網(wǎng)絡(luò)信息安全原理與技術(shù)

前言

隨著計(jì)算機(jī)安全已逐漸成為全球性的問(wèn)題，包括IT、醫(yī)療、金融等行業(yè)內(nèi)的眾多企業(yè)、組織對(duì)于安全領(lǐng)域方面的預(yù)算和投入日益增多。即使面對(duì)全球經(jīng)濟(jì)危機(jī)的不利影響，絕大部分的機(jī)構(gòu)都仍然計(jì)劃維持甚至增長(zhǎng)在安全方面的投入。CompTIA Security+國(guó)際認(rèn)證在全球安全領(lǐng)域享有很高的聲譽(yù)，包括美國(guó)國(guó)防部、醫(yī)療業(yè)、金融業(yè)在內(nèi)的許多機(jī)構(gòu)都明確將CornpTIA Security+列為其相關(guān)領(lǐng)域雇員或供應(yīng)商需要持有的安全認(rèn)證之一。我們非常高興地看到，隨著中國(guó)經(jīng)濟(jì)的發(fā)展和國(guó)力的強(qiáng)大，計(jì)算機(jī)安全被越來(lái)越多的中國(guó)的企業(yè)、組織所重視。CompTIA Security+國(guó)際認(rèn)證也隨之被中國(guó)計(jì)算機(jī)安全領(lǐng)域的有識(shí)之士所認(rèn)可和推廣，本書(shū)正是典范之作。本書(shū)嚴(yán)謹(jǐn)?shù)馗鶕?jù)CompTIA Security+考綱設(shè)計(jì)，內(nèi)容涵蓋當(dāng)今計(jì)算機(jī)安全領(lǐng)域的主要內(nèi)容，對(duì)于希望進(jìn)入計(jì)算機(jī)安全領(lǐng)域工作并且以后能在計(jì)算機(jī)領(lǐng)域大展宏圖的人來(lái)說(shuō)，是一本非常好的專業(yè)書(shū)籍。普希金曾經(jīng)說(shuō)過(guò)：“人的影響短暫而微弱，書(shū)的影響則廣泛而深遠(yuǎn)?！毕Ｍ@本書(shū)能給未來(lái)從事計(jì)算機(jī)安全事業(yè)的人們奠定扎實(shí)的計(jì)算機(jī)安全知識(shí)基礎(chǔ)，在這樣堅(jiān)如磐石的基礎(chǔ)之上搭建起個(gè)人事業(yè)的輝煌大廈，也為中國(guó)計(jì)算機(jī)安全領(lǐng)域的發(fā)展貢獻(xiàn)出自己的力量。

內(nèi)容概要

　　隨著計(jì)算機(jī)及信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)安全和信息安全變得日益重要。本書(shū)除了對(duì)信息安全技術(shù)的介紹以外，還著重闡述了組織中確保計(jì)算機(jī)安全需要注意的內(nèi)容，包括組織策略、教育、培訓(xùn)甚至組織管理和組織運(yùn)營(yíng)方面的知識(shí)。本書(shū)內(nèi)容涵蓋豐富、知識(shí)新穎，提供了大量的習(xí)題和豐富的教學(xué)資源?！　⊥瑫r(shí)，本書(shū)結(jié)合Comp TIA組織實(shí)施的著名國(guó)際認(rèn)證Comp TIA Security+。它的考核內(nèi)容包括通信安全、基礎(chǔ)設(shè)施安全、密碼系統(tǒng)操作安全以及通用安全概念等方面的知識(shí)。本書(shū)能夠給讀者全面提供有關(guān)通過(guò)Security+考試所必需的全部材料。除了覆蓋Security+考試的目標(biāo)以外，還包含了大量圍繞考綱的模擬考題和實(shí)戰(zhàn)練習(xí)?！　”緯?shū)適合作為信息安全的技術(shù)和管理人員的參考書(shū)，為他們提供有價(jià)值、最新的信息技術(shù)幫助。

