信息系统安全基础,第3版

书中描述

修订和更新领域的最新数据,基础的信息系统安全,第三版提供了基本概念的全面概述,读者必须知道,因为他们追求职业生涯中的信息系统安全。本文首先讨论了与向数字世界过渡相关的新风险、威胁和漏洞。第2部分介绍了Security+考试的高级概述,并为学生提供了迈向该认证的信息。

目录

  1. 封面页
  2. 封面
  3. 版权页
  4. 奉献
  5. 内容
  6. 前言
  7. 致谢
  8. 作者
  9. 第一部分需要信息安全
    1. 第一章信息系统安全
      1. 信息系统安全
        1. 风险,威胁和漏洞
        2. 什么是信息系统安全性?
        3. 美国法规推动信息系统安全需求
      2. 资讯系统保安的原则
        1. 保密
        2. 完整性
        3. 可用性
      3. 典型IT基础设施的七个领域
        1. 用户域
        2. 工作站域
        3. 局域网
        4. LAN-to-WAN域
        5. WAN域名
        6. 远程访问域
        7. 系统/应用程序域
      4. IT基础架构安全中最薄弱的链接
        1. 道德与互联网
      5. 资讯科技保安政策架构
        1. 定义
        2. 基础IT安全策略
      6. 数据分类标准
      7. 章总结
      8. 关键概念和条款
      9. 第1章评估
    2. 第2章事情互联网正在改变我们的生活方式
      1. 事物互联网的演变
      2. 转换到TCP/IP世界
      3. 物联网对人类和商业生活的影响
        1. 人们喜欢怎样交流
        2. 影响我们生活的IOT应用程序
      4. 从实体店到电子商务的演变
      5. 为什么企业必须拥有互联网和IOT营销策略
      6. IP移动性
        1. 移动用户并带上自己的设备
      7. 移动应用程序
        1. IP移动通信
      8. IOT创造的新挑战
        1. 安全
        2. 隐私
        3. 互操作性和标准
        4. 法律和监管问题
        5. 电子商务和经济发展问题
      9. 章总结
      10. 关键概念和条款
      11. 第二章评估
    3. 第3章恶意攻击,威胁和漏洞
      1. 恶意活动增加
      2. 你想保护什么?
        1. 客户数据
        2. IT和网络基础设施
        3. 知识产权
        4. 财务和财务数据
        5. 服务可用性和生产力
        6. 名声
      3. 你在抓谁?
      4. 攻击工具
        1. 协议分析仪
        2. 端口扫描仪
        3. 操作系统指纹扫描仪
        4. 漏洞扫描仪
        5. 利用软件
        6. Wardialers
        7. 密码饼干
        8. 击键记录器
      5. 什么是安全漏洞?
        1. 拒绝服务攻击
        2. 分布式拒绝服务攻击
        3. 不可接受的网络浏览
        4. 窃听
        5. 后面
        6. 数据修改
        7. 额外的安全挑战
      6. 有什么风险,威胁和漏洞?
        1. 威胁目标
        2. 威胁类型
      7. 什么是恶意攻击?
        1. 生日攻击
        2. 暴力密码攻击
        3. 密码字典攻击
        4. IP地址欺骗
        5. 劫持
        6. 重播攻击
        7. 中间人攻击
        8. 伪装
        9. 窃听
        10. 社会工程学
        11. 关影
        12. 网络钓鱼
        13. 嫁接
      8. 什么是恶意软件?
        1. 病毒
        2. 蠕虫
        3. 特洛伊木马
        4. rootkits.
        5. 间谍软件
      9. 什么是常见类型的攻击?
        1. 社会工程攻击
        2. 无线网络攻击
        3. Web应用程序攻击
      10. 什么是对策?
