信息安全技术与应用
2012-9
中国石化出版社有限公司
中国石油化工集团公司信息系统管理部
185
295000
中国石油化工集团公司信息系统管理部编著的《信息安全技术与应用》讲述了信息安全的基本知识、相关技术以及中国石化信息安全建设和应用的实践经验,旨在提升信息安全人才队伍建设,提高信息系统运维管理水平。《信息安全技术与应用》共三部分十五章。第一部分介绍了信息安全基础知识、政策法规、信息安全管理体系等。第二部分介绍信息安全技术,从网络安全、系统安全、密码技术、应用与开发以及物理安全等几个方面介绍了相关技术。第三部分介绍中国石化信息安全体系建设,包括信息安全体系框架、信息安全技术应用、安全运维管理、IT内部控制以及信息安全检查等。希望该书成为各级信息化工作者、信息安全管理人员、技术人员的工具用书。
第一部分 信息安全管理
第1章 信息安全历史、现状与发展趋势
1.1 信息安全的发展史
1.2 信息安全的发展趋势
1.3 信息安全在大型企业信息化建设中的作用和意义
1.4 本章小结
第2章 信息安全基础
2.1 信息安全的定义
2.2 信息安全的重要性
2.3 信息安全基本属性
2.4 信息安全模型
2.5 本章小结
第3章 信息安全相关政策法规
3.1 国外信息安全法规简介
3.2 我国早期信息安全法规建设
3.3 信息系统安全等级保护制度
3.4 本章小结
第4章 信息安全管理体系
4.1 信息安全管理体系简介
4.2 风险评估
4.3 应急响应
4.4 本章小结
第二部分 信息安全技术
第5章 网络安全技术
5.1 安全域划分
5.2 防火墙
5.3 虚拟专用网技术(VPN)
5.4 入侵检测和入侵防御系统
5.5 上网行为管理系统
5.6 网络准入控制
5.7 本章小结
第6章 系统安全技术
6.1 操作系统安全
6.2 数据库安全
6.3 网络设备加固
6.4 计算机病毒及其防护
6.5 桌面安全管理系统
6.6 审计管理系统
6.7 本章小结
第7章 密码技术
7.1 对称密钥技术
7.2 非对称密钥技术
7.3 密钥管理
7.4 公钥密码基础设施PKI
7.5 本章小结
第8章 应用与开发安全
8.1 应用系统安全涉及的内容
8.2 应用开发过程的安全管理
8.3 应用程序代码安全审查
8.4 本章小结
第9章 物理安全技术
9.1 信息系统机房安全
9.2 介质安全
9.3 本章小结
第10章 黑客技术
10.1 黑客技术的基本概念
10.2 黑客的种类和行为
10.3 黑客掌握的基本技能
10.4 本章小结
第三部分 中国石化信息安全体系建设
第11章 中国石化信息安全体系框架
11.1 框架模型及依据
11.2 安全管理对象说明
11.3 安全策略体系
11.4 安全组织体系
11.5 安全技术体系
11.6 建设与运行体系
11.7 本章小结
第12章 中国石化信息安全技术应用
12.1 PKI/CA部署及应用
12.2 防火墙系统部署及应用
12.3 入侵检测系统的部署及应用
12.4 VPN系统的部署及应用
12.5 防病毒系统的部署及应用
12.6 反垃圾邮件系统的部署及应用
12.7 桌面安全管理系统的部署及应用
12.8 上网行为管理系统的部署及应用
12.9 本章小结
第13章 安全运维管理
13.1 安全运维组织架构
13.2 人员安全管理
13.3 系统规划、设计和接收安全管理机制
13.4 信息资产安全管理机制
13.5 安全事件管理机制
13.6 安全应急管理机制
13.7 安全配置管理机制
13.8 安全变更管理机制
13.9 用户身份管理机制
13.10 日志审计管理机制
13.11 安全风险评估与漏洞处理
13.12 备份与恢复机制
13.13 物理环境安全管理机制
13.14 本章小结
第14章 IT内部控制
14.1 SOX法案与内部控制
14.2 IT内控
14.3 中国石化IT内部控制
14.4 本章小结
第15章 信息安全检查
15.1 目的和依据
15.2 检查方式
15.3 主要工作内容
15.4 本章小结
附录1 服务器与网络设备主要漏洞
附录2 常用缩略语汇总
附录3 引用标准规范
参考文献
第1章 信息安全历史、现状与发展趋势 1.1 信息安全的发展史 “计算机安全”的概念最早提出是在1969年。当时美国兰德公司给美国国防部的报告中指出“计算机太脆弱了,有安全问题”——这是首次公开提到计算机安全。在当时和其后的相当一段时间,“计算机安全”的内涵主要是指实体安全,即物理安全。 到了七八十年代,由于各类计算机管理系统开始发展,各种应用开始增多,“计算机安全”开始逐步演化为“计算机信息系统安全”。这时,“安全”的概念已经不仅仅是实体的安全,也包括软件与信息内容等的安全。 到了80年代后期,“网络安全”和“信息安全”才开始逐步被广泛采用。近几年“安全”概念,已经不仅仅是安全防范,而是包含了安全保障的含义,即包括监控、保护、应急处理、恢复等系统性的保障。 这种概念和内涵随着历史发展继续发生变化,纵观中国计算机安全和网络安全的发展,根据法律、标准、管理、技术与市场、应用系统、人才等多个因素衡量,中国的计算机安全和网络安全的发展可以分三个阶段。 (1)宣传启蒙阶段:20世纪80年代末之前 中国计算机安全的起步相对发达国家来说是比较晚的,这与我国计算机及通信技术发展和应用有关。除了通信保密较早外,其他各个方面与发达国家相比还是有不小差距的。在七八十年代一个较长的发展阶段,中国的计算机安全整体都处于“宣传启蒙”期,各方面都比较基础,只有少数院校和研究所开展相关工作。 这个阶段的典型特征是国家尚没有相关的法律法规,没有较完整意义的专门针对计算机系统安全方面的规章,安全标准也很少,谈不上国家的统一管理,只是在物理安全及保密通信等个别环节上有些规定;企业用户基本没有意识到计算机安全的重要性,只在个别企业的少数有计算机安全意识的人们中开始在初步摸索。 在此阶段,计算机安全的主要内容就是实体安全;80年代后期开始了防计算机病毒和计算机犯罪的工作,但都没有形成规模。 ……
中国石化在大力推进应用系统建设的同时,也非常重视信息安全建设,从信息安全体系建设、管理制度以及技术措施等方面做了大量的工作,有效地保障了中国石化信息系统的安全稳定运行。中国石油化工集团公司信息系统管理部编著的《信息安全技术与应用》正是对中国石化信息安全建设和应用的阶段性总结,旨在提升信息安全人才队伍建设,提高信息系统运维管理水平。 全书分为三大部分:信息安全管理、信息安全技术、中国石化信息安全体系建设。