![信息安全保障[按需印刷]](http://images.china-pub.com/ebook3770001-3775000/3770696/zcover.jpg)
- 定价:¥69.00
- POD价:¥69.00
- 评分:
(已有0条评价) - 电子书:信息安全保障[按需印刷]
- 促销活动:
- 我要买:
- ·如此书原封面缺失,印刷将采用出版社授权的新封面;
- ·如电子文件出现问题,可能延长印制周期,我们将提前与您沟通
基本信息
内容简介
书籍
计算机书籍
《信息安全保障》从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性和实用性为原则,明确了信息安全专业人员应该掌握的信息安全技术方面的主体内容和相关的法律法规。
《信息安全保障》涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识,内容全面、实用。第1~2章,介绍了信息安全保障的基础知识和相关实践,讲述了信息安全保障模型、现状、主要工作内容和工作实践。第3~6章,讲述信息安全管理的方方面面,涵盖信息安全管理、信息安全风险管理、信息安全体系建设、灾难发生时的应急响应和灾难恢复。第7章讲述信息内容安全,主要为信息内容安全基础、我国网络舆情概况、网络舆情管理等。第8~9章为信息安全工程方面,讲解了信息安全工程基础、实施、监理,以及信息工程能力评估的方法、领域及作用等。第10~12章讲述信息安全相关的法规、政策、标准和道德规范。
计算机书籍
《信息安全保障》从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性和实用性为原则,明确了信息安全专业人员应该掌握的信息安全技术方面的主体内容和相关的法律法规。
《信息安全保障》涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识,内容全面、实用。第1~2章,介绍了信息安全保障的基础知识和相关实践,讲述了信息安全保障模型、现状、主要工作内容和工作实践。第3~6章,讲述信息安全管理的方方面面,涵盖信息安全管理、信息安全风险管理、信息安全体系建设、灾难发生时的应急响应和灾难恢复。第7章讲述信息内容安全,主要为信息内容安全基础、我国网络舆情概况、网络舆情管理等。第8~9章为信息安全工程方面,讲解了信息安全工程基础、实施、监理,以及信息工程能力评估的方法、领域及作用等。第10~12章讲述信息安全相关的法规、政策、标准和道德规范。
目录
《信息安全保障》
前 言
第1章 信息安全保障基础 1
1.1 信息安全保障背景 1
1.1.1 信息安全的内涵和外延 1
1.1.2 信息安全问题根源 4
1.1.3 信息技术与信息安全发展阶段 4
1.2 信息安全保障概念与模型 6
1.2.1 信息安全保障概念 6
1.2.2 信息安全保障相关模型 7
1.3 信息系统安全保障概念与模型 12
1.3.1 信息系统安全保障概念 12
1.3.2 信息系统安全保障模型 14
思考题 18
第2章 信息安全保障实践 19
2.1 信息安全保障现状 19
2.1.1 国外信息安全保障现状 19
2.1.2 我国信息安全保障现状 24
2.2 我国信息安全保障工作主要内容 33
2.2.1 信息安全标准化 33
前 言
第1章 信息安全保障基础 1
1.1 信息安全保障背景 1
1.1.1 信息安全的内涵和外延 1
1.1.2 信息安全问题根源 4
1.1.3 信息技术与信息安全发展阶段 4
1.2 信息安全保障概念与模型 6
1.2.1 信息安全保障概念 6
1.2.2 信息安全保障相关模型 7
1.3 信息系统安全保障概念与模型 12
1.3.1 信息系统安全保障概念 12
1.3.2 信息系统安全保障模型 14
思考题 18
第2章 信息安全保障实践 19
2.1 信息安全保障现状 19
2.1.1 国外信息安全保障现状 19
2.1.2 我国信息安全保障现状 24
2.2 我国信息安全保障工作主要内容 33
2.2.1 信息安全标准化 33
前言
随着信息化不断深入,信息安全上升到关系社会稳定、经济发展和公民权益的地位,成为国家安全的重要组成部分。在整个信息安全保障工作中,人是最核心、最活跃的因素,信息安全保障工作最终也是通过人来落实的。因此,加快信息安全人才培养体系建设是发展我国信息安全保障体系必备的基础和先决条件。
