信息安全完全参考手册

开发和实施端到端的有效安全方案，当今的IT世界风起云涌，复杂的移动平台、云计算和无处不在的数据访问对每一位IT专业人士提出了新的安全需求。《信息安全完全参考手册(第2版)》是唯一综合性的，着眼于不断发展变化的威胁环境，提供供应商中立的有关信息保护全方面细节的专业书籍。本书通过全面修订和扩充以涵盖现代信息安全的各个方面——从概念到细节——提供了一站式的参考，既适用于初学者，也适用于经验丰富的专业人士。
本书探索了如何基于经过验证的方法论、风险分析、合规和业务需求，构建一个全面的安全方案。你将学会如何成功地保护数据、网络、计算机和应用程序。书中还深入介绍了数据保护、加密、信息权限管理、网络安全、入侵检测和防御、UNIX和Windows安全、虚拟化和云安全、安全应用程序开发、灾难恢复、计算机取证及现实世界的攻击和对策。书中最后提供了一个丰富的安全术语表，以及基于标准的参考，这对于专业人士和学生都是一个相当丰富的资源。

Mark Rhodes-Ousley拥有20多年在信息安全领域，从项目管理到技术各个方面的经验。这些经验包括风险管理、安全策略、安全管理、技术/实施和运维、物理安全、灾难恢复和业务连续性规划。他有两个核心的理念：业务流程的重要性如同技术的重要性，因为安全需要依赖于人；安全应该是一个业务推动者，以提升客户体验为目标。Mark拥有CISSP、CISM和MCSE认证。

