信息安全保障导论

　　《信息安全保障导论》对如何保障信息的安全做了全面的讲解。首先介绍了信息安全保障的类型、信息安全的深度防御策略、信息安全的法规与政策、信息安全的标准以及信息安全的道德规范；然后系统讲解了信息安全的管理体系、信息安全的风险管理、基本的信息安全管理措施，以及系统采购、开发与维护中的安全管理；最后讲解了安全事件管理与应急响应、信息系统灾难恢复管理、信息安全工程原理、以及信息安全工程实践方面的知识。

前言

第1章 信息安全保障
1.1 信息安全保障背景
1.1.1 信息和信息安全
1.1.2 信息安全发展
1.2 信息安全保障概念和模型
1.2.1 信息安全保障概念
1.2.2 信息安全保障相关模型
1.3 信息系统安全保障概念和模型
1.3.1 信息系统与信息系统安全保障
1.3.2 信息系统安全保障模型
1.3.3 基于信息系统生命周期的信息安全保障
1.3.4 信息系统安全保障模型理解
1.4 我国信息安全保障
1.4.1 发展阶段
1.4.2 目标与内容
1.4.3 工作实践
思考题

第2章 安全基础
2.1 密码学
2.1.1 常用术语
2.1.2 常用密码算法
2.2 TCP/IP安全
2.2.1 TCP/IP模型
2.2.2 TCP/IP安全架构
思考题

第3章 网络安全
3.1 网络安全规划
3.1.1 划分网络安全域
3.1.2 规划网络IP地址
3.1.3 设计网络安全策略
3.2 网络安全产品
3.2.1 网络边界安全产品
3.2.2 网络连接安全产品
3.2.3 网络应用安全产品
3.2.4 其他网络安全产品
思考题

第4章 终端安全
4.1 操作系统安全
4.1.1 操作系统功能
4.1.2 操作系统安全
4.1.3 Windows7安全设置参考
4.2 终端安全防护产品
4.2.1 主机审计产品
4.2.2 主机安全监控产品
思考题

第5章 应用安全
5.1 IE浏览器安全配置参考
5.2 基于数字证书的Web安全访问
5.2.1 公钥基础设施
5.2.2 数字证书在Web中的应用
5.2.3 网络支付安全
5.3 电子邮件应用安全
5.4 S/MIME安全电子邮件
5.5 即时通信软件安全
5.6 P2P文件下载安全
思考题

第6章 数据安全
6.1 数据加密
6.1.1 硬盘加密
6.1.2 文件加密
6.2 数据防泄露
6.3 数据删除
6.4 数据备份
思考题

第7章 安全攻防
7.1 恶意代码
7.1.1 发展过程
7.1.2 传播方式
7.1.3 启动方式
7.1.4 防御方法
7.2 网络攻击与防范
7.2.1 网络安全攻防的概念
7.2.2 信息收集与防范
7.2.3 网络扫描与防范
7.2.4 口令破解与防范
7.2.5 社会工程学攻击与防范
7.2.6 拒绝服务攻击与防范
7.2.7 SQL注入攻击与防范
7.2.8 跨站脚本攻击与防范
思考题

第8章 安全技术新进展
8.1 移动智能终端安全
8.1.1 安全威胁分析
8.1.2 安全防护建议
8.2 大数据安全
8.2.1 大数据
8.2.2 安全威胁分析
8.2.3 安全防护建议
8.3 APT攻击与防护
8.3.1 APT攻击特点
8.3.2 安全防护建议
8.4 工业控制系统安全
8.4.1 工业控制系统
8.4.2 安全威胁分析
8.4.3 安全防护建议
8.5 量子密码
思考题

第9章 信息安全管理基础
9.1 信息安全管理
9.1.1 含义与作用
9.1.2 关键成功因素
9.2 信息安全风险管理
9.2.1 信息安全风险
9.2.2 信息安全风险管理
9.2.3 信息安全风险评估
9.3 信息安全管理体系
9.3.1 建立过程
9.3.2 文档要求
9.3.3 系列标准
9.4 信息安全等级保护
9.4.1 等级划分与评定
9.4.2 政策标准
9.4.3 管理要求
9.5 信息安全保密管理
思考题

第10章 信息安全管理控制措施
10.1 管理框架
10.2 控制措施
10.2.1 安全方针
10.2.2 信息安全组织
10.2.3 资产管理
10.2.4 人力资源安全
10.2.5 物理和环境安全
10.2.6 其他控制措施
思考题

第11章 应急响应和灾难恢复
11.1 应急响应
11.1.1 背景及发展
11.1.2 作用与特点
11.1.3 事件的分类与分级
11.1.4 工作方法
11.1.5 工作内容
11.2 灾难恢复
11.2.1 含义
11.2.2 等级与管理
11.2.3 备份策略
思考题

第12章 信息安全工程
12.1 背景基础
12.1.1 基础知识
12.1.2 信息安全工程概念
12.2 系统安全工程能力成熟度模型
12.2.1 模型内容
12.2.2 安全工程过程
12.2.3 安全工程能力
思考题

第13章 信息安全法规政策与标准
13.1 我国信息安全法规政策
13.1.1 信息安全法律体系
13.1.2 信息安全政策
13.2 信息安全标准
13.2.1 我国信息安全标准
13.2.2 国外信息安全标准

思考题
附录A 重要信息安全法律法规解读
附录B 缩略语汇编

参考文献

　　随着信息化不断深入，信息安全已关乎到社会稳定、经济发展和公民权益，成为国家安全的重要组成部分。在整个信息安全保障工作中，人是最核心、最活跃的因素，信息安全保障工作最终也是通过人来落实。在信息安全保障工作中，除了信息安全专业人员外，广大网络和信息系统的使用人员也需要具备必要的安全意识和基本技能。因此，开展面向网络和信息系统使用人员的信息安全培训认证是建设我国信息安全保障体系必备的基础和先决条件，也是完善信息安全人才体系的基石。
　　中国信息安全测评中心依据中央赋予的职能，自2002年起，积极推动我国信息安全人才培养工作。一方面支持并配合国内多所大学开办了信息安全专业，有力促进了信息安全学历教育的开展；另一方面在原国务院信息化办公室的支持下，开创性地开展了信息安全职业教育与能力认证工作，面向社会提供“注册信息安全员”（CISM）培训服务。
　　指导书和知识体系是信息安全职业培训认证工作的核心因素。中国信息安全测评中心在全面考察国际知名信息安全职业教育知识体系的基础上，汇集国内诸多专家学者智慧，并汲取教学实践体验，在此基础上编撰了《信息安全保障导论》，与面向专业人员培训教材《信息安全保障》、《信息安全技术》一起，搭建有志掌握信息安全专业知识人士成长的阶梯。
　　本书以知识体系的全面性和实用性为原则，涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识，满足各岗位日常工作所需。这三本书主要面向国家部委、重要行业、科研院所及企事业单位的信息化从业人员，适用于信息技术产品研发测试、信息系统建设运维、信息系统使用人员等方面的操作人员、技术人员和管理人员。
　　这三本书在修订完善的过程中得到社会各界人士的关心与支持，在此表示衷心的感谢。
　　教材中不妥或错误之处恳请广大读者批评指正。