出版時(shí)間:2008-10 出版社:格林 (Greene.S.S.)、 陳宗斌 清華大學(xué)出版社 (2008-10出版) 作者:格林 頁(yè)數(shù):383 譯者:陳宗斌
前言
隨著Internet的迅速發(fā)展,信息安全正成為一個(gè)越來(lái)越受關(guān)注的話題。本書(shū)遵循由一般到具體、由理論到實(shí)踐的原則闡述了當(dāng)前國(guó)內(nèi)外信息安全領(lǐng)域的相關(guān)主題,探討了信息安全平臺(tái)建設(shè)的理論基礎(chǔ)和設(shè)計(jì)思路,并從實(shí)際應(yīng)用出發(fā)探討如何切實(shí)地落實(shí)信息安全工作。本書(shū)有助于組織構(gòu)建符合IS()17799:2000信息安全標(biāo)準(zhǔn)的系統(tǒng),這個(gè)標(biāo)準(zhǔn)為開(kāi)發(fā)信息安全策略和理解信息安全控制提供了一個(gè)框架。在全書(shū)中,我們都會(huì)引用ISO 17799:2000標(biāo)準(zhǔn)。本書(shū)提供了信息安全思想的總體描述,以便企業(yè)管理人員能夠更好地評(píng)估他們的公司在處理信息安全問(wèn)題上的表現(xiàn)。同時(shí)本書(shū)也提供一些實(shí)用方法來(lái)協(xié)助各個(gè)公司改進(jìn)其信息安全計(jì)劃。本書(shū)是按照為公司建立信息安全計(jì)劃的步驟來(lái)組織內(nèi)容的。本書(shū)分為三個(gè)部分。第1部分“策略簡(jiǎn)介”旨在為開(kāi)發(fā)、引薦和實(shí)施策略提供基礎(chǔ)。第2部分“信息安全策略的各個(gè)領(lǐng)域”探討了9個(gè)安全領(lǐng)域的信息安全策略和規(guī)程。第3部分“合規(guī)性”是關(guān)于策略和規(guī)程遵從聯(lián)邦規(guī)章以及行業(yè)最佳實(shí)踐的實(shí)際應(yīng)用。本書(shū)各章都配有相關(guān)的習(xí)題,以指導(dǎo)讀者深入地進(jìn)行學(xué)習(xí)。本書(shū)可作為高等學(xué)校計(jì)算機(jī)及相關(guān)專業(yè)的教材,也可作為信息安全及管理人員的參考書(shū)。對(duì)于有志成為信息安全專業(yè)人員的人,掌握本書(shū)中介紹的信息是絕對(duì)必要的。參加本書(shū)翻譯的人員有陳宗斌、陳紅霞、張景友、易小麗、陳婷、管學(xué)崗、王新彥、金惠敏、張海峰、徐曄、戴鋒、張德福、張士華、張鎖玲、杜明宗、高玉琢、王濤、申川、孫玲、李振國(guó)、高德杰、宮飛、侯經(jīng)國(guó)、劉淑妮、張春林、李大成、程明、張路紅、張淑芝、孫先國(guó)、劉冀得、梁永翔、張廣東、郁琪琳、邵長(zhǎng)凱、蒲書(shū)箴、潘曙光、劉瑞東、李軍、焦敬儉。由于時(shí)間緊迫,加之譯者水平有限,錯(cuò)誤在所難免,懇請(qǐng)廣大讀者批評(píng)指正。
內(nèi)容概要
《安全策略與規(guī)程:原理與實(shí)踐》提供了信息安全思想的總體描述,以便企業(yè)管理人員能夠更好地評(píng)估他們的公司在處理信息安全問(wèn)題上的表現(xiàn)。同時(shí)《安全策略與規(guī)程:原理與實(shí)踐》也提供一些實(shí)用方法來(lái)協(xié)助各個(gè)公司改進(jìn)其信息安全計(jì)劃?! 栋踩呗耘c規(guī)程:原理與實(shí)踐》是按照為公司建立信息安全計(jì)劃的步驟來(lái)組織內(nèi)容的?!栋踩呗耘c規(guī)程:原理與實(shí)踐》分為三個(gè)部分。第1部分“策略簡(jiǎn)介”旨在為開(kāi)發(fā)、引薦和實(shí)施策略提供基礎(chǔ)。