信息安全基礎

第1章  安全管理實踐        1
1.1  概述        1
1.1.1  我們的目標        1
1.1.2  領域定義        1
1.1.3  管理的概念        2
1.1.4  信息分類過程        3
1.1.5  安全政策的實現(xiàn)        7
1.1.6  作用和責任        9
1.1.7  風險管理        10
1.1.8  安全意識        17
1.2  樣本問題        18
1.3  額外的問題        20
1.4  高級的樣本問題        20
第2章  訪問控制系統(tǒng)        25
2.1  基本原理        25
2.2  控制        25
2.3  標識和認證        28
2.3.1  口令        28
2.3.2  生物測定學        29
2.3.3  單點登錄        31
2.3.4  Kerberos        31
2.3.5  SESAME        34
2.3.6  KryptoKnight        34
2.3.7  訪問控制方法        34
2.3.8  集中的訪問控制        34
2.3.9  分散的/分布式的訪問控制        35
2.3.10  入侵檢測        38
2.4  一些訪問控制問題        39
2.5  樣本問題        39
2.6  額外的問題        41
2.7  高級的樣本問題        42
第3章  電信和網(wǎng)絡安全        45
3.1  我們的目的        45
3.2  領域定義        46
3.3  管理概念        46
3.3.1  C.I.A.三元組        46
3.3.2  遠程訪問安全管理        47
3.3.3  入侵檢測和響應        48
3.3.4  技術概念        59
3.4  樣本問題        94
3.5  額外的問題        96
3.6  高級的樣本問題        97
第4章  加密技術        101
4.1  引言        101
4.1.1  定義        101
4.1.2  歷史        104
4.2  密碼技術        109
4.3  秘密密鑰加密技術（對稱密鑰）        113
4.3.1  數(shù)據(jù)加密標準        114
4.3.2  三重DES        116
4.3.3  高級加密標準        117
4.3.4  IDEA密碼        119
4.3.5  RCS        119
4.4  公開（非對稱）密鑰加密系統(tǒng)        119
4.4.1  單向函數(shù)        120
4.4.2  公開密鑰算法        120
4.4.3  公開密鑰密碼系統(tǒng)算法種類        122
4.4.4  散列函數(shù)的特性        124
4.4.5  公開密鑰認證系統(tǒng)        126
4.5  契據(jù)保管加密方法        127
4.5.1  契據(jù)保管加密標準        127
4.5.2  使用公開密鑰加密技術的密鑰契據(jù)保管方法        128
4.5.3  密鑰管理問題        129
4.5.4  電子郵件安全問題和解決方法        129
4.6  Internet安全應用        130
4.6.1  報文認證代碼（或金融機構報文認證標準）        130
4.6.2  安全電子交易        131
4.6.3  安全套接字層/交易層安全        131
4.6.4  Internet開放貿(mào)易協(xié)議        131
4.6.5  MONDEX        131
4.6.6  IPSec        131
4.6.7  安全超文本傳輸協(xié)議        132
4.6.8  安全命令解釋程序        132
4.6.9  無線安全        132
4.6.10  無線應用協(xié)議        133
4.6.11  IEEE 802.11無線標準        134
4.7  樣本問題        135
4.8  附加的問題        138
4.9  高級樣本問題        138
第5章  安全體系結構和模型        145
5.1  安全體系結構        145
5.1.1  計算機體系結構        145
5.1.2  分布式體系結構        151
5.1.3  保護機制        152
5.2  保障        154
5.2.1  評估標準        155
5.2.2  認證和鑒定        156
5.2.3  系統(tǒng)安全工程能力成熟度模型        157
5.3  信息安全模型        159
5.3.1  訪問控制模型        159
5.3.2  完整性模型        162
5.3.3  信息流模型        163
5.4  樣本問題        165
5.5  額外的問題        167
5.6  高級樣本問題        168
第6章  操作安全        173
6.1  我們的目標        173
6.2  領域定義        173
6.2.1  三元組        173
6.2.2  C.I.A.        174
6.3  控制和保護        174
6.3.1  控制類型        174
6.3.2  桔皮書控制        175
