安全策略與規(guī)程

前言

隨著Internet的迅速發(fā)展，信息安全正成為一個越來越受關(guān)注的話題。本書遵循由一般到具體、由理論到實踐的原則闡述了當(dāng)前國內(nèi)外信息安全領(lǐng)域的相關(guān)主題，探討了信息安全平臺建設(shè)的理論基礎(chǔ)和設(shè)計思路，并從實際應(yīng)用出發(fā)探討如何切實地落實信息安全工作。本書有助于組織構(gòu)建符合IS()17799：2000信息安全標(biāo)準(zhǔn)的系統(tǒng)，這個標(biāo)準(zhǔn)為開發(fā)信息安全策略和理解信息安全控制提供了一個框架。在全書中，我們都會引用ISO 17799：2000標(biāo)準(zhǔn)。本書提供了信息安全思想的總體描述，以便企業(yè)管理人員能夠更好地評估他們的公司在處理信息安全問題上的表現(xiàn)。同時本書也提供一些實用方法來協(xié)助各個公司改進(jìn)其信息安全計劃。本書是按照為公司建立信息安全計劃的步驟來組織內(nèi)容的。本書分為三個部分。第1部分“策略簡介”旨在為開發(fā)、引薦和實施策略提供基礎(chǔ)。第2部分“信息安全策略的各個領(lǐng)域”探討了9個安全領(lǐng)域的信息安全策略和規(guī)程。第3部分“合規(guī)性”是關(guān)于策略和規(guī)程遵從聯(lián)邦規(guī)章以及行業(yè)最佳實踐的實際應(yīng)用。本書各章都配有相關(guān)的習(xí)題，以指導(dǎo)讀者深入地進(jìn)行學(xué)習(xí)。本書可作為高等學(xué)校計算機(jī)及相關(guān)專業(yè)的教材，也可作為信息安全及管理人員的參考書。對于有志成為信息安全專業(yè)人員的人，掌握本書中介紹的信息是絕對必要的。參加本書翻譯的人員有陳宗斌、陳紅霞、張景友、易小麗、陳婷、管學(xué)崗、王新彥、金惠敏、張海峰、徐曄、戴鋒、張德福、張士華、張鎖玲、杜明宗、高玉琢、王濤、申川、孫玲、李振國、高德杰、宮飛、侯經(jīng)國、劉淑妮、張春林、李大成、程明、張路紅、張淑芝、孫先國、劉冀得、梁永翔、張廣東、郁琪琳、邵長凱、蒲書箴、潘曙光、劉瑞東、李軍、焦敬儉。由于時間緊迫，加之譯者水平有限，錯誤在所難免，懇請廣大讀者批評指正。

內(nèi)容概要

　　《安全策略與規(guī)程：原理與實踐》提供了信息安全思想的總體描述，以便企業(yè)管理人員能夠更好地評估他們的公司在處理信息安全問題上的表現(xiàn)。同時《安全策略與規(guī)程：原理與實踐》也提供一些實用方法來協(xié)助各個公司改進(jìn)其信息安全計劃?！　　栋踩呗耘c規(guī)程：原理與實踐》是按照為公司建立信息安全計劃的步驟來組織內(nèi)容的?！栋踩呗耘c規(guī)程：原理與實踐》分為三個部分。第1部分“策略簡介”旨在為開發(fā)、引薦和實施策略提供基礎(chǔ)。第2部分“信息安全策略的各個領(lǐng)域”探討了9個安全領(lǐng)域的信息安全策略和規(guī)程。第3部分“合規(guī)性”是關(guān)于策略和規(guī)程遵從聯(lián)邦規(guī)章以及行業(yè)最佳實踐的實際應(yīng)用?！栋踩呗耘c規(guī)程：原理與實踐》各章都配有相關(guān)的習(xí)題，以指導(dǎo)讀者深入地進(jìn)行學(xué)習(xí)?！　　栋踩呗耘c規(guī)程：原理與實踐》可作為高等學(xué)校計算機(jī)及相關(guān)專業(yè)的教材，也可作為信息安全及管理人員的參考書。對于有志成為信息安全專業(yè)人員的人，掌握《安全策略與規(guī)程：原理與實踐》中介紹的信息是絕對必要的。