第2部分“信息安全策略的各個(gè)領(lǐng)域”探討了9個(gè)安全領(lǐng)域的信息安全策略和規(guī)程。第3部分“合規(guī)性”是關(guān)于策略和規(guī)程遵從聯(lián)邦規(guī)章以及行業(yè)最佳實(shí)踐的實(shí)際應(yīng)用。《安全策略與規(guī)程:原理與實(shí)踐》各章都配有相關(guān)的習(xí)題,以指導(dǎo)讀者深入地進(jìn)行學(xué)習(xí)?! 栋踩呗耘c規(guī)程:原理與實(shí)踐》可作為高等學(xué)校計(jì)算機(jī)及相關(guān)專業(yè)的教材,也可作為信息安全及管理人員的參考書(shū)。對(duì)于有志成為信息安全專業(yè)人員的人,掌握《安全策略與規(guī)程:原理與實(shí)踐》中介紹的信息是絕對(duì)必要的。
作者簡(jiǎn)介
作者:(美國(guó))格林 (Greene.S.S.) 譯者:陳宗斌Sari Stern Greene(CISSP、MCSE、MCT、MCNE、MCNI、CTT、NSA/IAM)是Sage Data Security公司的總裁。在Sage,Sari領(lǐng)導(dǎo)一個(gè)經(jīng)驗(yàn)豐富的安全從業(yè)人員團(tuán)隊(duì)。Sari致力于提供信息安全服務(wù),比如策略和規(guī)程開(kāi)發(fā)、信息安全程序開(kāi)發(fā)、風(fēng)險(xiǎn)和漏洞評(píng)估,以及金融、衛(wèi)生保健和政府領(lǐng)域的災(zāi)難恢復(fù)/業(yè)務(wù)連續(xù)性計(jì)劃。Sari積極參與技術(shù)和安全社區(qū)。她是MESDA理事會(huì)中的一員,并且是Maine ISSA支部的創(chuàng)始會(huì)員。她還經(jīng)常在安全大會(huì)和研討會(huì)上發(fā)言,并且撰寫(xiě)了眾多信息安全文章、教程和培訓(xùn)材料。
書(shū)籍目錄
第1部分 策略簡(jiǎn)介第1章 策略定義1.1 簡(jiǎn)介1.2 定義策略1.3 探討有史以來(lái)的策略1.3.1 將《圣經(jīng)》作為古代的策略1.3.2 將美國(guó)憲法作為策略革命1.4 定義策略在政府中的作用1.5 定義策略在企業(yè)文化中的作用1.5.1 服務(wù).產(chǎn)品和企業(yè)文化中的一致性1.5.2 遵從政府策略1.6 理解策略的心理學(xué)1.6.1 使那些知道什么是可能的人參與進(jìn)來(lái)1.6.2 環(huán)境中的變化1.7 引薦策略1.7.1 獲得批準(zhǔn)1.7.2 把策略引薦給組織1.8 使策略被接受1.8.1 組織文化來(lái)源于最高層1.8.2 通過(guò)良好的交流強(qiáng)化策略1.8.3 響應(yīng)環(huán)境變化1.9 執(zhí)行信息安全策略1.9.1 執(zhí)行行為性策略1.9.2 執(zhí)行技術(shù)性策略1.10 本章 小結(jié)1.11 自測(cè)題1.11.1 多項(xiàng)選擇題1.11.2 練習(xí)題1.11.3 項(xiàng)目題1.11.4 案例研究第2章 策略的元素2.1 簡(jiǎn)介2.2 定義策略配套文檔:標(biāo)準(zhǔn).