信息安全:原理与实践/贺民

本书以国际信息系统安全认证联盟制定的知识体系为背景．首先概述了信息安全的基本原则和概念，然后介绍了信息安全的公共知识体系，而且提供了该体系10个知识范畴的概况：安全管理．安全架构与模型，业务持续计划和灾难恢复计划，法律、调查与道德规范，操作安全，访问控制系统与方法论，密码学和电信、网络以及Internet安全。 本书适用于高等院校计算机及相关专业的本科生和教师、从事信息安全方面的专业人员。

Mark Merkow获得了CISSP和CISM认证。他和他公司的CIO办公室一同致力于建立用于金融管理和设施的IT安全策略。其中所含的金融设施包括信用卡、银行业以及证券产品和服务。Mark是ANSIX9F委员会代表，曾和国家标准与技术研究所（National Institute of Standards and Technology，NIST）紧密合作“通用安全准则的测试与评估方法论”研究。

第1章 为什么研究信息安全   1.1 导言   1.2 增长的IT安全重要性与新的职业机会     1.2.1 政府和私营工商业的持续需求   1.3 成为信息安全专家     1.3.1 应运而生的教育机构5     1.3.2 综合学科研究法   1.4 信息安全的环境     1.4.1 信息安全职业——业务安全的需要   1.5 本章小结   1.6 技能测试     1.6.1 多项选择题     1.6.2 练习题     1.6.3 项目题     1.6.4 案例研究 第2章 信息安全的成功原则   2.1 导言   2.2 原则1: 没有绝对的安全   2.3 原则2: 安全三目标——私密性、完整性和可用性     2.3.1 完整性模型     2.3.2 可用性模型   2.4 原则3: 部署安全分层机制   2.5 原则4: 人们容易自行做出最糟的安全决定   2.6 原则5: 决定计算机安全的两项需求——功能性需求与保险性需求   2.7 原则6: 模糊性不是安全的解决之道   2.8 原则7: 安全=风险管理   2.9 原则8: 安全控制的三种类型： 预防型控制、探测型控制和响应型控制   2.10 原则9: 复杂性是安全性的大敌   2.11 原则10: 担忧、不确定性、疑惑对销售安全没用   2.12 原则11: 必要的人、流程、技术是系统或设施安全的保障   2.13 原则12: 公开已知的漏洞有助于安全   2.14 本章小结   2.15 技能测试     2.15.1 多项选择题     2.15.2 练习题     2.15.3 项目题     2.15.4 案例研究 第3章 认证计划与公共知识体系   3.1 导言   3.2 信息安全及其认证     3.2.1 国际信息系统安全认证联盟信息安全——原理与实践   3.3 信息安全的公共知识体系（CBK)     3.3.1 安全管理实务     3.3.2 安全体系结构和模型     3.3.3 业务持续性计划     3.3.4 法律、调查和道德     3.3.5 物理安全     3.3.6 操作安全     3.3.7 访问控制系统和方法     3.3.8 密码学     3.3.9 电信、网络和Internet安全     3.3.10 应用开发安全   3.4 其他安全认证项目     3.4.1 注册信息系统审计师（CISA)     3.4.2 注册信息安全员（CISM)     3.4.3 全球信息保证证书（GIAC)     3.4.4 CompTIA Security+认证     3.4.5 针对供应商的认证   3.5 本章小结   3.6 技能测试     3.6.1 多项选择题     3.6.2 练习题     3.6.3 项目题     3.6.4 案例研究 第4章 安全管理 第5章 安全架构与模型 第6章 业务持续计划和灾难恢复计划 第7章 法律、调查与道德规范 第8章 物理安全控制 第9章 操作安全 第10章 访问控制体系和方法论 第11章 密码学 第12章 通信、网络和Internet安全 第13章 应用开发的安全性 第14章 未来的安全性的未来 附录A 公共知识体系 附录B 安全策略和标准分类 附录C 策略样本 附录D 安全策略和标准管理系统内幕 附录E HIPAA安全规则和标准