作者簡介

作者：(美國)格林 (Greene.S.S.) 譯者：陳宗斌Sari Stern Greene(CISSP、MCSE、MCT、MCNE、MCNI、CTT、NSA／IAM)是Sage Data Security公司的總裁。在Sage，Sari領(lǐng)導(dǎo)一個經(jīng)驗豐富的安全從業(yè)人員團(tuán)隊。Sari致力于提供信息安全服務(wù)，比如策略和規(guī)程開發(fā)、信息安全程序開發(fā)、風(fēng)險和漏洞評估，以及金融、衛(wèi)生保健和政府領(lǐng)域的災(zāi)難恢復(fù)／業(yè)務(wù)連續(xù)性計劃。Sari積極參與技術(shù)和安全社區(qū)。她是MESDA理事會中的一員，并且是Maine ISSA支部的創(chuàng)始會員。她還經(jīng)常在安全大會和研討會上發(fā)言，并且撰寫了眾多信息安全文章、教程和培訓(xùn)材料。

書籍目錄

第1部分 策略簡介第1章 策略定義1.1 簡介1.2 定義策略1.3 探討有史以來的策略1.3.1 將《圣經(jīng)》作為古代的策略1.3.2 將美國憲法作為策略革命1.4 定義策略在政府中的作用1.5 定義策略在企業(yè)文化中的作用1.5.1 服務(wù).產(chǎn)品和企業(yè)文化中的一致性1.5.2 遵從政府策略1.6 理解策略的心理學(xué)1.6.1 使那些知道什么是可能的人參與進(jìn)來1.6.2 環(huán)境中的變化1.7 引薦策略1.7.1 獲得批準(zhǔn)1.7.2 把策略引薦給組織1.8 使策略被接受1.8.1 組織文化來源于最高層1.8.2 通過良好的交流強化策略1.8.3 響應(yīng)環(huán)境變化1.9 執(zhí)行信息安全策略1.9.1 執(zhí)行行為性策略1.9.2 執(zhí)行技術(shù)性策略1.10 本章 小結(jié)1.11 自測題1.11.1 多項選擇題1.11.2 練習(xí)題1.11.3 項目題1.11.4 案例研究第2章 策略的元素2.1 簡介2.2 定義策略配套文檔：標(biāo)準(zhǔn).準(zhǔn)則和規(guī)程2.2.1 標(biāo)準(zhǔn)2.2.2 準(zhǔn)則2.2.3 規(guī)程2.3 開發(fā)策略風(fēng)格和格式2.3.1 在編寫策略之前做出計劃2.4 定義策略元素2.4.1 策略標(biāo)題2.4.2 策略目標(biāo)2.4.3 策略目的聲明2.4.4 策略受眾2.4.5 策略聲明2.4.6 策略例外情況2.4.7 策略執(zhí)行條款2.4.8 策略定義2.5 本章 小結(jié)2.6 自測題2.6.1 多項選擇題2.6.2 練習(xí)題2.6.3 項目題2.6.4 案例研究第2部分 信息安全策略的各個領(lǐng)域第3章 信息安全框架3.1 簡介3.2 計劃信息安全計劃的目標(biāo)3.2.1 C代表保密性3.2.2 I代表完整性3.2.3 A代表可用性3.2.4 信息安全的5個A：另外一些有意義的字母及其含義3.3 對數(shù)據(jù)和信息進(jìn)行分類3.4 確定信息所有權(quán)角色3.5 ISO17799/BS7799信息安全管理實施細(xì)則3.6 使用ISO17799：2000的10個安全領(lǐng)域3.6.1 安全策略3.6.2 組織安全3.6.3 資產(chǎn)分類和控制3.6.4 人員安全3.6.5 物理和環(huán)境安全3.6.6 通信和運營管理3.6.7 訪問控制3.6.8 系統(tǒng)開發(fā)和維護(hù)3.6.9 業(yè)務(wù)連續(xù)性管理3.6.10 合規(guī)性3.6.11 可能具有這么多策略嗎3.7 本章 