信息安全：原理与实践

本书以国际信息系统安全认证联盟制定的知识体系为背景．首先概述了信息安全的基本原则和概念，然后介绍了信息安全的公共知识体系，而且提供了该体系10个知识范畴的概况：安全管理．安全架构与模型，业务持续计划和灾难恢复计划，法律、调查与道德规范，操作安全，访问控制系统与方法论，密码学和电信、网络以及Internet安全。 本书适用于高等院校计算机及相关专业的本科生和教师、从事信息安全方面的专业人员。

Mark Merkow获得了CISSP和CISM认证。他和他公司的CIO办公室一同致力于建立用于金融管理和设施的IT安全策略。其中所含的金融设施包括信用卡、银行业以及证券产品和服务。Mark是ANSIX9F委员会代表，曾和国家标准与技术研究所（National Institute of Standards and Technology，NIST）紧密合作“通用安全准则的测试与评估方法论”研究。

1.1 导言1
1.2 增长的IT安全重要性与新的职业机会2
1.2.1 政府和私营工商业的持续需求2
1.3 成为信息安全专家3
1.3.1 应运而生的教育机构5
1.3.2 综合学科研究法6
1.4 信息安全的环境7
1.4.1 信息安全职业--业务安全的需要8
1.5 本章小结9
1.6 技能测试9
1.6.1 多项选择题9
1.6.2 练习题11
1.6.3 项目题12
1.6.4 案例研究12

第2章 信息安全的成功原则15

2.1 导言15
2.2 原则1: 没有绝对的安全16
2.3 原则2: 安全三目标--私密性、完整性和可用性17
2.3.1 完整性模型17
2.3.2 可用性模型18
2.4 原则3: 部署安全分层机制18
2.5 原则4: 人们容易自行做出最糟的安全决定19
2.6 原则5: 决定计算机安全的两项需求--功能性需求与保险性需求20
2.7 原则6: 模糊性不是安全的解决之道21
2.8 原则7: 安全=风险管理21
2.9 原则8: 安全控制的三种类型： 预防型控制、探测型控制和响应型控制23
2.10 原则9: 复杂性是安全性的大敌23
2.11 原则10: 担忧、不确定性、疑惑对销售安全没用24
2.12 原则11: 必要的人、流程、技术是系统或设施安全的保障24
2.13 原则12: 公开已知的漏洞有助于安全25
2.14 本章小结25
2.15 技能测试26
2.15.1 多项选择题26
2.15.2 练习题27
2.15.3 项目题28
2.15.4 案例研究29

第3章 认证计划与公共知识体系31
3.1 导言31
3.2 信息安全及其认证31
3.2.1 国际信息系统安全认证联盟32
3.3 信息安全的公共知识体系（CBK) 33
3.3.1 安全管理实务33
3.3.2 安全体系结构和模型34
3.3.3 业务持续性计划34
3.3.4 法律、调查和道德35
3.3.5 物理安全35
3.3.6 操作安全35
3.3.7 访问控制系统和方法36
3.3.8 密码学36
3.3.9 电信、网络和Internet安全36
3.3.10 应用开发安全37
3.4 其他安全认证项目37
3.4.1 注册信息系统审计师（CISA) 37
3.4.2 注册信息安全员（CISM) 38
3.4.3 全球信息保证证书（GIAC) 38
3.4.4 CompTIA Security+认证38
3.4.5 针对供应商的认证38
3.5 本章小结40
3.6 技能测试40
3.6.1 多项选择题40
3.6.2 练习题42
3.6.3 项目题43
3.6.4 案例研究44

第4章 安全管理45
4.1 导言45
4.2 安全策略是成功的基础46
4.3 4种策略类型47
4.3.1 程序层次的策略48
4.3.2 框架层次的策略49
4.3.3 面向问题的策略49
4.3.4 面向系统的策略51
4.4 安全策略的开发与管理51
4.4.1 安全目标51
4.4.2 可操作的安全52
4.4.3 策略执行52
4.5 策略支持文档53
4.5.1 规范53
4.5.2 标准和基准54
4.5.3 方针55
4.5.4 程序55
4.6 推荐的标准的分类方法55
4.6.1 资产分类55
4.6.2 权力分离56
4.6.3 职前雇用实践57
4.6.4 风险分析和管理57
4.6.5 教育、培训与安全意识59
4.7 谁为安全负责59
4.8 本章小结60
4.9 技能测试60
4.9.1 多项选择题60
4.9.2 练习题63
4.9.3 项目题63
4.9.4 案例研究64