        1. 反击恶意软件
        2. 用防火墙保护系统
      11. 章总结
      12. 关键概念和条款
      13. 第3章评估
    4. 第4章信息安全业务的驱动程序
      1. 定义风险管理
      2. 实施BIA,BCP和DRP
        1. 业务影响分析
        2. 业务连续性计划
        3. 灾难恢复计划
      3. 评估风险,威胁和漏洞
      4. 缩小信息安全差距
      5. 遵守合规法
      6. 保密个人资料
      7. 移动工作者和个人拥有设备的使用
        1. BYOD担心
        2. 端点和设备安全性
      8. 章总结
      9. 关键概念和条款
      10. 第4章评估
  10. 第二部分确保了今天的信息系统
    1. 第5章访问控制
      1. 四声部的访问控制
      2. 两种类型的访问控制
        1. 物理访问控制
        2. 逻辑访问控制
      3. 授权策略
      4. 方法和指导识别
        1. 识别方法
        2. 鉴定指南
      5. 认证过程和要求
        1. 身份验证类型
        2. 单点登录
      6. 问责政策和程序
        1. 日志文件
        2. 监测和评论
        3. 数据保留,媒体处置和合规性要求
      7. 正式的访问控制模型
        1. 自由访问控制
        2. 基于操作系统的DAC
        3. 强制访问控制
        4. 不可任意支配的访问控制
        5. 基于规则的访问控制
        6. 访问控制列表
        7. 基于角色的访问控制
        8. 内容相关访问控制
        9. 限制用户界面
        10. 其他访问控制模型
      8. 违约在访问控制中的影响
      9. 访问控制的威胁
      10. 违反访问控制的影响
      11. 凭据和权限管理
      12. 集中和分散的访问控制
        1. AAA服务器类型
        2. 分散访问控制
        3. 隐私
      13. 章总结
      14. 关键概念和条款
      15. 第5章评估
    2. 第六章安全操作与管理
      1. 安全管理
        1. 控制访问
        2. 文档,程序和指南
        3. 灾害评估和恢复
        4. 安全外包
      2. 遵守
        1. 事件日志
        2. 合规联络
        3. 修复
      3. 职业道德
        1. 伦理普通谬误
        2. 道德规范
        3. 人事安全原则
      4. IT安全策略的基础架构
        1. 政策
        2. 标准
        3. 程序
        4. 基线
        5. 指导方针
      5. 数据分类标准
        1. 信息分类的目标
        2. 分类的例子
        3. 分类程序
        4. 保证
      6. 配置管理
        1. 硬件库存和配置图表
      7. 变更管理流程
        1. 改变控制管理
        2. 改变控制委员会
        3. 改变控制程序
        4. 改变控制问题
      8. 应用软件安全
        1. 系统生命周期
        2. 测试应用软件
      9. 软件开发及保安
        1. 软件开发模型
      10. 章总结
      11. 关键概念和条款
      12. 第六章评估
    3. 第7章审计,测试和监控
      1. 安全审计和分析
        1. 安全控制解决风险
        2. 确定什么是可接受的
        3. 权限级别
        4. 安全审计的范畴
        5. 审计的目的
        6. 客户的信任
      2. 定义审核计划
        1. 定义计划的范围
      3. 审计基准
      4. 审计数据收集方法
        1. 安全审计的范畴
        2. 控制检查和身份管理
      5. 事后审计活动
        1. 离职面谈
        2. 数据分析
        3. 一代审计报告
        4. 演讲的结果
      6. 安全监测
        1. 计算机系统的安全监控
        2. 监测问题
        3. 伐木异常
        4. 日志管理
      7. 捕获的日志信息类型
      8. 如何验证安全控件
        1. 入侵检测系统(ID)
        2. 分析方法
        3. 隐藏
        4. 分层防御:网络访问控制
        5. 控制检查:入侵检测
        6. 主机隔离
        7. 系统硬化
        8. 审查AntiVirus计划
      9. 监控和测试安全系统
        1. 监测
        2. 测试
      10. 章总结
      11. 关键概念和条款
      12. 第7章评估
    4. 第8章风险,响应和恢复
      1. 风险管理和信息安全
        1. 风险术语
        2. 元素的风险
        3. 风险管理的目的
      2. 风险管理过程
        1. 识别风险
        2. 评估风险
        3. 计划风险反应
        4. 执行风险应对计划
        5. 监测和控制风险反应
      3. 业务连续性管理
        1. 术语
        2. 评估最大可容忍的停机时间
        3. 业务影响分析
        4. 计划审查
        5. 测试计划
      4. 备份数据和应用
        1. 备份类型
      5. 事件处理
        1. 准备
        2. 鉴别
        3. 通知
        4. 响应
        5. 恢复
        6. 跟踪
        7. 文档和报告
      6. 从灾难中恢复
        1. 激活灾难恢复计划
        2. 在简化/修改的环境中操作
        3. 恢复损坏的系统
        4. 灾难恢复问题
        5. 回收替代方案
        6. 临时或替代加工策略
      7. 章总结
      8. 关键概念和条款
      9. 第八章评估
    5. 第9章加密
      1. 密码是什么?