小結(jié)3.8 自測題3.8.1 多項選擇題3.8.2 練習(xí)題3.8.3 項目題3.8.4 案例研究第4章 安全策略文檔和組織的安全策略4.1 簡介4.2 撰寫權(quán)威聲明4.2.1 誰應(yīng)該簽署權(quán)威聲明4.2.2 權(quán)威聲明應(yīng)該傳達(dá)什么消息4.2.3 安全斗士的角色4.3 安全策略文檔策略——關(guān)于策略的策略4.3.1 組織的安全策略文檔與美國聯(lián)邦法律之間有關(guān)系嗎4.3.2 安全策略的雇員版本的要求4.3.3 策略是動態(tài)的4.4 管理組織的安全4.4.1 創(chuàng)建支持信息安全目標(biāo)的組織結(jié)構(gòu)4.4.2 其他人有訪問權(quán)限嗎4.4.3 外包日益成為一種趨勢4.5 本章 小結(jié)4.6 自測題4.6.1 多項選擇題4.6.2 練習(xí)題4.6.3 項目題4.6.4 案例研究第5章 資產(chǎn)分類5.1 簡介5.2 我們在嘗試保護(hù)什么5.2.1 信息系統(tǒng)5.2.2 誰負(fù)責(zé)信息資產(chǎn)5.3 信息分類5.3.1 政府和軍隊的分類系統(tǒng)5.3.2 商業(yè)分類系統(tǒng)5.4 信息分類標(biāo)記和處理5.4.1 信息標(biāo)記5.4.2 熟悉的標(biāo)簽5.4.3 信息處理5.5 信息分類計劃生命周期5.5.1 信息分類規(guī)程5.5.2 重新分級/撤銷密級5.6 信息系統(tǒng)的價值和關(guān)鍵程度5.6.1 我們?nèi)绾沃牢覀儞碛惺裁?.6.2 資產(chǎn)清單方法5.6.3 資產(chǎn)清單的特征和屬性5.6.4 系統(tǒng)表征5.7 本章 小結(jié)5.8 自測題5.8.1 多項選擇題5.8.2 練習(xí)題5.8.3 項目題5.8.4 案例研究第6章 人員安全6.1 簡介6.2 初次接觸6.2.1 工作說明6.2.2 面試6.3 這個人是誰6.3.1 背景檢查的類型6.4 雇員協(xié)議的重要性6.4.1 保密性協(xié)議6.4.2 信息安全確認(rèn)協(xié)議6.5 培訓(xùn)重要嗎6.5.1 適用于各種計劃的SETA6.5.2 利用安全意識影響行為6.5.3 利用安全培訓(xùn)傳授技能6.5.4 安全教育是知識驅(qū)動的6.5.5 投資于培訓(xùn)6.6 安全事件報告是每個人的責(zé)任6.6.1 事件報告培訓(xùn)6.6.2 安全報告機(jī)制6.6.3 測試規(guī)程6.7 本章 小結(jié)6.8 自測題6.8.1 多項選擇題6.8.2 練習(xí)題6.8.3 項目題6.8.4 案例研究第7章 物理與環(huán)境安全策略和規(guī)程7.1 簡介7.2 設(shè)計安全區(qū)域7.2.1 保護(hù)周界安全7.2.2 實施物理入口控制7.2.3 保護(hù)辦公室.房間和設(shè)施安全7.2.4 在安全區(qū)域中工作7.3 保護(hù)設(shè)備安全7.3.1 設(shè)備安置和保護(hù)7.3.2 無電不工作7.3.3 安全地處置和重用設(shè)備7.4 一般控制7.4.1 清掃桌面和清除屏幕7.4.2 移走公司財產(chǎn)7.5 本章 小結(jié)7.6 自測題7.6.1 多項選擇題7.6.2 練習(xí)題7.6.3 項目題7.6.4 案例研究第8章 通信和運營管理8.1 簡介8.2 標(biāo)準(zhǔn)操作規(guī)程8.2.1 為什么要編制操作規(guī)程的文檔8.2.2 開發(fā)標(biāo)準(zhǔn)操作規(guī)程文檔編制8.2.3 授權(quán)SOP文檔編制8.2.4 保護(hù)SOP文檔編制8.2.5 SOAP更改管理8.3 操作更改控制8.3.1 第1步：評估8.3.2 第2步：記錄更改8.3.3 第3步：交流8.4 事件響應(yīng)計劃8.4.1 事件和嚴(yán)重性級別8.4.2 指定的事件處理者是誰8.4.3 事件報告.