定 價:149 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:[美]威廉·斯托林斯(William Stallings)
- 出版時間:2021/10/1
- ISBN:9787111691600
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
隱私工程是圍繞系統(tǒng)中的隱私特征和控制進(jìn)行實(shí)施、開發(fā)�����、持續(xù)操作和管理�。隱私工程包括技術(shù)功能和管理過程。隱私設(shè)計(jì)是圍繞包括隱私注意事項(xiàng)的管理和技術(shù)手段��,旨在將隱私嵌入到IT系統(tǒng)和業(yè)務(wù)實(shí)踐的設(shè)計(jì)和架構(gòu)中���。其中�,隱私注意事項(xiàng)貫穿系統(tǒng)開發(fā)全生命周期���。
實(shí)現(xiàn)信息隱私���,是IT組織(特別是IT管理���、IT安全管理和IT工程師)的責(zé)任。?
信息隱私是個人的權(quán)利��,這種權(quán)利讓人能夠控制和影響個人相關(guān)信息的收集�����、處理和存儲��,以及可以由誰和向誰披露這些信息��。在信息領(lǐng)域中����,隱私一詞通常是指確保表面上的個人隱私信息對不應(yīng)獲取此信息的各方不可見���。
信息隱私已成為所有私有和公共組織的重點(diǎn)考慮事項(xiàng)�����。在我們面臨更大的隱私威脅的同時����,互聯(lián)網(wǎng)隱私的相關(guān)技術(shù)也隨之發(fā)展,安全性對于保護(hù)我們的組織和自身變得至關(guān)重要�����。實(shí)現(xiàn)信息隱私保護(hù)是IT組織(特別是IT管理����、IT安全管理和IT工程師)的責(zé)任。此外����,目前大多數(shù)組織都有一個高級隱私官或小組來監(jiān)督隱私要求的遵守情況。通常來說�,此職務(wù)由首席隱私官、數(shù)據(jù)保護(hù)官或隱私主管擔(dān)任����。
有效的信息隱私保護(hù)難以實(shí)現(xiàn),越來越多的組織采用基于以下兩個概念的相關(guān)方法:
● 隱私設(shè)計(jì):包括隱私注意事項(xiàng)的管理和技術(shù)手段���,旨在將隱私嵌入IT系統(tǒng)和業(yè)務(wù)實(shí)踐的設(shè)計(jì)和架構(gòu)中��。其中����,隱私注意事項(xiàng)貫穿系統(tǒng)開發(fā)全生命周期。
● 隱私工程:包括對系統(tǒng)中的隱私特性和隱私控制進(jìn)行實(shí)施����、開發(fā)、持續(xù)操作和管理����。隱私工程涉及技術(shù)功能和管理過程。
無論是國際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)發(fā)布的標(biāo)準(zhǔn)文件����,還是歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)等法規(guī)�����,都是通過隱私設(shè)計(jì)和隱私工程來實(shí)現(xiàn)隱私保護(hù)的�。
本書基于隱私設(shè)計(jì)和隱私工程,提出一種全面的隱私處理方法���,使得隱私管理人員和隱私工程師能夠?qū)ο嚓P(guān)標(biāo)準(zhǔn)���、法規(guī)、合同承諾和組織政策等規(guī)定的隱私要求進(jìn)行管理和實(shí)施�����。
內(nèi)容架構(gòu)
本書由六部分組成:
● 部分——概述:第1章概述信息安全和密碼學(xué)相關(guān)領(lǐng)域的概念��,涵蓋信息隱私的一些必要方面�。第2章介紹信息隱私的基本概念,包括隱私設(shè)計(jì)和隱私工程����。
● 第二部分——隱私需求和威脅:第3章討論組織必須滿足的信息隱私需求,主要內(nèi)容包括涉及隱私的個人數(shù)據(jù)類型的定義�、公平信息實(shí)踐原則的概念,以及推動隱私解決方案開發(fā)的隱私法規(guī)�、標(biāo)準(zhǔn)和實(shí)踐。第4章介紹信息隱私威脅和信息系統(tǒng)的隱私漏洞��,以及需求理解���、威脅和漏洞結(jié)構(gòu)�����,并通過隱私設(shè)計(jì)和隱私工程解決方案指導(dǎo)隱私保護(hù)實(shí)現(xiàn)���。
