圾邮件57

2.4.14缓冲区溢出59

2.4.1 5定时攻击59

2.5本章小结59

2.6复习题60

2.7练习61

2.8案例练习61

第3章信息安全中的法律、道德以及专业人员问题66

3.1 引言67

3.2信息安全的法律及道德67

3.3法律类型68

3.4美国相关法律68

3.4.1普通计算机犯罪法68

3.4.2隐私69

3.4.3 出口及间谍法72

3.4.4美国版权法73

3.5 国际法及法律主体74

3.5.1 欧洲计算机犯罪委员会条例75

3.5.2数字时代版权法76

3.5.3联合国宪章76

3.6政策与法律77

3.7信息安全的道德观念78

3.7.1道德概念中的文化差异78

3.7.2软件许可侵犯78

3.7.3违法使用79

3.7.4共同资源的滥用79

3.7.6不道德及违法行为的制止因素81

3.7.5道德和教育81

3.8道德、认证以及专业机构的规则82

3.8.1其他安全机构88

3.8.2美国主要联邦机构89

3.9机构商议的责任和需求92

3.10本章小结92

3.11 复习题93

3.12练习93

3.13案例练习94

第Ⅲ部分安全分析98

第4章风险管理：识别和评估风险98

4.1 引言99

4.2.3所有的利益团体都应负责101

4.2.2知彼101

4.2风险管理101

4.2.1知己101

4.2.4使风险管理与SecSDLC一体化102

4.3风险识别102

4.3.1 资产识别和评估103

4.3.2 自动化风险管理工具106

4.3.3信息资产分类106

4.3.4信息资产评估106

4.3.5记录资产的重要性108

4.3.6数据分类及管理109

4.3.7安全调查110

4.3.8分类数据的管理110

4.3.9威胁识别111

4.3.10识别威胁及威胁代理，并区分其优先次序112

4.3.11漏洞识别115

4.4风险评估116

4.4.1风险评估介绍116

4.4.2可能性117

4.4.3信息资产评估117

4.4.4 当前控制减轻风险的百分比118

4.4.5风险确定118

4.4.6识别可能的控制118

4.4.7访问控制119

4.5风险评估记录结果120

4.6本章小结122

4.7复习题123

4.8练习123

4.9案例练习124

第5章风险管理：评估和控制风险127

5.1 引言128

5.2风险控制策略128

5.2.1避免129

5.2.2转移131

5.2.3缓解132

5.2.4承认133

5.3风险缓解策略选择134

5.4.1控制功能135

5.4控制的种类135

5.4.2体系结构层136

5.4.3策略层136

5.4.4信息安全原则136

5.5可行性研究137

5.5.1成本效益分析（CBA）137

5.5.2其他可行性研究146

5.6风险管理讨论要点147

5.6.1风险可接受性148

5.6.2残留风险148

5.7结果归档149

5.8推荐的控制风险实践149

5.8.1定量评估149

5.8.3风险管理和SecSDLC150

5.8.2 Delphi技术150

5.9本章小结151

5.10复习题151

5.11 练习152

5.12案例练习153

第Ⅳ部分逻辑设计158

第6章安全蓝本158

6.1 引言159

6.2信息安全政策，标准及实践159

6.2.1定义160

6.2.2安全计划政策（SPP）161

6.2.3特定问题安全政策（ISSP）162

6.2.4特定系统政策（SysSP）165

6.2.5政策管理169

6.3 信息分类170

6.4系统设计171

6.5信息安全蓝本172

6.6 ISO 17799/BS 7799173

6.7 NIST安全模式175

6.7.1 NIST Special Publication SP 800-12175

6.7.2 NIST Special Publication 800-14175

6.7.3 IETF安全结构179

6.8 VISA国际安全模式180

6.9信息安全系统蓝本的混合结构182

6.10.1 安全教育184

6.10安全教育、培训和意识计划184

6.10.2安全培训185

6.10.3安全意识185

6.1 1安全结构设计186

6.11.1深层防御186

6.11.2安全周界187

6.11.3关键技术组件187

6.12本章小结189

6.13复习题190

6.14练习191

6.15案例练习191

第7章持续性计划195

7.1 引言196

7.2持续性策略197

7.3商务影响分析199

7.3.1威胁攻击识别和优先级次序199

7.3.2商务单元分析200

7.3.3攻击成功方案开发200

7.3.4潜在破坏评估201

7.3.5后续计划分类201

7.4事故响应计划201

7.4.1事故计划202

7.4.2事故检测204

7.4.3事故何时会成为一个灾难206

7.5 事故反应206

7.5.1关键人的通知206

7.5.3事故遏制策略207

7.5.2归档一个事故207

7.6事故恢复208

7.6.1 反应工作的优先次序208

7.6.2破坏的评估208

7.6.3恢复209

7.6.4备份媒体211

7.7 自动化响应212

7.8灾难恢复计划213

7.8.1灾难恢复计划213

7.8.2危机管理214

7.9.2持续性战略215

7.9.1 开发持续性程序（BCP）215

7.9商务持续性计划215

7.8.3恢复操作215

7.10统一的应急计划模型217

7.11法律实施相关事物219

7.11.1本地、州或联邦219

7.11.2法律实施相关事物的优点和弊端220

7.12本章小结221

7.13复习题222

7.14练习222

7.15案例练习223

第Ⅴ部分物理设计226

第8章安全技术226

