信息安全管理之道

中国水利水电出版社

【作者】周广辉等译

【I S B N 】978-7-5084-5023-0

【责任编辑】徐雯

【适用读者群】科技

【出版时间】2008-01-01

【开本】16开本

【装帧信息】平装（光膜）

【版次】第1版

【页数】

【千字数】

【印张】

【定价】￥28

【丛书】暂无分类

【备注信息】

图书详情

简介

本书特色

前言

章节列表

精彩阅读

下载资源

相关图书

本书是一本介绍信息安全管理的实战指南，通俗易懂，实例丰富，并且提供了作者大量的实际经验。全书从信息安全的组织机构开始，对信息安全的原理、概念、法律法规和标准以及审核进行全面介绍后，结合各种实际经验分析，深入介绍了信息安全管理的切实方法。全书共分为13章，首先介绍了信息安全组织机构、策略、概念、法规和标准。然后用实际经历介绍了信息安全职位的面试和职员情况，最后全面介绍了信息安全管理方面所用工具的原理、使用方法以及各种安全测试方法。

本书通俗易懂，实例丰富，并且提供了作者的大量实际经验，不但是一本适合信息安全专业人士的实战指南，而且是一本适合各类关注信息安全的人士阅读的参考读物。

有时候我会被询问为什么要写这本书，而我的答案可以总结为一个很简单的故事。在我为一家大型审计公司工作时，一位审计人员曾打电话找我（我好像认识他），他满怀热情地说：“您好，下周我要去参加一个安全管理人员职位的面试，我知道那意味着要与密码和黑客打交道，但是您能告诉我一些更详细的东西吗？”

他一定认为我是不小心挂断了电话，因为他打回来两次！

本书不是安全方面最全面的书籍，但我认为它包含许多好的IT安全管理人员应该掌握的内容，它也是我的审计朋友绝不会购买的那种书籍。

信息安全与主流信息技术和其他业务领域的许多其他学科是不同的。虽然现在各个领域都有许多很好的书，但要获得跨多个子领域的知识仍然很困难，而这一点对于一本成功的图书来说至关重要。

安全是一个需要从业者在整个机构中操作的领域，而不像IT那样具有那么多功能。除了某些没有其他替代方案的忠告之外，一位首席信息安全官（CISO）或安全管理人员可能会被要求提供许多安全方面的建议。有时候最好的建议可能是最大的希望。因此，敏感的安全官员努力在大多数领域拥有良好的基础。但遗憾的是，许多人不是依靠知识（通过正规课程或自学获得的）提出建议，而是使用权威的语气、Google搜索或各种关于“安全策略”的定式来发号施令。有些专家看似知道所有东西，但是他们的建议往往有一半需要反过来使用，他们的建议经常会导致项目延迟甚至罚款，浪费公司几十万英磅的费用。

本书基于作者极其丰富的实际经验编写而成。作为安全方面的专业人士，作者曾经在安全机构中最高和（可能是）最低的层次中工作过。这为作者提供了一个全面的视角，这种视角可能与其他许多图书不一样，但是它能够帮助你摆正自己的观点。例如，当一些技术人员夸大防火墙的功能时，你可以使用从本书获得的知识让他们修正自己的观点。

