版權資訊

書 名: 安全策略與規程原理與實踐
作 者:(美國)(Greene.S.S.)格林
出版時間: 2008
ISBN: 9787302179627
開本: 16
定價: 49.00 元
內容簡介
在當今快速發展的技術世界中,計算機安全從業人員必須能夠在信息和系統受到攻擊之前保護它們。作為一名將來的安全從業人員,你將需要創建有效的安全策略,並且知道如何最佳地實施它們,以便在信息和系統受到攻擊之前先發制人
《安全策略與規程原理與實踐》深入探討了以下主題:
·通過設計實用的策略和規程,積極地影響組織的行為。
·實施組織的安全標準和最佳實踐。
·使用ISO17799:2000標準作為信息安全計畫的框架。
·遵守政府規章,如GLBA,HIPAA、FERPA和FISMA。
·為小型和中型企業自定義安全計畫。
《安全策略與規程原理與實踐》帶有一些工具,用於幫助你超越僅僅學習概念並且幫助你套用它們。這些工具包括:
·實際套用教程:套用概念並通過動手實踐來學習。
·習題和項目:向你介紹如何套用新技能的作業。
·案例研究:把你學到的知識套用於現實情況。
·補充測試材料和項目,用於強化《安全策略與規程原理與實踐》所講的內容。
·可下載的檢查表和《安全策略與規程原理與實踐》中使用的模板。
·指向其他主題和資源的連結,可以在你的職業生涯中給你提供幫助
作者簡介
sariSternGreene(CISSP、MCSE、MCT、mcne、MCNI、CTT、NSA/IAM)是SageDataSecurity公司的總裁。在Sage,Sari領導一個經驗豐富的安全從業人員團隊。Sari致力於提供信息安全服務,比如策略和規程開發、信息安全程式開發、風險和漏洞評估,以及金融、衛生保健和政府領域的災難恢復/業務連續性計畫。Sari積極參與技術和安全社區。她是MESDA理事會中的一員,並且是MaineISSA支部的創始會員。她還經常在安全大會和研討會上發言,並且撰寫了眾多信息安全文章、教程和培訓材料。
目錄
第1部分 策略簡介.
第1章 策略定義3
1.1 簡介3
1.2 定義策略4
1.3 探討有史以來的策略5
1.3.1將《聖經》作為古代的策略6
1.3.2將美國憲法作為策略革命7
1.4 定義策略在政府中的作用8
1.5 定義策略在企業文化中的作用9
1.5.1服務.產品和企業文化中的一致性9
1.5.2遵從政府策略11
1.6 理解策略的心理學11
1.6.1使那些知道什麼是可能的人參與進來12
1.6.2環境中的變化15
1.7 引薦策略15
1.7.1獲得批准15
1.7.2把策略引薦給組織16
1.8 使策略被接受17
1.8.1企業文化來源於最高層17
1.8.2通過良好的交流強化策略18
1.8.3回響環境變化18
1.9 執行信息安全策略18
1.9.1執行行為性策略19
1.9.2執行技術性策略19
1.10 本章小結20
1.11 自測題21
1.11.1多項選擇題21
1.11.2練習題23
1.11.3項目題24
1.11.4案例研究24
第2章 策略的元素26
2.1 簡介26
2.2 定義策略配套文檔:標準.準則和規程27
2.2.1標準27
2.2.2準則28
2.2.3規程28
2.3 開發策略風格和格式28
2.3.1在編寫策略之前做出計畫29
2.4 定義策略元素30
2.4.1策略標題31
2.4.2策略目標32
2.4.3策略目的聲明32
2.4.4策略客群33
2.4.5策略聲明34
2.4.6策略例外情況34
2.4.7策略執行條款35
2.4.8策略定義37
2.5 本章小結38
2.6 自測題38
2.6.1多項選擇題38
2.6.2練習題41
2.6.3項目題42
2.6.4案例研究43
第2部分 信息安全策略的各個領域
第3章 信息安全框架47
3.1 簡介47
3.2 計畫信息安全計畫的目標48
3.2.1C代表保密性48
3.2.2I代表完整性50
3.2.3A代表可用性51
3.2.4信息安全的5個A:另外一些有意義的字母及其含義52
3.3 對數據和信息進行分類53
3.4 確定信息所有權角色55
3.5ISO17799/BS7799信息安全管理實施細則55
3.6 使用ISO17799:2000的10個安全領域56
3.6.1安全策略57
3.6.2組織安全57
3.6.3資產分類和控制57
3.6.4人員安全57
3.6.5物理和環境安全57