響應(yīng)和處理規(guī)程8.4.4 分析事件和故障8.4.5 報告可疑的或者觀察到的安全弱點8.4.6 測試可疑的或觀察到的安全弱點8.5 惡意軟件8.5.1 什么是惡意軟件8.5.2 惡意軟件控制8.6 信息系統(tǒng)備份8.6.1 定義備份策略8.6.2 測試恢復(fù)的重要性8.7 管理便攜式存儲設(shè)備8.7.1 控制非公司所有的可移動介質(zhì)8.7.2 控制公司所有的可移動介質(zhì)離開公司建筑物8.7.3 存儲可移動介質(zhì)8.7.4 安全地重用和處置介質(zhì)8.7.5 外包介質(zhì)拆除8.7.6 當(dāng)感到懷疑時就檢查日志8.7.7 運輸過程中的介質(zhì)安全8.7.8 僅適用于經(jīng)過授權(quán)的快遞員8.7.9 在運輸期間物理地保護(hù)介質(zhì)8.7.10 與運輸介質(zhì)相關(guān)的安全控制8.7.11 保護(hù)公共可用系統(tǒng)上的數(shù)據(jù)安全8.7.12 發(fā)布數(shù)據(jù)和遵守法律8.7.13 對滲透測試的要求8.8 保護(hù)電子郵件安全8.8.1 電子郵件不同于其他通信形式嗎8.8.2 我們可能是我們自己最壞的敵人8.8.3 危及電子郵件服務(wù)器8.9 本章 小結(jié)8.10 自測題8.10.1 多項選擇題8.10.2 練習(xí)題8.10.3 項目題8.10.4 案例研究第9章 訪問控制9.1 簡介9.2 什么是安全姿態(tài)9.2.1 拒絕全部或者不拒絕全部……這是一個問題9.2.2 執(zhí)行業(yè)務(wù)活動的最少特權(quán)9.2.3 你需要知道嗎,或者只是想知道9.2.4 我們?nèi)绾沃勒l需要什么9.2.5 誰決定誰需要什么9.3 管理用戶訪問9.3.1 一個人授權(quán),一個人實施,另一個人監(jiān)督9.3.2 用戶訪問管理9.3.3 晉升.解雇和其他變化9.3.4 特權(quán)伴隨有責(zé)任9.4 保持密碼安全9.4.1 不要問,也不要講9.4.2 保護(hù)密鑰9.4.3 其他密碼策略問題9.5 用于遠(yuǎn)程連接的用戶身份驗證9.5.1 IPSec和虛擬專用網(wǎng)9.5.2 RADIUS和TACACS+9.5.3 硬件令牌9.5.4 質(zhì)詢/響應(yīng)協(xié)議9.5.5 專用線路9.5.6 地址檢查和回?fù)芸刂?.5.7 準(zhǔn)備測試9.6 移動計算9.6.1 仍然是另一種風(fēng)險評估9.6.2 批準(zhǔn)還是禁止9.7 遠(yuǎn)程工作9.7.1 遠(yuǎn)程工作環(huán)境9.8 監(jiān)視系統(tǒng)訪問和使用9.8.1 我們需要監(jiān)視什么9.8.2 審閱和保持9.8.3 監(jiān)視合法嗎9.9 本章 小結(jié)9.10自測題9.10.1 多項選擇題9.10.2 練習(xí)題9.10.3 項目題..2 9.10.4 案例研究第10章 系統(tǒng)開發(fā)和維護(hù)10.1 簡介10.2 機(jī)構(gòu)的風(fēng)險是什么10.2.1 系統(tǒng)開發(fā)10.2.2 系統(tǒng)維護(hù)10.3 系統(tǒng)的安全需求10.3.1 風(fēng)險評估10.3.2 獨立的第三方顧問：需要嗎10.3.3 實現(xiàn)完成后添加控制10.4 永遠(yuǎn)不能在敏感數(shù)據(jù)上發(fā)生的事情10.4.1 數(shù)據(jù)丟失10.4.2 數(shù)據(jù)修改10.4.3 數(shù)據(jù)濫用10.5 隨意代碼與安全代碼10.5.1 系統(tǒng)所有者10.5.2 輸入驗證：簡介10.5.3 高級輸入驗證10.5.4 測試數(shù)據(jù)輸入的可信度10.5.5 輸出驗證10.6 風(fēng)險評估和加密術(shù)10.6.1 風(fēng)險評估10.6.2 保密性.