本書(shū)以信息安全專(zhuān)業(yè)的學(xué)生所應(yīng)具備的知識(shí)體系為大綱進(jìn)行編寫(xiě)的。全書(shū)主要介紹了信息安全管理的基本概念、信息安全管理體系、風(fēng)險(xiǎn)管理、安全規(guī)劃及信息安全管理的實(shí)現(xiàn),并詳細(xì)列述了對(duì)環(huán)境、人員、軟件、應(yīng)用系統(tǒng)、操作和文檔的安全管理,最后介紹了信息安全管理相關(guān)技術(shù)及法律、法規(guī)等有關(guān)內(nèi)容。通過(guò)本書(shū)的學(xué)習(xí),學(xué)生可對(duì)信息安全管理的體系、風(fēng)險(xiǎn)管理及信息安全相關(guān)技術(shù)有所了解,并明確信息安全管理所應(yīng)包含的內(nèi)容。
本書(shū)適合作為信息安全專(zhuān)業(yè)學(xué)生的教材,也可供從事相關(guān)工作的技術(shù)人員和對(duì)信息安全感興趣的讀者閱讀參考。
第1章 信息安全管理簡(jiǎn)介
1.1 引言
1.2 安全
1.3 信息安全
1.3.1 信息安全概念
1.3.2 信息安全常用方法
1.3.3 信息安全屬性
1.3.4 信息系統(tǒng)安全基本原則
1.4 管理
1.4.1 管理的特征
1.4.2 解決問(wèn)題
1.5 信息安全管理
1.5.1 信息安全管理的含義
1.5.2 信息安全管理原則
第2章 信息安全管理體系
2.1 引言
2.2 ISMS的構(gòu)架
2.2.1 建立信息安全管理框架
2.2.2 具體實(shí)施構(gòu)架的ISMS
2.2.3 建立相關(guān)文檔
2.2.4 文檔的嚴(yán)格管理
2.2.5 安全事件記錄、回饋
2.3 信息安全管理體系審核
2.3.1 體系審核的概念
2.3.2 審核準(zhǔn)備
2.3.3 審核實(shí)施
2.3.4 審核報(bào)告
2.3.5 糾正措施
2.3.6 審核風(fēng)險(xiǎn)控制
2.4 信息安全管理體系評(píng)審
2.4.1 信息安全管理體系評(píng)審程序
2.4.2 體系評(píng)審與持續(xù)改進(jìn)
……
第3章 信息安全風(fēng)險(xiǎn)管理
第4章 安全規(guī)劃
第5章 信息安全管理的實(shí)現(xiàn)
第6章 物理安全管理
第7章 人員安全管理
第8章 軟件和應(yīng)用系統(tǒng)安全管理
第9章 設(shè)備、運(yùn)行安全管理
第10章 信息安全技術(shù)
第11章 信息安全法律法規(guī)
參考文獻(xiàn)
第1章 信息安全管理簡(jiǎn)介
1.1 引 言
據(jù)美國(guó)FBl統(tǒng)計(jì),美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)l00多億美元,還有日益增加的趨勢(shì)。那么,信息安全問(wèn)題主要是由哪些方面的原因引起的呢?一是技術(shù)因素,網(wǎng)絡(luò)系統(tǒng)本身存在的安全脆弱性。二是管理因素,組織內(nèi)部沒(méi)有建立相應(yīng)的信息安全管理制度。據(jù)有關(guān)部門(mén)統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,25%是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的,技術(shù)錯(cuò)誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成的。簡(jiǎn)單歸類(lèi),屬于管理方面的原因比重高達(dá)70%I)2_L,這正了人們常說(shuō)的“三分技術(shù),七分管理”的箴言。因此,解決網(wǎng)絡(luò)與信息安全問(wèn)題,不僅應(yīng)從技術(shù)方面著手,更應(yīng)加強(qiáng)網(wǎng)絡(luò)信息安全的管理工作。
考慮如下情況,某工廠的前任網(wǎng)絡(luò)管理員認(rèn)為,他不僅具有破壞前任雇主的生產(chǎn)能力,而且還能毀滅所有的犯罪線索。這名受人信賴(lài)、有l(wèi)l年工齡的雇員負(fù)責(zé)公司內(nèi)部的網(wǎng)絡(luò)構(gòu)建和維護(hù),當(dāng)他不再受到公司的重視并意識(shí)到將因表現(xiàn)和行為問(wèn)題被解雇時(shí),就在系統(tǒng)中設(shè)置了摧毀系統(tǒng)的軟件定時(shí)炸彈。 、
該網(wǎng)絡(luò)管理員被解雇3個(gè)星期后,工廠的工人和往常一樣通過(guò)登錄到中心文件服務(wù)器開(kāi)始一天的工作,但是機(jī)器沒(méi)有啟動(dòng),而是在屏幕上出現(xiàn)一行信息,提示操作系統(tǒng)某個(gè)地方被鎖住了。緊接著,服務(wù)器崩潰了。一眨眼的功夫,a2J-所有的1 000個(gè)加工和生產(chǎn)程序都消失了,服務(wù)器再也不能恢復(fù)了。工廠經(jīng)理要求用以前的程序集保持機(jī)器繼續(xù)運(yùn)轉(zhuǎn),不管是否下達(dá)過(guò)這樣的命令,但是他必須保證機(jī)器運(yùn)轉(zhuǎn)。于是,工廠經(jīng)理去取救助工具——備份磁帶,磁帶放在人力資源部的檔案柜里,但是磁帶不見(jiàn)了。于是他又去檢查連接到文件服務(wù)器盼工作站,至少大部分程序應(yīng)該存儲(chǔ)在本地的個(gè)人工作站上,然而這樣的程序也沒(méi)有找到。
被解雇的網(wǎng)絡(luò)管理員是惟一負(fù)責(zé)文件服務(wù)器的維護(hù)、保護(hù)和備份的雇員,他的工作還沒(méi)有人接手。系統(tǒng)崩潰后的這些天里,公司先后找了3個(gè)人試圖恢復(fù)數(shù)據(jù)。系統(tǒng)崩潰5天后,工廠經(jīng)理開(kāi)始在部門(mén)內(nèi)調(diào)換員工,關(guān)閉缺乏原料或者生產(chǎn)過(guò)剩的機(jī)器。他還采取措施,雇傭了一組程序員開(kāi)始對(duì)丟失的l 000個(gè)程序中的某些部分進(jìn)行重建。