定 價(jià):149 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:[美]威廉·斯托林斯(William Stallings)
- 出版時(shí)間:2021/10/1
- ISBN:9787111691600
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁(yè)碼:
- 紙張:膠版紙
- 版次:
- 開(kāi)本:16開(kāi)
隱私工程是圍繞系統(tǒng)中的隱私特征和控制進(jìn)行實(shí)施、開(kāi)發(fā)、持續(xù)操作和管理。隱私工程包括技術(shù)功能和管理過(guò)程。隱私設(shè)計(jì)是圍繞包括隱私注意事項(xiàng)的管理和技術(shù)手段,旨在將隱私嵌入到IT系統(tǒng)和業(yè)務(wù)實(shí)踐的設(shè)計(jì)和架構(gòu)中。其中,隱私注意事項(xiàng)貫穿系統(tǒng)開(kāi)發(fā)全生命周期。
實(shí)現(xiàn)信息隱私,是IT組織(特別是IT管理、IT安全管理和IT工程師)的責(zé)任。?
信息隱私是個(gè)人的權(quán)利,這種權(quán)利讓人能夠控制和影響個(gè)人相關(guān)信息的收集、處理和存儲(chǔ),以及可以由誰(shuí)和向誰(shuí)披露這些信息。在信息領(lǐng)域中,隱私一詞通常是指確保表面上的個(gè)人隱私信息對(duì)不應(yīng)獲取此信息的各方不可見(jiàn)。
信息隱私已成為所有私有和公共組織的重點(diǎn)考慮事項(xiàng)。在我們面臨更大的隱私威脅的同時(shí),互聯(lián)網(wǎng)隱私的相關(guān)技術(shù)也隨之發(fā)展,安全性對(duì)于保護(hù)我們的組織和自身變得至關(guān)重要。實(shí)現(xiàn)信息隱私保護(hù)是IT組織(特別是IT管理、IT安全管理和IT工程師)的責(zé)任。此外,目前大多數(shù)組織都有一個(gè)高級(jí)隱私官或小組來(lái)監(jiān)督隱私要求的遵守情況。通常來(lái)說(shuō),此職務(wù)由首席隱私官、數(shù)據(jù)保護(hù)官或隱私主管擔(dān)任。
有效的信息隱私保護(hù)難以實(shí)現(xiàn),越來(lái)越多的組織采用基于以下兩個(gè)概念的相關(guān)方法:
● 隱私設(shè)計(jì):包括隱私注意事項(xiàng)的管理和技術(shù)手段,旨在將隱私嵌入IT系統(tǒng)和業(yè)務(wù)實(shí)踐的設(shè)計(jì)和架構(gòu)中。其中,隱私注意事項(xiàng)貫穿系統(tǒng)開(kāi)發(fā)全生命周期。
● 隱私工程:包括對(duì)系統(tǒng)中的隱私特性和隱私控制進(jìn)行實(shí)施、開(kāi)發(fā)、持續(xù)操作和管理。隱私工程涉及技術(shù)功能和管理過(guò)程。
無(wú)論是國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)發(fā)布的標(biāo)準(zhǔn)文件,還是歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)等法規(guī),都是通過(guò)隱私設(shè)計(jì)和隱私工程來(lái)實(shí)現(xiàn)隱私保護(hù)的。
本書基于隱私設(shè)計(jì)和隱私工程,提出一種全面的隱私處理方法,使得隱私管理人員和隱私工程師能夠?qū)ο嚓P(guān)標(biāo)準(zhǔn)、法規(guī)、合同承諾和組織政策等規(guī)定的隱私要求進(jìn)行管理和實(shí)施。