● 第三部分——隱私安全控制技術(shù):信息安全和信息隱私的需求存在相當(dāng)多的重疊���,因此,隱私設(shè)計(jì)者和工程師可以選擇適當(dāng)?shù)陌踩刂苼頋M足部分隱私需求�����。第三部分詳述這些安全控制�。第5章介紹系統(tǒng)訪問的安全控制,包括授權(quán)���、用戶身份驗(yàn)證和訪問控制��。第6章討論針對惡意軟件和入侵者的應(yīng)對策略�����。
● 第四部分——隱私增強(qiáng)技術(shù):第四部分討論超出傳統(tǒng)安全控制范圍的技術(shù)和實(shí)踐�����,以滿足隱私需求并應(yīng)對隱私威脅�����。第7章討論數(shù)據(jù)庫中復(fù)雜的隱私問題���,涉及的主題包括匿名化、去標(biāo)識化和可查詢數(shù)據(jù)庫中的隱私�。第8章概述在線隱私的威脅、需求和實(shí)現(xiàn)方法�。第9章討論數(shù)據(jù)丟失防范的概念,并探討與云計(jì)算和物聯(lián)網(wǎng)相關(guān)的隱私問題����。
● 第五部分——信息隱私管理:第五部分討論管理和組織隱私控制和程序。第10章討論信息隱私治理作為企業(yè)治理的一個組成部分��,如何在整個企業(yè)范圍內(nèi)指導(dǎo)和監(jiān)督與信息隱私相關(guān)的活動��。該章還重點(diǎn)介紹與信息隱私有關(guān)的管理問題���。第11章詳細(xì)介紹信息隱私管理的核心任務(wù)之一——隱私影響評估�。第12章論述組織的必要任務(wù)�,即基于組織范圍內(nèi)的隱私意識建立隱私文化����,并對負(fù)有隱私職責(zé)的員工進(jìn)行培訓(xùn)和教育�。第13章討論審計(jì)和監(jiān)控隱私控制性能的技術(shù),以發(fā)現(xiàn)系統(tǒng)中的漏洞并設(shè)計(jì)改進(jìn)方案�。該章還討論通過事故管理來計(jì)劃和應(yīng)對隱私威脅。
● 第六部分——法律法規(guī)要求:第14章詳細(xì)介紹歐盟的《通用數(shù)據(jù)保護(hù)條例》�����,這也是大多數(shù)組織必須了解的重要的隱私法規(guī)��。第15章介紹與隱私相關(guān)的主要美國聯(lián)邦法律以及《加州消費(fèi)者隱私法》����。
支持網(wǎng)站
作者維護(hù)的網(wǎng)站W(wǎng)illiamStallings.com/Privacy按章列出了相關(guān)鏈接和本書的勘誤表。
作者還維護(hù)著計(jì)算機(jī)科學(xué)學(xué)生資源網(wǎng)站ComputerScienceStudent.com���。該網(wǎng)站旨在為計(jì)算機(jī)科學(xué)專業(yè)的學(xué)生和專業(yè)人員提供文檔�、信息和鏈接����,內(nèi)容分為以下七類:
● 數(shù)學(xué):包括基本的數(shù)學(xué)相關(guān)知識、排隊(duì)分析入門���、數(shù)字系統(tǒng)入門以及許多數(shù)學(xué)網(wǎng)站鏈接���。
● 操作方法:為家庭作業(yè)答疑���、撰寫技術(shù)報告和準(zhǔn)備技術(shù)演示提供建議和指導(dǎo)。
● 研究資源:提供重要論文集���、技術(shù)報告和參考文獻(xiàn)的鏈接。
● 其他用途:提供多種其他可參考的文件和鏈接�����。
● 計(jì)算機(jī)科學(xué)職業(yè):為有志于計(jì)算機(jī)科學(xué)領(lǐng)域工作的人員提供可參考鏈接和文件����。
● 寫作幫助:有助于更清晰、更高效地撰寫論文���。
● 其他話題:需要偶爾轉(zhuǎn)移注意力以放松大腦�。
相關(guān)書籍推薦
本書作者也編撰了Effective Cybersecurity: A Guide to Using Best Practices and Standards(Pearson,2019)一書����。這本書適用于IT和安全管理人員��、IT安全維護(hù)人員以及其他對網(wǎng)絡(luò)安全和信息安全感興趣的人�。這本書能夠幫助隱私管理人員和工程師更好地掌握信息隱私計(jì)劃的基本要素:安全實(shí)踐的技術(shù)和管理���。
致謝
本書得益于許多人的努力����,他們慷慨地付出了大量的時間和精力���。這里特別感謝Bruce DeBruhl和Stefan Schiffner�����,他們花費(fèi)了大量時間來詳細(xì)審閱整個手稿�����。我還要感謝那些對書籍原稿提出了建設(shè)性意見的人:Steven M. Bellovin����、Kelley Dempsey����、Charles A. Russell�����、Susan Sand和Omar Santos�����。
