新書推薦:
《
严复与福泽谕吉启蒙思想比较(王中江著作系列)
》
售價:HK$
165.0
《
甘于平凡的勇气
》
售價:HK$
49.5
《
存在与结构:精神分析的法国转向——以拉康与萨特为中心
》
售價:HK$
52.8
《
生成式人工智能:AIGC与多模态技术应用实践指南
》
售價:HK$
108.9
《
石油帝国的兴衰:英国的工业化与去工业化
》
售價:HK$
97.9
《
古典的回響:溪客舊廬藏明清文人繪畫
》
售價:HK$
437.8
《
根源、制度和秩序:从老子到黄老学(王中江著作系列)
》
售價:HK$
121.0
《
索恩丛书·北宋政治与保守主义:司马光的从政与思想(1019~1086)
》
售價:HK$
75.9
|
編輯推薦: |
“十三五”国家重点出版物出版规划项目。书中记录所有发生的事件,可以为系统管理员提供系统维护以及安全防范的依据。介绍了信息安全审计风险、标准与法规,以及信息安全审计流程。
|
內容簡介: |
《信息安全审计》重点介绍如何根据相关标准、法规进行合规性安全审计,以及如何对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、网络设备、安全设备等)进行安全审计,记录所有发生的事件,为系统管理员提供系统维护以及安全防范的依据。《信息安全审计》可作为信息安全、网络空间安全、信息管理与信息系统以及其他信息技术类专业的教材,同时也可以作为从事IT审计、信息安全审计工作的专业人员的参考书。
|
目錄:
|
前言 第1章 信息安全审计概述11.1 信息安全现状分析11.1.1 信息安全现状11.1.2 信息系统面临的主要安全威胁41.2 信息安全目标与主要安全业务51.2.1 信息安全的目标51.2.2 主要安全业务61.3 信息系统安全设计61.3.1 信息系统设计61.3.2 信息系统的安全保护等级81.3.3 信息系统安全风险的分析与控制91.4 信息安全事件、审计及审计案例131.4.1 信息安全事件131.4.2 信息安全审计151.4.3 网上银行审计案例161.5 本章小结17习题117第2章 信息安全技术182.1 密码学182.1.1 密码学基础182.1.2 密码学主要技术212.1.3 国密算法302.2 网络安全技术312.2.1 网络安全协议312.2.2 网络攻击技术322.2.3 入侵检测技术332.2.4 VPN技术362.2.5 防病毒技术382.2.6 PKI技术382.3 信息系统安全392.3.1 信息系统安全基本概念392.3.2 信息系统安全威胁392.3.3 信息系统安全防范412.4 本章小结42习题242第3章 实体访问控制的审计433.1 IT组织与策略的审计443.1.1 IT组织结构审计443.1.2 审查IT战略规划流程453.1.3 审查技术和应用策略453.1.4 审查IT的业绩指标和衡量标准453.1.5 审查IT组织新项目及审批流程463.1.6 评估IT项目执行度及产品质量标准463.1.7 确保IT安全策略的存在473.2 实体级控件的风险与管理的审计483.2.1 审查和评估IT组织的风险评估流程483.2.2 审查和评估员工技能与知识流程493.2.3 审查和评估数据政策和流程493.2.4 审查和评估监管程序流程503.2.5 审查和评估用户满意度流程503.2.6 审查和评估管理第三方服务的程序503.2.7 审查和评估控制非员工逻辑访问的流程513.2.8 审查和评估确保公司遵守适用软件许可证的流程523.3 实体级控件相关的审计523.3.1 审查和评估对公司网络远程访问的控制523.3.2 审查和评估雇佣及解雇程序533.3.3 审查和评估硬件采购及流动程序533.3.4 审查和评估管理控制系统配置533.3.5 审查和评估审计媒体控制策略及程序543.3.6 核实公司政策和程序是否有效543.3.7 确定和审计其他实体级IT流程553.4 本章小结55习题355第4章 数据中心和灾备机制的审计564.1 数据中心的核心作用564.2 数据中心的审计过程574.2.1 数据中心的审计要点574.2.2 审计数据中心的测试步骤594.2.3 审计数据中心清单614.3 本章小结76习题476第5章 路由器/防火墙的审计775.1 路由器/防火墙审计的必要性775.1.1 