編寫信息安全策略 內容簡介
信息安全策略描述一個組織高層的安全目標,它描述應該幫什麼而不是怎么去做。確定組織的安全策略是一個組織實現安全管理和技術措施的前提,否則所有的安全措施都將無的放矢。 一書以通俗而不是專業語言描述了什麼是安全策略、怎樣編寫安全策略以及策略的維護周期,並給出了許多安全策略的樣板。本書對於企業安全檢查策略的編寫人員來說是一本難得的參考書。本書適用於各組織的高層技術人員和管理人員,特別是從事網路安全領域的研究人員、IT技術服務領域的技術和管理人員。編寫信息安全策略 本書目錄
第一部分 開始策略過程第1章 什麼是信息安全策略
1.1 關於信息安全策略
1.2 策略的重要性
1.3 什麼時候制定策略
1.4 怎樣開發策略
1.5 小結
第2章 確定策略需求
2.1 明確要保護的對象
2.2 判斷系統保護應該針對哪些人
2.3 數據安全考慮
2.4 備份、文檔存儲和數據處理
2.5 智慧財產權權利和策略
2.6 意外事件回響和取證
2.7 小結
第3章 信息安全責任
3.1 管理層的責任
3.2 信息安全部門的角色
3.3 其它信息安全形色
3.4 了解安全管理和法律實施
3.5 信息安全意識培訓和支持
3.6 小結
第二部分 編寫安全策略
第4章 物理安全
4.1 計算機放置地點和設施結構
4.2 設備訪問控制
4.3 意外事件應對計畫
4.4 一般計算機系統安全
4.5 系統和網路配置的定期審計
4.6 人員方面的考慮
4.7 小結
第5章 身份認證和網路安全
5.1 網路編址和體系結構
5.2 網路訪問控制
5.3 登錄安全
5.4 口令
5.5 用戶界面
5.6 訪問控制
5.7 遠程辦公與遠程訪問
5.8 小結
第6章 Internet安全策略
6.1 理解Internet的大門
6.2 管理責任
6.3 用戶責任
6.4 WWW策略
6.5 應用程式責任
6.6 VPN、Extranet、Intranet和其它隧道(Tunnel)
6.7 數據機和其它後門
6.8 使用PKI和其它控制
6.9 電子商務
6.10 小結
第7章 電子郵件安全策略
7.1 電子郵件使用規則
7.2 電子郵件的管理
7.3 保密通信中電子郵件的使用
7.4 小結
第8章 病毒、蠕蟲和特洛伊木馬
8.1 對保護的需要
8.2 建立病毒保護類型
8.3 處理第三方軟體的規則
8.4 牽涉到病毒的用戶
8.5 小結
第9章 加密
9.1 法律問題
9.2 加密管理
9.3 對加密過程和被加密數據的處理
9.4 關於密鑰生成
9.5 密鑰管理
9.6 小結
第10章 軟體開發策略
10.1 軟體開發過程
10.2 測試和文檔
10.3 修正控制和配置管理
10.4 第三方開發
10.5 智慧財產權問題
10.6 小結
第三部分 維護策略
第11章 可接受的使用策略
11.1 編寫AUP
11.2 用戶登錄責任
11.3 系統和網路的使用
11.4 用戶責任
11.5 公司責任和公開制度
11.6 談話常識原則
11.7 小結
第12章 策略的遵守和執行
12.1 策略的測試和效果
12.2 策略的公布和通告需求
12.3 監視、控制和補救
12.4 管理員的責任
12.5 日誌方面的問題
12.6 安全問題的報告
12.7 計算機犯罪的提交
12.8 小結
第13章 策略審查過程
13.1 對策略文檔的定期審查
13.2 策略審查應該包括什麼
13.3 審查委員會
13.4 小結
第四部分 附錄
附錄A 辭彙表
附錄B 資源
附錄C 策略範例