        1. 基本加密原则
        2. 密码学的简史
        3. 密码学在信息安全中的作用
      2. 加密的企业和安全要求
        1. 内部安全
        2. 业务关系中的安全性
        3. 惠及所有人的安全措施
      3. 密码学原理、概念和术语
        1. 加密功能和密码
      4. 类型的密码
        1. 换位密码
        2. 替换密码
        3. 产品和指数密码
      5. 对称和非对称密钥密码学
        1. 对称密钥Ciphers.
        2. 非对称密钥密码
        3. 密码分析和公众与私钥
      6. 钥匙,keyspace和密钥管理
        1. 加密键和keyspace
        2. 密钥管理
        3. 关键分布
        4. 密钥分发中心
      7. 数字签名和哈希函数
        1. 哈希函数
        2. 数字签名
      8. 加密应用和信息系统安全的用途
        1. 其他加密工具和资源
        2. 对称密钥的标准
        3. 不对称关键解决方案
        4. 哈希函数和完整性
        5. 数字签名和非分析
      9. 证书和关键管理原则
        1. 现代关键管理技术
      10. 章总结
      11. 关键概念和条款
      12. 第9章评估
    6. 第10章网络和电信
      1. 开放系统互连参考模型
      2. 网络的主要类型
        1. 广域网
        2. 局域网
      3. TCP / IP以及它的工作原理
        1. TCP / IP概述
        2. IP寻址
        3. 公共港口
        4. 常见协议
        5. Internet控制消息协议
      4. 网络安全风险
        1. 类别的风险
      5. 基本网络安全防御工具
        1. 防火墙
        2. 虚拟专用网络和远程访问
        3. 网络访问控制
      6. 无线网络
        1. 无线接入点
        2. 无线网络安全控制
      7. 章总结
      8. 关键概念和条款
      9. 第10章评估
    7. 第十一章恶意代码和活动
      1. 恶意软件的特征、架构和操作
      2. malware的主要类型
        1. 病毒
        2. 垃圾邮件
        3. 蠕虫
        4. 特洛伊木马
        5. 逻辑炸弹
        6. 活动内容漏洞
        7. 恶意插件
        8. 注射
        9. 僵尸网络
        10. 拒绝服务攻击
        11. 间谍软件
        12. 广告软件
        13. 网络钓鱼
        14. 击键记录器
        15. 恶作剧和神话
        16. 主页劫持
        17. 网页污秽
      3. 恶意代码威胁的简史
        1. 20世纪70年代和20世纪80年代初:学术研究和UNIX
        2. 20世纪80年代:早期的电脑病毒
        3. 20世纪90年代:早期局域网病毒
        4. 20世纪90年代中期:智能应用和互联网
        5. 2000年至今
      4. 对商业组织的威胁
        1. 类型的威胁
        2. 员工内部威胁
      5. 攻击解剖学
        1. 什么激励攻击者?