第5章 安全架构与模型65
5.1 导言65
5.2 可信计算基础的定义66
5.2.1 信任环66
5.3 可信计算基础中的保护机制68
5.4 “系统安全保证”概念70
5.4.1 安全测试的目标70
5.4.2 规范的安全测试模型70
5.5 可信计算机的安全评估准则（TCSEC) 71
5.5.1 等级D: 最低保护72
5.5.2 等级C: 自定式保护72
5.5.3 等级B: 强制式保护72
5.5.4 等级A: 可验证式保护73
5.5.5 TCSEC中可信网络的解释（TNI) 74
5.6 信息技术的安全评估准则74
5.6.1 ITSEC与TCSEC的比较74
5.6.2 ITSEC的保证等级75
5.7 加拿大可信计算机产品的评估准则75
5.8 美国联邦信息技术的安全准则76
5.9 通用准则76
5.9.1 保护配置文件的组织形式78
5.9.2 功能性安全需求78
5.9.3 评估保证等级80
5.9.4 通用评估方法论81
5.10 私密性与完整性模型82
5.10.1 Bell-LaPadula模型82
5.10.2 Bila完整性模型83
5.10.3 高级模型83
5.11 本章小结84
5.12 技能测试84
5.12.1 多项选择题84
5.12.2 练习题86
5.12.3 项目题86
5.12.4 案例研究87

第6章 业务持续计划和灾难恢复计划89
6.1 导言89
6.2 总览业务持续计划与灾难恢复计划90
6.2.1 为什么BCP如此重要？91
6.2.2 中断事件的种类91
6.2.3 BCP的定义范围92
6.2.4 创建业务影响分析93
6.3 灾难恢复计划93
6.3.1 确定恢复策略94
6.3.2 共享站点协议94
6.3.3 备用站点94
6.3.4 补充协议95
6.3.5 测试灾难恢复计划95
6.3.6 组织内与组织外96
6.4 本章小结96
6.5 技能测试97
6.5.1 多项选择题97
6.5.2 练习题99
6.5.3 项目题100
6.5.4 案例研究100

第7章 法律、调查与道德规范103
7.1 导言103
7.2 计算机犯罪类型104
7.3 如何实施网络犯罪105
7.4 计算机及相关法律107
7.4.1 司法体系中的立法部门107
7.4.2 司法体系中的管理部门107
7.4.3 司法体系中的判决部门107
7.5 知识产权法108
7.5.1 专利法108
7.5.2 商标法109
7.5.3 商业秘密法109
7.6 隐私及相关法律110
7.6.1 国际性的隐私问题110
7.6.2 美国的隐私法111
7.7 计算机取证112
7.8 信息安全业的职业道德113
7.9 其他道德规范114
7.9.1 计算机伦理研究所114
7.9.2 Internet活动委员会： 道德和Internet114
7.9.3 公平信息实践法规115
7.10 本章小结115
7.11 技能测试116
7.21.1 多项选择题116
7.21.2 练习题118
7.21.3 项目题119
7.21.4 案例研究120

第8章 物理安全控制121
8.1 导言121
8.2 理解物理安全范畴122
8.3 物理安全的威胁123
8.4 提供物理安全123
8.4.1 人事教育123
8.4.2 行政式访问控制124
8.4.3 物理安全控制125
8.4.4 技术性控制127
8.4.5 环境控制/生命安全控制130
8.5 本章小结131
8.6 技能测试132
8.6.1 多项选择题132
8.6.2 练习题134
8.6.3 项目题135
8.6.4 案例研究135

第9章 操作安全137
9.1 导言137
9.2 操作安全的原则138
9.3 安全操作过程控制139
9.4 实施中的安全操作140
9.4.1 软件支持141
9.4.2 配置与变更管理141
9.4.3 备份141
9.4.4 媒体控制142
9.4.5 文档143
9.4.6 维护144
9.4.7 相依性144
9.5 本章小结145
9.6 技能测试145
9.6.1 多项选择题145
9.6.2 练习题146
9.6.3 项目题147
9.6.4 案例研究148

第10章 访问控制体系和方法论149
10.1 概述149
10.2 术语和概念150
10.2.1 标识150
10.2.2 认证150
10.2.3 最低特权（须知）150
10.2.4 信息所有者150
10.2.5 自由访问控制151
10.2.6 访问控制列表151
10.2.7 强制访问控制151
10.2.8 基于角色的访问控制152
10.3 认证原则153
10.3.1 密码问题153
10.3.2 多要素认证154
10.4 生理学155
10.5 单点登录156
10.5.1 Kerberos157
10.5.2 联合标识157
10.6 远程用户访问和认证160
10.6.1 远程访问用户拨入服务160
10.6.2 虚拟专用网161
10.7 本章小结161
10.8 技能测试161
10.8.1 多项选择题161
10.8.2 练习题163
10.8.3 项目题164
10.8.4 案例研究165

