隨著新一代資訊技術的飛速發展和應用,帶來好處的同時,也面對前所未有的資訊安全威脅。如何在有效利用資訊技術的同時,積極應對和及時識別、規避風險,打好資訊安全保衛戰,是我們大家必須面對的,也是本書寫作的目的。
在雲端運算理念下,本書提出一個組織的整體安全框架,從組織的策略、業務出發,結合安全標準和業界最佳實作,形成系統的資訊安全建設方法路徑,打贏資訊安全保衛戰。
本書主要讀者群涵蓋企業的CEO 和企業管理人員,企業的CIO 和從事資訊化、資訊安全建置的IT 人;其次是諮詢公司的業務和IT 諮詢人員以及企業資訊安全專案實施人員;對於大專院校的師生們進一步系統地認識企業資訊安全建置、企業IT 的實際情況,企業和社會資訊安全建置想法是一本絕佳的參考書;最後,對於從事企業資訊安全的服務提供者也是一個很好的值得借鏡的參考書,因為只有深刻了解企業的需求、資訊安全建置的系統思維,才能實施好企業資訊安全專案。
本書內容
本書以雲端運算理念為出發,全書為11 章,其主要內容如下。
☉第1 章 首先從全球、資訊技術的發展利用等方面綜述了資訊化社會的資
訊安全威脅,並進一步闡述了企業資訊化的發展應用對企業資訊安全帶來
的威脅。
☉第2 章 透過企業符合規範經營風險分析,帶入企業風險與資訊安全的關
係,說明資訊安全是確保企業符合規範經營的基本保障。
☉第3 章 在分析企業資訊安全現狀的基礎上進一步論述了企業資訊安全建
置的目的意義。
☉第4 章 介紹了資訊安全發展歷程和國內外資訊安全標準。
☉第5 章 在分析雲端運算安全問題基礎上,進一步提出了雲端運算安全框
架,並論述了雲端運算安全標準的發展情況,最後進一步綜述了國內外先
進的雲端運算安全提供商的雲端運算安全解決方案。
☉第6 章 引用企業資訊安全框架概念,並全面、完整地闡述了企業資訊安
全框架的定義、內容以及建置意義。
☉第7、8、9 章 分別對資訊安全框架的三個組成部分:資訊安全管理、運
行維護和技術系統深入介紹和描述。
☉第10 章 從一個組織的戰略出發來全面考慮組織的資訊安全的規劃、管
理、技術、運行維護等完整的資訊安全框架設計,與實施的策略與方法並
進行系統論述,列出一個資訊安全框架建置的方法和路徑。
☉第11 章 列出了對應的實作案例。
目錄
第01章 資訊化社會的資訊安全威脅
1.1 資訊化是世界發展的大趨勢
1.1.1 社會資訊化的趨勢
1.1.2 新IT 技術應用帶來新風險
1.2 全球化的趨勢
1.3 企業發展與競爭的趨勢
1.4 資訊安全威脅綜述
1.4.1 資訊安全面臨的主要威脅
1.4.2 資訊安全問題分析
1.4.3 資訊安全形勢和事故分析
1.4.4 資訊安全對企業威脅分析
第02章 企業風險與資訊安全
2.1 企業符合規範風險
2.1.1 從企業符合規範風險看IT 管理風險
2.1.2 從SOX 符合規範性看IT 內控標準
2.1.3 安全符合規範性管理
2.2 企業資料洩密風險
2.2.1 資料安全評估
2.2.2 資料安全風險分析
2.2.3 資料安全風險治理
2.3 從企業風險分析認識資訊安全風險
第03章 資訊安全管理內涵
3.1 資訊安全概述
3.1.1 傳統資訊安全的定義
3.1.2 資訊安全技術與資訊安全管理
3.1.3 當代資訊安全的新內容
3.1.4 資訊安全框架及其實施內涵
3.2 資訊安全建置階段分析
3.3 資訊安全建置目的意義
第04章 資訊安全發展與相關標準
4.1 資訊安全發展
4.1.1 資訊安全發展歷程
4.1.2 資訊安全發展趨勢
4.2 資訊安全管理標準的提出與發展
4.3 ISO/IEC 2700X 系列國際標準
4.3.1 資訊安全管理系統(ISO/IEC 27001:2005)
4.3.2 資訊安全管理實施細則(ISO/IEC 27002)
4.4 資訊安全管理實施建議與指導類標準
4.5 資訊安全測評標準
4.5.1 美國可信電腦安全評估標準(TCSEC)
4.5.2 國際通用準則(CC)
第05章 雲端運算安全
5.1 雲端運算安全問題分析
5.1.1 雲端運算的主要安全威脅分析
5.1.2 從雲端運算服務模式看安全
5.2 雲端運算安全框架
5.2.1 架構即服務(IaaS)
5.2.2 網路即服務(NaaS)
5.2.3 平台即服務(PaaS)
5.2.4 資料即服務(DaaS)
5.2.5 軟體即服務(SaaS)
5.2.6 安全是一個過程
5.3 雲端運算安全標準化現狀
5.3.1 國際和國外標準化組織
5.4 雲端運算安全解決方案概述
5.4.1 亞馬遜雲端運算安全解決方案
5.4.2 IBM 虛擬化安全sHype 解決方案
5.4.3 IBM 基於XEN 的可信虛擬域(TVD)
5.4.4 VMware 虛擬化安全VMSafe
5.4.5 Cisco 雲端資料中心安全解決方案
5.5 雲端運算安全開放問題
第06章 企業資訊安全框架
6.1 資訊安全框架概述
