书籍详情

编写信息安全策略

编写信息安全策略

作者:(美)Scott Barman著;段海新,刘彤译

出版社:人民邮电出版社

出版时间:2002-01-01

ISBN:9787115106780

定价:¥28.00

购买这本书可以去
内容简介
信息安全策略(SecurityPolicy)描述一个组织高层的安全目标,它描述应该做什么而不是怎么去做。确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。本书以通俗而不是专业语言描述了什么是安全策略、怎样编写安全策略以及策略的维护周期,并给出了许多安全策略的样板。本书对于企业安全策略的编写人员来说是一本难得的参考书。本书适用于各组织的高层技术人员和管理人员,特别是从事网络安全领域的研究人员、IT技术服务领域的技术和管理人员。
作者简介
  Scott Barman目前是一位信息安全和系统结构分析师,受聘于MITRE公司。他已经从事信息安全方面的工作将近20年,为商业组织和政府机构促进系统发展和实现它们的安全要求。从Internet被广泛使用开始,在加入MITRE之前,他在华盛顿特区的许多组织中的不同领域从事安全策略方面的工作。本书的灵感来自于他的SANS’99演讲。他从佐治大学获得学士学位,从卡耐基·梅隆大学获得信息系统管理硕士学位。
目录
第一部分  开始策略过程 1                  
 第1章  什么是信息安全策略 3                  
 1.1  关于信息安全策略 3                  
 1.2  策略的重要性 4                  
 1.3  什么时候制定策略 4                  
 1.4  怎样开发策略 6                  
 1.5  小结 8                  
 第2章  确定策略需求 11                  
 2.1  明确要保护的对象 11                  
 2.2  判断系统保护应该针对哪些人 13                  
 2.3  数据安全考虑 15                  
 2.4  备份. 文档存储和数据处理 17                  
 2.5  知识产权权利和策略 19                  
 2.6  意外事件响应和取证 20                  
 2.7  小结 22                  
 第3章  信息安全责任 25                  
 3.1  管理层的责任 25                  
 3.2  信息安全部门的角色 28                  
 3.3  其它信息安全角色 29                  
 3.4  了解安全管理和法律实施 31                  
 3.5  信息安全意识培训和支持 32                  
 3.6  小结 33                  
 第二部分  编写安全策略 35                  
 第4章  物理安全 37                  
 4.1  计算机放置地点和设施结构 37                  
 4.2  设备访问控制 40                  
 4.3  意外事件应对计划 42                  
 4.4  一般计算机系统安全 43                  
 4.5  系统和网络配置的定期审计 44                  
 4.6  人员方面的考虑 45                  
 4.7  小结 45                  
 第5章  身份认证和网络安全 47                  
 5.1  网络编址和体系结构 47                  
 5.2  网络访问控制 52                  
 5.3  登录安全 53                  
 5.4  口令 58                  
 5.5  用户界面 59                  
 5.6  访问控制 60                  
 5.7  远程办公与远程访问 61                  
 5.8  小结 63                  
 第6章  Internet安全策略 67                  
 6.1  理解Internet的大门 67                  
 6.2  管理责任 73                  
 6.3  用户责任 74                  
 6.4  WWW策略 76                  
 6.5  应用程序责任 81                  
 6.6  VPN. Extranet. Intranet和其它隧道(Tunnel) 82                  
 6.7  调制解调器和其它后门 82                  
 6.8  使用PKI和其它控制 83                  
 6.9  电子商务 84                  
 6.10  小结 85                  
 第7章  电子邮件安全策略 89                  
 7.1  电子邮件使用规则 89                  
 7.2  电子邮件的管理 90                  
 7.3  保密通信中电子邮件的使用 93                  
 7.4  小结 94                  
 第8章  病毒. 蠕虫和特洛伊木马 97                  
 8.1  对保护的需要 97                  
 8.2  建立病毒保护类型 98                  
 8.3  处理第三方软件的规则 100                  
 8.4  牵涉到病毒的用户 100                  
 8.5  小结 101                  
 第9章  加密 103                  
 9.1  法律问题 103                  
 9.2  加密管理 105                  
 9.3  对加密过程和被加密数据的处理 106                  
 9.4  关于密钥生成 107                  
 9.5  密钥管理 107                  
 9.6  小结 109                  
 第10章  软件开发策略 113                  
 10.1  软件开发过程 113                  
 10.2  测试和文档 117                  
 10.3  修正控制和配置管理 118                  
 10.4  第三方开发 120                  
 10.5  知识产权问题 122                  
 10.6  小结 122                  
 第三部分  维护策略 125                  
 第11章  可接受的使用策略 127                  
 11.1  编写AUP 127                  
 11.2  用户登录责任 129                  
 11.3  系统和网络的使用 129                  
 11.4  用户责任 130                  
 11.5  公司责任和公开制度 131                  
 11.6  谈话常识原则 132                  
 11.7  小结 133                  
 第12章  策略的遵守和执行 135                  
 12.1  策略的测试和效果 135                  
 12.2  策略的公布和通告需求 136                  
 12.3  监视. 控制和补救 137                  
 12.4  管理员的责任 139                  
 12.5  日志方面的问题 140                  
 12.6  安全问题的报告 141                  
 12.7  计算机犯罪的提交 143                  
 12.8  小结 144                  
 第13章  策略审查过程 147                  
 13.1  对策略文档的定期审查 147                  
 13.2  策略审查应该包括什么 148                  
 13.3  审查委员会 149                  
 13.4  小结 150                  
 第四部分  附录 151                  
 附录A  词汇表 153                  
 附录B  资源 161                  
 B.1  计算机安全事件响应组(CERT) 161                  
 B.2  其他意外事件响应信息 162                  
 B.3  病毒保护 162                  
 B.4  厂商专用安全信息 163                  
 B.5  安全信息资源 164                  
 B.6  安全出版物 164                  
 B.7  工业团体和协会 165                  
 B.8  黑客和“地下”组织 165                  
 B.9  医疗保健信息的携带和责任法案 165                  
 B.10  健壮性 166                  
 B.11  密码策略和规章 167                  
 B.12  安全策略参考资料 167                  
 附录C  策略范例 169                  
 C.1  可接受的使用策略范例 170                  
 C.2  电子邮件安全策略范例 172                  
 C.3  管理策略范例 173                  

猜您喜欢

读书导航