第1部分概述
第1章信息安全概述
1.1信息保护的重要性
1.2信息安全的演变
1.3合理的安全投资
1.3.1业务灵活性
1.3.2降低成本
1.3.3可移植性
1.4安全方法论
1.5如何建立一个安全计划
1.5.1授权
1.5.2框架
1.5.3评估
1.5.4规划
1.5.5实施
1.5.6维护
1.6不可能的工作
1.7最薄弱的环节
1.8战略与战术
1.9业务流程与技术控制
1.10本章小结
1.11参考文献
第2章风险分析
2.1风险定义
2.1.1入侵载体
2.1.2威胁源和目标
2.2攻击的种类
2.2.1恶意移动代码
2.2.2高级持续性渗透攻击（APT）
2.2.3手动攻击
2.3风险分析
2.4本章小结
2.5参考文献
第3章遵循标准、法规和法律
3.1信息安全标准
3.1.1信息及相关技术控制目标（COBIT）
3.1.2国际标准化组织（ISO）27000系列
3.1.3美国国家标准与技术研究院（NIST）
3.2影响信息安全专家的法规
3.2.1注意义务
3.2.2Gramm—Leach—Bliley法案（GLBA）
3.2.3Sarbanes—Oxley法案
3.2.4HIPAA隐私和安全规则
3.2.5北美电力可靠性公司关键基础设施保护（NERCCIP）
3.2.6PCIDSS：支付卡行业数据安全标准
3.3影响信息安全专家的法律
3.3.1黑客法律
3.3.2电子通信法律
3.3.3其他实质性法律
3.4本章小结
3.5参考文献
第4章安全设计原则
4.1CIA三元组和其他模型
4.1.1机密性
4.1.2完整性
4.1.3可用性
4.1.4其他概念
4.2防御模型
4.2.1棒棒糖模型
4.2.2洋葱模型
4.3可信区域
4.4网络防御的最佳实践
4.4.1安全的物理环境
4.4.2密码保护启动
4.4.3密码保护CMOS
4.4.4禁止USB和CD引导
4.4.5加固操作系统
4.4.6保持补丁更新
4.4.7使用防病毒扫描程序（实时扫描）
4.4.8使用防火墙软件
4.4.9安全的网络共享权限
4.4.10使用加密
4.4.11保护应用程序
4.4.12系统备份
4.4.13实施ARP中毒防御
4.4.14建立计算机安全防御计划
4.5本章小结
4.6参考文献
第5章安全策略、标准、流程和指南
5.1安全策略
5.1.1安全策略制定
5.1.2安全策略参与者
5.1.3安全策略阅读对象
5.1.4策略种类
5.1.5框架
5.1.6安全意识
5.1.7安全意识的重要性
5.1.8意识计划的目标
5.1.9提高效率
5.1.10实施意识计划
5.1.11执行
5.1.12对供应商执行的策略
5.1.13对员工执行的策略
5.1.14基于软件的执行
5.1.15安全策略主题示例
5.1.16可接受的使用策略
5.1.17计算机策略
5.1.18网络策略
5.1.19数据隐私策略
5.1.20数据完整性策略
5.1.21人事管理策略
5.1.22安全管理策略
5.1.23物理安全策略
5.2安全标准
5.3安全流程
5.4安全指南
5.5持续维护
5.6本章小结
5.7参考文献
第6章安全组织
6.1角色和职责
6.1.1安全职位
6.1.2安全事件响应小组
6.2安全管理服务
6.2.1通过MSSP提供的服务
6.2.2可以通过MSSP监控的服务
6.3安全委员会、指导委员会或董事会
6.4与人力资源的相互关系
6.5本章小结
6.6参考文献
第7章身份认证和授权
7.1身份认证
7.1.1用户名和密码
7.1.2基于证书的认证
7.1.3扩展认证协议（EAP）
7.1.4生物识别
7.1.5额外使用的认证
7.2授权
7.2.1用户权限
7.2.2基于角色的授权（RBAC）
7.2.3访问控制列表（ACL）
7.2.4基于规则的授权
7.3符合标准
7.3.1NIST
7.3.2ISO27002
7.3.3COBIT
7.4本章小结
7.5参考文献
第2部分数据安全
第8章非结构化数据安全
8.1结构化数据与非结构化数据
8.2静态的、传输中的以及使用中的
8.3保护非结构化数据的途径
8.3.1数据库
8.3.2应用程序
8.3.3网络
8.3.4计算机
8.3.5存储（本地、移动或网络）
8.3.6打印到现实世界的数据
8.4保护非结构化数据的新途径
8.4.1数据丢失防护（DLP）
8.4.2信息权限管理
8.5本章小结
8.6参考文献
第9章信息权限管理
9.1概述
9.1.1DRM和IRM的区别
9.1.2EDRM、ERM、RMS、IRM如何命名
9.2从加密演变到IRM
9.3IRM技术细节
9.3.1IRM技术的构成
9.3.2架构
9.3.3离线
9.3.4非结构化数据格式
9.4IRM入门
9.4.1创建分类
9.4.2用户供应
9.4.3权限分配
9.4.4保护内容
9.4.5分发内容
9.4.6安装和配置IRM客户端
9.4.7身份认证
9.4.8授权
9.4.9权限检索和存储
9.4.10内容访问和权限调用
9.4.11访问审计和报表
9.4.12权限撤销
9.5本章小结
9.6参考文献
第10章加密
10.1加密简史
10.1.1早期编码
10.1.2更现代的代码
10.2对称密钥加密
10.3公钥加密算法
10.4公钥基础设施
10.4.1结构和功能
10.4.2CA的层次
10.4.3证书的模板和注册
10.4.4撤销
10.4.5角色分离
10.4.6交叉认证
10.5遵循标准
10.5.1NIST
10.5.2IS027002
10.5.3COBIT
10.6本章小结
10.7参考文献
第11章存储安全
11.1存储安全的演化
11.2现代存储安全
11.2.1存储基础设施
11.2.2存储网络
11.2.3阵列
11.2.4服务器
11.2.5管理通道
11.2.6数据的风险
11.3风险整治
11.3.1机密性风险
11.3.2完整性风险
11.3.3可用性风险
11.4最佳实践
11.4.1分区
11.4.2阵列
11.4.3服务器
11.4.4员工
11.4.5异地数据存储
11.5本章小结
11.6参考文献
第12章数据库安全
12.1常用的数据库安全概念
12.2理解数据库安全层次
12.2.1服务器级安全
12.2.2网络级安全
12.2.3操作系统安全
12.3理解数据库级安全
12.3.1数据库管理安全
12.3.2数据库角色和权限
12.3.3对象级安全
12.3.4使用其他数据库对象的安全
12.4使用应用程序安全
12.4.1应用程序级安全性的限制
12.4.2支持互联网应用程序
12.5数据库备份与恢复
12.5.1确定备份约束
12.5.2确定恢复需求
12.5.3数据库备份的类型
12.6保持服务器更新
12.7数据库审计与监控
12.7.1审查审计日志
12.7.2数据库监控
12.8本章小结
12.9参考文献
……
第3部分网络安全
第4部分计算机安全
第5部分应用程序安全
第6部分安全操作
第7部分物理安全性
术语表