本书对如何保障信息的安全做了全面的讲解。首先介绍了信息安全保障的类型、信息安全的深度防御策略、信息安全的法规与政策、信息安全的标准以及信息安全的道德规范；然后系统讲解了信息安全的管理体系、信息安全的风险管理、基本的信息安全管理措施，以及系统采购、开发与维护中的安全管理；最后讲解了安全事件管理与应急响应、信息系统灾难恢复管理、信息安全工程原理、以及信息安全工程实践方面的知识。

本书没有封底文字

随着信息化不断深入，信息安全已关乎到社会稳定、经济发展和公民权益，成为国家安全的重要组成部分。在整个信息安全保障工作中，人是最核心、最活跃的因素，信息安全保障工作最终也是通过人来落实。在信息安全保障工作中，除了信息安全专业人员外，广大网络和信息系统的使用人员也需要具备必要的安全意识和基本技能。因此，开展面向网络和信息系统使用人员的信息安全培训认证是建设我国信息安全保障体系必备的基础和先决条件，也是完善信息安全人才体系的基石。
　　中国信息安全测评中心依据中央赋予的职能，自2002年起，积极推动我国信息安全人才培养工作。一方面支持并配合国内多所大学开办了信息安全专业，有力促进了信息安全学历教育的开展；另一方面在原国务院信息化办公室的支持下，开创性地开展了信息安全职业教育与能力认证工作，面向社会提供“注册信息安全员”（CISM）培训服务。
　　指导书和知识体系是信息安全职业培训认证工作的核心因素。中国信息安全测评中心在全面考察国际知名信息安全职业教育知识体系的基础上，汇集国内诸多专家学者智慧，并汲取教学实践体验，在此基础上编撰了《信息安全保障导论》，与面向专业人员培训教材《信息安全保障》、《信息安全技术》一起，搭建有志掌握信息安全专业知识人士成长的阶梯。
　　本书以知识体系的全面性和实用性为原则，涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识，满足各岗位日常工作所需。这三本书主要面向国家部委、重要行业、科研院所及企事业单位的信息化从业人员，适用于信息技术产品研发测试、信息系统建设运维、信息系统使用人员等方面的操作人员、技术人员和管理人员。
　　这三本书在修订完善的过程中得到社会各界人士的关心与支持，在此表示衷心的感谢。
　　教材中不妥或错误之处恳请广大读者批评指正。