        2. 攻击的目的
        3. 类型的攻击
        4. 攻击阶段
      6. 攻击预防工具和技术
        1. 应用防御
        2. 操作系统防御
        3. 网络基础设施防御
        4. 安全恢复技术和实践
        5. 实施有效的软件最佳实践
      7. 入侵检测工具和技术
        1. 防病毒扫描软件
        2. 网络监视器和分析仪
        3. 内容/上下文过滤和日志记录软件
        4. 蜜罐和蜜虫
      8. 章总结
      9. 关键概念和条款
      10. 第11章评估
  11. 第三部分信息安全标准,教育,认证和法律
    1. 第12章信息安全标准
      1. 标准组织
        1. 国家标准与技术研究所
        2. 国际标准化组织
        3. 国际电工委员会
        4. 万维网联盟
        5. 互联网工程专责小组
        6. 电气电子工程师研究所
        7. 国际电信联盟电信部门
        8. 美国国家标准研究所
        9. 欧洲电信标准协会网络安全技术委员会
      2. ISO 17799(撤回)
        1. ISO / IEC 27002
      3. 支付卡行业数据安全标准
      4. 章总结
      5. 关键概念和条款
      6. 第十二章评估
    2. 第13章信息系统安全教育和培训
      1. 自学计划
      2. 教师指导计划
        1. 证书计划
        2. 继续教育项目
      3. 大专学位
        1. 副学士
        2. 学士学位
        3. 科学学士
        4. 工商管理硕士
        5. 博士学位
      4. 资讯保安培训计划
        1. 安全培训要求
        2. 安全培训机构
        3. 安全意识培训
      5. 章总结
      6. 关键概念和条款
      7. 第13章评估
    3. 第14章信息安全专业认证
      1. 美国国防部/军事指令8570.01
        1. 美国国防部/军事指令8140
        2. 美国国防部/ NSA培训标准
      2. 供应商 - 中立专业认证
        1. 国际信息系统安全认证Consortium,Inc。
        2. SSCP®
        3. CISSP®
        4. CAP®.
        5. CSSLP®
        6. CCFP®.
        7. HCISPP®.
        8. CCSP®
        9. 附加(ISC)2专业认证
        10. 全球信息保障认证/ SANS学院
        11. 认证网络管理员
        12. 前年
        13. ISACA®
        14. 其他信息系统安全认证
      3. 特定于供应商的专业认证
        1. 思科系统公司
      4. 瞻博网络
        1. RSA.
        2. 赛门铁克
        3. 检查
      5. 章总结
      6. 关键概念和条款
      7. 第14章评估
    4. 第15章U.S.合规法
      1. 遵守是法律
      2. 联邦信息安全
        1. 2002年的联邦信息安全管理法案
        2. 2014年联邦信息安全现代化法案
        3. 国家标准与技术研究所的作用
        4. 国家安全系统
      3. 健康保险便携性和问责法
        1. 目的和范围
        2. HIPAA隐私规则的主要要求
        3. HIPAA安全规则的主要要求
        4. 监督
        5. 综合监管
      4. 格拉姆 - lecle-blyiley行为
        1. 目的和范围
        2. GLBA隐私规则的主要要求
        3. 《GLBA保障规则》的主要规定
        4. 监督
      5. 萨班斯-奥克斯利法案
        1. 目的和范围
        2. SOX控制认证要求
        3. SOX记录保留要求
        4. 监督
      6. 家庭教育权和隐私法
        1. 目的和范围
        2. 主要要求
        3. 监督
      7. 儿童互联网保护法案
        1. 目的和范围
        2. 主要要求
        3. 监督
      8. 支付卡行业数据安全标准
        1. 目的和范围
        2. 自我评估问卷
        3. 主要要求
      9. 了解信息安全合规的法律感
      10. 章总结
      11. 关键概念和条款
      12. 第15章评估
      13. 尾注
    5. 附录A回答键
    6. 附录B标准缩略语
    7. 附录C收入Comptia Security +认证
  12. 关键术语词汇表
  13. 参考文献
  14. 指数

产品信息

  • 标题:信息系统安全基础,第3版
  • 作者:
  • 发布日期:2016年10月
  • 出版商:琼斯和巴特利特学习
  • 国际标准图书编号:9781284116465