本书的每一章都以作者的“实际经验”作为开始，内容简明扼要，但又能够为读者提供一些重要的信息。

作者试图通过本书解释“我们为什么要这样工作”这个问题。我不知道这是否是因为我比较聪明，也许是因为我年长一些，在人们还正在试图解决这个问题时，我已经得到了答案。

关于作者
序
第1章信息安全的组织机构 1
1.1 轶事 1
1.2 引言 1
1.2.1 信息安全团队的位置 2
1.2.2 信息安全的位置：通过IT总监向上汇报 2
1.2.3 信息安全的位置：向审计负责人汇报 3
1.2.4 信息安全的位置：向CEO、CTO或CFO汇报 4
1.3 安全团队的使命 5
1.4 安全职能角色的工作内容 5
1.4.1 突发事件的管理和调查 6
1.4.2 法律法规方面的考虑 6
1.4.3 策略、标准和基准开发 7
1.4.4 业务咨询 7
1.4.5 体系结构和研究 8
1.4.6 评估和审计 8
1.4.7 运营安全 8
1.5 混合的安全团队：组织机构分析 9
1.5.1 交朋友 10
1.5.2 董事会 11
1.5.3 内部审计 11
1.5.4 法律方面的考虑 11
1.5.5 IT 11
1.6 做一个好的CISO 12
1.7 小结 13
第2章信息安全策略 14
2.1 轶事 14
2.2 引言 15
2.3 策略、战略和标准：企业理论 15
2.3.1 战略 16
2.3.2 战术与策略 17
2.3.3 操作标准和过程 17
2.4 回到安全 18
2.5 安全战略和安全规划过程 18
2.6 重新讨论安全策略 22
2.7 重新讨论安全标准 25
2.8 一致性和执行 26
2.8.1 信息安全宣传：“胡萝卜” 27
2.8.2 积极执行：“大棒” 28
2.9 小结 29
第3章术语、原理和概念 33
3.1 轶事 33
3.2 引言 33
3.3 CIA：保密性、完整性和可用性 34
3.3.1 保密性 34
3.3.2 完整性 34
3.3.3 可用性 35
3.3.4 认可 35
3.3.5 使用CIA的时机 36
3.4 弱点周期 36
3.5 控制的类型 38
3.5.1 保护控制 39
3.5.2 探测控制 39
3.5.3 恢复控制 39
3.5.4 管理控制 39
3.6 风险分析 40
3.6.1 风险分析的类型 40
3.6.2 定量分析 40
3.6.3 定性分析 41
3.6.4 它如何工作：长处和弱点 41
3.6.5 那么现在做什么 42
3.7 AAA 43
3.7.1 认证 43
3.7.2 授权 44
3.7.3 计费 44
3.7.4 真实生活中的AAA 45
3.8 其他需要知道的概念 45
3.8.1 最小特权 45
3.8.2 深度防御 45
3.8.3 故障处理方式 46
3.8.4 隐藏式安全 46
3.9 攻击的一般类型 46
3.9.1 网络枚举和发现 46
3.9.2 消息截获 47
3.9.3 消息注入/地址欺骗 47
3.9.4 会话劫持 47
3.9.5 拒绝服务 47
3.9.6 消息重放 47
3.9.7 社会工程学 47
3.9.8 对认证服务的暴力攻击 48
3.10 小结 48
第4章信息安全法律法规 49
4.1 轶事 49
4.2 引言 50
4.3 英国的立法 50
4.3.1 计算机滥用法案1990 50
4.3.2 数据保护法案1998 51
4.3.3 其他的英国法案 53
4.4 美国法律 56
4.4.1 加利福尼亚SB 1386 56
4.4.2 萨班斯－奥克斯利法案2002 57
4.4.3 格雷姆－里奇－比利雷法案（GLBA） 57
4.4.4 健康保险流通和责任法案（HIPAA） 58
4.4.5 美国爱国法2001 58
4.5 小结 58
第5章信息安全标准和审核 60
5.1 轶事 60
5.2 引言 61
5.3 ISO/IEC 27001:2005:BS 7799现在的情况 67
5.4 PAS 56 67
5.4.1 PAS 56是什么 68
5.4.2 BCM生命周期的各个阶段 68
5.5 FIPS 140-2 70
5.5.1 是否应该关注FIPS 140-2 70
5.5.2 有哪些级别 70
5.6 通用标准认证 71
5.7 审核的类型 72
5.7.1 作为财务审计组成部分的计算机审核 72
5.7.2 银行审核 73
5.7.3 SAS 70 73
5.7.4 其他类型的审计 74
5.7.5 管理审计的技巧 75
5.8 小结 76
第6章面试、老板和职员 77
6.1 轶事 77
6.2 引言 77
6.2.1 作为被面试者 77
6.2.2 面试问卷 80
6.2.3 作为面试者 82
6.3 老板 82
6.3.1 世界上最糟糕老板的亚军 83
6.3.2 世界上最糟糕的老板 83
6.4 最糟糕的雇员 84
6.5 小结 85
第7章基础设施的安全 86
7.1 轶事 86
7.2 引言 87
7.2.1 网络周边的安全性 87
