《信息**原理与实践》全面讲解网络信息**,主要内容有: 信息**的基本原则和概念;信息**的公共知识体系;**管理;**架构与模型;业务持续计划和灾难恢复计划;法律,调查与道德规范;操作**;访问控制系统与方法论;密码学;电信、网络、以及Internet**;应用程序的开发**。
《信息**原理与实践》具有完善的知识体系。知识的讲解细致详尽,循序渐进,通俗易懂,易于入手,深入浅出的剖析,逐步提高读者的使用能力,巩固学习技能。
另外,《信息**原理与实践》注重实践、强调实用。大量的练习,由简单到复杂,完全覆盖了网络信息**应用各个方面涉及的知识内容。辅助功能讲解的练习(in Practice)以及课后练习中的大量选择题(测试读者对知识的理解程度)、练习题(围绕章节中出现的个别概念设计的简要、引导性的课程项目)、项目题(综合一章内若干知识点的较长、引导��的课程项目)和案例研究(运用该章中的知识点来解决问题的实际场景),可以在理论知识的学习基础上边学边练,通过实际操作理解各种功能的实际应用。针对各种练习,书中提供了详细的操作步骤,注意事项,初学者以及具有一定基础的中级读者,只要按照步骤

调查会提醒我们,员工盗窃越来越多,而且没有明显的迹像表明它会降下来。根据2001年的NRSS,零售商将他们公司超过45%的损失归咎于员工盗窃,包括窃取公司的有价值信息。正如你将看到,物理**不仅是针对来,自外部的攻击,也包括那些员T悄然进行的“内部小动作”。这些员工之所以这么做,通常是因为他们觉得他们的公司“剥削了他们”。不过有些情况下那些员工就是纯粹的内贼,没有其他的原因。
NRSS描述了因为失窃,公司的损失是些具体商品(如衣物、DVD、生产零件,等等)的损失的传统观点。实际上,知识产权的损失和公司的信息使得传统的财产定义变得复杂化,也使组织开始像看待外部盗窃一样,高度重视这种内部盗窃行为了。
本章一些这方面的信息可能看起来是直观和显然的,但遗憾的是,太多的组织,或大或小,都忽视物理**一些重要而又基本的方面。这就是为什么物理**是CISSP的公共知识体系(CBK)的10个知识范畴之一的原因。8.2理解物理**范畴
物理**范畴包含非常传统的保安的内容,他们负责对付有意或无意盗窃,也负责保护物理环境和周边基础设施的**。假如你曾经在一个大型公司工作过,或者进入了市政大楼,你很可能亲自经历过安检:徽章阅读器、电视监视器、包裹或者机场里见到的x射线扫描设备,以及武装的保安人员。物理**的水平一般是和被保护的资产价值成比例的。诸如政府或者从事高水平研究的公司通常会使用更加精密的物理**检查,如生物识别(稍后解释)。他们这么做的原因可能是组织内部特征是严格区分的。即使是保存着敏感性较差的组织,也还是需要担心他们的客户和雇员信息被泄漏,就会导致损失,甚至是致命的官司。且不论一个组织的规模和本质,物理**范畴的目标是在必要的地点安排保安人员,以保护组织的资产和确保一旦人为或自然的灾害发生时,组织的业务仍能持续运转。
保证物理**的挑战在于要使保护活动对于组织工作场所里的内部人员来说简单易行,但对外部人员来说难以参与其中,难以从中获得指示信息。因此,物理**,就像许多其他的**领域一样,是一个精心平衡的工作,这个工作要求人员可靠、降低因疏忽或者蓄意的行为造成的威胁发生可能性的程序有效,以及需要充分的技术保障来维持警惕性。 本书全面讲解网络信息**,主要内容有:信息**的基本原则和概念;信息**的公共知识体系;**管理;**架构与模型;业务持续计划和灾难恢复计划;法律,调查与道德规范;操作**;访问控制系统与方法论;密码学;电信、网络、以及Internet**;应用程序的开发**。
本书具有完善的知识体系。知识的讲解细致详尽,循序渐进,通俗易懂,易于入手,深入浅出的剖析,逐步提高读者的使用能力,巩固学习技能。
另外,本书注重实践、强调实用。大量的练习,由简单到复杂,完全覆盖了网络信息**应用各个方面涉及的知识内容。辅助功能讲解的练习(inPractice)以及课后练习中的大量选择题(测试读者对知识的理解程度)、练习题(围绕章节中出现的个别概念设计的简要、引导性的课程项目)、项目题(综合一章内若干知识点的较长、引导性的课程项目)和案例研究(运用该章中的知识点来解决问题的实际场景),可以在理论知识的学习基础上边学边练,通过实际操作理解各种功能的实际应用。针对各种练习,书中提供了详细的操作步骤,注意事项,初学者以及具有一定基础的中级读者,只要按照步骤一步步学习,都能完成实例练习,并通过技巧的提示达到举一反三的目的,在较短的时间内快速掌握知识应用的精髓。
本书主要由贺民、李波、李鹏飞翻译,参加翻译的还有韦笑、王雷、李志云、李晓春、陈安华、孙宏、赵成璧、侯佳宜、许伟、戴文雅、于樊鹏、刘朋、王嘉佳、李腾、邓卫、邓凡平、陈磊、李建锋、樊旭平、唐玮、周京平、李强、赵东辉、吴江华、孙燕、周刚、高强等人。虽竭尽所能,但由于水平有限,翻译过程中可能还会有错误和疏漏之处,烦请读者批评指正。前言在向学员讲授一个像信息**学这样复杂多变的学科时,*好是先让他们对这个学科有高层次的理解,然后再处理细节的部分。对学科的目标、术语、原则,以及框架的扎实掌握,有助于他们去理解:如何把问题放在一定背景下,去寻找到实际的解决方案。这也是本书的目标:向学员介绍信息**领域*重要的主题,然后激发他们的兴趣去学习更多的主题。
