信息安全审计

图书标准信息

• 作者 朱建明 康海燕 宋彪 编著
• 出版社 机械工业出版社
• 出版时间 2021-07
• 版次 1
• ISBN 9787111683605
• 定价 59.00元
• 装帧 其他
• 开本 16开
• 纸张 胶版纸
• 页数 196页
• 字数 300千字

【内容简介】

《信息安全审计》重点介绍如何根据相关标准、法规进行合规性安全审计，以及如何对计算机信息系统中的所有网络资源（包括数据库、主机、操作系统、网络设备、安全设备等）进行安全审计，记录所有发生的事件，为系统管理员提供系统维护以及安全防范的依据。
  《信息安全审计》可作为信息安全、网络空间安全、信息管理与信息系统以及其他信息技术类专业的教材，同时也可以作为从事IT审计、信息安全审计工作的专业人员的参考书。

【作者简介】

【目录】

前言

第1章  信息安全审计概述1

1.1  信息安全现状分析1

1.1.1  信息安全现状1

1.1.2  信息系统面临的主要安全威胁4

1.2  信息安全目标与主要安全

业务5

1.2.1  信息安全的目标5

1.2.2  主要安全业务6

1.3  信息系统安全设计6

1.3.1  信息系统设计6

1.3.2  信息系统的安全保护等级8

1.3.3  信息系统安全风险的分析与

控制9

1.4  信息安全事件、审计及审计

案例13

1.4.1  信息安全事件13

1.4.2  信息安全审计15

1.4.3  网上银行审计案例16

1.5  本章小结17

习题117

第2章  信息安全技术18

2.1  密码学18

2.1.1  密码学基础18

2.1.2  密码学主要技术21

2.1.3  国密算法30

2.2  网络安全技术31

2.2.1  网络安全协议31

2.2.2  网络攻击技术32

2.2.3  入侵检测技术33

2.2.4  VPN技术36

2.2.5  防病毒技术38

2.2.6  PKI技术38

2.3  信息系统安全39

2.3.1  信息系统安全基本概念39

2.3.2  信息系统安全威胁39

2.3.3  信息系统安全防范41

2.4  本章小结42

习题242

第3章  实体访问控制的审计43

3.1  IT组织与策略的审计44

3.1.1  IT组织结构审计44

3.1.2  审查IT战略规划流程45

3.1.3  审查技术和应用策略45

3.1.4  审查IT的业绩指标和

衡量标准45

3.1.5  审查IT组织新项目及

审批流程46

3.1.6  评估IT项目执行度及产品

质量标准46

3.1.7  确保IT安全策略的存在47

3.2  实体级控件的风险与管理的

审计48

3.2.1  审查和评估IT组织的风险

评估流程48

3.2.2  审查和评估员工技能与知识

流程49

3.2.3  审查和评估数据政策和流程49

3.2.4  审查和评估监管程序流程50

3.2.5  审查和评估用户满意度流程50

3.2.6  审查和评估管理第三方服务的

程序50

3.2.7  审查和评估控制非员工逻辑

访问的流程51

3.2.8  审查和评估确保公司遵守适用

软件许可证的流程52

3.3  实体级控件相关的审计52

3.3.1  审查和评估对公司网络远程

访问的控制52

3.3.2  审查和评估雇佣及解雇程序53

3.3.3  审查和评估硬件采购及流动

程序53

3.3.4  审查和评估管理控制系统

配置53

3.3.5  审查和评估审计媒体控制

策略及程序54

3.3.6  核实公司政策和程序是否

有效54

3.3.7  确定和审计其他实体级IT

流程55

3.4  本章小结55

习题355

第4章  数据中心和灾备机制的

审计56

4.1  数据中心的核心作用56

4.2  数据中心的审计过程57

4.2.1  数据中心的审计要点57

4.2.2  审计数据中心的测试步骤59

4.2.3  审计数据中心清单61

4.3  本章小结76

习题476

第5章  路由器/防火墙的审计77

5.1  路由器/防火墙审计的

必要性77

5.1.1  路由器审计的必要性77

5.1.2  防火墙审计的必要性81

5.2  路由器/防火墙的审计87

5.2.1  审计准备88

5.2.2  审计过程88

5.3  本章小结90

习题590

第6章  Web应用的审计91

6.1  审计主机操作系统91

6.2  审计Web服务器92

6.2.1  Web服务器的主要安全威胁92

6.2.2  审计Web服务器的过程92

6.3  审计Web应用94

6.3.1  Web应用的主要安全威胁94

6.3.2  审计Web应用的过程95

6.4  本章小结100

习题6100

第7章  数据库与云存储的审计101

7.1  审计数据库102

7.1.1  数据库安全102

7.1.2  数据库安全审计要点107

7.2  审核云计算和外包运营116

7.2.1  IT系统和基础设施外包117

7.2.2  IT服务外包120

7.3  云储存的审计121

7.3.1  云储存审计的标准121

7.3.2  审核云计算和外包运营的

测试步骤122

7.4  本章小结134

习题7134

第8章  信息系统的审计135

8.1  信息系统开发原理135

8.1.1  信息系统概述135

8.1.2  信息系统开发的基本流程和

规范136

8.2  信息系统安全机制139

8.2.1  身份认证140

8.2.2  访问控制141

8.2.3  消息认证技术144

8.3  信息系统安全审计145

8.3.1  信息安全审计145

8.3.2  信息安全审计流程及分析

方法147

8.4  本章小结149

习题8149

第9章  信息安全审计风险、

标准和法规150

9.1  信息安全管理与风险评估150

9.1.1  信息安全管理与风险评估

概述150

9.1.2  信息安全管理体系152

9.1.3  信息安全风险评估154

9.2  信息安全审计标准与法规158

9.2.1  信息安全审计标准158

9.2.2  ISO/IEC 27001信息安全

管理体系161

9.2.3  信息安全相关法律法规162

9.3  信息安全等级保护163

9.3.1  信息安全等级保护的等级

划分与相关知识164

9.3.2  等保（等级保护）2.0165

9.4  本章小结168

习题9168

第10章  信息安全审计流程169

10.1  COSO170

10.1.1  内部控制及其关键概念170

10.1.2  内部控制整合框架170

10.1.3  企业风险管理整合框架172

10.1.4  COSO 的影响173

10.2  信息及相关技术控制目标（COBIT）174

10.2.1  COBIT概念174

10.2.2  IT治理176

10.2.3  IT治理成熟度模型176

10.2.4  COBIT-COSO连接177

10.3  IT基础架构库（ITIL）179

10.4  ISO 27001179

10.4.1  ISO背景179

10.4.2  ISO 27001 概念180

10.5  美国国家安全局信息技术

评估方法180

10.6  我国信息系统安全审计181

10.6.1  背景181

10.6.2  信息系统审计的实