3.6.6通信和運營管理58
3.6.7訪問控制58
3.6.8系統開發和維護58
3.6.9業務連續性管理58
3.6.10合規性59
3.6.11可能具有這么多策略嗎59
3.7 本章小結59
3.8 自測題60
3.8.1多項選擇題60
3.8.2練習題62
3.8.3項目題63
3.8.4案例研究64
第4章 安全策略文檔和組織的安全策略65
4.1 簡介65
4.2 撰寫權威聲明66
4.2.1誰應該簽署權威聲明66
4.2.2權威聲明應該傳達什麼訊息66
4.2.3安全鬥士的角色67
4.3 安全策略文檔策略--關於策略的策略68
4.3.1組織的安全策略文檔與美國聯邦法律之間有關係嗎68
4.3.2安全策略的雇員版本的要求69
4.3.3策略是動態的70
4.4 管理組織的安全71
4.4.1創建支持信息安全目標的組織結構71
4.4.2其他人有訪問許可權嗎73
4.4.3外包日益成為一種趨勢74
4.5 本章小結76
4.6 自測題76
4.6.1多項選擇題76
4.6.2練習題79
4.6.3項目題80
4.6.4案例研究81
第5章 資產分類83
5.1 簡介83
5.2 我們在嘗試保護什麼84
5.2.1信息系統84
5.2.2誰負責信息資產84
5.3 信息分類86
5.3.1政府和軍隊的分類系統87
5.3.2商業分類系統88
5.4 信息分類標記和處理91
5.4.1信息標記91
5.4.2熟悉的標籤91
5.4.3信息處理91
5.5信息分類計畫生命周期91
5.5.1信息分類規程92
5.5.2重新分級/撤銷密級92
5.6 信息系統的價值和關鍵程度94
5.6.1我們如何知道我們擁有什麼95
5.6.2資產清單方法95
5.6.3資產清單的特徵和屬性96
5.6.4系統表征97
5.7 本章小結99
5.8 自測題99
5.8.1多項選擇題99
5.8.2練習題101
5.8.3項目題103
5.8.4案例研究104
第6章 人員安全105
6.1 簡介105
6.2 初次接觸106
6.2.1工作說明107
6.2.2面試107
6.3 這個人是誰108
6.3.1背景檢查的類型110
6.4雇員協定的重要性112
6.4.1保密性協定112
6.4.2信息安全確認協定113
6.5 培訓重要嗎115
6.5.1適用於各種計畫的SETA116
6.5.2利用安全意識影響行為116
6.5.3利用安全培訓傳授技能117
6.5.4安全教育是知識驅動的117
6.5.5投資於培訓117
6.6 安全事件報告是每個人的責任118
6.6.1事件報告培訓119
6.6.2安全報告機制119
6.6.3測試規程119
6.7 本章小結120
6.8自測題120
6.8.1多項選擇題120
6.8.2練習題123
6.8.3項目題124
6.8.4案例研究125
第7章 物理與環境安全策略和規程129
7.1 簡介129
7.2 設計安全區域130
7.2.1保護周界安全130
7.2.2實施物理入口控制132
7.2.3保護辦公室.房間和設施安全133
7.2.4在安全區域中工作134
7.3 保護設備安全135
7.3.1設備安置和保護136
7.3.2無電不工作137
7.3.3安全地處置和重用設備138
7.4 一般控制139
7.4.1清掃桌面和清除螢幕140
7.4.2移走公司財產141
7.5 本章小結142
7.6 自測題142
7.6.1多項選擇題142
7.6.2練習題144
7.6.3項目題145
7.6.4案例研究146
第8章 通信和運營管理147
8.1 簡介147
8.2 標準操作規程148
8.2.1為什麼要編制操作規程的文檔148
8.2.2開發標準操作規程文檔編制149
8.2.3授權SOP文檔編制152
8.2.4保護SOP文檔編制153
8.2.5SOAP更改管理153
8.3 操作更改控制154
8.3.1第1步:評估154
8.3.2第2步:記錄更改154
8.3.3第3步:交流155
8.4 事件回響計畫156
8.4.1事件和嚴重性級別156
8.4.2指定的事件處理者是誰158
8.4.3事件報告.回響和處理規程158
8.4.4分析事件和故障159
8.4.5報告可疑的或者觀察到的安全弱點159
8.4.6測試可疑的或觀察到的安全弱點160
8.5 惡意軟體161
8.5.1什麼是惡意軟體161
8.5.2惡意軟體控制162