路由器审计的必要性775.1.2 防火墙审计的必要性815.2 路由器/防火墙的审计875.2.1 审计准备885.2.2 审计过程885.3 本章小结90习题590第6章 Web应用的审计916.1 审计主机操作系统916.2 审计Web服务器926.2.1 Web服务器的主要安全威胁926.2.2 审计Web服务器的过程926.3 审计Web应用946.3.1 Web应用的主要安全威胁946.3.2 审计Web应用的过程956.4 本章小结100习题6100第7章 数据库与云存储的审计1017.1 审计数据库1027.1.1 数据库安全1027.1.2 数据库安全审计要点1077.2 审核云计算和外包运营1167.2.1 IT系统和基础设施外包1177.2.2 IT服务外包1207.3 云储存的审计1217.3.1 云储存审计的标准1217.3.2 审核云计算和外包运营的测试步骤1227.4 本章小结134习题7134第8章 信息系统的审计1358.1 信息系统开发原理1358.1.1 信息系统概述1358.1.2 信息系统开发的基本流程和规范1368.2 信息系统安全机制1398.2.1 身份认证1408.2.2 访问控制1418.2.3 消息认证技术1448.3 信息系统安全审计1458.3.1 信息安全审计1458.3.2 信息安全审计流程及分析方法1478.4 本章小结149习题8149第9章 信息安全审计风险、标准和法规1509.1 信息安全管理与风险评估1509.1.1 信息安全管理与风险评估概述1509.1.2 信息安全管理体系1529.1.3 信息安全风险评估1549.2 信息安全审计标准与法规1589.2.1 信息安全审计标准1589.2.2 ISO/IEC 27001信息安全管理体系1619.2.3 信息安全相关法律法规1629.3 信息安全等级保护1639.3.1 信息安全等级保护的等级划分与相关知识1649.3.2 等保(等级保护)2.01659.4 本章小结168习题9168第10章 信息安全审计流程16910.1 COSO17010.1.1 内部控制及其关键概念17010.1.2 内部控制整合框架17010.1.3 企业风险管理整合框架17210.1.4 COSO 的影响17310.2 信息及相关技术控制目标(COBIT)17410.2.1 COBIT概念17410.2.2 IT治理17610.2.3 IT治理成熟度模型17610.2.4 COBIT-COSO连接17710.3 IT基础架构库(ITIL)17910.4 ISO 2700117910.4.1 ISO背景17910.4.2 ISO 27001 概念18010.5 美国国家安全局信息技术评估方法18010.6 我国信息系统安全审计18110.6.1 背景18110.6.2 信息系统审计的实
|
內容試閱:
|
信息安全审计(Information Security Audit)是一个新的研究领域,也是由正处于发展中的信息技术、信息安全、法律与审计等专业形成的新的交叉学科。要保障组织的信息安全,不仅要有先进的信息安全技术和信息安全管理措施,还要有规范的信息技术应用环境和业务流程。信息安全审计是揭示信息安全风险的手段,是改进信息安全现状的有效途径,更是满足信息安全合规要求的有力武器。本书从信息安全审计的概念讲起,在介绍信息安全技术的基础上,从实体访问控制审计、数据中心和灾备机制审计、路由器和防火墙审计、Web应用审计、数据库和云存储审计到信息系统审计,内容由浅入深,逐步介绍当前信息安全审计的主要理论与方法。后,介绍了信息安全审计风险、标准与法规,以及信息安全审计流程。本书可作为信息安全、网络空间安全、信息管理与信息系统以及其他IT类专业的教材,同时也可以作为从事IT审计、信息安全审计工作的专业人员的参考书。本书建议授课学时为48学时,实验学时为12学时,并要求先修信息安全、管理信息系统等信息技术相关课程。全书由朱建明、康海燕、宋彪编著。其中,朱建明负责全书的统稿并编写第1章,康海燕编写第2、5、8、9章,宋彪编写第3、4、6、7、10章。在本书的编写过程中,参考了国内外大量的有关信息安全审计、IT审计方面的著作和教材,由于篇幅所限,未能一一列出,在此表示感谢。还要感谢参与本书材料搜集和校对的老师和同学们。由于编者水平有限,书中难免存在不妥之处,欢迎读者提出宝贵意见。
|
|