完整性.身份驗證.認(rèn)可10.6.3 密鑰的保管人10.6.4 密鑰管理10.6.5 加密術(shù)與業(yè)務(wù)合作伙伴10.7 操作系統(tǒng)與應(yīng)用軟件的穩(wěn)定性10.7.1 唯有穩(wěn)定版本才應(yīng)在生產(chǎn)服務(wù)器上部署10.7.2 更新：必需的.不安全的,還是兩者兼?zhèn)?0.7.3 更新：應(yīng)當(dāng)部署的時機(jī)10.7.4 更新：應(yīng)當(dāng)執(zhí)行部署的人10.7.5 測試環(huán)境所關(guān)心的內(nèi)容10.8 本章 小結(jié)10.9 自測題10.9.1 多項選擇題10.9.2 練習(xí)題10.9.3 項目題10.9.4 案例研究第11章 業(yè)務(wù)連續(xù)性管理11.1 簡介11.2 什么是災(zāi)難11.2.1 風(fēng)險評估和業(yè)務(wù)影響分析（BIA）11.3 無警告的災(zāi)難打擊11.3.1 行動計劃11.3.2 業(yè)務(wù)連續(xù)性計劃（BCP）組成11.4 理解角色和職責(zé)11.4.1 定義例外情況11.4.2 由誰負(fù)責(zé)11.5 災(zāi)難準(zhǔn)備11.5.1 組織機(jī)構(gòu)11.5.2 指揮中心位置11.5.3 通知全體人員11.5.4 業(yè)務(wù)的重新部署11.5.5 備用數(shù)據(jù)中心站11.6 響應(yīng)災(zāi)難11.6.1 發(fā)現(xiàn)11.6.2 通知11.6.3 宣布11.6.4 啟動11.7 應(yīng)急計劃11.7.1 業(yè)務(wù)應(yīng)急規(guī)程11.7.2 業(yè)務(wù)應(yīng)急文檔11.8 災(zāi)難恢復(fù)11.8.1 恢復(fù)策略11.8.2 規(guī)程11.8.3 恢復(fù)手冊11.9 計劃的測試與維護(hù)11.9.1 測試方法11.9.2 計劃的維護(hù)11.9.3 與賣主達(dá)成一致11.9.4 計劃的審計11.10 本章 小結(jié)11.11 自測題11.11.1 多項選擇題11.11.2 練習(xí)題11.11.3 項目題11.11.4 案例研究第3分 合規(guī)性第12章 金融機(jī)構(gòu)的合規(guī)性12.1 簡介12.2 什么是格雷姆-里奇-比利雷法案12.2.1 GLBA的適用范圍12.2.2 GLBA的執(zhí)行者12.2.3 FFIEC的救贖12.2.4 GLBA安全條例的理解12.2.5 什么是部門間的指導(dǎo)原則12.2.6 信息安全計劃的開發(fā)與實現(xiàn)12.3 涉及的董事會12.3.1 委托信息安全任務(wù)12.4 評估風(fēng)險12.4.1 信息和信息系統(tǒng)的詳細(xì)清單12.4.2 識別和評估威脅12.4.3 減損控制12.5 管理風(fēng)險12.5.1 將ISO框架用于完成風(fēng)險管理的目標(biāo)12.5.2 邏輯與管理訪問控制12.5.3 物理安全12.5.4 數(shù)據(jù)安全12.5.5 惡意代碼12.5.6 系統(tǒng)開發(fā).