準(zhǔn)則和規(guī)程2.2.1 標(biāo)準(zhǔn)2.2.2 準(zhǔn)則2.2.3 規(guī)程2.3 開(kāi)發(fā)策略風(fēng)格和格式2.3.1 在編寫(xiě)策略之前做出計(jì)劃2.4 定義策略元素2.4.1 策略標(biāo)題2.4.2 策略目標(biāo)2.4.3 策略目的聲明2.4.4 策略受眾2.4.5 策略聲明2.4.6 策略例外情況2.4.7 策略執(zhí)行條款2.4.8 策略定義2.5 本章 小結(jié)2.6 自測(cè)題2.6.1 多項(xiàng)選擇題2.6.2 練習(xí)題2.6.3 項(xiàng)目題2.6.4 案例研究第2部分 信息安全策略的各個(gè)領(lǐng)域第3章 信息安全框架3.1 簡(jiǎn)介3.2 計(jì)劃信息安全計(jì)劃的目標(biāo)3.2.1 C代表保密性3.2.2 I代表完整性3.2.3 A代表可用性3.2.4 信息安全的5個(gè)A:另外一些有意義的字母及其含義3.3 對(duì)數(shù)據(jù)和信息進(jìn)行分類3.4 確定信息所有權(quán)角色3.5 ISO17799/BS7799信息安全管理實(shí)施細(xì)則3.6 使用ISO17799:2000的10個(gè)安全領(lǐng)域3.6.1 安全策略3.6.2 組織安全3.6.3 資產(chǎn)分類和控制3.6.4 人員安全3.6.5 物理和環(huán)境安全3.6.6 通信和運(yùn)營(yíng)管理3.6.7 訪問(wèn)控制3.6.8 系統(tǒng)開(kāi)發(fā)和維護(hù)3.6.9 業(yè)務(wù)連續(xù)性管理3.6.10 合規(guī)性3.6.11 可能具有這么多策略嗎3.7 本章 小結(jié)3.8 自測(cè)題3.8.1 多項(xiàng)選擇題3.8.2 練習(xí)題3.8.3 項(xiàng)目題3.8.4 案例研究第4章 安全策略文檔和組織的安全策略4.1 簡(jiǎn)介4.2 撰寫(xiě)權(quán)威聲明4.2.1 誰(shuí)應(yīng)該簽署權(quán)威聲明4.2.2 權(quán)威聲明應(yīng)該傳達(dá)什么消息4.2.3 安全斗士的角色4.3 安全策略文檔策略——關(guān)于策略的策略4.3.1 組織的安全策略文檔與美國(guó)聯(lián)邦法律之間有關(guān)系嗎4.3.2 安全策略的雇員版本的要求4.3.3 策略是動(dòng)態(tài)的4.4 管理組織的安全4.4.1 創(chuàng)建支持信息安全目標(biāo)的組織結(jié)構(gòu)4.4.2 其他人有訪問(wèn)權(quán)限嗎4.4.3 外包日益成為一種趨勢(shì)4.5 本章 小結(jié)4.6 自測(cè)題4.6.1 多項(xiàng)選擇題4.6.2 練習(xí)題4.6.3 項(xiàng)目題4.6.4 案例研究第5章 資產(chǎn)分類5.1 簡(jiǎn)介5.2 我們?cè)趪L試保護(hù)什么5.2.1 信息系統(tǒng)5.2.2 誰(shuí)負(fù)責(zé)信息資產(chǎn)5.3 信息分類5.3.1 政府和軍隊(duì)的分類系統(tǒng)5.3.2 商業(yè)分類系統(tǒng)5.4 信息分類標(biāo)記和處理5.4.1 信息標(biāo)記5.4.2 熟悉的標(biāo)簽5.4.3 信息處理5.5 信息分類計(jì)劃生命周期5.5.1 信息分類規(guī)程5.5.2 重新分級(jí)/撤銷密級(jí)5.6 信息系統(tǒng)的價(jià)值和關(guān)鍵程度5.6.1 我們?nèi)绾沃牢覀儞碛惺裁?.6.2 資產(chǎn)清單方法5.6.3 資產(chǎn)清單的特征和屬性5.6.4 系統(tǒng)表征5.7 本章 小結(jié)5.8 自測(cè)題5.8.1 多項(xiàng)選擇題5.8.2 練習(xí)題5.8.3 項(xiàng)目題5.8.4 案例研究第6章 人員安全6.1 簡(jiǎn)介6.2 初次接觸6.2.1 工作說(shuō)明6.2.2 面試6.3 這個(gè)人是誰(shuí)6.3.1 背景檢查的類型6.4 雇員協(xié)議的重要性6.4.1 