書(shū)籍目錄

第1章 一般安全概念　1.1 計(jì)算機(jī)安全的基本概念　　1.1.1 安全工作的三角形　　1.1.2 安全事件的一般形式　　1.1.3 安全目標(biāo)　　1.1.4 信息安全的弱點(diǎn)和風(fēng)險(xiǎn)來(lái)源　1.2 理解信息安全的過(guò)程　　1.2.1 保證信息安全的一般方法　　1.2.2 安全區(qū)域和安全體系結(jié)構(gòu)模型　　1.2.3 應(yīng)對(duì)新技術(shù)領(lǐng)域的安全挑戰(zhàn)　　1.2.4 非技術(shù)領(lǐng)域的安全相關(guān)問(wèn)題　1.3 標(biāo)準(zhǔn)和組織　本章小結(jié)　實(shí)驗(yàn)與習(xí)題第2章 密碼學(xué)基礎(chǔ)　2.1 密碼學(xué)綜述　2.2 加密算法介紹　　2.2.1 對(duì)稱加密算法　　2.2.2 非對(duì)稱加密算法　　2.2.3 散列（Hash）函數(shù)和應(yīng)用　　2.2.4 其他加密系統(tǒng)的應(yīng)用　本章小結(jié)　實(shí)驗(yàn)與習(xí)題第3章 身份認(rèn)證技術(shù)　3.1 身份認(rèn)證　　3.1.1 基本概念　　3.1.2 身份認(rèn)證的常用方法　　3.1.3 認(rèn)證過(guò)程中的一些額外因素　　3.1.4 身份認(rèn)證與權(quán)限管理　3.2 公鑰基礎(chǔ)設(shè)施（PKI）　　3.2.1 基本概念和基本結(jié)構(gòu)　　3.2.2 信任關(guān)系和證書(shū)驗(yàn)證　　3.2.3 證書(shū)和密鑰管理，密鑰生命周期　本章小結(jié)　實(shí)驗(yàn)與習(xí)題第4章 識(shí)別潛在的風(fēng)險(xiǎn)　4.1 攻擊行為分類　　4.1.1 按攻擊者所需達(dá)到的目的分類　　4.1.2 按攻擊針對(duì)的對(duì)象進(jìn)行分類　　4.1.3 按攻擊方式分類　4.2 TCP／IP網(wǎng)絡(luò)相關(guān)的攻擊　　4.2.1 TCP／IP網(wǎng)絡(luò)基礎(chǔ)　　4.2.2 基于TCP協(xié)議的攻擊　　4.2.3 基于UDP協(xié)議的攻擊　　4.2.4 基于ICMP的攻擊　4.3 應(yīng)用程序相關(guān)的攻擊和危險(xiǎn)　　4.3.1 軟件缺陷引起的攻擊　　4.3.2 間諜軟件　　4.3.3 rootkit工具　4.4 惡意代碼　　4.4.1 計(jì)算機(jī)病毒　　4.4.2 蠕蟲(chóng)　　4.4.3 特洛伊木馬　　4.4.4 垃圾郵件和惡作劇郵件　……第5章 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全第6章 網(wǎng)絡(luò)應(yīng)用安全第7章 網(wǎng)絡(luò)安全防護(hù)和加固第8章 入侵檢測(cè)與防護(hù)第9章 安全管理附錄參考文獻(xiàn)