知识主体(BodyofKnowledge,在IT**业界是这么称)是博大精深的,有些时候还是变幻莫测的。**领域中的解决方案不总是直截了当的,因为它们要解决的问题很少是直观的。对于信息技术**,是没有现成的烹饪书,或者包治百病的良方的。理想情况下,要保护计算机系统免受攻击和非授权的访问,就要预计到问题,而且谋划出策略,去解决人员、流程、技术如何交互的问题。尽管不总切实际,**的目标就是要防患于未然;或者不是一味地和当下大多数组织那样,去处理**问题。
可是,凡事岂能尽如人愿?
本书引导读者学习信息技术**汪洋般的主题和问题,同时尽量少用技术性的词汇描述。本书中的篇章结构依照公共知识体系(CommonBodyofKnowledge,CBK)的主要知识范畴(domains)进行安排,帮助教师安排课程,也为学有余力的学员准备了更为详尽的各种主题的考试。如果学员已经熟悉了信息**的若干概念,那么本书也足够详尽够他们保持阅读的兴趣,而且讨论了一些他们之前可能没考虑过的问题。
IT**专家很少是该学科中所有领域中的专家。如果要取得职业上的成功,他们必须专注于精心选择的几个领域。本书引导学员学习关键的主题,帮助他们判断哪些领域是他们*感兴趣的。
根据美国劳工统计局的统计,在可见的未来,对IT**专家的需求将持续增长(www.bls.gov/oco/ocos042.htm)。随着越来越多的计算机走进办公室、家庭和公共场所,对**的需求也不断增长,而有经验而且受过培训的**人员却供应不足。商业公司、政府机构,以及类似民间组织都需要**方面的专家来帮助他们,保障他们日益依赖的计算资源是**可靠的。对于那些决定进入信息**领域的学员,他们会发现该书能帮助他们规划职业路线,帮助他们加入到该学科不同层次的专家中去。如果学员的兴趣更为广泛,或者想涉猎更广泛的信息**课程,他们会发现该书中涵盖的主题不仅是信息丰富的,而且对他们的生活也是大有裨益。
读者对象
本书是信息**的入门课程的入门教材。学习IT**方面的课程,需要对电子通信网络和Internet的运行有基本的理解。本教材也是深入研究CBK的知识范畴以及相关主题的有用基础。它的内容、评论资料、练习题,以及每节末的问题,是用来测验该节的目标是否达到的。
本书主要内容
本教材针对特定的人士编写,这类人士期望对**的原则和实践有更精深的掌握,或者打算进入信息**领域从事研究或实践。本书根据人们广泛接受的公共知识体系来选择和组织主题。其中公共知识体系是由国际信息系统**认证联盟(InternationalInformationSystemSecurityCertificationConsortium)制定的(www.isc2.org)。尽管本书的内容采用了CBK,但是不能认为本书是CISSP考试,或者基于CBK的ISC2考试的一本学习辅导书。
信息**--原理与实践前言本书的第1、2章概述了信息**(InformationSecurity,InfoSec)的基本原则和概念,这些原则和概念确定了本书剩余部分的内容和目标。第3章介绍了信息**的公共知识体系,而且提供了该体系10个知识范畴的概况。
第4~13章遵循了CBK10个知识范畴在原则和概念层次上的内容,分别讨论了如下内容。
**管理(第4章)审视了各种**政策、标准和其他构成IT**管理计划的文档。该章包含了构建成功的管理系统的原则和业界*佳实践。
**架构与模型(第5章)提供了通用**架构与信息保证模型的框架和原则。其中信息保证模型应用于列举在本书的各种**机制中。
业务持续计划和灾难恢复计划(第6章)关注那些在访问能力损失或者发生影响业务信息系统运作的灾难时,需要用来保证业务持续进行的操作的各种原则、方法以及工具。
法律、调查与道德规范(第7章)涵盖了和收集计算机犯罪证据相关的原则和实践。第7章同样也关注了IT**人员需要谨记的道德规范。
物理**(第8章)审视了在安装用于服务于项目的室内计算机设备时所需的**机制、建筑物和**需求。
操作**(第9章)提供了用于数据**人事**的原则和实践,它们防止了特权滥用,保证了IT系统以及相关**需求的可靠性。
访问控制系统与方法论(第10章)深入审视了实现“*少特权”和“基本知情控制”的IT访问控制的各个方面。
密码学(第11章)审视了用于伪装信息的密码学机制和技术。它包含了私钥和公钥加密机制,以及一些用来保护敏感商业信息的现代算法。该章的内容不假设学员有很高的数学背景,所涵盖的主题在于描述加密技术的应用,而不是去开发新的或者更好的加密系统。
电信、网络以及Internet**(第12章)涵盖了在计算机网络中,用于实现网络化的“深层次防御”策略的完整**机制。
应用程序的开发**(第13章)关注室内开发且自定义的项目的**需求。它提供了一套**的控制措施和用于保证在系统开发的全生命周期(SystemDevelopmentLifeCycle,SDLC)不会引入明显漏洞的技术。