第11章 密码学167
11.1 导言167
11.2 将密码学应用于信息系统168
11.3 术语和概念169
11.4 密码系统的强度170
11.4.1 密码系统满足了当今电子商务的需要172
11.4.2 密码系统中密钥的角色173
11.5 综合应用174
11.5.1 摘要数据175
11.5.2 数字证书177
11.6 调查数字化密码系统179
11.6.1 散列函数179
11.6.2 密文块179
11.6.3 PPK密码系统的实现180
11.7 本章小结183
11.8 技能测试183
11.8.1 多项选择题183
11.8.2 练习题185
11.8.3 项目题186
11.8.4 案例研究187

第12章 通信、网络和Internet安全189
12.1 导言189
12.2 网络和通信安全190
12.3 网络安全背景190
12.4 开放系统互联（OSI）参考模型191
12.4.1 协议栈191
12.4.2 OSI参考模型和TCP/IP193
12.4.3 OSI模型和安全195
12.5 数据网络类型196
12.5.1 局域网197
12.5.2 广域网197
12.5.3 Internet197
12.5.4 企业内部网198
12.5.5 企业外部网198
12.6 保护TCP/IP网络198
12.7 基本安全架构198
12.7.1 路由器198
12.7.2 数据包过滤199
12.7.3 包过滤路由器的优点200
12.7.4 包过滤路由器的局限200
12.8 防火墙201
12.8.1 应用级防火墙201
12.8.2 堡垒主机202
12.8.3 应用级网关的优点203
12.8.4 应用级网关的局限203
12.8.5 防火墙实例203
12.8.6 明智选择207
12.9 入侵检测系统207
12.9.1 什么样的入侵？207
12.9.2 优秀入侵检测系统的特征208
12.9.3 假阳性、假阴性和颠覆攻击209
12.10 虚拟专用网210
12.10.1 IPSec210
12.10.2 安全策略213
12.10.3 IPSec密钥管理213
12.11 本章小结213
12.12 技能测试214
12.12.1 多项选择题214
12.12.2 练习题216
12.12.3 项目题216
12.12.4 案例研究217

第13章 应用开发的安全性219
13.1 导言219
13.2 软件项目实践220
13.3 软件开发生命周期221
13.4 分布式系统223
13.4.1 软件代理224
13.4.2 Java224
13.4.3 Java Applets224
13.4.4 ActiveX 控件224
13.4.5 分布式对象225
13.4.6 恶意软件226
13.5 反病毒软件226
13.6 通过SDLC提高安全性227
13.6.1 教育组228
13.6.2 软件过程组228
13.6.3 补丁管理组229
13.6.4 激励组229
13.7 本章小结230
13.8 技能测试230
13.8.1 多项选择题230
13.8.2 练习题232
13.8.3 项目题233
13.8.4 案例研究234

第14章 未来的安全性的未来235
14.1 导言235
14.2 持续监控和时刻警戒235
14.3 运转合格接收人237
14.4 身份窃取和美国监管环境238
14.5 不断增加的威胁238
14.5.1 销售商试图使安全研究人员保持沉默239
14.5.2 域欺骗增强了作为网络钓鱼攻击的补充239
14.6 安全威胁的趋势240
14.7 信息安全专家的美好未来240
14.7.1 要求高于安全技能241
14.8 本章小结241
14.9 技能测试242
14.9.1 多项选择题242
14.9.2 练习题244
14.9.3 项目题244
14.9.4 案例研究245

附录A 公共知识体系247
A.1 安全管理实践247
A.1.1 关键知识域247
A.2 安全架构和模型249
A.2.1 关键知识域249
A.3 业务连续性计划（BCP）和灾难恢复计划（DRP) 251
A.3.1 关键知识域251
A.4 法律、调查和道德规范254
A.4.1 关键知识域254
A.5 物理安全256
A.5.1 关键知识域256
A.6 运作安全258
A.6.1 关键知识域258
A.7 访问控制系统和方法学262
A.7.1 关键知识域262
A.8 密码学264
A.8.1 关键知识域264
A.9 电信和网络安全266
A.9.1 关键知识域266
A.10 应用和系统开发安全268
A.10.1 关键知识域268