多年来,国家高度重视我国信息安全人才队伍的培养和建设,明确提出要加强信息安全人才培养。2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号),提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。中国信息安全测评中心依据中央赋予的职能,自2002年起,积极推动我国信息安全专业人才培养工作。一方面支持并配合国内多所大学开办了信息安全专业,有力促进了信息安全学历教育的开展;另一方面在原国务院信息化办公室的支持下,开创性地开展了信息安全职业教育与能力认证工作,面向社会提供“注册信息安全专业人员”(CISP)培训服务,十余年来培养专业人才逾万名,为党政军机关和职能部门以及金融、交通、能源等行业和国有大型企业的信息安全保障工作填补了专业人才队伍的空白。
教材和知识体系是信息安全职业培训认证工作的核心要素。中国信息安全测评中心在全面考察国际知名信息安全职业教育知识体系的基础上,汇集国内诸多院士、专家和学者智慧,汲取教学实践体验,提出信息安全人才需要全面涵盖理论、技术、管理、工程、标准和法律法规等知识域,在此基础上编撰了《信息安全理论与技术》、《信息安全工程与管理》及《信息安全标准与法律法规》系列教材,于2003年由人民邮电出版社正式出版。该系列教材填补了国内空白,成为信息安全保障工作中的必备参考书。
信息安全是动态发展变化的。新技术不断推陈出新,信息安全态势不断演变,需要不断地更新知识。经过十余年的积累,我们编撰了《信息安全技术》和《信息安全保障》两本书,这是在原版本系列教材基础上的全面修订,经过了三年试用和多次完善。与上版相比,修订后的教材具有以下三个特点。
一是主线更清晰,内容更全面。《信息安全技术》增加了安全攻击与防护、软件安全开发等章节。《信息安全保障》新增了信息安全管理基础、信息安全风险管理、信息安全等级保护等章节,进一步充实了信息安全法律、法规和标准体系等方面的内容。整套教材系统地阐述了当前我国信息安全保障体系的主要工作,以及各项工作涵盖的关键技术。
二是知识进行了全面更新。在《信息安全技术》中,增加了云计算、物联网和工业控制系统等新领域的安全防护技术,以及主流安全管理平台、统一威胁管理系统、网络准入控制系统、Web应用安全防护产品的技术原理与应用。在《信息安全保障》中,信息安全战略、法律、法规、政策及标准更新截至2013年。本套教材全面体现了信息安全领域各方面的最新发展状况,与国外同类信息安全培训教材知识体系总体保持同步。
三是吸收了十余年来中国信息安全测评中心在漏洞分析与风险评估等领域的最新科研成果与工作积累,同时,汇聚了知名高校、科研院所、行业及产业信息安全专家的知识与经验。与国外同类信息安全培训教材相比,本套教材更加贴合我国信息安全保障的实际工作要求,技术理论、政策指导与实践应用相结合,满足国家对信息安全人才的深层次需求。
本套教材以知识体系的全面性和实用性为原则,涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识,为信息安全管理与技术人员解决实际工作问题提供参考。本套教材主要面向国家部委、重要行业、科研院所及企事业单位的信息安全从业人员,适用于信息技术产品研发测试、信息系统安全规划与建设运维、信息安全服务等方面的专业技术人员,以及信息安全总体规划、策略制度制定、风险评估和监督审计等方面的管理人员。
本套教材在修订完善的过程中得到社会各界人士的关心与支持,特别是中国信息安全测评中心刘晖、郭涛、彭勇、张涛、班晓芳、姚轶崭、郭颖、戴忠华、任望、王庆、王星、邹静,上海信息安全工程技术研究中心谢安明,清华大学叶晓俊,北京交通大学李勇,中国科学院软件研究所苏璞睿,华东师范大学张雪芹,北京信息科技大学刘凯,北京江南天安科技有限公司陈冠直、胡杰,北京时代新威信息技术有限公司王连强,上海三零卫士信息安全有限公司邬敏华、陈锡军、陈长松,北京奇虎测腾科技有限公司张䶮,南京翰海源信息技术有限公司方兴,在此表示衷心的感谢。
教材中不妥或错误之处恳请广大读者批评指正。
多年来,国家高度重视我国信息安全人才队伍的培养和建设,明确提出要加强信息安全人才培养。2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号),提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。中国信息安全测评中心依据中央赋予的职能,自2002年起,积极推动我国信息安全专业人才培养工作。一方面支持并配合国内多所大学开办了信息安全专业,有力促进了信息安全学历教育的开展;另一方面在原国务院信息化办公室的支持下,开创性地开展了信息安全职业教育与能力认证工作,面向社会提供“注册信息安全专业人员”(CISP)培训服务,十余年来培养专业人才逾万名,为党政军机关和职能部门以及金融、交通、能源等行业和国有大型企业的信息安全保障工作填补了专业人才队伍的空白。