6.1.1 資訊安全框架的引用
6.1.2 資訊安全框架研究與定義
6.1.3 資訊安全框架要素與組成
6.1.4 資訊安全框架內容簡述
6.2 資訊安全框架基本內容
6.2.1 安全管理
6.2.2 安全運行維護
6.2.3 安全技術
6.3 資訊安全框架建置的意義
第07章 資訊安全管理系統
7.1 資訊安全符合規範管理
7.1.1 資訊安全符合規範管理挑戰
7.1.2 資訊安全符合規範管理概述
7.1.3 資訊安全符合規範管理工作
7.2 資訊安全管理
7.2.1 資訊安全管理挑戰
7.2.2 資訊安全管理概述
7.2.3 資訊安全管理工作
7.3 資訊安全性原則管理
7.3.1 資訊安全性原則管理的挑戰和需求分析
7.3.2 資訊安全性原則概述
7.3.3 資訊安全性原則工作
7.4 資訊安全風險管理
7.4.1 資訊安全風險管理的挑戰和需求分析
7.4.2 資訊安全風險概述
7.4.3 資訊安全風險管理工作內容
第08章 資訊安全運行維護系統
8.1 概述
8.1.1 運行維護監控中心
8.1.2 運行維護告警中心
8.1.3 事件回應中心
8.1.4 安全事件稽核評估中心
8.1.5 安全運行維護管理核心
8.2 安全事件監控
8.2.1 概述
8.2.2 面臨的挑戰與需求分析
8.2.3 安全事件監控的主要工作
8.3 安全事件回應
8.3.1 概述
8.3.2 需求分析
8.3.3 安全事件回應的實際工作
8.4 安全事件稽核
8.4.1 概述
8.4.2 面臨挑戰與需求分析
8.4.3 安全事件稽核的實際工作
8.5 安全外包服務
8.5.1 概述
8.5.2 需求分析
8.5.3 安全服務外包的工作
第09章 資訊安全技術系統
9.1 概述
9.1.1 問題與方法論
9.1.2 需要考慮的原則
9.2 實體安全
9.2.1 安全措施之實體隔離
9.2.2 環境安全
9.2.3 裝置安全
9.3 網路安全
9.3.1 網路安全設計
9.3.2 網路裝置安全特性
9.3.3 路由安全
9.3.4 VPN 技術及其應用
9.3.5 網路威脅檢測與防護
9.4 主機系統安全
9.4.1 系統掃描技術
9.4.2 系統即時入侵探測技術
9.5 應用安全
9.5.1 應用安全概述
9.5.2 資料庫安全 .
9.6 資料安全
9.6.1 資料危險分析
9.6.2 資料備份安全
9.6.3 防止資料的損壞
9.6.4 防止資料被盜
9.7 災難備份與恢復
9.7.1 災難恢復技術的意義
9.7.2 災難恢復技術的分類
9.7.3 小結
9.8 內容安全
9.8.1 保障內容安全的必要性
9.8.2 內容安全的分類
9.8.3 內容安全解決方案
9.9 終端安全
9.9.1 挑戰和威脅
9.9.2 防護措施
9.9.3 解決方案
9.9.4 終端虛擬化技術
9.9.5 安全沙盒虛擬隔離技術
第10章 資訊安全系統建置
10.1 資訊安全系統建置策略
10.1.1 資訊安全建置原則
10.1.2 資訊安全建置策略方法
10.2 企業資訊安全架構
10.2.1 安全架構定義
10.2.2 安全架構的通用性特徵
10.3 資訊安全管理系統建置
10.3.1 資訊安全管理系統設計目標
10.3.2 資訊安全管理系統的建置
10.4 資訊安全運行維護系統建置
10.4.1 資訊安全運行維護系統設計目標
10.4.2 資訊安全運行維護系統的建置
10.5 資訊安全技術系統建置
10.5.1 資訊安全技術系統設計目標
10.5.2 資訊安全技術系統的建置
10.6 建立縱深的資訊安全防禦系統
第11章 資訊安全建置實例
11.1 資訊安全系統方案實例
11.1.1 專案概述
11.1.2 資訊安全建置的基本方針
11.1.3 資訊安全建置的目標
11.1.4 資訊安全系統建立的原則
11.1.5 資訊安全性原則
11.1.6 資訊安全系統框架
11.2 資訊安全運行維護實作實例:跨國企業
11.2.1 專案背景
11.2.2 專案目標
11.2.3 專案工作內容
11.3 資訊安全技術建置實例:電力公司
11.3.1 專案背景
11.3.2 專案目標
11.3.3 專案工作內容
11.3.4 一網多業務終端虛擬化隔離實例
第01章 資訊化社會的資訊安全威脅
1.1 資訊化是世界發展的大趨勢
1.1.1 社會資訊化的趨勢
1.1.2 新IT 技術應用帶來新風險
1.2 全球化的趨勢
1.3 企業發展與競爭的趨勢
1.4 資訊安全威脅綜述
1.4.1 資訊安全面臨的主要威脅
1.4.2 資訊安全問題分析
1.4.3 資訊安全形勢和事故分析
1.4.4 資訊安全對企業威脅分析
第02章 企業風險與資訊安全
2.1 企業符合規範風險
2.1.1 從企業符合規範風險看IT 管理風險
2.1.2 從SOX 符合規範性看IT 內控標準
2.1.3 安全符合規範性管理
2.2 企業資料洩密風險
2.2...