1.1 导言1
1.2 增长的IT**重要性与新的职业机会2
1.2.1 政府和私营工商业的持续需求2
1.3 成为信息**专家3
1.3.1 应运而生的教育机构5
1.3.2 综合学科研究法6
1.4 信息**的环境7
1.4.1 信息**职业--业务**的需要8
1.5 本章小结9
1.6 技能测试9
1.6.1 多项选择题9
1.6.2 练习题11
1.6.3 项目题12
1.6.4 案例研究12

第2章 信息**的成功原则15

2.1 导言15
2.2 原则1: 没有**的**16
2.3 原则2: **三目标--私密性、完整性和可用性17
2.3.1 完整性模型17
2.3.2 可用性模型18
2.4 原则3: 部署**分层机制18
2.5 原则4: 人们容易自行做出*糟的**决定19
2.6 原则5: 决定计算机**的两项需求--功能性需求与保险性需求20
2.7 原则6: 模糊性不是**的解决之道21
2.8 原则7: **=风险管理21
2.9 原则8: **控制的三种类型: 预防型控制、探测型控制和响应型控制23
2.10 原则9: 复杂性是**性的大敌23
2.11 原则10: 担忧、不确定性、疑惑对销售**没用24
2.12 原则11: 必要的人、流程、技术是系统或设施**的保障24
2.13 原则12: 公开已知的漏洞有助于**25
2.14 本章小结25
2.15 技能测试26
2.15.1 多项选择题26
2.15.2 练习题27
2.15.3 项目题28
2.15.4 案例研究29