附录B 安全策略和标准分类273
B.1 安全管理策略273
B.1.1 信息安全组织273
B.1.2 训练和意识273
B.2 风险管理策略274
B.2.1 信息所有权274
B.2.2 信息分类274
B.2.3 风险评估274
B.3 安全基准274
B.3.1 防拷贝介质的安全性274
B.3.2 电子介质的安全性275
B.4 人事安全策略275
B.4.1 雇佣前控制275
B.4.2 责任分离275
B.4.3 雇佣时控制275
B.4.4 人事管理275
B.4.5 转职/辞职/解雇控制276
B.5 物理安全策略276
B.5.1 设备的安全性276
B.5.2 信息系统的安全性276
B.5.3 火灾保护276
B.5.4 水灾保护277
B.5.5 环境控制277
B.6 运作管理策略277
B.6.1 运作管理和控制277
B.6.2 恶意代码和病毒278
B.6.3 备份和恢复278
B.6.4 软件支持278
B.7 安全监控和响应策略278
B.7.1 行为监控（Monitoring Activities) 278
B.7.2 事件响应279
B.8 通信管理策略279
B.8.1 加密279
B.8.2 信息交换279
B.8.3 电子邮件、Internet和其他电子通信279
B.8.4 语音/传真/影像通信280
B.8.5 会议和谈话280
B.9 访问控制策略280
B.9.1 用户注册和授权280
B.9.2 标识280
B.9.3 认证280
B.9.4 特权和特定账户的访问281
B.9.5 远程访问281
B.10 网络安全策略282
B.10.1 网络访问282
B.10.2 网络安全控制设备282
B.11 第三方服务策略283
B.11.1 第三方服务283
B.12 应用开发策略283
B.12.1 应用开发过程283
B.12.2 商业系统需求283
B.12.3 应用测试（Application Testing) 284
B.13 恢复和业务连贯性区域284
B.13.1 业务连贯性管理程序284
B.13.2 恢复/业务连贯性计划测试需求284
B.13.3 恢复网站284
B.13.4 法定的、一致的和受控的需求284
B.13.5 安全符合测试285

附录C 策略样本287
C.1 计算机可接受使用策略样本287
C.2 邮件使用策略样本290
C.3 密码策略样本292
C.4 无线网络（Wi-Fi）使用策略样本295

附录D 安全策略和标准管理系统内幕297

附录E HIPAA安全规则和标准305
E.1 HIPAA安全标准305
E.2 行政程序306
E.3 物理保障措施306
E.4 技术安全服务307
E.5 技术安全机制307术语表309

调查会提醒我们，员工盗窃越来越多，而且没有明显的迹像表明它会降下来。根据2001年的NRSS，零售商将他们公司超过45％的损失归咎于员工盗窃，包括窃取公司的有价值信息。正如你将看到，物理安全不仅是针对来，自外部的攻击，也包括那些员T悄然进行的“内部小动作”。这些员工之所以这么做，通常是因为他们觉得他们的公司“剥削了他们”。不过有些情况下那些员工就是纯粹的内贼，没有其他的原因。
NRSS描述了因为失窃，公司的损失是些具体商品(如衣物、DVD、生产零件，等等)的损失的传统观点。实际上，知识产权的损失和公司的信息使得传统的财产定义变得复杂化，也使组织开始像看待外部盗窃一样，高度重视这种内部盗窃行为了。
本章一些这方面的信息可能看起来是直观和显然的，但遗憾的是，太多的组织，或大或小，都忽视物理安全一些重要而又基本的方面。这就是为什么物理安全是CISSP的公共知识体系(CBK)的10个知识范畴之一的原因。8．2理解物理安全范畴
物理安全范畴包含非常传统的保安的内容，他们负责对付有意或无意盗窃，也负责保护物理环境和周边基础设施的安全。假如你曾经在一个大型公司工作过，或者进入了市政大楼，你很可能亲自经历过安检：徽章阅读器、电视监视器、包裹或者机场里见到的x射线扫描设备，以及武装的保安人员。物理安全的水平一般是和被保护的资产价值成比例的。诸如政府或者从事高水平研究的公司通常会使用更加精密的物理安全检查，如生物识别(稍后解释)。他们这么做的原因可能是组织内部特征是严格区分的。即使是保存着敏感性较差的组织，也还是需要担心他们的客户和雇员信息被泄漏，就会导致损失，甚至是致命的官司。且不论一个组织的规模和本质，物理安全范畴的目标是在必要的地点安排保安人员，以保护组织的资产和确保一旦人为或自然的灾害发生时，组织的业务仍能持续运转。
保证物理安全的挑战在于要使保护活动对于组织工作场所里的内部人员来说简单易行，但对外部人员来说难以参与其中，难以从中获得指示信息。因此，物理安全，就像许多其他的安全领域一样，是一个精心平衡的工作，这个工作要求人员可靠、降低因疏忽或者蓄意的行为造成的威胁发生可能性的程序有效，以及需要充分的技术保障来维持警惕性。