书籍详情

安全计划与灾难恢复

安全计划与灾难恢复

作者:(美)Eric Maiwald,(美)William Sieglein著;孙东红等译

出版社:人民邮电出版社

出版时间:2003-01-01

ISBN:9787115116840

定价:¥32.00

购买这本书可以去
内容简介
  本解决信息安全问题不是简单地依靠安全技术人员就可以的,对于所有从事IT业务或者倚仗IT基础设施来辅助业务动作的公司或组织而方,制定适合本单位的安全计划是非常重要的。本书层次清晰地介绍了安全计划的建立、实施和管理,紧急事件处理等方面的具体细节。针对安全计划所涉及的政策、过程、审计、监控、培训、时间和资金投入以及意外事件的应急处理等进行了专题讲解。本书内容环环相扣,具有很强的指导性和可实践性。本书适合政府、企业等行业中IT相关部门的管理人员,以及网络和信息安全服务行业的从业人员使用。
作者简介
  EricMaiwald是Fortrex公司的首席技术官,负责管理公司全部的安全研究和培训活动以及Fortrex网络安全中心的运行工作。此外,Maiwald先生还参与过很多其他类型的工作,比如对大型的金融机构、服务公司和生产厂商进行风险评估,制定企业的开发策略和部署安全解决方案等等。作为咨询顾问、安全主管和开发者,他在安全领域有着丰富的工作经验。Maiwald拥有Rensselaer理工学院的电子工程理学学士学位、Stevens科技学院的电子工程学硕士学位,并且是认证的信息系统安全专家(CISSP)。
目录
第一部分  制定安全计划的指导原则                  
 第1章  信息安全计划的任务                  
 1. 1  正确的开端                  
 1. 2  确定安全部门的任务                  
 1. 2. 1  报告的机构                  
 1. 2. 2  任务声明                  
 1. 2. 3  长期目标                  
 1. 2. 4  短期目标                  
 1. 3  关系                  
 1. 3. 1  技术关系                  
 1. 3. 2  业务关系                  
 1. 4  检查清单:计划的关键任务                  
 第2章  美国的相关法律和法规                  
 2. 1  与执法部门合作                  
 2. 2  法律背景                  
 2. 2. 1  计算机欺骗和滥用法(1986年版)                  
 2. 2. 2  电子通信隐私法(1986年版)                  
 2. 2. 3  计算机安全法(1987)                  
 2. 2. 4  国家信息基础设施保护法(1996)                  
 2. 2. 5  Gramm-Leach-Bliley金融服务现代化法案(GLBA)                  
 2. 2. 6  医疗保险信息携带及责任法案(HIPAA)                  
 2. 3  网络资源                  
 2. 4  检查清单:信息安全法律问题的要点                  
 第3章  评估                  
 3. 1  内部审计                  
 3. 2  外部审计                  
 3. 3  评估                  
 3. 3. 1  自我评估                  
 3. 3. 2  漏洞评估                  
 3. 3. 3  穿透测试                  
 3. 3. 4  风险评估                  
 3. 4  检查清单:评估的要点                  
 第二部分  计划的实施                  
 第4章  制定政策与程序                  
 4. 1  政策的目的                  
 4. 2  制定政策                  
 4. 2. 1  可接受使用政策(AUP)                  
 4. 2. 2  信息安全政策                  
 4. 3  现有文档的处理                  
 4. 4  使他们认可                  
 4. 5  政策审查                  
 4. 6  检查清单:制定政策与程序的要点                  
 第5章  安全计划的实施                  
 5. 1  从何处开始                  
 5. 1. 1  建立计划书                  
 5. 1. 2  风险评估                  
 5. 1. 3  降低风险的计划                  
 5. 1. 4  制定政策                  
 5. 1. 5  解决方案的部署                  
 5. 1. 6  培训                  
 5. 1. 7  审计和报告                  
 5. 1. 8  重新再做一遍                  
 5. 2  和系统管理员们一起工作                  
 5. 3  和管理者一起工作                  
 5. 4  教育用户                  
 5. 5  检查清单:安全计划实施的要点                  
 第6章  部署新项目和新技术                  
 6. 1  新的业务项目                  
 6. 1. 1  需求定义                  
 6. 1. 2  系统设计                  
 6. 1. 3  内部开发                  
 6. 1. 4  第三方产品                  
 6. 1. 5  测试                  
 6. 1. 6  试运行                  
 6. 1. 7  完全产品化                  
 6. 2  检查清单:部署业务项目的要点                  
 第7章  安全培训和安全意识                  
 7. 1  用户意识                  
 7. 2  管理者意识                  
 7. 3  安全小组的培训和意识                  
 7. 4  培训方法                  
 7. 4. 1  工作描述                  
 7. 4. 2  始业教育                  