內(nèi)容架構(gòu)
本書由六部分組成:
● 部分——概述:第1章概述信息安全和密碼學(xué)相關(guān)領(lǐng)域的概念,涵蓋信息隱私的一些必要方面。第2章介紹信息隱私的基本概念,包括隱私設(shè)計(jì)和隱私工程。
● 第二部分——隱私需求和威脅:第3章討論組織必須滿足的信息隱私需求,主要內(nèi)容包括涉及隱私的個(gè)人數(shù)據(jù)類型的定義、公平信息實(shí)踐原則的概念,以及推動(dòng)隱私解決方案開(kāi)發(fā)的隱私法規(guī)、標(biāo)準(zhǔn)和實(shí)踐。第4章介紹信息隱私威脅和信息系統(tǒng)的隱私漏洞,以及需求理解、威脅和漏洞結(jié)構(gòu),并通過(guò)隱私設(shè)計(jì)和隱私工程解決方案指導(dǎo)隱私保護(hù)實(shí)現(xiàn)。
● 第三部分——隱私安全控制技術(shù):信息安全和信息隱私的需求存在相當(dāng)多的重疊,因此,隱私設(shè)計(jì)者和工程師可以選擇適當(dāng)?shù)陌踩刂苼?lái)滿足部分隱私需求。第三部分詳述這些安全控制。第5章介紹系統(tǒng)訪問(wèn)的安全控制,包括授權(quán)、用戶身份驗(yàn)證和訪問(wèn)控制。第6章討論針對(duì)惡意軟件和入侵者的應(yīng)對(duì)策略。
● 第四部分——隱私增強(qiáng)技術(shù):第四部分討論超出傳統(tǒng)安全控制范圍的技術(shù)和實(shí)踐,以滿足隱私需求并應(yīng)對(duì)隱私威脅。第7章討論數(shù)據(jù)庫(kù)中復(fù)雜的隱私問(wèn)題,涉及的主題包括匿名化、去標(biāo)識(shí)化和可查詢數(shù)據(jù)庫(kù)中的隱私。第8章概述在線隱私的威脅、需求和實(shí)現(xiàn)方法。第9章討論數(shù)據(jù)丟失防范的概念,并探討與云計(jì)算和物聯(lián)網(wǎng)相關(guān)的隱私問(wèn)題。
● 第五部分——信息隱私管理:第五部分討論管理和組織隱私控制和程序。第10章討論信息隱私治理作為企業(yè)治理的一個(gè)組成部分,如何在整個(gè)企業(yè)范圍內(nèi)指導(dǎo)和監(jiān)督與信息隱私相關(guān)的活動(dòng)。該章還重點(diǎn)介紹與信息隱私有關(guān)的管理問(wèn)題。第11章詳細(xì)介紹信息隱私管理的核心任務(wù)之一——隱私影響評(píng)估。第12章論述組織的必要任務(wù),即基于組織范圍內(nèi)的隱私意識(shí)建立隱私文化,并對(duì)負(fù)有隱私職責(zé)的員工進(jìn)行培訓(xùn)和教育。第13章討論審計(jì)和監(jiān)控隱私控制性能的技術(shù),以發(fā)現(xiàn)系統(tǒng)中的漏洞并設(shè)計(jì)改進(jìn)方案。該章還討論通過(guò)事故管理來(lái)計(jì)劃和應(yīng)對(duì)隱私威脅。
● 第六部分——法律法規(guī)要求:第14章詳細(xì)介紹歐盟的《通用數(shù)據(jù)保護(hù)條例》,這也是大多數(shù)組織必須了解的重要的隱私法規(guī)。第15章介紹與隱私相關(guān)的主要美國(guó)聯(lián)邦法律以及《加州消費(fèi)者隱私法》。
支持網(wǎng)站
作者維護(hù)的網(wǎng)站W(wǎng)illiamStallings.com/Privacy按章列出了相關(guān)鏈接和本書的勘誤表。
作者還維護(hù)著計(jì)算機(jī)科學(xué)學(xué)生資源網(wǎng)站ComputerScienceStudent.com。該網(wǎng)站旨在為計(jì)算機(jī)科學(xué)專業(yè)的學(xué)生和專業(yè)人員提供文檔、信息和鏈接,內(nèi)容分為以下七類:
● 數(shù)學(xué):包括基本的數(shù)學(xué)相關(guān)知識(shí)、排隊(duì)分析入門、數(shù)字系統(tǒng)入門以及許多數(shù)學(xué)網(wǎng)站鏈接。
● 操作方法:為家庭作業(yè)答疑、撰寫技術(shù)報(bào)告和準(zhǔn)備技術(shù)演示提供建議和指導(dǎo)。
● 研究資源:提供重要論文集、技術(shù)報(bào)告和參考文獻(xiàn)的鏈接。
● 其他用途:提供多種其他可參考的文件和鏈接。
● 計(jì)算機(jī)科學(xué)職業(yè):為有志于計(jì)算機(jī)科學(xué)領(lǐng)域工作的人員提供可參考鏈接和文件。
● 寫作幫助:有助于更清晰、更高效地撰寫論文。
● 其他話題:需要偶爾轉(zhuǎn)移注意力以放松大腦。
相關(guān)書籍推薦
本書作者也編撰了Effective Cybersecurity: A Guide to Using Best Practices and Standards(Pearson,2019)一書。這本書適用于IT和安全管理人員、IT安全維護(hù)人員以及其他對(duì)網(wǎng)絡(luò)安全和信息安全感興趣的人。這本書能夠幫助隱私管理人員和工程師更好地掌握信息隱私計(jì)劃的基本要素:安全實(shí)踐的技術(shù)和管理。
致謝
本書得益于許多人的努力,他們慷慨地付出了大量的時(shí)間和精力。這里特別感謝Bruce DeBruhl和Stefan Schiffner,他們花費(fèi)了大量時(shí)間來(lái)詳細(xì)審閱整個(gè)手稿。我還要感謝那些對(duì)書籍原稿提出了建設(shè)性意見(jiàn)的人:Steven M. Bellovin、Kelley Dempsey、Charles A. Russell、Susan Sand和Omar Santos。
還要感謝那些詳細(xì)審閱了一章或多章內(nèi)容的人:Kavitha Ammayappan、Waleed Baig、Charlie Blanchard、Rodrigo Ristow Branco、Tom Cornelius、Shawn Davis、Tony Fleming、Musa Husseini、Pedro Inacio、Thomas Johnson、Mohammed B.M.Kamel、Rob Knox、Jolanda Modic、Omar Olivos、Paul E.Paray、Menaka Pushpa、Andrea Razzini、Antonius Ruslan、Ali Samouti、Neetesh Saxena、Javier H.Scodelaro、Massimiliano Sembiante、Abhijeet Singh和Bill Woolsey。
后,我要感謝Pearson公司負(fù)責(zé)本書出版的工作人員,特別是Brett Bartow(IT專業(yè)產(chǎn)品管理總監(jiān))、Chris Cleveland(開(kāi)發(fā)編輯)、Lori Lyons(高級(jí)項(xiàng)目編輯)、Gayathri Umashankaran(產(chǎn)品經(jīng)理)和Kitty Wilson(文字編輯)。也要感謝Pearson的市場(chǎng)和銷售人員,本書能夠成功面世離不開(kāi)他們的努力。
前言
作者簡(jiǎn)介
部分 概述
第1章 安全和密碼學(xué)
1.1網(wǎng)絡(luò)空間安全、信息安全和網(wǎng)絡(luò)安全
1.1.1安全的目標(biāo)
1.1.2信息安全面臨的挑戰(zhàn)
1.2安全攻擊
1.2.1被動(dòng)攻擊
1.2.2主動(dòng)攻擊
1.3安全服務(wù)