8.6 信息系統備份165
8.6.1定義備份策略165
8.6.2測試恢復的重要性165
8.7 管理攜帶型存儲設備167
8.7.1控制非公司所有的可移動介質168
8.7.2控制公司所有的可移動介質離開公司建築物169
8.7.3存儲可移動介質170
8.7.4安全地重用和處置介質171
8.7.5外包介質拆除172
8.7.6當感到懷疑時就檢查日誌172
8.7.7運輸過程中的介質安全173
8.7.8僅適用於經過授權的快遞員173
8.7.9在運輸期間物理地保護介質174
8.7.10與運輸介質相關的安全控制174
8.7.11保護公共可用系統上的數據安全176
8.7.12發布數據和遵守法律176
8.7.13對滲透測試的要求177
8.8 保護電子郵件安全177
8.8.1電子郵件不同於其他通信形式嗎178
8.8.2我們可能是我們自己最壞的敵人179
8.8.3危及電子郵件伺服器180
8.9 本章小結181
8.10 自測題181
8.10.1多項選擇題181
8.10.2練習題183
8.10.3項目題185
8.10.4案例研究187
第9章 訪問控制189
9.1 簡介189
9.2 什麼是安全姿態190
9.2.1拒絕全部或者不拒絕全部……這是一個問題190
9.2.2執行業務活動的最少特權190
9.2.3你需要知道嗎,或者只是想知道191
9.2.4我們如何知道誰需要什麼191
9.2.5誰決定誰需要什麼192
9.3 管理用戶訪問193
9.3.1一個人授權,一個人實施,另一個人監督193
9.3.2用戶訪問管理193
9.3.3晉升.解僱和其他變化194
9.3.4特權伴隨有責任194
9.4 保持密碼安全196
9.4.1不要問,也不要講196
9.4.2保護密鑰196
9.4.3其他密碼策略問題198
9.5 用於遠程連線的用戶身份驗證199
9.5.1IPSec和虛擬專用網199
9.5.2RADIUS和TACACS+200
9.5.3硬體令牌200
9.5.4質詢/回響協定201
9.5.5專用線路201
9.5.6地址檢查和回撥控制201
9.5.7準備測試202
9.6 移動計算203
9.6.1仍然是另一種風險評估203
9.6.2批准還是禁止203
9.7 遠程工作206
9.7.1遠程工作環境206
9.8 監視系統訪問和使用208
9.8.1我們需要監視什麼209
9.8.2審閱和保持210
9.8.3監視合法嗎210
9.9 本章小結211
9.10 自測題212
9.10.1多項選擇題212
9.10.2練習題214
9.10.3項目題..215
9.10.4案例研究216
第10章 系統開發和維護217
10.1 簡介217
10.2 機構的風險是什麼218
10.2.1系統開發218
10.2.2系統維護218
10.3 系統的安全需求218
10.3.1風險評估219
10.3.2獨立的第三方顧問:需要嗎219
10.3.3實現完成後添加控制220
10.4 永遠不能在敏感數據上發生的事情221
10.4.1數據丟失221
10.4.2數據修改222
10.4.3數據濫用222
10.5 隨意代碼與安全代碼222
10.5.1系統所有者223
10.5.2輸入驗證:簡介223
10.5.3高級輸入驗證223
10.5.4測試數據輸入的可信度224
10.5.5輸出驗證224
10.6 風險評估和加密術226
10.6.1風險評估227
10.6.2保密性.完整性.身份驗證.認可227
10.6.3密鑰的保管人229
10.6.4密鑰管理229
10.6.5加密術與業務合作夥伴230
10.7 作業系統與套用軟體的穩定性231
10.7.1唯有穩定版本才應在生產伺服器上部署232
10.7.2更新:必需的.不安全的,還是兩者兼備232
10.7.3更新:應當部署的時機233
10.7.4更新:應當執行部署的人233
10.7.5測試環境所關心的內容234
10.8 本章小結235
10.9 自測題236
10.9.1多項選擇題236
10.9.2練習題238
10.9.3項目題240
10.9.4案例研究243
第11章 業務連續性管理244
11.1 簡介244
11.2 什麼是災難245
11.2.1風險評估和業務影響分析(BIA)245
11.3 無警告的災難打擊247
11.3.1行動計畫248