保密性協(xié)議6.4.2 信息安全確認(rèn)協(xié)議6.5 培訓(xùn)重要嗎6.5.1 適用于各種計(jì)劃的SETA6.5.2 利用安全意識(shí)影響行為6.5.3 利用安全培訓(xùn)傳授技能6.5.4 安全教育是知識(shí)驅(qū)動(dòng)的6.5.5 投資于培訓(xùn)6.6 安全事件報(bào)告是每個(gè)人的責(zé)任6.6.1 事件報(bào)告培訓(xùn)6.6.2 安全報(bào)告機(jī)制6.6.3 測(cè)試規(guī)程6.7 本章 小結(jié)6.8 自測(cè)題6.8.1 多項(xiàng)選擇題6.8.2 練習(xí)題6.8.3 項(xiàng)目題6.8.4 案例研究第7章 物理與環(huán)境安全策略和規(guī)程7.1 簡(jiǎn)介7.2 設(shè)計(jì)安全區(qū)域7.2.1 保護(hù)周界安全7.2.2 實(shí)施物理入口控制7.2.3 保護(hù)辦公室.房間和設(shè)施安全7.2.4 在安全區(qū)域中工作7.3 保護(hù)設(shè)備安全7.3.1 設(shè)備安置和保護(hù)7.3.2 無(wú)電不工作7.3.3 安全地處置和重用設(shè)備7.4 一般控制7.4.1 清掃桌面和清除屏幕7.4.2 移走公司財(cái)產(chǎn)7.5 本章 小結(jié)7.6 自測(cè)題7.6.1 多項(xiàng)選擇題7.6.2 練習(xí)題7.6.3 項(xiàng)目題7.6.4 案例研究第8章 通信和運(yùn)營(yíng)管理8.1 簡(jiǎn)介8.2 標(biāo)準(zhǔn)操作規(guī)程8.2.1 為什么要編制操作規(guī)程的文檔8.2.2 開(kāi)發(fā)標(biāo)準(zhǔn)操作規(guī)程文檔編制8.2.3 授權(quán)SOP文檔編制8.2.4 保護(hù)SOP文檔編制8.2.5 SOAP更改管理8.3 操作更改控制8.3.1 第1步:評(píng)估8.3.2 第2步:記錄更改8.3.3 第3步:交流8.4 事件響應(yīng)計(jì)劃8.4.1 事件和嚴(yán)重性級(jí)別8.4.2 指定的事件處理者是誰(shuí)8.4.3 事件報(bào)告.響應(yīng)和處理規(guī)程8.4.4 分析事件和故障8.4.5 報(bào)告可疑的或者觀察到的安全弱點(diǎn)8.4.6 測(cè)試可疑的或觀察到的安全弱點(diǎn)8.5 惡意軟件8.5.1 什么是惡意軟件8.5.2 惡意軟件控制8.6 信息系統(tǒng)備份8.6.1 定義備份策略8.6.2 測(cè)試恢復(fù)的重要性8.7 管理便攜式存儲(chǔ)設(shè)備8.7.1 控制非公司所有的可移動(dòng)介質(zhì)8.7.2 控制公司所有的可移動(dòng)介質(zhì)離開(kāi)公司建筑物8.7.3 存儲(chǔ)可移動(dòng)介質(zhì)8.7.4 安全地重用和處置介質(zhì)8.7.5 外包介質(zhì)拆除8.7.6 當(dāng)感到懷疑時(shí)就檢查日志8.7.7 運(yùn)輸過(guò)程中的介質(zhì)安全8.7.8 僅適用于經(jīng)過(guò)授權(quán)的快遞員8.7.9 在運(yùn)輸期間物理地保護(hù)介質(zhì)8.7.10 與運(yùn)輸介質(zhì)相關(guān)的安全控制8.7.11 保護(hù)公共可用系統(tǒng)上的數(shù)據(jù)安全8.7.12 發(fā)布數(shù)據(jù)和遵守法律8.7.13 對(duì)滲透測(cè)試的要求8.8 保護(hù)電子郵件安全8.8.1 電子郵件不同于其他通信形式嗎8.8.2 我們可能是我們自己最壞的敵人8.8.3 危及電子郵件服務(wù)器8.9 