译者序 前言 第1章　最佳实践、标准与行动计划 1 11　网络空间和网络安全的定义 2 12　标准和最佳实践文档的价值 4 13　信息安全最佳实践标准 5 14　ISO/IEC 27000信息安全标准套件 8 141　ISO 27001 10 142　ISO 27002 11 15　ISO 27000系列与ISF SGP的对应关系 12 16　NIST网络安全框架和安全文档 14 161　NIST网络安全框架 14 162　NIST安全文档 17 17　有效网络防御的CIS关键安全控制 18 18　信息安全的COBIT-5 19 19　支付卡行业数据安全标准 20 110　ITU-T安全文档 21 111　有效地实现网络安全 23 1111　网络安全管理流程 24 1112　使用最佳实践和标准文档 25 112　关键术语和复习题 26 113　参考文献 26 第一部分　网络安全规划 第2章　安全治理 30 21　安全治理和安全管理 31 22　安全治理原则和期望结果 32 221　原则 32 222　期望结果 33 23　安全治理组件 34 231　战略规划 34 232　组织结构 36 233　角色和职责 39 234　与企业架构集成 41 235　政策和指导 45 24　安全治理方法 45 241　安全治理框架 45 242　安全指导 46 243　责任人、问责人、咨询人和知情人（RACI）图表 47 25　安全治理评估 48 26　安全治理最佳实践 50 27　关键术语和复习题 50 28　参考文献 51 第3章　信息风险评估 53 31　风险评估的概念 54 311　风险评估面临的挑战 56 312　风险管理 57 313　本章结构 59 32　资产识别 60 321　硬件资产 60 322　软件资产 60 323　信息资产 60 324　业务资产 62 325　资产登记 62 33　威胁识别 63 331　STRIDE威胁模型 63 332　威胁类型 63 333　信息来源 65 34　控制识别 69 35　漏洞识别 72 351　漏洞类别 73 352　美国国家漏洞数据库和通用漏洞评分系统 73 36　风险评估方法 76 361　风险的定量评估和定性评估 76 362　简单的风险分析工作表 80 363　信息风险因素分析 81 37　可能性评估 83 371　估算威胁事件频率 84 372　脆弱性估计 84 373　损害事件频率 86 38　影响评估 86 381　估算主要损害 87 382　估算次要损害 88 383　业务影响参考表 89 39　风险确定 90 310　风险测评 90 311　风险处置 91 3111　降低风险 92 3112　维持风险 92 3113　避免风险 92 3114　转移风险 92 312　风险评估最佳实践 92 313　关键术语和复习题 93 314　参考文献 95 第4章　安全管理 96 41　安全管理功能 96 411　安全规划 99 412　资本规划 101 42　安全政策 102 421　安全政策类别 103 422　安全政策文档内容 104 423　安全政策管理指南 106 424　监控政策 107 43　可接受的使用政策 107 44　安全管理最佳实践 108 45　关键术语和复习题 109 46　参考文献 110 第二部分　管理网络安全功能 第5章　人员管理 112 51　人力资源安全 112 511　招聘流程中的安全性 113 512　雇佣期间 116 513　雇佣关系终止 116 52　安全意识和教育 117 521　安全意识 118 522　网络安全基本程序 122 523　基于角色的培训 123 524　教育和认证 123 53　人员管理最佳实践 124 54　关键术语和复习题 124 55　参考文献 125 第6章　信息管理 126 61　信息分类和处理 126 611　信息分类 127 612　信息标注 130 613　信息处理 131 62　隐私 132 621　隐私威胁 133 622　隐私原则和政策 135 623　隐私控制 138 63　文档和记录管理 139 631　文档管理 140 632　记录管理 141 64　敏感物理信息 142 65　信息管理最佳实践 143 66　关键术语和复习题 144 67　参考文献 145 第7章　物理资产管理 146 71　硬件生命周期管理 146 711　规划 148 712　采购 148 713　部署 149 714　管理 149 715　处置 149 72　办公设备 150 721　威胁和脆弱性 150 722　安全控制 152 723　设备处置 154 73　工业控制系统 155 731　IT系统与工业控制系统的区别 156 732　ICS安全 157 74　移动设备安全 161 741　移动设备技术 162 742　移动生态系统 163 743　漏洞 164 744　移动设备安全策略 165 745　移动设备安全资源 169 75　物理资产管理最佳实践 170 76　关键术语和复习题 171 77　参考文献 172 第8章　系统开发 173 81　系统开发生命周期 173 811　NIST SDLC模型 173 812　SGP的SDLC模型 176 813　DevOps 177 82　将安全性纳入SDLC 181 821　启动阶段 182 822　开发/采购阶段 185 823　实现/评估阶段 187 824　运行/维护阶段 190 825　废弃阶段 191 83　系统开发管理 192 831　系统开发方法 193 832　系统开发环境 193 833　质量保证 195 84　系统开发最佳实践 195 85　关键术语和复习题 196 