 7. 4. 3  可接受使用政策(AUP)                  
 7. 4. 4  正式的课堂培训                  
 7. 4. 5  研讨会和自助会议                  
 7. 4. 6  时事通讯和网站                  
 7. 4. 7  大型活动                  
 7. 4. 8  会议                  
 7. 5  检查清单:  安全培训和安全意识的要点                  
 第8章  安全监控                  
 8. 1  政策监控                  
 8. 1. 1  意识                  
 8. 1. 2  系统                  
 8. 1. 3  员工                  
 8. 1. 4  计算机的使用政策                  
 8. 2  网络监控                  
 8. 2. 1  系统配置                  
 8. 2. 2  网络攻击                  
 8. 2. 3  网络监控机制                  
 8. 3  审计日志的监控                  
 8. 3. 1  非授权的访问                  
 8. 3. 2  不合适的行为                  
 8. 3. 3  有效日志监控机制                  
 8. 4  安全漏洞监控                  
 8. 4. 1  软件补丁                  
 8. 4. 2  配置问题                  
 8. 4. 3  识别安全漏洞的机制                  
 8. 5  检查清单:安全监控的要点                  
 第三部分  安全计划的管理                  
 第9章  安全预算                  
 9. 1  确定需求                  
 9. 2  制定预算                  
 9. 3  其他事项                  
 9. 3. 1  人员需求                  
 9. 3. 2  培训费用                  
 9. 3. 3  软件和硬件维护                  
 9. 3. 4  外部服务                  
 9. 3. 5  新产品                  
 9. 3. 6  不可预料的费用                  
 9. 4  严格执行预算                  
 9. 5  检查清单:安全计划预算中的要点                  
 第10章  安全人员                  
 10. 1  技能领域                  
 10. 1. 1  安全管理能力                  
 10. 1. 2  政策开发能力                  
 10. 1. 3  体系结构设计能力                  
 10. 1. 4  研究能力                  
 10. 1. 5  评估能力                  
 10. 1. 6  审计能力                  
 10. 2  雇用好的员工                  
 10. 2. 1  职业道德                  
 10. 2. 2  能力与经验                  
 10. 2. 3  个性品质                  
 10. 2. 4  认证证书                  
 10. 3  小型机构                  
 10. 3. 1  职员的技能                  
 10. 3. 2  寻找外部的技能                  
 10. 4  大型机构                  
 10. 4. 1  安全部门的基本编制                  
 10. 4. 2  寻找外部的技能                  
 10. 5  检查清单:雇用职员的要点                  
 第11章  报告                  
 11. 1  项目计划的进度                  
 11. 2  安全的状态                  
 11. 2. 1  测度                  
 11. 2. 2  风险的测量                  
 11. 3  投资回报                  
 11. 3. 1  业务项目                  
 11. 3. 2  直接的回报                  
 11. 4  意外事件                  
 11. 4. 1  事件的事实描述                  
 11. 4. 2  被利用的安全漏洞                  
 11. 4. 3  采取的行动                  
 11. 4. 4  建议                  
 11. 5  审计                  
 11. 6  检查清单:安全报告中的要点                  
 第四部分  如何响应意外事件                  
 第12章  事件响应                  
 12. 1  事件响应组                  
 12. 1. 1  小组成员                  
 12. 1. 2  领导                  
 12. 1. 3  授权                  
 12. 1. 4  小组筹备                  
 12. 2  事件确认                  
 12. 2. 1  事件是什么                  
 12. 2. 2  要查找什么                  
 12. 2. 3  服务台的帮助                  
 12. 3  升级                  
 12. 3. 1  调查                  
 12. 3. 2  收集证据                  
 12. 3. 3  决定如何响应                  
 12. 4  控制措施                  
 12. 5  事件根除                  
 12. 6  文档                  
 12. 6. 1  事件发生前的文档                  