本章 小結(jié)8.10 自測(cè)題8.10.1 多項(xiàng)選擇題8.10.2 練習(xí)題8.10.3 項(xiàng)目題8.10.4 案例研究第9章 訪問(wèn)控制9.1 簡(jiǎn)介9.2 什么是安全姿態(tài)9.2.1 拒絕全部或者不拒絕全部……這是一個(gè)問(wèn)題9.2.2 執(zhí)行業(yè)務(wù)活動(dòng)的最少特權(quán)9.2.3 你需要知道嗎,或者只是想知道9.2.4 我們?nèi)绾沃勒l(shuí)需要什么9.2.5 誰(shuí)決定誰(shuí)需要什么9.3 管理用戶訪問(wèn)9.3.1 一個(gè)人授權(quán),一個(gè)人實(shí)施,另一個(gè)人監(jiān)督9.3.2 用戶訪問(wèn)管理9.3.3 晉升.解雇和其他變化9.3.4 特權(quán)伴隨有責(zé)任9.4 保持密碼安全9.4.1 不要問(wèn),也不要講9.4.2 保護(hù)密鑰9.4.3 其他密碼策略問(wèn)題9.5 用于遠(yuǎn)程連接的用戶身份驗(yàn)證9.5.1 IPSec和虛擬專用網(wǎng)9.5.2 RADIUS和TACACS+9.5.3 硬件令牌9.5.4 質(zhì)詢/響應(yīng)協(xié)議9.5.5 專用線路9.5.6 地址檢查和回?fù)芸刂?.5.7 準(zhǔn)備測(cè)試9.6 移動(dòng)計(jì)算9.6.1 仍然是另一種風(fēng)險(xiǎn)評(píng)估9.6.2 批準(zhǔn)還是禁止9.7 遠(yuǎn)程工作9.7.1 遠(yuǎn)程工作環(huán)境9.8 監(jiān)視系統(tǒng)訪問(wèn)和使用9.8.1 我們需要監(jiān)視什么9.8.2 審閱和保持9.8.3 監(jiān)視合法嗎9.9 本章 小結(jié)9.10自測(cè)題9.10.1 多項(xiàng)選擇題9.10.2 練習(xí)題9.10.3 項(xiàng)目題..2 9.10.4 案例研究第10章 系統(tǒng)開(kāi)發(fā)和維護(hù)10.1 簡(jiǎn)介10.2 機(jī)構(gòu)的風(fēng)險(xiǎn)是什么10.2.1 系統(tǒng)開(kāi)發(fā)10.2.2 系統(tǒng)維護(hù)10.3 系統(tǒng)的安全需求10.3.1 風(fēng)險(xiǎn)評(píng)估10.3.2 獨(dú)立的第三方顧問(wèn):需要嗎10.3.3 實(shí)現(xiàn)完成后添加控制10.4 永遠(yuǎn)不能在敏感數(shù)據(jù)上發(fā)生的事情10.4.1 數(shù)據(jù)丟失10.4.2 數(shù)據(jù)修改10.4.3 數(shù)據(jù)濫用10.5 隨意代碼與安全代碼10.5.1 系統(tǒng)所有者10.5.2 輸入驗(yàn)證:簡(jiǎn)介10.5.3 高級(jí)輸入驗(yàn)證10.5.4 測(cè)試數(shù)據(jù)輸入的可信度10.5.5 輸出驗(yàn)證10.6 風(fēng)險(xiǎn)評(píng)估和加密術(shù)10.6.1 風(fēng)險(xiǎn)評(píng)估10.6.2 保密性.完整性.身份驗(yàn)證.認(rèn)可10.6.3 密鑰的保管人10.6.4 密鑰管理10.6.5 加密術(shù)與業(yè)務(wù)合作伙伴10.7 操作系統(tǒng)與應(yīng)用軟件的穩(wěn)定性10.7.1 唯有穩(wěn)定版本才應(yīng)在生產(chǎn)服務(wù)器上部署10.7.2 更新:必需的.