信息安全管理基础

第1章 信息安全管理概述

1.1 全球信息安全发展形势

1.1.1 互联网骨干网络面临的安全威胁

1.1.2 根域名服务器面临安全威胁

1.1.3 全球黑客动向

1.2 中国信息安全形势

1.3 信息安全管理基本概念

1.3.1 信息安全及信息安全管理

1.3.2 信息安全管理系统

1.4 我国的信息安全管理

1.4.1 我国的信息安全管理现状

1.4.2 我国信息安全管理存在的问题

本章小结

思考与练习

第2章 物理安全

2.1 物理安全威胁与安全需求

2.2 机房与设施安全

2.2.1 机房安全等级

2.2.2 机房场地的环境选择

2.2.3 机房组成及面积

2.2.4 机房的环境条件

2.2.5 电源

2.2.6 围墙和门禁

2.2.7 锁的使用

2.2.8 网络通信线路安全

2.2.9 机房物理基础设施解决方案举例

2.3 技术访问控制

2.3.1 人员控制

2.3.2 检测监视系统

2.3.3 审计访问记录

2.4 防火安全

2.4.1 火灾检测

2.4.2 火灾抑制

2.5 电磁泄漏

2.5.1 计算机设备防泄露措施

2.5.2 计算机设备的电磁辐射标准

2.6 有关物理安全威胁的特殊考虑

本章小结

思考与练习

第3章 身份鉴别与认证

3.1 用户标识与鉴别

3.1.1 什么是用户标识

3.1.2 什么是用户鉴别

3.2 用户鉴别的原理

3.2.1 鉴别的分类

3.2.2 实现身份鉴别的途径

3.2.3 Kerberos鉴别系统

3.3 证书授权技术

3.3.1 什么是PKI

3.3.2 什么是数字证书

3.3.3 X.509证书标准

3.3.4 认证中心

3.3.5 数字证书的应用

3.3.6 安全电子邮件

3.4 一次性口令认证

3.4.1 一次性口令

3.4.2 口令安全

本章小结

思考与练习

第4章 风险管理

4.1 安伞威胁

4.2 风险管理

4.2.1 识别熟悉信息系统

4.2.2 识别检查机构漏洞

4.2.3 所有的利益团体都应负责

4.3 风险识别

4.3.1 资产识别和评估

4.3.2 自动化风险管理工具

4.3.3 风险分类

4.3.4 威胁识别

4.3.5 漏洞识别

4.3.6 正确看待风险识别

4.4 风险评估

4.4.1 风险评估分析策略及实施流程

4.4.2 风险评估种类

4.4.3 风险评估分析方法

4.4.4 风险消减—实施安全计划

4.5 风险控制策略

4.5.1 避免

4.5.2 转移

4.5.3 缓解

4.5.4 承认

4.5.5 风险缓解策略选择

4.5.6 控制的种类

4.6 有关风险管理的特殊考虑

4.6.1 风险可接受性

4.6.2 残留风险

4.6.3 实施风险管理的一些建议

本章小结

思考与练习

第5章 安全管理策略

5.1 安全策略

5.1.1 安全策略的建立

5.1.2 安全策略的设计与开发

5.1.3 制定安全策略

5.2 信息安全管理

5.2.1 信息安全

5.2.2 信息载体安全管理

5.2.3 信息密级标签管理

5.2.4 信息存储资源管理

5.2.5 信息访问控制管理

5.2.6 数据备份管理

5.2.7 信息完整性管理

5.2.8 信息可用性管理

5.2.9 可疑信息跟踪审计

5.3 安全应急响应

5.3.1 安全应急响应的概况

5.3.2 安全应急响应管理系统的建立

5.3.3 实施应急措施

5.3.4 安全应急响应管理系统的有效性测试

5.3.5 应急响应的成本分析

5.3.6 安全应急响应流程实例

本章小结

思考与练习

第6章 安全法规和标准

6.1 国际信息安全标准组织

6.1.1 国际标准化组织发展概况

6.1.2 国际电工委员会（IEC）

6.1.3 国际电信联盟（ITU）

6.1.4 ISO/IEC JTC1（第一联合技术委员会）

6.1.5 其他信息安全管理标准化组织

6.2 ISO9000族简介

6.2.1 ISO9000族标准的起源与发展

6.2.2 ISO9000族核心标准简介

6.2.3 ISO9000族的新发展

6.2.4 ISO26000

6.3 国外信息安全标准化现状

6.3.1 美国信息安全管理标准体系

6.3.2 英国信息安全管理标准体系

6.3.3 其他国家信息安全标准化现状

6.4 我国信息安全标准化现状

6.5 基础信息安全标准

6.5.1 信息安全标准体系结构

6.5.2 安全框架标准指南

6.5.3 信息安全技术中的安全体制标准

6.6 环境与平台安全标准

6.6.1 电磁泄漏发射技术标准指南

6.6.2 物理环境与保障标准

6.6.3 计算机安全等级标准

6.6.4 网络平台安全标准

6.6.5 应用平台安全标准

6.7 信息安全管理

6.7.1 信息安全管理概念及标准简介

6.7.2 BS7799

6.7.3 ISO/IEC 17799

6.7.4 我国的安全管理工作

本章小结

思考与练习

为了推进我国信息化人才建设，CEAC国家信息化培训认证管理办公室组织IT和培训领域的资深专家精心编写了国家信息化计算机教育认证系列教材。本书作为国家信息化计算机教育认证项目电子政务与信息安全培训认证专项的教材之一，以国际主流的安全技术为基础，详细介绍了信息安全涉及的安全理论知识与技术。
本书根据企事业单位和信息安全从业人员的实际需求，深入浅出地介绍了信息安全的物理安全、身份鉴别与认证、风险管理、安全管理策略等内容，并详细阐述了用户必须了解的安全法规和标准。
本书结构清晰，讲解详细，并在每章后配有丰富的思考与练习题。非常适合作为信息安全技术的标准培训教程，也可作为大中专院校、高职高专相应课程的教材和辅导教材，还可供读者自学使用。

近年来大家对信息安全有了较全面、较深入的理解，使用者对网络安全、信息传输安全、信息安全管理也有了迫切的需要。顺应这种趋势，编者开展了CEAC国家信息化计算机教育认证项目——电子政务与信息安全培训认证专项，旨在培养更多的信息安全专业人才。本书作为国家信息化计算机教育认证项目电子政务与信息安全培训认证专项的教材之一，以国际主流的安全技术为基础，详细介绍了信息安全涉及的安全理论知识与技术。