教材和知识体系是信息安全职业培训认证工作的核心要素。中国信息安全测评中心在全面考察国际知名信息安全职业教育知识体系的基础上,汇集国内诸多院士、专家和学者智慧,汲取教学实践体验,提出信息安全人才需要全面涵盖理论、技术、管理、工程、标准和法律法规等知识域,在此基础上编撰了《信息安全理论与技术》、《信息安全工程与管理》及《信息安全标准与法律法规》系列教材,于2003年由人民邮电出版社正式出版。该系列教材填补了国内空白,成为信息安全保障工作中的必备参考书。
信息安全是动态发展变化的。新技术不断推陈出新,信息安全态势不断演变,需要不断地更新知识。经过十余年的积累,我们编撰了《信息安全技术》和《信息安全保障》两本书,这是在原版本系列教材基础上的全面修订,经过了三年试用和多次完善。与上版相比,修订后的教材具有以下三个特点。
一是主线更清晰,内容更全面。《信息安全技术》增加了安全攻击与防护、软件安全开发等章节。《信息安全保障》新增了信息安全管理基础、信息安全风险管理、信息安全等级保护等章节,进一步充实了信息安全法律、法规和标准体系等方面的内容。整套教材系统地阐述了当前我国信息安全保障体系的主要工作,以及各项工作涵盖的关键技术。
二是知识进行了全面更新。在《信息安全技术》中,增加了云计算、物联网和工业控制系统等新领域的安全防护技术,以及主流安全管理平台、统一威胁管理系统、网络准入控制系统、Web应用安全防护产品的技术原理与应用。在《信息安全保障》中,信息安全战略、法律、法规、政策及标准更新截至2013年。本套教材全面体现了信息安全领域各方面的最新发展状况,与国外同类信息安全培训教材知识体系总体保持同步。
三是吸收了十余年来中国信息安全测评中心在漏洞分析与风险评估等领域的最新科研成果与工作积累,同时,汇聚了知名高校、科研院所、行业及产业信息安全专家的知识与经验。与国外同类信息安全培训教材相比,本套教材更加贴合我国信息安全保障的实际工作要求,技术理论、政策指导与实践应用相结合,满足国家对信息安全人才的深层次需求。
本套教材以知识体系的全面性和实用性为原则,涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识,为信息安全管理与技术人员解决实际工作问题提供参考。本套教材主要面向国家部委、重要行业、科研院所及企事业单位的信息安全从业人员,适用于信息技术产品研发测试、信息系统安全规划与建设运维、信息安全服务等方面的专业技术人员,以及信息安全总体规划、策略制度制定、风险评估和监督审计等方面的管理人员。
本套教材在修订完善的过程中得到社会各界人士的关心与支持,特别是中国信息安全测评中心刘晖、郭涛、彭勇、张涛、班晓芳、姚轶崭、郭颖、戴忠华、任望、王庆、王星、邹静,上海信息安全工程技术研究中心谢安明,清华大学叶晓俊,北京交通大学李勇,中国科学院软件研究所苏璞睿,华东师范大学张雪芹,北京信息科技大学刘凯,北京江南天安科技有限公司陈冠直、胡杰,北京时代新威信息技术有限公司王连强,上海三零卫士信息安全有限公司邬敏华、陈锡军、陈长松,北京奇虎测腾科技有限公司张䶮,南京翰海源信息技术有限公司方兴,在此表示衷心的感谢。
教材中不妥或错误之处恳请广大读者批评指正。
书摘
(1)计划组织阶段
单位的使命和业务要求产生了信息系统安全保障建设和使用的需求。在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设开始就应该综合考虑系统的安全保障要求,使信息系统的建设和信息系统安全建设同步规划、同步实施。
(2)开发采购阶段
开发采购阶段是计划组织阶段的细化、深入和具体体现。在此阶段,应进行系统需求分析、考虑系统运行要求、设计系统体系以及相关的预算申请和项目准备等管理活动,克服传统的、基于具体技术或产品的片面性,基于系统需求、风险和策略,将信息系统安全保障作为一个整体进行系统的设计和建设,建立信息系统安全保障整体规划和全局视野。组织可以根据具体要求,评估系统整体的技术、管理安全保障规划或设计,保证对信息系统的整体规划满足组织机构的建设要求和国家、行业或组织机构的其他要求。
(3)实施交付阶段
在实施交付阶段,单位可以对承建方的安全服务资格和信息安全专业人员资格有所要求,确保施工组织的服务能力,还可以通过信息系统安全保障的工程保障对施工过程进行监理和评估,确保最终交付系统的安全性。
(4)运行维护阶段