獲取和維護(hù)12.5.7 人員安全12.5.8 電子與紙質(zhì)介質(zhì)的處理12.5.9 日志記錄與數(shù)據(jù)收集12.5.10 服務(wù)提供商監(jiān)管12.5.11 入侵檢測和響應(yīng)12.5.12 業(yè)務(wù)連續(xù)性考慮12.5.13 培訓(xùn).培訓(xùn).再培訓(xùn)12.5.14 測試控制12.6 調(diào)整計劃.報告董事會并實現(xiàn)標(biāo)準(zhǔn)12.6.1 調(diào)整計劃12.6.2 報告董事會12.6.3 合規(guī)性的有效期12.7 與FTC保護(hù)法案的不同之處12.7.1 目標(biāo)12.7.2 元素12.8 身份盜竊和合規(guī)性12.8.1 身份盜竊的響應(yīng)12.8.2 FTC與身份盜竊12.9 本章 小結(jié)12.10 自測題12.10.1 多項選擇題12.10.2 練習(xí)題12.10.3 項目題12.10.4 案例研究第13章 醫(yī)療衛(wèi)生領(lǐng)域的合規(guī)性13.1 簡介13.2 理解安全法規(guī)13.2.1 HIPAA的目標(biāo)與目的13.2.2 HIPAA的關(guān)鍵原則13.2.3 達(dá)不到合規(guī)性導(dǎo)致的懲罰13.2.4 安全法規(guī)機(jī)構(gòu)13.2.5 實現(xiàn)規(guī)范13.3 管理保護(hù)13.3.1 安全管理過程§164.3 08（a）（1）13.3.2 指派安全責(zé)任§164.3 08（a）（2）13.3.3 員工安全§164.3 08（a）（3）13.3.4 信息訪問管理§164.3 08（a）（4）13.3.5 安全意識和培訓(xùn)§164.3 08（a）（5）13.3.6 安全事件規(guī)程§164.3 08（a）（6）13.3.7 意外事故計劃§164.3 08（a）（7）13.3.8 評估§184.3 08（a）（8）13.3.9 業(yè)務(wù)合作合同和其他安排§164.3 08（b）（1）13.4 物理保護(hù)13.4.1 設(shè)施訪問控制§164.3 10（a）（1）13.4.2 工作站的使用§164.3 10（b）13.4.3 工作站的安全§164.3 10（b）13.4.4 設(shè)備與介質(zhì)控制§164.3 10（d）（1）13.5 技術(shù)保護(hù)13.5.1 訪問控制§164.3 12（a）（1）13.5.2 審計控制§164.3 12（b）13.5.3 完整性控制§164.3 12（c）（1）13.5.4 人員或身份驗證§164.3 12（d）13.5.5 傳輸安全§164.3 12（e）（1）13.6 機(jī)構(gòu)要求13.6.1 業(yè)務(wù)合作合同§164.3 14（a）（1）13.6.2 對組健康計劃的標(biāo)準(zhǔn)要求§164.3 14（b）（1）13.7 策略和規(guī)程13.7.1 策略和規(guī)程§164.3 16（a）13.7.2 文檔§164.3 16（b）（1）13.8 本章 小結(jié)13.9 自測題13.9.1 多項選擇題13.9.2 練習(xí)題13.9.3 項目題13.9.4 案例研究第14章 關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的信息安全合規(guī)性14.1 簡介14.2 電子政務(wù)成為現(xiàn)實14.2.1 國家級的安全性14.2.2 合規(guī)性必需的元素14.2.3 用于援救的NIST14.2.4 