還要感謝那些詳細(xì)審閱了一章或多章內(nèi)容的人:Kavitha Ammayappan����、Waleed Baig����、Charlie Blanchard��、Rodrigo Ristow Branco�����、Tom Cornelius�����、Shawn Davis�、Tony Fleming�、Musa Husseini�����、Pedro Inacio���、Thomas Johnson�����、Mohammed B.M.Kamel�����、Rob Knox���、Jolanda Modic、Omar Olivos�、Paul E.Paray、Menaka Pushpa���、Andrea Razzini�、Antonius Ruslan、Ali Samouti���、Neetesh Saxena�、Javier H.Scodelaro��、Massimiliano Sembiante���、Abhijeet Singh和Bill Woolsey��。
后�,我要感謝Pearson公司負(fù)責(zé)本書出版的工作人員���,特別是Brett Bartow(IT專業(yè)產(chǎn)品管理總監(jiān))�����、Chris Cleveland(開發(fā)編輯)、Lori Lyons(高級項(xiàng)目編輯)���、Gayathri Umashankaran(產(chǎn)品經(jīng)理)和Kitty Wilson(文字編輯)���。也要感謝Pearson的市場和銷售人員,本書能夠成功面世離不開他們的努力。
前言
作者簡介
部分 概述
第1章 安全和密碼學(xué)
1.1網(wǎng)絡(luò)空間安全���、信息安全和網(wǎng)絡(luò)安全
1.1.1安全的目標(biāo)
1.1.2信息安全面臨的挑戰(zhàn)
1.2安全攻擊
1.2.1被動攻擊
1.2.2主動攻擊
1.3安全服務(wù)
1.3.1身份驗(yàn)證
1.3.2訪問控制
1.3.3數(shù)據(jù)機(jī)密性
1.3.4數(shù)據(jù)完整性
1.3.5不可抵賴性
1.3.6可用性服務(wù)
1.4安全機(jī)制
1.5密碼算法
1.5.1無密鑰算法
1.5.2單密鑰算法
1.5.3雙密鑰算法
1.6對稱加密
1.7非對稱加密
1.8密碼哈希函數(shù)
1.9數(shù)字簽名
1.10實(shí)際應(yīng)用中的注意事項(xiàng)
1.10.1密碼算法和密鑰長度的選擇
1.10.2實(shí)現(xiàn)的注意事項(xiàng)
1.10.3輕量級密碼算法
1.10.4后量子密碼算法
1.11公鑰基礎(chǔ)設(shè)施
1.11.1公鑰證書
1.11.2PKI架構(gòu)
1.12網(wǎng)絡(luò)安全
1.12.1通信安全
1.12.2設(shè)備安全
1.13關(guān)鍵術(shù)語和復(fù)習(xí)題
1.13.1關(guān)鍵術(shù)語
1.13.2復(fù)習(xí)題
1.14參考文獻(xiàn)
第2章 信息隱私概念
2.1關(guān)鍵隱私術(shù)語
2.2隱私設(shè)計(jì)
2.2.1隱私設(shè)計(jì)的原則
2.2.2需求與政策制定
2.2.3隱私風(fēng)險評估
2.2.4隱私和安全控制選擇
2.2.5隱私程序和集成計(jì)劃
2.3隱私工程
2.3.1隱私實(shí)現(xiàn)
2.3.2系統(tǒng)集成
2.3.3隱私測試與評估
2.3.4隱私審計(jì)和事件響應(yīng)
2.4隱私與安全
2.4.1安全和隱私的交叉部分
2.4.2安全和隱私之間的權(quán)衡
2.5隱私和效用
2.6可用隱私
2.6.1隱私服務(wù)和功能的用戶
2.6.2可用性和效用
2.7關(guān)鍵術(shù)語和復(fù)習(xí)題
2.7.1關(guān)鍵術(shù)語
2.7.2復(fù)習(xí)題
2.8參考文獻(xiàn)
第二部分 隱私需求和威脅
第3章 信息隱私需求及指導(dǎo)
3.1個人身份信息及個人數(shù)據(jù)
3.1.1PII的來源
3.1.2PII的敏感性
3.2不屬于PII的個人信息
3.3公平信息實(shí)踐原則
3.4隱私條例
3.4.1歐盟隱私法律和法規(guī)
3.4.2美國隱私法律和法規(guī)
