編寫信息安全策略

內(nèi)容概要

信息安全策略（Security Policy ）描述一個(gè)組織高層的安全目標(biāo)，它描述應(yīng)該做什么而不是怎么去做。確定組織的安全策略是一個(gè)組織實(shí)現(xiàn)安全管理和技術(shù)措施的前提，否則所有的安全措施都將無的放矢。本書以通俗而不是專業(yè)語言描述了什么是安全策略、怎樣編寫安全策略以及策略的維護(hù)周期，并給出了許多安全策略的樣板。    本書對(duì)于企業(yè)安全策略的編寫人員來說是一本難得的參考書。本書適用于各組織的高層技術(shù)人員和管理人員，特別是從事網(wǎng)絡(luò)安全領(lǐng)域的研究人員、IT技術(shù)服務(wù)領(lǐng)域的技術(shù)和管理人員。

作者簡(jiǎn)介

Scott Barman目前是一位信息安全和系統(tǒng)結(jié)構(gòu)分析師，受聘于MITRE公司。他已經(jīng)從事信息安全方面的工作將近20年，為商業(yè)組織和政府機(jī)構(gòu)促進(jìn)系統(tǒng)發(fā)展和實(shí)現(xiàn)它們的安全要求。從Internet被廣泛使用開始，在加入MITRE之前，他在華盛頓特區(qū)的許多組織中的不同領(lǐng)域從事安全策略方面的工作。本書的靈感來自于他的SANS’99演講。他從佐治大學(xué)獲得學(xué)士學(xué)位，從卡耐基·梅隆大學(xué)獲得信息系統(tǒng)管理碩士學(xué)位。

書籍目錄

第一部分  開始策略過程　  第1章  什么是信息安全策略　    1.1  關(guān)于信息安全策略　    1.2  策略的重要性　    1.3  什么時(shí)候制定策略　    1.4  怎樣開發(fā)策略　    1.5  小結(jié)　  第2章  確定策略需求　    2.1  明確要保護(hù)的對(duì)象　    2.2  判斷系統(tǒng)保護(hù)應(yīng)該針對(duì)哪些人　    2.3  數(shù)據(jù)安全考慮　    2.4  備份、文檔存儲(chǔ)和數(shù)據(jù)處理　    2.5  知識(shí)產(chǎn)權(quán)權(quán)利和策略　    2.6  意外事件響應(yīng)和取證　    2.7  小結(jié)　  第3章  信息安全責(zé)任　    3.1  管理層的責(zé)任　    3.2  信息安全部門的角色　    3.3  其它信息安全角色　    3.4  了解安全管理和法律實(shí)施　    3.5  信息安全意識(shí)培訓(xùn)和支持　    3.6  小結(jié)　第二部分  編寫安全策略　  第4章  物理安全　    4.1  計(jì)算機(jī)放置地點(diǎn)和設(shè)施結(jié)構(gòu)　    4.2  設(shè)備訪問控制　    4.3  意外事件應(yīng)對(duì)計(jì)劃　    4.4  一般計(jì)算機(jī)系統(tǒng)安全　    4.5  系統(tǒng)和網(wǎng)絡(luò)配置的定期審計(jì)　    4.6  人員方面的考慮　    4.7  小結(jié)　  第5章  身份認(rèn)證和網(wǎng)絡(luò)安全　    5.1  網(wǎng)絡(luò)編址和體系結(jié)構(gòu)　    5.2  網(wǎng)絡(luò)訪問控制　    5.3  登錄安全    5.4  口令　    5.5  用戶界面　    5.6  訪問控制　    5.7  遠(yuǎn)程辦公與遠(yuǎn)程訪問　    5.8  小結(jié)　  第6章  Internet安全策略　    6.1  理解Internet的大門　    6.2  管理責(zé)任　    6.3  用戶責(zé)任　    6.4  WWW策略　    6.5  應(yīng)用程序責(zé)任　    6.6  VPN、Extranet、Intranet和其它隧道（Tunnel）　    6.7  調(diào)制解調(diào)器和其它后門　    6.8  使用PKI和其它控制　    6.9  電子商務(wù)　    6.10  小結(jié)　  第7章  電子郵件安全策略　    7.1  電子郵件使用規(guī)則　    7.2  電子郵件的管理　    7.3  保密通信中電子郵件的使用　    7.4  小結(jié)　  第8章  病毒、蠕蟲和特洛伊木馬　    8.1  對(duì)保護(hù)的需要　    8.2  建立病毒保護(hù)類型    8.3  處理第三方軟件的規(guī)則　    8.4  牽涉到病毒的用戶　    8.5  小結(jié)　  第9章  加密　    9.1  法律問題　    9.2  加密管理　    9.3  對(duì)加密過程和被加密數(shù)據(jù)的處理　    9.4  關(guān)于密鑰生成　    9.5  密鑰管理　    9.6  小結(jié)　  第10章  軟件開發(fā)策略　    10.1  軟件開發(fā)過程　    10.2  測(cè)試和文檔　    10.3  修正控制和配置管理　    10.4  第三方開發(fā)　    10.5  知識(shí)產(chǎn)權(quán)問題　    10.6  小結(jié)　第三部分  維護(hù)策略　  第11章  可接受的使用策略　    11.1  編寫AUP　    11.2  用戶登錄責(zé)任　    11.3  系統(tǒng)和網(wǎng)絡(luò)的使用　    11.4  用戶責(zé)任　    11.5  公司責(zé)任和公開制度　    11.6  談話常識(shí)原則　    11.7  小結(jié)　  第12章  策略的遵守和執(zhí)行　    12.1  策略的測(cè)試和效果　    12.2  策略的公布和通告需求　    12.3  監(jiān)視、控制和補(bǔ)救　    12.4  管理員的責(zé)任　    12.5  日志方面的問題　    12.6  安全問題的報(bào)告　    12.7  計(jì)算機(jī)犯罪的提交　    12.8  小結(jié)　  第13章  策略審查過程　    13.1  對(duì)策略文檔的定期審查　    13.2  策略審查應(yīng)該包括什么　    13.3  審查委員會(huì)　    13.4  小結(jié)　第四部分  附錄　  附錄A  詞匯表　  附錄B  資源　  附錄C  策略范例

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    編寫信息安全策略 PDF格式下載

---