1.3.1身份驗(yàn)證
1.3.2訪問(wèn)控制
1.3.3數(shù)據(jù)機(jī)密性
1.3.4數(shù)據(jù)完整性
1.3.5不可抵賴性
1.3.6可用性服務(wù)
1.4安全機(jī)制
1.5密碼算法
1.5.1無(wú)密鑰算法
1.5.2單密鑰算法
1.5.3雙密鑰算法
1.6對(duì)稱加密
1.7非對(duì)稱加密
1.8密碼哈希函數(shù)
1.9數(shù)字簽名
1.10實(shí)際應(yīng)用中的注意事項(xiàng)
1.10.1密碼算法和密鑰長(zhǎng)度的選擇
1.10.2實(shí)現(xiàn)的注意事項(xiàng)
1.10.3輕量級(jí)密碼算法
1.10.4后量子密碼算法
1.11公鑰基礎(chǔ)設(shè)施
1.11.1公鑰證書
1.11.2PKI架構(gòu)
1.12網(wǎng)絡(luò)安全
1.12.1通信安全
1.12.2設(shè)備安全
1.13關(guān)鍵術(shù)語(yǔ)和復(fù)習(xí)題
1.13.1關(guān)鍵術(shù)語(yǔ)
1.13.2復(fù)習(xí)題
1.14參考文獻(xiàn)
第2章 信息隱私概念
2.1關(guān)鍵隱私術(shù)語(yǔ)
2.2隱私設(shè)計(jì)
2.2.1隱私設(shè)計(jì)的原則
2.2.2需求與政策制定
2.2.3隱私風(fēng)險(xiǎn)評(píng)估
2.2.4隱私和安全控制選擇
2.2.5隱私程序和集成計(jì)劃
2.3隱私工程
2.3.1隱私實(shí)現(xiàn)
2.3.2系統(tǒng)集成
2.3.3隱私測(cè)試與評(píng)估
2.3.4隱私審計(jì)和事件響應(yīng)
2.4隱私與安全
2.4.1安全和隱私的交叉部分
2.4.2安全和隱私之間的權(quán)衡
2.5隱私和效用
2.6可用隱私
2.6.1隱私服務(wù)和功能的用戶
2.6.2可用性和效用
2.7關(guān)鍵術(shù)語(yǔ)和復(fù)習(xí)題
2.7.1關(guān)鍵術(shù)語(yǔ)
2.7.2復(fù)習(xí)題
2.8參考文獻(xiàn)
第二部分 隱私需求和威脅
第3章 信息隱私需求及指導(dǎo)
3.1個(gè)人身份信息及個(gè)人數(shù)據(jù)
3.1.1PII的來(lái)源
3.1.2PII的敏感性
3.2不屬于PII的個(gè)人信息
3.3公平信息實(shí)踐原則
3.4隱私條例
3.4.1歐盟隱私法律和法規(guī)
3.4.2美國(guó)隱私法律和法規(guī)
3.5隱私標(biāo)準(zhǔn)
3.5.1國(guó)際標(biāo)準(zhǔn)化組織
3.5.2美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)
3.6隱私實(shí)踐
3.6.1信息安全論壇
3.6.2云安全聯(lián)盟
3.7關(guān)鍵術(shù)語(yǔ)和復(fù)習(xí)題
3.7.1關(guān)鍵術(shù)語(yǔ)
3.7.2復(fù)習(xí)題
3.8參考文獻(xiàn)
第4章 信息隱私威脅和漏洞
4.1不斷演變的威脅環(huán)境
4.1.1技術(shù)進(jìn)步的總體影響
4.1.2收集數(shù)據(jù)的再利用
4.1.3PII的獲取方式
4.2隱私威脅分類法
4.2.1信息收集
4.2.2信息處理
4.2.3信息傳播
4.2.4入侵
4.3NIST威脅模型
4.4威脅來(lái)源
4.5識(shí)別威脅
4.6隱私漏洞
4.6.1漏洞類別
4.6.2隱私漏洞的定位
4.6.3國(guó)家漏洞數(shù)據(jù)庫(kù)和通用漏洞評(píng)分系統(tǒng)
4.7關(guān)鍵術(shù)語(yǔ)和復(fù)習(xí)題