计算机\安全

吴世忠　李斌　张晓菲　谢安明 编著：暂无简介

前　言
第1章　信息安全保障 1
1.1　信息安全保障背景 1
1.1.1　信息和信息安全 1
1.1.2　信息安全发展 3
1.2　信息安全保障概念和模型 4
1.2.1　信息安全保障概念 5
1.2.2　信息安全保障相关模型 5
1.3　信息系统安全保障概念和模型 9
1.3.1　信息系统与信息系统安全保障 9
1.3.2　信息系统安全保障模型 11
1.3.3　基于信息系统生命周期的信息安全保障 16
1.3.4　信息系统安全保障模型理解 17
1.4　我国信息安全保障 18
1.4.1　发展阶段 19
1.4.2　目标与内容 20
1.4.3　工作实践 22
思考题 26
第2章　安全基础 27
2.1　密码学 27
2.1.1　常用术语 27
2.1.2　常用密码算法 28
2.2　TCP/IP安全 35
2.2.1　TCP/IP模型 35
2.2.2　TCP/IP安全架构 37
思考题 39
第3章　网络安全 41
3.1　网络安全规划 41
3.1.1　划分网络安全域 41
3.1.2　规划网络IP地址 42
3.1.3　设计网络安全策略 43
3.2　网络安全产品 46
3.2.1　网络边界安全产品 46
3.2.2　网络连接安全产品 54
3.2.3　网络应用安全产品 57
3.2.4　其他网络安全产品 59
思考题 63
第4章　终端安全 65
4.1　操作系统安全 65
4.1.1　操作系统功能 65
4.1.2　操作系统安全 66
4.1.3　Windows 7安全设置参考 67
4.2　终端安全防护产品 73
4.2.1　主机审计产品 74
4.2.2　主机安全监控产品 75
思考题 76
第5章　应用安全 77
5.1　IE浏览器安全配置参考 77
5.2　基于数字证书的Web安全访问 80
5.2.1　公钥基础设施 80
5.2.2　数字证书在Web中的应用 82
5.2.3　网络支付安全 84
5.3　电子邮件应用安全 86
5.4　S/MIME安全电子邮件 89
5.5　即时通信软件安全 92
5.6　P2P文件下载安全 93
思考题 95
第6章　数据安全 97
6.1　数据加密 97
6.1.1　硬盘加密 97
6.1.2　文件加密 99
6.2　数据防泄露 102
6.3　数据删除 103
6.4　数据备份 104
思考题 105
第7章　安全攻防 107
7.1　恶意代码 107
7.1.1　发展过程 108
7.1.2　传播方式 109
7.1.3　启动方式 110
7.1.4　防御方法 111
7.2　网络攻击与防范 116
7.2.1　网络安全攻防的概念 116
7.2.2　信息收集与防范 119
7.2.3　网络扫描与防范 121
7.2.4　口令破解与防范 122
7.2.5　社会工程学攻击与防范 123
7.2.6　拒绝服务攻击与防范 123
7.2.7　SQL注入攻击与防范 126
7.2.8　跨站脚本攻击与防范 128
思考题 129
第8章　安全技术新进展 131
8.1　移动智能终端安全 131
8.1.1　安全威胁分析 132
8.1.2　安全防护建议 134
8.2　大数据安全 135
8.2.1　大数据 136
8.2.2　安全威胁分析 137
8.2.3　安全防护建议 139
8.3　APT攻击与防护 140
8.3.1　APT攻击特点 140
8.3.2　安全防护建议 143
8.4　工业控制系统安全 144
8.4.1　工业控制系统 144
8.4.2　安全威胁分析 145
8.4.3　安全防护建议 146
8.5　量子密码 149
思考题 150
第9章　信息安全管理基础 151
9.1　信息安全管理 151
9.1.1　含义与作用 151
9.1.2　关键成功因素 153
9.2　信息安全风险管理 155
9.2.1　信息安全风险 155
9.2.2　信息安全风险管理 157
9.2.3　信息安全风险评估 159
9.3　信息安全管理体系 163
9.3.1 　建立过程 164
9.3.2　文档要求 167
9.3.3　系列标准 168
9.4　信息安全等级保护 170
9.4.1　等级划分与评定 170
9.4.2　政策标准 172
9.4.3　管理要求 174
9.5　信息安全保密管理 175
思考题 178
第10章　信息安全管理控制措施 179
10.1　管理框架 179
10.2　控制措施 181
10.2.1　安全方针 181
10.2.2　信息安全组织 182
10.2.3　资产管理 185
10.2.4　人力资源安全 186
10.2.5　物理和环境安全 188
10.2.6　其他控制措施 191
思考题 192
第11章　应急响应和灾难恢复 193
11.1　应急响应 193
11.1.1　背景及发展 193
11.1.2　作用与特点 195
11.1.3　事件的分类与分级 196
11.1.4　工作方法 199
11.1.5　工作内容 200
11.2　灾难恢复 201
11.2.1　含义 202
11.2.2　等级与管理 204
11.2.3　备份策略 205
思考题 208
第12章　信息安全工程 209
12.1　背景基础 209
12.1.1　基础知识 209
12.1.2　信息安全工程概念 212
12.2　系统安全工程能力成熟度模型 213
12.2.1　模型内容 214
12.2.2　安全工程过程 216
12.2.3　安全工程能力 220
思考题 222
第13章　信息安全法规政策与标准 223
13.1　我国信息安全法规政策 223
13.1.1　信息安全法律体系 224
13.1.2　信息安全政策 227
13.2　信息安全标准 230
13.2.1　我国信息安全标准 230
13.2.2　国外信息安全标准 233
思考题 237
附录A　重要信息安全法律法规解读 239
附录B　缩略语汇编 247
参考文献 253