不安全的,還是兩者兼?zhèn)?0.7.3 更新:應(yīng)當(dāng)部署的時(shí)機(jī)10.7.4 更新:應(yīng)當(dāng)執(zhí)行部署的人10.7.5 測(cè)試環(huán)境所關(guān)心的內(nèi)容10.8 本章 小結(jié)10.9 自測(cè)題10.9.1 多項(xiàng)選擇題10.9.2 練習(xí)題10.9.3 項(xiàng)目題10.9.4 案例研究第11章 業(yè)務(wù)連續(xù)性管理11.1 簡(jiǎn)介11.2 什么是災(zāi)難11.2.1 風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析(BIA)11.3 無(wú)警告的災(zāi)難打擊11.3.1 行動(dòng)計(jì)劃11.3.2 業(yè)務(wù)連續(xù)性計(jì)劃(BCP)組成11.4 理解角色和職責(zé)11.4.1 定義例外情況11.4.2 由誰(shuí)負(fù)責(zé)11.5 災(zāi)難準(zhǔn)備11.5.1 組織機(jī)構(gòu)11.5.2 指揮中心位置11.5.3 通知全體人員11.5.4 業(yè)務(wù)的重新部署11.5.5 備用數(shù)據(jù)中心站11.6 響應(yīng)災(zāi)難11.6.1 發(fā)現(xiàn)11.6.2 通知11.6.3 宣布11.6.4 啟動(dòng)11.7 應(yīng)急計(jì)劃11.7.1 業(yè)務(wù)應(yīng)急規(guī)程11.7.2 業(yè)務(wù)應(yīng)急文檔11.8 災(zāi)難恢復(fù)11.8.1 恢復(fù)策略11.8.2 規(guī)程11.8.3 恢復(fù)手冊(cè)11.9 計(jì)劃的測(cè)試與維護(hù)11.9.1 測(cè)試方法11.9.2 計(jì)劃的維護(hù)11.9.3 與賣(mài)主達(dá)成一致11.9.4 計(jì)劃的審計(jì)11.10 本章 小結(jié)11.11 自測(cè)題11.11.1 多項(xiàng)選擇題11.11.2 練習(xí)題11.11.3 項(xiàng)目題11.11.4 案例研究第3分 合規(guī)性第12章 金融機(jī)構(gòu)的合規(guī)性12.1 簡(jiǎn)介12.2 什么是格雷姆-里奇-比利雷法案12.2.1 GLBA的適用范圍12.2.2 GLBA的執(zhí)行者12.2.3 FFIEC的救贖12.2.4 GLBA安全條例的理解12.2.5 什么是部門(mén)間的指導(dǎo)原則12.2.6 信息安全計(jì)劃的開(kāi)發(fā)與實(shí)現(xiàn)12.3 涉及的董事會(huì)12.3.1 委托信息安全任務(wù)12.4 評(píng)估風(fēng)險(xiǎn)12.4.1 信息和信息系統(tǒng)的詳細(xì)清單12.4.2 識(shí)別和評(píng)估威脅12.4.3 減損控制12.5 管理風(fēng)險(xiǎn)12.5.1 將ISO框架用于完成風(fēng)險(xiǎn)管理的目標(biāo)12.5.2 邏輯與管理訪問(wèn)控制12.5.3 物理安全12.5.4 數(shù)據(jù)安全12.5.5 惡意代碼12.5.6 系統(tǒng)開(kāi)發(fā).獲取和維護(hù)12.5.7 人員安全12.5.8 電子與紙質(zhì)介質(zhì)的處理12.5.9 日志記錄與數(shù)據(jù)收集12.5.10 服務(wù)提供商監(jiān)管12.5.11 入侵檢測(cè)和響應(yīng)12.5.12 業(yè)務(wù)連續(xù)性考慮12.5.13 培訓(xùn).培訓(xùn).再培訓(xùn)12.5.14 測(cè)試控制12.6 調(diào)整計(jì)劃.