4.7.1關(guān)鍵術(shù)語(yǔ)
4.7.2復(fù)習(xí)題
4.8參考文獻(xiàn)
第三部分 隱私安全控制技術(shù)
第5章 系統(tǒng)訪問(wèn)
5.1信息訪問(wèn)概念
5.1.1特權(quán)
5.1.2系統(tǒng)訪問(wèn)功能
5.1.3系統(tǒng)訪問(wèn)的隱私注意事項(xiàng)
5.2授權(quán)
5.2.1隱私授權(quán)
5.3用戶身份驗(yàn)證
5.3.1身份驗(yàn)證方法
5.3.2多重要素身份驗(yàn)證
5.3.3電子用戶身份驗(yàn)證模型
5.4訪問(wèn)控制
5.4.1主體、客體和訪問(wèn)權(quán)限
5.4.2訪問(wèn)控制策略
5.4.3自主訪問(wèn)控制
5.4.4基于角色的訪問(wèn)控制
5.4.5基于屬性的訪問(wèn)控制
5.5身份識(shí)別和訪問(wèn)管理
5.5.1IAM架構(gòu)
5.5.2聯(lián)邦身份管理
5.6關(guān)鍵術(shù)語(yǔ)和復(fù)習(xí)題
5.6.1關(guān)鍵術(shù)語(yǔ)
5.6.2復(fù)習(xí)題
5.7參考文獻(xiàn)
第6章 惡意軟件和入侵者
6.1惡意軟件防護(hù)活動(dòng)
6.1.1惡意軟件類型
6.1.2惡意軟件威脅的性質(zhì)
6.1.3實(shí)用惡意軟件防護(hù)
6.2惡意軟件防護(hù)軟件
6.2.1惡意軟件防護(hù)軟件的功能
6.2.2管理惡意軟件防護(hù)軟件
6.3防火墻
6.3.1防火墻特征
6.3.2防火墻類型
6.3.3下一代防火墻
6.3.4DMZ網(wǎng)絡(luò)
6.3.5現(xiàn)代IT邊界
6.4入侵檢測(cè)
6.4.1基本入侵檢測(cè)原理
6.4.2入侵檢測(cè)方法
6.4.3主機(jī)端入侵檢測(cè)技術(shù)
6.4.4網(wǎng)絡(luò)端入侵檢測(cè)系統(tǒng)
6.4.5IDS實(shí)踐
6.5關(guān)鍵術(shù)語(yǔ)和復(fù)習(xí)題
6.5.1關(guān)鍵術(shù)語(yǔ)
6.5.2復(fù)習(xí)題
6.6參考文獻(xiàn)
第四部分 隱私增強(qiáng)技術(shù)
第7章 數(shù)據(jù)庫(kù)中的隱私
7.1基本概念
7.1.1個(gè)人數(shù)據(jù)屬性
7.1.2數(shù)據(jù)文件類型
7.2重識(shí)別攻擊
7.2.1攻擊類型
7.2.2潛在的攻擊者
7.2.3披露風(fēng)險(xiǎn)
7.2.4對(duì)隱私威脅的適用性
7.3直接標(biāo)識(shí)符的去標(biāo)識(shí)化
7.3.1匿名化
7.3.2假名化
7.4微數(shù)據(jù)文件中準(zhǔn)標(biāo)識(shí)符的去標(biāo)識(shí)化
7.4.1隱私保護(hù)數(shù)據(jù)發(fā)布
7.4.2披露風(fēng)險(xiǎn)與數(shù)據(jù)效用
7.4.3PPDP技術(shù)
7.5k-匿名、l-多樣性與t-緊密性
7.5.1k匿名
7.5.2l多樣性
7.5.3t緊密性
7.6匯總表保護(hù)
7.6.1頻次表
7.6.2量級(jí)表
7.7可查詢數(shù)據(jù)庫(kù)的隱私
7.7.1隱私威脅
7.7.2保護(hù)可查詢數(shù)據(jù)庫(kù)
7.8關(guān)鍵術(shù)語(yǔ)和復(fù)習(xí)題
7.8.1關(guān)鍵術(shù)語(yǔ)
7.8.2復(fù)習(xí)題
7.9參考文獻(xiàn)
第8章 在線隱私
8.1個(gè)人數(shù)據(jù)的在線生態(tài)系統(tǒng)
8.2Web安全與隱