8.2 SecSDLC的物理设计227

8.1 引言227

8.3 防火墙228

8.3.1 防火墙发展228

8.3.2防火墙体系结构231

8.3.3配置和管理防火墙234

8.4拨号的保护235

8.5 入侵检测系统（IDS）236

8.5.1基于主机的IDS237

8.5.2基于网络的IDS238

8.5.3基于签名的IDS239

8.5.4基于异常事件统计的IDS239

8.6浏览和分析工具240

8.6.1 端口扫描器241

8.6.2漏洞扫描器242

8.6.3包嗅探器243

8.7 内容过滤器244

8.8 Trap和Trace（诱捕和跟踪）244

8.9密码系统和基于加密的方案244

8.9.1 加密定义245

8.9.2加密运算246

8.9.3Vemam加密247

8.9.4书本或运行密钥加密247

8.9.5对称加密249

8.9.6非对称加密250

8.9.8 RSA251

8.9.7 数字签名251

8.9.9 PKI252

8.9.10什么是数字证书和证书颁发机构252

8.9.11 混合系统253

8.9.12保护电子邮件的安全254

8.9.13保护Web的安全254

8.9.14保护身份验证的安全255

8.9.15 Sesame257

8.10访问控制设备257

8.10.1 身份验证258

8.10.2生物测定学的有效性260

8.11 小结261

8.10.3 生物测定学的可接受性261

8.12 复习题262

8.13 练习263

8.14案例练习263

第9章物理安全267

9.1 引言268

9.2访问控制269

9.3 防火安全275

9.4支持设施故障和建筑倒塌281

9.4.1加热、通风和空调281

9.4.2 电力管理和调整282

9.4.3测试设备系统286

9.5数据的侦听286

9.6可移动和便携系统287

9.7物理安全威胁的特殊考虑290

9.8本章小结291

9.9复习题292

9.10练习293

9.11 案例练习293

第Ⅵ部分实 现297

第1 0章实现安全297

10.1 引言298

10.2实现阶段中的项目管理299

10.2.1开发项目计划300

10.2.2项目计划考虑303

10.2.5执行计划306

10.2.3项目管理需求306

10.2.4管理的实现306

10.2.6综合报导307

10.3 实现的技术主题307

10.3.1转换策略308

10.3.2信息安全项目计划的靶心模型308

10.3.3外购还是自行开发309

10.3.4技术监督和改动控制310

10.4实现的非技术方面310

10.4.1改动管理的文化310

10.4.2机构改动的考虑312

10.5 本章小结312

106复习题313

10.7练习314

10.8 案例练习315

第11章安全和人员318

11.1 引言319

11.2 机构结构内的安全职能319

11.3 安全职能的人员配备320

11.3.1资格和需求320

11.3.2进入安全专业的入口321

11.3.3信息安全位置322

11.4信息安全专业人员的认证325

11.4.1 认证信息系统安全专业人员（C.ISSP）和系统安全认证从业者（SSCP）325

11.4.2安全认证专业人员327

11.4.3 TruSecure ICSA认证安全联合（T.I.CSA）和TruSecure ICSA认证328

安全专家（TICSE）328

11.4.4安全＋329

11.4.5 认证信息系统审计员（CISA）329

11.4.6认证信息系统辩论调查员330

11.4.7相关认证330

11.4.8 获得认证的费用331

11.4.9对信息安全专业人员的建议331

11.5雇佣政策和实践332

11.5.1雇佣和解雇问题333

11.5.2工作成绩评估335

11.5.3解雇335

11.6.1暂时雇员336

11.6非雇员的安全考虑336

11.6.2合同雇员337

11.6.3 顾问337

11.6.4商务伙伴338

11.7责任的分离和共谋338

11.8人员数据的秘密性和安全339

11.9本章小结339

11.10复习题341

11.11练习342

11.12案例练习342

第Ⅶ部分维护和改动345

第12章信息安全维护345

12.1 引言346

12.2改动的管理347

12.3安全管理模式347

12.4维护模式355

12.4.1监控外部环境355

12.4.2监控内部环境359

12.4.3规划与风险评估362

12.4.4漏洞评估和补救366

12.4.5备用状态与审查372

12.5本章小节374

12.6复习题375

12.7练习376

12.8案例练习377

A.1 引言379

附录A密码学379

A.2定义381

A.3密码类型383

A.3.1多字母置换密码383

A.3.2移项密码384

A.3.3加密算法385

A.3.4非对称密码或公开密钥密码使用法387

A.3.5混合密码系统388

A.4流行的加密算法389

A.4.1 数据加密标准（DES）389

A.4.2数据加密核心过程391

A.4.3 公钥基础结构（PKI）395

A.4.5数字证书396

A.4.4数字签名396

A.4.6 Pretty Good Privacy（PGP）398

A.4.7安全方案的PGP套件398

A.5安全通信协议399

A.5.1 S-HTTP和SSL399

A.5.2 Secure/Multipurpose Internet mail Extension（S/MIME）400

A.5.3 Internet Protocol Security（IPSec）400

A.6密码系统的攻击402

A.6.1 中间人攻击402

A.6.2相关性攻击402

A.6.3 字典攻击402

A.6.4定时攻击402

术语表405