第3章 认证计划与公共知识体系31
3.1 导言31
3.2 信息**及其认证31
3.2.1 国际信息系统**认证联盟32
3.3 信息**的公共知识体系(CBK) 33
3.3.1 **管理实务33
3.3.2 **体系结构和模型34
3.3.3 业务持续性计划34
3.3.4 法律、调查和道德35
3.3.5 物理**35
3.3.6 操作**35
3.3.7 访问控制系统和方法36
3.3.8 密码学36
3.3.9 电信、网络和Internet**36
3.3.10 应用开发**37
3.4 其他**认证项目37
3.4.1 注册信息系统审计师(CISA) 37
3.4.2 注册信息**员(CISM) 38
3.4.3 全球信息保证证书(GIAC) 38
3.4.4 CompTIA Security+认证38
3.4.5 针对供应商的认证38
3.5 本章小结40
3.6 技能测试40
3.6.1 多项选择题40
3.6.2 练习题42
3.6.3 项目题43
3.6.4 案例研究44

第4章 **管理45
4.1 导言45
4.2 **策略是成功的基础46
4.3 4种策略类型47
4.3.1 程序层次的策略48
4.3.2 框架层次的策略49
4.3.3 面向问题的策略49
4.3.4 面向系统的策略51
4.4 **策略的开发与管理51
4.4.1 **目标51
4.4.2 可操作的**52
4.4.3 策略执行52
4.5 策略支持文档53
4.5.1 规范53
4.5.2 标准和基准54
4.5.3 方针55
4.5.4 程序55
4.6 **的标准的分类方法55
4.6.1 资产分类55
4.6.2 权力分离56
4.6.3 职前雇用实践57
4.6.4 风险分析和管理57
4.6.5 教育、培训与**意识59
4.7 谁为**负责59
4.8 本章小结60
4.9 技能测试60
4.9.1 多项选择题60
4.9.2 练习题63
4.9.3 项目题63
4.9.4 案例研究64

第5章 **架构与模型65
5.1 导言65
5.2 可信计算基础的定义66
5.2.1 信任环66
5.3 可信计算基础中的保护机制68
5.4 “系统**保证”概念70
5.4.1 **测试的目标70
5.4.2 规范的**测试模型70
5.5 可信计算机的**评估准则(TCSEC) 71
5.5.1 等级D: *低保护72
5.5.2 等级C: 自定式保护72
5.5.3 等级B: 强制式保护72
5.5.4 等级A: 可验证式保护73
5.5.5 TCSEC中可信网络的解释(TNI) 74
5.6 信息技术的**评估准则74
5.6.1 ITSEC与TCSEC的比较74
5.6.2 ITSEC的保证等级75
5.7 加拿大可信计算机产品的评估准则75
5.8 美国联邦信息技术的**准则76
5.9 通用准则76
5.9.1 保护配置文件的组织形式78
5.9.2 功能性**需求78
5.9.3 评估保证等级80
5.9.4 通用评估方法论81
5.10 私密性与完整性模型82
5.10.1 Bell-LaPadula模型82
5.10.2 Bila完整性模型83
5.10.3 **模型83
5.11 本章小结84
5.12 技能测试84
5.12.1 多项选择题84
5.12.2 练习题86
5.12.3 项目题86
5.12.4 案例研究87

第6章 业务持续计划和灾难恢复计划89
6.1 导言89
6.2 总览业务持续计划与灾难恢复计划90
6.2.1 为什么BCP如此重要?91
6.2.2 中断事件的种类91
6.2.3 BCP的定义范围92
6.2.4 创建业务影响分析93
6.3 灾难恢复计划93
6.3.1 确定恢复策略94
6.3.2 共享站点协议94
6.3.3 备用站点94
6.3.4 补充协议95
6.3.5 测试灾难恢复计划95
6.3.6 组织内与组织外96
6.4 本章小结96
6.5 技能测试97
6.5.1 多项选择题97
6.5.2 练习题99
6.5.3 项目题100
6.5.4 案例研究100

第7章 法律、调查与道德规范103
7.1 导言103
7.2 计算机犯罪类型104
7.3 如何实施网络犯罪105
7.4 计算机及相关法律107
7.4.1 司法体系中的立法部门107
7.4.2 司法体系中的管理部门107
7.4.3 司法体系中的判决部门107
7.5 知识产权法108
7.5.1 专利法108
7.5.2 商标法109
7.5.3 商业秘密法109
7.6 隐私及相关法律110
7.6.1 国际性的隐私问题110
7.6.2 美国的隐私法111
7.7 计算机取证112
7.8 信息**业的职业道德113
7.9 其他道德规范114
7.9.1 计算机伦理研究所114
7.9.2 Internet活动委员会: 道德和Internet114
7.9.3 公平信息实践法规115
7.10 本章小结115
7.11 技能测试116
7.21.1 多项选择题116
7.21.2 练习题118
7.21.3 项目题119
7.21.4 案例研究120