從事FISMA的NIST出版物14.2.5 FISMA實現(xiàn)項目14.2.6 FISMA的未來14.3 保護(hù)學(xué)生記錄的隱私14.3.1 FERPA的目標(biāo)是什么14.3.2 教育記錄是什么14.3.3 教育記錄的類型14.3.4 FERPA與信息安全的關(guān)系如何14.4 一切皆從一件公司丑聞開始14.4.1 SOX與信息安全的關(guān)系如何14.4.2 采用控制框架14.5 與ISO17799:2000的關(guān)聯(lián)14.5.1 ISO17799安全領(lǐng)域概述14.6 本章 小結(jié)14.7 自測題14.7.1 多項選擇題14.7.2 練習(xí)題14.7.3 項目題14.7.4 案例研究第15章 小企業(yè)的安全策略與實踐15.1 簡介15.2 什么是小企業(yè)15.2.1 小企業(yè)應(yīng)當(dāng)做什么15.2.2 額外考慮15.2.3 小企業(yè)應(yīng)當(dāng)擁有什么策略15.2.4 策略應(yīng)當(dāng)如何提出15.3 為何要擁有一項保密性策略15.3.1 合法化15.3.2 不是一種,也不是兩種,而是五種15.3.3 協(xié)議的結(jié)構(gòu)15.3.4 保護(hù)協(xié)議15.4 什么是可接受的行為15.4.1 所有權(quán)15.4.2 硬件和軟件15.4.3 資源濫用15.5 互聯(lián)網(wǎng)的使用——在哪里劃定最后界限15.5.1 互聯(lián)網(wǎng)通信量的監(jiān)控.記錄日志及阻塞15.5.2 傳輸數(shù)據(jù)15.6 確保公司電子郵件的安全15.6.1 只供業(yè)務(wù)使用15.6.2 明文通信15.6.3 資源濫用15.7 意外事件的報告與響應(yīng)15.7.1 意外事件報告15.7.2 意外事件響應(yīng)15.7.3 意外事件響應(yīng)計劃15.8 口令管理15.8.1 口令特征15.8.2 口令檢查15.9 保護(hù)信息15.9.1 分類的確是必需的嗎15.9.2 信息標(biāo)記15.9.3 信息保護(hù)15.10防止惡意軟件15.10.1 病毒.蠕蟲.特洛伊木馬以及間諜軟件15.10.2 保護(hù)要求15.10.3 不要忘記用戶15.10.4 補丁管理15.11保護(hù)遠(yuǎn)程訪問15.11.1 擴(kuò)展內(nèi)部網(wǎng)絡(luò)15.12控制更改15.12.1 小企業(yè)為何需要一套變更控制策略15.13數(shù)據(jù)備份與恢復(fù)15.13.1 企業(yè)依賴于訪問數(shù)據(jù)的能力15.13.2 備份的類型15.13.3 備份介質(zhì)的存儲15.13.4 測試恢復(fù)15.14本章 小結(jié)15.15自測題15.15.1 多項選擇題15.15.2 練習(xí)題15.15.3 項目題15.15.4 案例研究附錄A 訪問控制附錄B 雇員信息安全策略批準(zhǔn)協(xié)議B.1 策略綜述B.2 董事長的聲明B.2.1 可接受的信息資源使用B.2.2 互聯(lián)網(wǎng)使用B.2.3 電子郵件使用策略B.2.4 信息資源的臨時使用B.2.5 口令策略B.2.6 便攜式計算策略B.2.7 發(fā)布B.2.8 認(rèn)可協(xié)議B.2.9 標(biāo)準(zhǔn)定義術(shù)語表

章節(jié)摘錄

插圖：

編輯推薦

《安全策略與規(guī)程原理與實踐》：清華大學(xué)計算機(jī)安全譯叢。

圖書封面

評論、評分、閱讀與下載

---

    安全策略與規(guī)程 PDF格式下載

---