6.3.3  管理控制        179
6.3.4  操作控制        181
6.4  監(jiān)視和審計        185
6.4.1  監(jiān)視        185
6.4.2  審計        186
6.5  威脅和脆弱性        188
6.5.1  威脅        188
6.5.2  脆弱性        189
6.6  樣本問題        189
6.7  額外的問題        191
6.8  高級樣本問題        192
第7章  應用和系統(tǒng)開發(fā)        195
7.1  軟件生存期開發(fā)過程        195
7.1.1  瀑布模型        196
7.1.2  螺旋模型        199
7.1.3  成本評估模型        200
7.1.4  信息安全和生存期模型        200
7.1.5  測試問題        200
7.1.6  軟件維護階段和變化控制過程        201
7.1.7  配置管理        202
7.2  軟件能力成熟度模型        203
7.3  面向對象的系統(tǒng)        204
7.4  人工智能系統(tǒng)        206
7.4.1  專家系統(tǒng)        206
7.4.2  神經(jīng)網(wǎng)絡        207
7.4.3  遺傳算法        208
7.5  數(shù)據(jù)庫系統(tǒng)        208
7.5.1  數(shù)據(jù)庫安全問題        209
7.5.2  數(shù)據(jù)倉庫和數(shù)據(jù)挖掘        209
7.5.3  數(shù)據(jù)字典        210
7.6  應用控制        210
7.6.1  分布式系統(tǒng)        210
7.6.2  集中式結構        211
7.6.3  實時系統(tǒng)        211
7.7  樣本問題        212
7.8  額外的問題        214
7.9  高級樣本問題        214
第8章  業(yè)務連續(xù)性計劃和災難恢復計劃        219
8.1  我們的目標        219
8.2  領域定義        219
8.3  業(yè)務連續(xù)性計劃        220
8.3.1  連續(xù)性破壞事件        220
8.3.2  業(yè)務連續(xù)性計劃的四個主要元素        221
8.3.3  業(yè)務影響評估        222
8.4  災難恢復計劃        225
8.4.1  災難恢復計劃的目標和任務        226
8.4.2  災難恢復計劃過程        226
8.4.3  測試災難恢復計劃        230
8.4.4  災難恢復程序        231
8.5  樣本問題        234
8.6  額外的問題        235
8.7  高級樣本問題        236
第9章  法律、調(diào)查和道德標準        239
9.1  計算機犯罪的類型        239
9.2  法律        241
9.2.1  例子：美國        241
9.2.2  習慣法系統(tǒng)類型        242
9.2.3  保密優(yōu)先權平臺        244
9.2.4  計算機安全、保密和犯罪法        245
9.3  調(diào)查        248
9.4  責任        252
9.5  道德標準        254
9.5.1  (ISC)2道德標準法規(guī)        254
9.5.2  計算機道德標準協(xié)會的計算機道德標準        254
9.5.3  因特網(wǎng)活動委員會道德標準和Internet（RFC 1087）        255
9.5.4  美國公正信息實踐的健康、教育和福利法規(guī)部        255
9.5.5  經(jīng)濟合作與發(fā)展組織        255
9.6  樣本問題        257
9.7  額外問題        259
9.8  高級樣本問題        259
第10章  物理安全        263
10.1  我們的目標        263
10.2  領域定義        263
10.3  對物理安全的威脅        263
10.4  對物理安全的控制        265
10.4.1  管理控制        265
10.4.2  環(huán)境的和生存期安全控制        267
10.4.3  物理和技術控制        272
10.5  樣本問題        280
10.6  額外問題        281
10.7  高級樣本問題        282
附錄A  NSA信息系統(tǒng)安全評估方法        285
附錄B  公共標準        293
附錄C  BS7799        303
附錄D  進一步研究的參考資料        305
附錄E  光盤上的內(nèi)容        309
附錄F  術語表和縮寫        311
附錄G  通過HIPAA-CMM來遵從HIPAA的過程方法（參見隨書光盤）        351
附錄H  道德黑客攻擊的案例（參見隨書光盤）        377
附錄I  HIPAA補充材料（參見隨書光盤）        381
附錄J  樣本問題和額外問題的答案（參見隨書光盤）        387
附錄K  高級樣本問題的答案（參見隨書光盤）        415