 12. 6. 2  事件处理过程中的文档                  
 12. 6. 3  事件处理后的文档                  
 12. 7  法律问题                  
 12. 7. 1  监控                  
 12. 7. 2  证据收集                  
 12. 8  检查清单:事件响应的要点                  
 第13章  制定意外事件的应急计划                  
 13. 1  灾难定义                  
 13. 2  确定重要的系统和数据                  
 13. 2. 1  业务影响分析                  
 13. 2. 2  采访过程                  
 13. 3  准备                  
 13. 3. 1  风险分析项目                  
 13. 3. 2  资产清单                  
 13. 3. 3  获得资金                  
 13. 3. 4  支出的理由                  
 13. 3. 5  资金分配                  
 13. 3. 6  组织间的合作和合作政策                  
 13. 4  把DPR工作组和指导委员会一起考虑                  
 13. 5  常规程序                  
 13. 6  资源                  
 13. 7  检查清单:应急计划的要点                  
 第14章  灾难响应                  
 14. 1  真实性检查                  
 14. 1. 1  先发生的事情先处理                  
 14. 1. 2  损失评估                  
 14. 2  定义权威和工作组                  
 14. 2. 1  工作组的召集                  
 14. 2. 2  可用技术评估                  
 14. 2. 3  设定优先次序                  
 14. 2. 4  设定目标                  
 14. 3  是否遵守计划                  
 14. 4  灾难的阶段                  
 14. 4. 1  灾难响应阶段                  
 14. 4. 2  恢复运作阶段                  
 14. 4. 3  恢复生产阶段                  
 14. 4. 4  灾后重建阶段                  
 14. 5  检查清单:灾难响应的要点                  
 第五部分  附  录                  
 附录A  处理审计                  
 A. 1  成为其中一员                  
 A. 1. 1  信息搜集                  
 A. 1. 2  审计报告                  
 A. 1. 3  响应审计                  
 A. 2  内部审计                  
 A. 2. 1  例行审计                  
 A. 2. 2  特定问题的审计                  
 A. 3  外部审计                  
 A. 3. 1  财务审计                  
 A. 3. 2  SAS-70                  
 A. 4  信息安全部门对审计的响应                  
 A. 5  检查清单:审计中的关键步骤                  
 附录B 安全外包                  
 B. 1  外包安全服务                  
 B. 1. 1  “技术性”的安全服务                  
 B. 1. 2  “面向人”的安全服务                  
 B. 2  选择外包什么                  
 B. 2. 1  选择外包的理由                  
 B. 2. 2  外部安全服务的费用                  
 B. 2. 3  回到风险管理问题                  
 B. 3  选择安全服务商                  
 B. 3. 1  服务                  
 B. 3. 2  价格                  
 B. 3. 3  其他问题                  
 B. 4  与服务商一起工作                  
 B. 4. 1  经常进行沟通和交流                  
 B. 4. 2  设定期望值                  
 B. 4. 3  风险管理                  
 B. 5  检查清单:外部安全服务的关键要点                  
 附录C  管理新的安全项目                  
 C. 1  需求定义                  
 C. 1. 1  安全需求                  
 C. 1. 2  故障时切换需求                  
 C. 1. 3  性能需求                  
 C. 1. 4  可管理性需求                  
 C. 1. 5  集成的需求                  
 C. 2  征求建议书(RFP)                  
 C. 2. 1  RFP的内容                  
 C. 2. 2  RFP的条件                  
 C. 3  评估供应商的反馈                  
 C. 3. 1  技术部分的评估                  
 C. 3. 2  非技术部分的评估                  
 C. 3. 3  折衷                  
 C. 4  选择供应商                  
 C. 5  内部开发新信息安全项目                  
 C. 6  在内部进行产品集成                  
 C. 6. 1  技术集成                  
 C. 6. 2  程序的集成                  
 C. 7  安全产品的集成                  
 C. 8  检查清单:部署新信息安全技术的关键要点                  
 附录D  安全计划与灾难恢复蓝图                  

猜您喜欢

读书导航