7.2.2 公司防火墙 88
7.2.3 远程访问DMZ 92
7.3 电子商务 93
7.4 检查 98
7.5 小结 98
第8章防火墙 100
8.1 轶事 100
8.2 引言 100
8.2.1 防火墙的概念和作用 100
8.2.2 为什么需要防火墙 102
8.3 防火墙结构和设计 103
8.3.1 防火墙类型 103
8.3.2 防火墙的功能 105
8.4 其他类型的防火墙 110
8.4.1 隐形防火墙 110
8.4.2 虚拟防火墙 111
8.5 商业防火墙 111
8.5.1 Cisco PIX 111
8.5.2 Check Point FireWall-1 116
8.6 小结 123
第9章入侵检测系统：原理 125
9.1 轶事 125
9.2 引言 126
9.3 使用IDS的原因 127
9.4 恼人的NIDS 129
9.4.1 探测缺陷 130
9.4.2 糟糕的部署 134
9.4.3 糟糕的配置 138
9.5 致善于技术钻研的读者 142
9.5.1 Snort 142
9.5.2 RealSecure 143
9.6 小结 146
第10章入侵检测系统：实践 147
10.1 轶事 147
10.2 引言：诀窍、技巧和方法 148
10.2.1 部署NIDS：隐形模式 148
10.2.2 生成端口 149
10.2.3 分路器技术 150
10.2.4 非对称路由 152
10.3 IDS部署方法论 153
10.4 选择 154
10.5 部署 155
10.5.1 规划传感器位置并分配位置风险 156
10.5.2 建立监控策略和攻击严重等级 157
10.5.3 响应 159
10.5.4 进一步动作：IPS 160
10.6 信息管理 161
10.6.1 日志管理 162
10.6.2 控制台管理 162
10.7 事件响应和危机管理 163
10.7.1 识别 164
10.7.2 记录 164
10.7.3 通知 164
10.7.4 围堵对策 164
10.7.5 评估 165
10.7.6 恢复 165
10.7.7 清除 165
10.7.8 其他有价值的技巧 166
10.8 测试和微调 166
10.8.1 微调 166
10.8.2 测试 167
10.9 小结 168
第11章入侵阻止和保护 169
11.1 轶事 169
11.2 引言 170
11.3 IPS的概念 170
11.4 主动响应：IPS的作用 171
11.5 快速浏览IPS实现产品 172
11.5.1 具有主动响应的传统IDS 172
11.5.2 嵌入式保护 173
11.5.3 欺骗技术 175
11.5.4 扩展的主机操作系统保护 176
11.6 部署的示例 177
11.6.1 对付DDoS攻击 177
11.6.2 一个开源嵌入式IDS/IPS：Hogwash 180
11.7 小结 183
第12章网络渗透测试 184
12.1 轶事 184
12.2 引言 185
12.3 渗透测试的类型 186
12.3.1 网络渗透测试 186
12.3.2 应用程序渗透测试 186
12.3.3 周期性网络弱点评估 186
12.3.4 物理安全性 186
12.4 网络渗透测试 187
12.4.1 Internet测试过程 187
12.4.2 测试阶段 188
12.4.3 内部渗透测试 194
12.4.4 应用程序渗透测试 194
12.5 所需的控制和文件工作 197
12.5.1 赔偿和法律保护 197
12.5.2 范围和规划 197
12.6 渗透测试和黑客攻击的区别 198
12.7 小结 201
第13章应用程序安全缺陷和应用程序测试 202
13.1 轶事 202
13.2 引言 202
13.3 配置管理 204
13.4 未经验证的输入 205
13.4.1 缓冲溢出 206
13.4.2 跨站点脚本 206
13.4.3 SQL注入 209
13.4.4 命令注入 211
13.5 糟糕的身份控制 212
13.5.1 强迫浏览 213
13.5.2 URL参数篡改 214
13.5.3 不安全的存储 214
13.6 修复工作 215
13.7 致善于技术钻研的读者 216
13.8 小结 218本书是一本介绍信息安全管理的实战指南，通俗易懂，实例丰富，并且提供了作者大量的实际经验。全书从信息安全的组织机构开始，对信息安全的原理、概念、法律法规和标准以及审核进行全面介绍后，结合各种实际经验分析，深入介绍了信息安全管理的切实方法。全书共分为13章，首先介绍了信息安全组织机构、策略、概念、法规和标准。然后用实际经历介绍了信息安全职位的面试和职员情况，最后全面介绍了信息安全管理方面所用工具的原理、使用方法以及各种安全测试方法。
本书通俗易懂，实例丰富，并且提供了作者的大量实际经验，不但是一本适合信息安全专业人士的实战指南，而且是一本适合各类关注信息安全的人士阅读的参考读物。

关闭

打印