86　参考文献 197 第9章　业务应用程序管理 198 91　应用程序管理的概念 198 911　应用程序生命周期管理 199 912　应用程序项目组合管理 200 913　应用程序性能管理 203 92　公司业务应用程序安全 204 921　业务应用程序登记 204 922　业务应用程序保护 205 923　基于浏览器的应用程序保护 206 93　终端用户开发的应用程序 210 931　EUDA的优点 211 932　EUDA的风险 211 933　EUDA安全框架 212 94　业务应用程序管理最佳实践 214 95　关键术语和复习题 215 96　参考文献 216 第10章　系统访问 217 101　系统访问的概念 217 102　用户身份认证 219 1021　电子用户身份认证模型 219 1022　身份认证方式 221 1023　多因素身份认证 222 103　基于口令的身份认证 223 1031　口令的弱点 223 1032　哈希口令的使用 225 1033　用户选择口令的口令破解 226 1034　口令文件访问控制 228 1035　口令选择 228 104　基于所有权的身份认证 230 1041　存储卡 230 1042　智能卡 231 1043　电子身份证 232 1044　一次性口令设备 234 1045　基于所有权的身份认证的威胁 235 1046　基于所有权的身份认证的安全控制 236 105　生物特征认证 236 1051　生物特征的指标 236 1052　用于生物识别应用的物理特征 237 1053　生物特征认证系统的操作 238 1054　生物识别的准确率 239 1055　生物特征认证的威胁 240 1056　生物特征认证的安全控制 242 106　用户身份认证的风险评估 243 1061　身份认证保证级别 243 1062　选择一个AAL 244 1063　选择一种认证方式 246 107　访问控制 248 1071　主体、客体和访问权限 249 1072　访问控制策略 249 1073　自主访问控制 250 1074　基于角色的访问控制 252 1075　基于属性的访问控制 252 1076　访问控制度量指标 257 108　客户访问 258 1081　客户访问安排 258 1082　客户合同 258 1083　客户关系 259 1084　保护客户数据 259 109　系统访问最佳实践 259 1010　关键术语和复习题 260 1011　参考文献 261 第11章　系统管理 263 111　服务器配置 264 1111　服务器面临的威胁 264 1112　服务器的安全需求 265 112　虚拟服务器 266 1121　虚拟化方案 266 1122　虚拟化面临的安全问题 270 1123　安全的虚拟化系统 270 113　网络存储系统 272 114　服务级别协议 273 1141　网络提供商 274 1142　计算机安全事故响应小组 275 1143　云服务提供商 276 115　性能和能力管理 277 116　备份 277 117　变更管理 278 118　系统管理最佳实践 281 119　关键术语和复习题 281 1110　参考文献 282 第12章　网络与通信 283 121　网络管理的概念 283 1211　网络管理功能 284 1212　网络管理系统 287 1213　网络管理体系结构 290 122　防火墙 291 1221　防火墙特性 291 1222　防火墙类型 292 1223　下一代防火墙 298 1224　DMZ网络 298 1225　现代IT边界 299 123　虚拟专用网络和IPsec 300 1231　虚拟专用网络 300 1232　IPsec 300 1233　基于防火墙的VPN 302 124　网络管理的安全注意事项 303 1241　网络设备配置 303 1242　物理网络管理 304 1243　无线接入 307 1244　外部网络连接 308 1245　防火墙 308 1246　远程维护 309 125　电子通信 310 1251　Email 310 1252　即时消息 313 1253　基于IP的语音通信网络 315 1254　电话和会议 319 126　网络与通信最佳实践 319 127　关键术语和复习题 320 128　参考文献 321 第13章　供应链管理与云安全 322 131　供应链管理的概念 322 1311　供应链 323 1312　供应链管理 324 132　供应链风险管理 325 1321　供应链威胁 328 1322　供应链漏洞 330 1323　供应链安全控制 331 1324　SCRM最佳实践 333 133　云计算 334 1331　云计算要素 334 1332　云计算参考架构 338 134　云安全 339 1341　云计算的安全注意事项 339 1342　云服务用户的威胁 340 1343　风险评估 341 1344　最佳实践 342 1345　云服务协议 343 135　供应链最佳实践 343 136　关键术语和复习题 344 137　参考文献 345 第14章　技术安全管理 346 141　安全架构 347 142　恶意软件防护行为 349 1421　恶意软件的类型 350 1422　恶意软件威胁的现状 351 1423　恶意软件防护的实际应用 352 143　恶意软件防护软件 354 1431　恶意软件防护软件的功能 354 1432　恶意软件防护软件的管理 355 144　身份和访问管理 355 1441　IAM结构 356 1442　联合身份管理 357 1443　IAM规划 359 1444　IAM最佳实践 360 145　入侵检测 360