11.3.2業務連續性計畫(BCP)組成248
11.4 理解角色和職責250
11.4.1定義例外情況250
11.4.2由誰負責251
11.5 災難準備252
11.5.1組織機構253
11.5.2指揮中心位置253
11.5.3通知全體人員253
11.5.4業務的重新部署253
11.5.5備用數據中心站254
11.6 回響災難254
11.6.1發現254
11.6.2通知255
11.6.3宣布255
11.6.4啟動255
11.7 應急計畫256
11.7.1業務應急規程256
11.7.2業務應急文檔256
11.8 災難恢復257
11.8.1恢復策略257
11.8.2規程258
11.8.3恢復手冊259
11.9 計畫的測試與維護259
11.9.1測試方法259
11.9.2計畫的維護260
11.9.3與賣主達成一致260
11.9.4計畫的審計261
11.10 本章小結262
11.11 自測題262
11.11.1多項選擇題262
11.11.2練習題264
11.11.3項目題265
11.11.4案例研究266
第3部分 合規性
第12章 金融機構的合規性271
12.1 簡介271
12.2 什麼是格雷姆-里奇-比利雷法案272
12.2.1GLBA的適用範圍272
12.2.2GLBA的執行者273
12.2.3FFIEC的救贖274
12.2.4GLBA安全條例的理解275
12.2.5什麼是部門間的指導原則275
12.2.6信息安全計畫的開發與實現275
12.3 涉及的董事會276
12.3.1委託信息安全任務276
12.4 評估風險277
12.4.1信息和信息系統的詳細清單278
12.4.2識別和評估威脅278
12.4.3減損控制279
12.5 管理風險280
12.5.1將ISO框架用於完成風險管理的目標281
12.5.2邏輯與管理訪問控制282
12.5.3物理安全283
12.5.4數據安全284
12.5.5惡意代碼284
12.5.6系統開發.獲取和維護285
12.5.7人員安全285
12.5.8電子與紙質介質的處理285
12.5.9日誌記錄與數據收集286
12.5.10服務提供商監管286
12.5.11入侵檢測和回響286
12.5.12業務連續性考慮287
12.5.13培訓.培訓.再培訓287
12.5.14測試控制287
12.6 調整計畫.報告董事會並實現標準288
12.6.1調整計畫288
12.6.2報告董事會288
12.6.3合規性的有效期288
12.7 與FTC保護法案的不同之處288
12.7.1目標289
12.7.2元素289
12.8身份盜竊和合規性290
12.8.1身份盜竊的回響290
12.8.2FTC與身份盜竊292
12.9 本章小結292
12.10 自測題293
12.10.1多項選擇題293
12.10.2練習題294
12.10.3項目題295
12.10.4案例研究296
第13章 醫療衛生領域的合規性297
13.1 簡介297
13.2 理解安全法規298
13.2.1HIPAA的目標與目的299
13.2.2HIPAA的關鍵原則299
13.2.3達不到合規性導致的懲罰299
13.2.4安全法規機構300
13.2.5實現規範300
13.3 管理保護301
13.3.1安全管理過程§164.308(a)(1)301
13.3.2指派安全責任§164.308(a)(2)303
13.3.3員工安全§164.308(a)(3)303
13.3.4信息訪問管理§164.308(a)(4)304
13.3.5安全意識和培訓§164.308(a)(5)305
13.3.6安全事件規程§164.308(a)(6)306
13.3.7意外事故計畫§164.308(a)(7)307
13.3.8評估§184.308(a)(8)308
13.3.9業務合作契約和其他安排§164.308(b)(1)308
13.4 物理保護309
13.4.1設施訪問控制§164.310(a)(1)309
13.4.2工作站的使用§164.310(b)310
13.4.3工作站的安全§164.310(b)311
13.4.4設備與介質控制§164.310(d)(1)311
13.5 技術保護312
13.5.1訪問控制§164.312(a)(1)312
13.5.2審計控制§164.312(b)313