章節(jié)摘錄

插圖：①行政政策：行政政策制定組織安全的指導(dǎo)方針和預(yù)期效果。對(duì)于日常業(yè)務(wù)，行政政策應(yīng)明確說(shuō)明何時(shí)進(jìn)行以及以何種方式進(jìn)行，還應(yīng)當(dāng)確定監(jiān)管者、執(zhí)行者以及審查者。行政政策應(yīng)該是一個(gè)框架式的文件，制定者需要在主旨與細(xì)節(jié)之間取得一個(gè)較好的平衡。因?yàn)閷?shí)際執(zhí)行該政策的人員不可避免地需要對(duì)現(xiàn)場(chǎng)環(huán)境做出一定的妥協(xié)。②災(zāi)難恢復(fù)計(jì)劃：災(zāi)難恢復(fù)計(jì)劃（disease recovery plan，DRP）用于在安全事故發(fā)生之后，以最快的速度恢復(fù)可用性的方案。它基于組織對(duì)可能發(fā)生的安全事件進(jìn)行的風(fēng)險(xiǎn)評(píng)估。一個(gè)良好的DRP應(yīng)具有良好的完整性，即考慮到所有類型的安全事件發(fā)生的可能性以及部署相應(yīng)的應(yīng)對(duì)措施。DRP的制定過(guò)程中，良好的資產(chǎn)評(píng)估和有效的測(cè)試有助于完善DRP。③信息政策：信息政策是指組織如何管理信息和保證信息安全的基本政策，包括訪問(wèn)信息、分級(jí)和分類信息、標(biāo)記和儲(chǔ)存信息、傳輸和銷毀信息的方法。信息政策最顯著的特點(diǎn)就是對(duì)組織擁有的信息進(jìn)行分類和分級(jí)。④安全政策：安全政策定義了如何配置系統(tǒng)和網(wǎng)絡(luò)，如何確保計(jì)算機(jī)機(jī)房和數(shù)據(jù)中心的安全以及如何進(jìn)行身份鑒別和身份認(rèn)證。同時(shí)還確定如何進(jìn)行訪問(wèn)控制、審計(jì)、報(bào)告和處理網(wǎng)絡(luò)連接、加密和反病毒。安全政策還規(guī)定密碼選擇、賬戶到期、登錄嘗試失敗處理等相關(guān)領(lǐng)域的程序和步驟。⑤軟件設(shè)計(jì)要求：軟件設(shè)計(jì)要求將規(guī)定自行開(kāi)發(fā)的軟件系統(tǒng)或外購(gòu)的軟件系統(tǒng)必須能夠達(dá)到的安全指標(biāo)。軟件設(shè)計(jì)要求是根據(jù)企業(yè)的行政、信息、安全政策綜合考慮進(jìn)行制定的，必須達(dá)到以上幾項(xiàng)政策所提出的安全要求。軟件設(shè)計(jì)要求應(yīng)該是具體的、可實(shí)施的。同時(shí)軟件設(shè)計(jì)要求需要考慮到未來(lái)一段時(shí)期內(nèi)網(wǎng)絡(luò)環(huán)境和系統(tǒng)環(huán)境所發(fā)生的變化，以便軟件系統(tǒng)得到合理的升級(jí)或補(bǔ)充。⑥使用政策：包括如何使用信息和資源，該政策需要向組織成員或系統(tǒng)使用者解釋使用組織資源的方法和用途。這些政策包括計(jì)算機(jī)使用的規(guī)定、隱私、所有權(quán)和不當(dāng)行為的后果。政策制定者應(yīng)該闡明他們對(duì)用戶的期望。通常最簡(jiǎn)單的使用政策描述為“本計(jì)算機(jī)所有權(quán)屬于公司，只能應(yīng)用于公司事務(wù)”。⑦用戶管理政策：用戶管理政策描述員工在系統(tǒng)內(nèi)的權(quán)限范圍，同時(shí)需要包括員工地位或崗位變化所導(dǎo)致的系統(tǒng)變動(dòng)。員工崗位輪替或變換是一種正常的現(xiàn)象，但是在員工轉(zhuǎn)移到新崗位時(shí)，必須重新設(shè)定該員工的權(quán)限并將其原有權(quán)限撤銷。否則可能導(dǎo)致權(quán)限超越或員工獲取不應(yīng)獲取的信息。用戶管理政策需要與人力資源策略緊密相連，一旦員工人事?tīng)顩r發(fā)生變動(dòng)，用戶管理政策應(yīng)及時(shí)應(yīng)對(duì)該變動(dòng)并能夠根據(jù)預(yù)定方案進(jìn)行反應(yīng)。

編輯推薦

《網(wǎng)絡(luò)信息安全原理與技術(shù)》共九章。介紹了一般性的安全概念、密碼學(xué)、身份認(rèn)證、安全人員可能遇到的潛在安全威脅、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用的安全問(wèn)題和應(yīng)對(duì)網(wǎng)絡(luò)安全的各類防護(hù)手段?！毒W(wǎng)絡(luò)信息安全原理與技術(shù)》最后闡述了非技術(shù)領(lǐng)域的內(nèi)容。也是安全的一個(gè)重要方面。即組織的管理。《網(wǎng)絡(luò)信息安全原理與技術(shù)》可以作為信息安全技術(shù)或管理工作者的參考書(shū)，提供有價(jià)值、最新的信息技術(shù)幫助。內(nèi)容涵蓋豐富、知識(shí)體系新穎，注重培養(yǎng)信息安全領(lǐng)域知識(shí)框架的構(gòu)建能力。作者具有多年的教學(xué)經(jīng)歷和企業(yè)IT安全顧問(wèn)的工作經(jīng)驗(yàn)；內(nèi)容編寫遵循教學(xué)規(guī)律，又面向企業(yè)實(shí)際應(yīng)用。嚴(yán)格參照美國(guó)CompTIA制定的行業(yè)需求標(biāo)準(zhǔn)，是CompTIA國(guó)際認(rèn)證的指定用書(shū)。美國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)，CompTIA-Computing Technology Industry Association全球ICT領(lǐng)域最具影響力的、最大的、全球領(lǐng)先的行業(yè)協(xié)會(huì)全球最大的第三方IT認(rèn)證機(jī)構(gòu)

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    網(wǎng)絡(luò)信息安全原理與技術(shù) PDF格式下載

---