第8章 物理**控制121
8.1 导言121
8.2 理解物理**范畴122
8.3 物理**的威胁123
8.4 提供物理**123
8.4.1 人事教育123
8.4.2 行政式访问控制124
8.4.3 物理**控制125
8.4.4 技术性控制127
8.4.5 环境控制/生命**控制130
8.5 本章小结131
8.6 技能测试132
8.6.1 多项选择题132
8.6.2 练习题134
8.6.3 项目题135
8.6.4 案例研究135

第9章 操作**137
9.1 导言137
9.2 操作**的原则138
9.3 **操作过程控制139
9.4 实施中的**操作140
9.4.1 软件支持141
9.4.2 配置与变更管理141
9.4.3 备份141
9.4.4 媒体控制142
9.4.5 文档143
9.4.6 维护144
9.4.7 相依性144
9.5 本章小结145
9.6 技能测试145
9.6.1 多项选择题145
9.6.2 练习题146
9.6.3 项目题147
9.6.4 案例研究148

第10章 访问控制体系和方法论149
10.1 概述149
10.2 术语和概念150
10.2.1 标识150
10.2.2 认证150
10.2.3 *低特权(须知)150
10.2.4 信息所有者150
10.2.5 自由访问控制151
10.2.6 访问控制列表151
10.2.7 强制访问控制151
10.2.8 基于角色的访问控制152
10.3 认证原则153
10.3.1 密码问题153
10.3.2 多要素认证154
10.4 生理学155
10.5 单点登录156
10.5.1 Kerberos157
10.5.2 联合标识157
10.6 远程用户访问和认证160
10.6.1 远程访问用户拨入服务160
10.6.2 虚拟专用网161
10.7 本章小结161
10.8 技能测试161
10.8.1 多项选择题161
10.8.2 练习题163
10.8.3 项目题164
10.8.4 案例研究165

第11章 密码学167
11.1 导言167
11.2 将密码学应用于信息系统168
11.3 术语和概念169
11.4 密码系统的强度170
11.4.1 密码系统满足了当今电子商务的需要172
11.4.2 密码系统中密钥的角色173
11.5 综合应用174
11.5.1 摘要数据175
11.5.2 数字证书177
11.6 调查数字化密码系统179
11.6.1 散列函数179
11.6.2 密文块179
11.6.3 PPK密码系统的实现180
11.7 本章小结183
11.8 技能测试183
11.8.1 多项选择题183
11.8.2 练习题185
11.8.3 项目题186
11.8.4 案例研究187

第12章 通信、网络和Internet**189
12.1 导言189
12.2 网络和通信**190
12.3 网络**背景190
12.4 开放系统互联(OSI)参考模型191
12.4.1 协议栈191
12.4.2 OSI参考模型和TCP/IP193
12.4.3 OSI模型和**195
12.5 数据网络类型196
12.5.1 局域网197
12.5.2 广域网197
12.5.3 Internet197
12.5.4 企业内部网198
12.5.5 企业外部网198
12.6 保护TCP/IP网络198
12.7 基本**架构198
12.7.1 路由器198
12.7.2 数据包过滤199
12.7.3 包过滤路由器的优点200
12.7.4 包过滤路由器的局限200
12.8 防火墙201
12.8.1 应用级防火墙201
12.8.2 堡垒主机202
12.8.3 应用级网关的优点203
12.8.4 应用级网关的局限203
12.8.5 防火墙实例203
12.8.6 明智选择207
12.9 入侵检测系统207
12.9.1 什么样的入侵?207
12.9.2 **入侵检测系统的特征208
12.9.3 假阳性、假阴性和颠覆攻击209
12.10 虚拟专用网210
12.10.1 IPSec210
12.10.2 **策略213
12.10.3 IPSec密钥管理213
12.11 本章小结213
12.12 技能测试214
12.12.1 多项选择题214
12.12.2 练习题216
12.12.3 项目题216
12.12.4 案例研究217