報(bào)告董事會(huì)并實(shí)現(xiàn)標(biāo)準(zhǔn)12.6.1 調(diào)整計(jì)劃12.6.2 報(bào)告董事會(huì)12.6.3 合規(guī)性的有效期12.7 與FTC保護(hù)法案的不同之處12.7.1 目標(biāo)12.7.2 元素12.8 身份盜竊和合規(guī)性12.8.1 身份盜竊的響應(yīng)12.8.2 FTC與身份盜竊12.9 本章 小結(jié)12.10 自測(cè)題12.10.1 多項(xiàng)選擇題12.10.2 練習(xí)題12.10.3 項(xiàng)目題12.10.4 案例研究第13章 醫(yī)療衛(wèi)生領(lǐng)域的合規(guī)性13.1 簡(jiǎn)介13.2 理解安全法規(guī)13.2.1 HIPAA的目標(biāo)與目的13.2.2 HIPAA的關(guān)鍵原則13.2.3 達(dá)不到合規(guī)性導(dǎo)致的懲罰13.2.4 安全法規(guī)機(jī)構(gòu)13.2.5 實(shí)現(xiàn)規(guī)范13.3 管理保護(hù)13.3.1 安全管理過(guò)程§164.3 08(a)(1)13.3.2 指派安全責(zé)任§164.3 08(a)(2)13.3.3 員工安全§164.3 08(a)(3)13.3.4 信息訪問(wèn)管理§164.3 08(a)(4)13.3.5 安全意識(shí)和培訓(xùn)§164.3 08(a)(5)13.3.6 安全事件規(guī)程§164.3 08(a)(6)13.3.7 意外事故計(jì)劃§164.3 08(a)(7)13.3.8 評(píng)估§184.3 08(a)(8)13.3.9 業(yè)務(wù)合作合同和其他安排§164.3 08(b)(1)13.4 物理保護(hù)13.4.1 設(shè)施訪問(wèn)控制§164.3 10(a)(1)13.4.2 工作站的使用§164.3 10(b)13.4.3 工作站的安全§164.3 10(b)13.4.4 設(shè)備與介質(zhì)控制§164.3 10(d)(1)13.5 技術(shù)保護(hù)13.5.1 訪問(wèn)控制§164.3 12(a)(1)13.5.2 審計(jì)控制§164.3 12(b)13.5.3 完整性控制§164.3 12(c)(1)13.5.4 人員或身份驗(yàn)證§164.3 12(d)13.5.5 傳輸安全§164.3 12(e)(1)13.6 機(jī)構(gòu)要求13.6.1 業(yè)務(wù)合作合同§164.3 14(a)(1)13.6.2 對(duì)組健康計(jì)劃的標(biāo)準(zhǔn)要求§164.3 14(b)(1)13.7 策略和規(guī)程13.7.1 策略和規(guī)程§164.3 16(a)13.7.2 文檔§164.3 16(b)(1)13.8 本章 小結(jié)13.9 自測(cè)題13.9.1 多項(xiàng)選擇題13.9.2 練習(xí)題13.9.3 項(xiàng)目題13.9.4 案例研究第14章 關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的信息安全合規(guī)性14.1 簡(jiǎn)介14.2 電子政務(wù)成為現(xiàn)實(shí)14.2.1 國(guó)家級(jí)的安全性14.2.2 合規(guī)性必需的元素14.2.3 用于援救的NIST14.2.4 從事FISMA的NIST出版物14.2.5 FISMA實(shí)現(xiàn)項(xiàng)目14.2.6 FISMA的未來(lái)14.3 保護(hù)學(xué)生記錄的隱私14.3.1 FERPA的目標(biāo)是什么14.3.2 教育記錄是什么14.3.3 教育記錄的類型14.3.4 FERPA與信息安全的關(guān)系如何14.4 