信息系统进入运行维护阶段后,需要对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,这是信息系统得以安全、正常运行的根本保证。此外,信息系统投入运行后并不是一成不变的,它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,重新进入信息系统的计划组织阶段。
(5)废弃阶段
当信息系统的保障不能满足现有要求时,信息系统进入废弃阶段。
通过在信息系统生命周期的所有阶段融入信息系统安全保障概念,确保信息系统的持续动态安全保障。
3。信息系统安全保障要素
在空间维度上,信息系统安全需要从技术、工程、管理和人员4个领域进行综合保障。在安全技术方面,不仅要考虑具体的产品和技术,更要考虑信息系统的安全技术体系架构;在安全管理方面,不仅要考虑基本安全管理实践,更要结合组织特点建立相应的安全管理体系,形成长效和持续改进的安全管理机制;在安全工程方面,不仅要考虑信息系统建设的最终结果,更要结合系统工程的方法,注重工程过程各个阶段的规范化实施;在人员安全方面,要考虑与信息系统相关的所有人员(包括规划者、设计者、管理者、运行维护者、评估者、使用者等)所应具备的信息安全专业知识和能力。
(1)信息安全技术
常用信息安全技术主要包括以下类型。
1)密码技术:密码技术及应用涵盖了数据处理过程的各个环节,如数据加密、密码分析、数字签名、身份识别和秘密分享等。通过以密码学为核心的信息安全理论与技术来保证达到数据的机密性和完整性等要求。
2)访问控制技术:访问控制技术是在为用户提供系统资源最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。
……
单位的使命和业务要求产生了信息系统安全保障建设和使用的需求。在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设开始就应该综合考虑系统的安全保障要求,使信息系统的建设和信息系统安全建设同步规划、同步实施。
(2)开发采购阶段
开发采购阶段是计划组织阶段的细化、深入和具体体现。在此阶段,应进行系统需求分析、考虑系统运行要求、设计系统体系以及相关的预算申请和项目准备等管理活动,克服传统的、基于具体技术或产品的片面性,基于系统需求、风险和策略,将信息系统安全保障作为一个整体进行系统的设计和建设,建立信息系统安全保障整体规划和全局视野。组织可以根据具体要求,评估系统整体的技术、管理安全保障规划或设计,保证对信息系统的整体规划满足组织机构的建设要求和国家、行业或组织机构的其他要求。
(3)实施交付阶段
在实施交付阶段,单位可以对承建方的安全服务资格和信息安全专业人员资格有所要求,确保施工组织的服务能力,还可以通过信息系统安全保障的工程保障对施工过程进行监理和评估,确保最终交付系统的安全性。
(4)运行维护阶段
信息系统进入运行维护阶段后,需要对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,这是信息系统得以安全、正常运行的根本保证。此外,信息系统投入运行后并不是一成不变的,它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,重新进入信息系统的计划组织阶段。
(5)废弃阶段
当信息系统的保障不能满足现有要求时,信息系统进入废弃阶段。
通过在信息系统生命周期的所有阶段融入信息系统安全保障概念,确保信息系统的持续动态安全保障。
3。信息系统安全保障要素
在空间维度上,信息系统安全需要从技术、工程、管理和人员4个领域进行综合保障。在安全技术方面,不仅要考虑具体的产品和技术,更要考虑信息系统的安全技术体系架构;在安全管理方面,不仅要考虑基本安全管理实践,更要结合组织特点建立相应的安全管理体系,形成长效和持续改进的安全管理机制;在安全工程方面,不仅要考虑信息系统建设的最终结果,更要结合系统工程的方法,注重工程过程各个阶段的规范化实施;在人员安全方面,要考虑与信息系统相关的所有人员(包括规划者、设计者、管理者、运行维护者、评估者、使用者等)所应具备的信息安全专业知识和能力。
(1)信息安全技术
常用信息安全技术主要包括以下类型。
1)密码技术:密码技术及应用涵盖了数据处理过程的各个环节,如数据加密、密码分析、数字签名、身份识别和秘密分享等。通过以密码学为核心的信息安全理论与技术来保证达到数据的机密性和完整性等要求。
2)访问控制技术:访问控制技术是在为用户提供系统资源最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。
……