13.5.3完整性控制§164.312(c)(1)314
13.5.4人員或身份驗證§164.312(d)314
13.5.5傳輸安全§164.312(e)(1)315
13.6 機構要求315
13.6.1業務合作契約§164.314(a)(1)316
13.6.2對組健康計畫的標準要求§164.314(b)(1)317
13.7 策略和規程317
13.7.1策略和規程§164.316(a)317
13.7.2文檔§164.316(b)(1)317
13.8 本章小結318
13.9 自測題318
13.9.1多項選擇題318
13.9.2練習題320
13.9.3項目題321
13.9.4案例研究322
第14章 關鍵基礎設施領域的信息安全合規性323
14.1 簡介323
14.2 電子政務成為現實324
14.2.1國家級的安全性324
14.2.2合規性必需的元素325
14.2.3用於援救的NIST325
14.2.4從事FISMA的NIST出版物326
14.2.5FISMA實現項目326
14.2.6FISMA的未來326
14.3 保護學生記錄的隱私326
14.3.1FERPA的目標是什麼327
14.3.2教育記錄是什麼327
14.3.3教育記錄的類型327
14.3.4FERPA與信息安全的關係如何328
14.4 一切皆從一件公司醜聞開始328
14.4.1SOX與信息安全的關係如何329
14.4.2採用控制框架329
14.5與ISO17799:2000的關聯330
14.5. 1ISO17799安全領域概述330
14.6 本章小結331
14.7 自測題332
14.7.1多項選擇題332
14.7.2練習題333
14.7.3項目題334
14.7.4案例研究335
第15章 小企業的安全策略與實踐336
15.1 簡介336
15.2 什麼是小企業337
15.2.1小企業應當做什麼338
15.2.2額外考慮338
15.2.3小企業應當擁有什麼策略338
15.2.4策略應當如何提出339
15.3 為何要擁有一項保密性策略339
15.3.1合法化339
15.3.2不是一種,也不是兩種,而是五種340
15.3.3協定的結構340
15.3.4保護協定340
15.4 什麼是可接受的行為341
15.4.1所有權341
15.4.2硬體和軟體342
15.4.3資源濫用343
15.5 網際網路的使用--在哪裡劃定最後界限343
15.5.1網際網路通信量的監控.記錄日誌及阻塞343
15.5.2傳輸數據344
15.6 確保公司電子郵件的安全345
15.6.1隻供業務使用346
15.6.2明文通信346
15.6.3資源濫用347
15.7 意外事件的報告與回響347
15.7.1意外事件報告348
15.7.2意外事件回響348
15.7.3意外事件回響計畫349
15.8 口令管理349
15.8.1口令特徵350
15.8.2口令檢查351
15.9 保護信息351
15.9.1分類的確是必需的嗎351
15.9.2信息標記352
15.9.3信息保護352
15.10 防止惡意軟體354
15.10.1病毒.蠕蟲.特洛伊木馬以及間諜軟體354
15.10.2保護要求355
15.10.3不要忘記用戶355
15.10.4補丁管理355
15.11 保護遠程訪問356
15.11.1擴展內部網路357
15.12 控制更改358
15.12.1小企業為何需要一套變更控制策略358
15.13 數據備份與恢復359
15.13.1企業依賴於訪問數據的能力359
15.13.2備份的類型360
15.13.3備份介質的存儲360
15.13.4測試恢復361
15.14 本章小結361
15.15 自測題361
15.15.1多項選擇題361
15.15.2練習題364
15.15.3項目題366
15.15.4案例研究367
附錄A 訪問控制369
附錄B 雇員信息安全策略批准協定371
B.1策略綜述371
B.2董事長的聲明371
B.2.1可接受的信息資源使用372
B.2.2網際網路使用372
B.2.3電子郵件使用策略373
B.2.4信息資源的臨時使用373
B.2.5口令策略374
B.2.6攜帶型計算策略374
B.2.7發布375
B.2.8認可協定375
B.2.9標準定義376
術語表
……