3.5隱私標(biāo)準(zhǔn)
3.5.1國際標(biāo)準(zhǔn)化組織
3.5.2美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會
3.6隱私實(shí)踐
3.6.1信息安全論壇
3.6.2云安全聯(lián)盟
3.7關(guān)鍵術(shù)語和復(fù)習(xí)題
3.7.1關(guān)鍵術(shù)語
3.7.2復(fù)習(xí)題
3.8參考文獻(xiàn)
第4章 信息隱私威脅和漏洞
4.1不斷演變的威脅環(huán)境
4.1.1技術(shù)進(jìn)步的總體影響
4.1.2收集數(shù)據(jù)的再利用
4.1.3PII的獲取方式
4.2隱私威脅分類法
4.2.1信息收集
4.2.2信息處理
4.2.3信息傳播
4.2.4入侵
4.3NIST威脅模型
4.4威脅來源
4.5識別威脅
4.6隱私漏洞
4.6.1漏洞類別
4.6.2隱私漏洞的定位
4.6.3國家漏洞數(shù)據(jù)庫和通用漏洞評分系統(tǒng)
4.7關(guān)鍵術(shù)語和復(fù)習(xí)題
4.7.1關(guān)鍵術(shù)語
4.7.2復(fù)習(xí)題
4.8參考文獻(xiàn)
第三部分 隱私安全控制技術(shù)
第5章 系統(tǒng)訪問
5.1信息訪問概念
5.1.1特權(quán)
5.1.2系統(tǒng)訪問功能
5.1.3系統(tǒng)訪問的隱私注意事項(xiàng)
5.2授權(quán)
5.2.1隱私授權(quán)
5.3用戶身份驗(yàn)證
5.3.1身份驗(yàn)證方法
5.3.2多重要素身份驗(yàn)證
5.3.3電子用戶身份驗(yàn)證模型
5.4訪問控制
5.4.1主體�����、客體和訪問權(quán)限
5.4.2訪問控制策略
5.4.3自主訪問控制
5.4.4基于角色的訪問控制
5.4.5基于屬性的訪問控制
5.5身份識別和訪問管理
5.5.1IAM架構(gòu)
5.5.2聯(lián)邦身份管理
5.6關(guān)鍵術(shù)語和復(fù)習(xí)題
5.6.1關(guān)鍵術(shù)語
5.6.2復(fù)習(xí)題
5.7參考文獻(xiàn)
第6章 惡意軟件和入侵者
6.1惡意軟件防護(hù)活動
6.1.1惡意軟件類型
6.1.2惡意軟件威脅的性質(zhì)
6.1.3實(shí)用惡意軟件防護(hù)
6.2惡意軟件防護(hù)軟件
6.2.1惡意軟件防護(hù)軟件的功能
6.2.2管理惡意軟件防護(hù)軟件
6.3防火墻
6.3.1防火墻特征
6.3.2防火墻類型
6.3.3下一代防火墻
6.3.4DMZ網(wǎng)絡(luò)
6.3.5現(xiàn)代IT邊界
6.4入侵檢測
6.4.1基本入侵檢測原理
6.4.2入侵檢測方法
6.4.3主機(jī)端入侵檢測技術(shù)
6.4.4網(wǎng)絡(luò)端入侵檢測系統(tǒng)
6.4.5IDS實(shí)踐
6.5關(guān)鍵術(shù)語和復(fù)習(xí)題
6.5.1關(guān)鍵術(shù)語
6.5.2復(fù)習(xí)題
6.6參考文獻(xiàn)
第四部分 隱私增強(qiáng)技術(shù)
第7章 數(shù)據(jù)庫中的隱私
7.1基本概念
7.1.1個人數(shù)據(jù)屬性
7.1.2數(shù)據(jù)文件類型
7.2重識別攻擊
7.2.1攻擊類型
7.2.2潛在的攻擊者
7.2.3披露風(fēng)險
7.2.4對隱私威脅的適用性
7.3直接標(biāo)識符的去標(biāo)識化
7.3.1匿名化
7.3.2假名化
7.4微數(shù)據(jù)文件中準(zhǔn)標(biāo)識符的去標(biāo)識化
7.4.1隱私保護(hù)數(shù)據(jù)發(fā)布
7.4.2披露風(fēng)險與數(shù)據(jù)效用
7.4.3PPDP技術(shù)
7.5k-匿名�����、l-多樣性與t-緊密性
7.5.1k匿名
7.5.2l多樣性
7.5.3t緊密性
7.6匯總表保護(hù)
7.6.1頻次表
7.6.2量級表
7.7可查詢數(shù)據(jù)庫的隱私
7.7.1隱私威脅
7.7.2保護(hù)可查詢數(shù)據(jù)庫
7.8關(guān)鍵術(shù)語和復(fù)習(xí)題
7.8.1關(guān)鍵術(shù)語
7.8.2復(fù)習(xí)題
7.9參考文獻(xiàn)
第8章 在線隱私
8.1個人數(shù)據(jù)的在線生態(tài)系統(tǒng)
8.2Web安全與隱
書單推薦