一切皆從一件公司丑聞開(kāi)始14.4.1 SOX與信息安全的關(guān)系如何14.4.2 采用控制框架14.5 與ISO17799:2000的關(guān)聯(lián)14.5.1 ISO17799安全領(lǐng)域概述14.6 本章 小結(jié)14.7 自測(cè)題14.7.1 多項(xiàng)選擇題14.7.2 練習(xí)題14.7.3 項(xiàng)目題14.7.4 案例研究第15章 小企業(yè)的安全策略與實(shí)踐15.1 簡(jiǎn)介15.2 什么是小企業(yè)15.2.1 小企業(yè)應(yīng)當(dāng)做什么15.2.2 額外考慮15.2.3 小企業(yè)應(yīng)當(dāng)擁有什么策略15.2.4 策略應(yīng)當(dāng)如何提出15.3 為何要擁有一項(xiàng)保密性策略15.3.1 合法化15.3.2 不是一種,也不是兩種,而是五種15.3.3 協(xié)議的結(jié)構(gòu)15.3.4 保護(hù)協(xié)議15.4 什么是可接受的行為15.4.1 所有權(quán)15.4.2 硬件和軟件15.4.3 資源濫用15.5 互聯(lián)網(wǎng)的使用——在哪里劃定最后界限15.5.1 互聯(lián)網(wǎng)通信量的監(jiān)控.記錄日志及阻塞15.5.2 傳輸數(shù)據(jù)15.6 確保公司電子郵件的安全15.6.1 只供業(yè)務(wù)使用15.6.2 明文通信15.6.3 資源濫用15.7 意外事件的報(bào)告與響應(yīng)15.7.1 意外事件報(bào)告15.7.2 意外事件響應(yīng)15.7.3 意外事件響應(yīng)計(jì)劃15.8 口令管理15.8.1 口令特征15.8.2 口令檢查15.9 保護(hù)信息15.9.1 分類的確是必需的嗎15.9.2 信息標(biāo)記15.9.3 信息保護(hù)15.10防止惡意軟件15.10.1 病毒.蠕蟲(chóng).特洛伊木馬以及間諜軟件15.10.2 保護(hù)要求15.10.3 不要忘記用戶15.10.4 補(bǔ)丁管理15.11保護(hù)遠(yuǎn)程訪問(wèn)15.11.1 擴(kuò)展內(nèi)部網(wǎng)絡(luò)15.12控制更改15.12.1 小企業(yè)為何需要一套變更控制策略15.13數(shù)據(jù)備份與恢復(fù)15.13.1 企業(yè)依賴于訪問(wèn)數(shù)據(jù)的能力15.13.2 備份的類型15.13.3 備份介質(zhì)的存儲(chǔ)15.13.4 測(cè)試恢復(fù)15.14本章 小結(jié)15.15自測(cè)題15.15.1 多項(xiàng)選擇題15.15.2 練習(xí)題15.15.3 項(xiàng)目題15.15.4 案例研究附錄A 訪問(wèn)控制附錄B 雇員信息安全策略批準(zhǔn)協(xié)議B.1 策略綜述B.2 董事長(zhǎng)的聲明B.2.1 可接受的信息資源使用B.2.2 互聯(lián)網(wǎng)使用B.2.3 電子郵件使用策略B.2.4 信息資源的臨時(shí)使用B.2.5 口令策略B.2.6 便攜式計(jì)算策略B.2.7 發(fā)布B.2.8 認(rèn)可協(xié)議B.2.9 標(biāo)準(zhǔn)定義術(shù)語(yǔ)表
章節(jié)摘錄
插圖:
編輯推薦
《安全策略與規(guī)程原理與實(shí)踐》:清華大學(xué)計(jì)算機(jī)安全譯叢。
圖書(shū)封面
評(píng)論、評(píng)分、閱讀與下載
250萬(wàn)本中文圖書(shū)簡(jiǎn)介、評(píng)論、評(píng)分,PDF格式免費(fèi)下載。 第一圖書(shū)網(wǎng) 手機(jī)版