第13章 应用开发的**性219
13.1 导言219
13.2 软件项目实践220
13.3 软件开发生命周期221
13.4 分布式系统223
13.4.1 软件代理224
13.4.2 Java224
13.4.3 Java Applets224
13.4.4 ActiveX 控件224
13.4.5 分布式对象225
13.4.6 恶意软件226
13.5 反病毒软件226
13.6 通过SDLC提高**性227
13.6.1 教育组228
13.6.2 软件过程组228
13.6.3 补丁管理组229
13.6.4 激励组229
13.7 本章小结230
13.8 技能测试230
13.8.1 多项选择题230
13.8.2 练习题232
13.8.3 项目题233
13.8.4 案例研究234

第14章 未来的**性的未来235
14.1 导言235
14.2 持续监控和时刻警戒235
14.3 运转合格接收人237
14.4 身份窃取和美国监管环境238
14.5 不断增加的威胁238
14.5.1 销售商试图使**研究人员保持沉默239
14.5.2 域欺骗增强了作为网络钓鱼攻击的补充239
14.6 **威胁的趋势240
14.7 信息**专家的美好未来240
14.7.1 要求高于**技能241
14.8 本章小结241
14.9 技能测试242
14.9.1 多项选择题242
14.9.2 练习题244
14.9.3 项目题244
14.9.4 案例研究245

附录A 公共知识体系247
A.1 **管理实践247
A.1.1 关键知识域247
A.2 **架构和模型249
A.2.1 关键知识域249
A.3 业务连续性计划(BCP)和灾难恢复计划(DRP) 251
A.3.1 关键知识域251
A.4 法律、调查和道德规范254
A.4.1 关键知识域254
A.5 物理**256
A.5.1 关键知识域256
A.6 运作**258
A.6.1 关键知识域258
A.7 访问控制系统和方法学262
A.7.1 关键知识域262
A.8 密码学264
A.8.1 关键知识域264
A.9 电信和网络**266
A.9.1 关键知识域266
A.10 应用和系统开发**268
A.10.1 关键知识域268

附录B **策略和标准分类273
B.1 **管理策略273
B.1.1 信息**组织273
B.1.2 训练和意识273
B.2 风险管理策略274
B.2.1 信息所有权274
B.2.2 信息分类274
B.2.3 风险评估274
B.3 **基准274
B.3.1 防拷贝介质的**性274
B.3.2 电子介质的**性275
B.4 人事**策略275
B.4.1 雇佣前控制275
B.4.2 责任分离275
B.4.3 雇佣时控制275
B.4.4 人事管理275
B.4.5 转职/辞职/解雇控制276
B.5 物理**策略276
B.5.1 设备的**性276
B.5.2 信息系统的**性276
B.5.3 火灾保护276
B.5.4 水灾保护277
B.5.5 环境控制277
B.6 运作管理策略277
B.6.1 运作管理和控制277
B.6.2 恶意代码和病毒278
B.6.3 备份和恢复278
B.6.4 软件支持278
B.7 **监控和响应策略278
B.7.1 行为监控(Monitoring Activities) 278
B.7.2 事件响应279
B.8 通信管理策略279
B.8.1 加密279
B.8.2 信息交换279
B.8.3 电子邮件、Internet和其他电子通信279
B.8.4 语音/传真/影像通信280
B.8.5 会议和谈话280
B.9 访问控制策略280
B.9.1 用户注册和授权280
B.9.2 标识280
B.9.3 认证280
B.9.4 特权和特定账户的访问281
B.9.5 远程访问281
B.10 网络**策略282
B.10.1 网络访问282
B.10.2 网络**控制设备282
B.11 第三方服务策略283
B.11.1 第三方服务283
B.12 应用开发策略283
B.12.1 应用开发过程283
B.12.2 商业系统需求283
B.12.3 应用测试(Application Testing) 284
B.13 恢复和业务连贯性区域284
B.13.1 业务连贯性管理程序284
B.13.2 恢复/业务连贯性计划测试需求284
B.13.3 恢复网站284
B.13.4 法定的、一致的和受控的需求284
B.13.5 **符合测试285

附录C 策略样本287
C.1 计算机可接受使用策略样本287
C.2 邮件使用策略样本290
C.3 密码策略样本292
C.4 无线网络(Wi-Fi)使用策略样本295

附录D **策略和标准管理系统内幕297

附录E HIPAA**规则和标准305
E.1 HIPAA**标准305
E.2 行政程序306
E.3 物理保障措施306
E.4 技术**服务307
E.5 技术**机制307术语表309
……