編寫信息安全策略

定　價(jià)：￥28.00

作　者：	(美)Scott Barman著；段海新，劉彤譯
出版社：	人民郵電出版社
叢編項(xiàng)：
標(biāo)　簽：	計(jì)算機(jī)系統(tǒng) 信息系統(tǒng) 安全技術(shù)

購買這本書可以去

ISBN：	9787115106780	出版時(shí)間：	2002-01-01	包裝：	精裝
開本：	26cm	頁數(shù)：	176	字?jǐn)?shù)：

內(nèi)容簡介

信息安全策略（SecurityPolicy）描述一個(gè)組織高層的安全目標(biāo)，它描述應(yīng)該做什么而不是怎么去做。確定組織的安全策略是一個(gè)組織實(shí)現(xiàn)安全管理和技術(shù)措施的前提，否則所有的安全措施都將無的放矢。本書以通俗而不是專業(yè)語言描述了什么是安全策略、怎樣編寫安全策略以及策略的維護(hù)周期，并給出了許多安全策略的樣板。本書對于企業(yè)安全策略的編寫人員來說是一本難得的參考書。本書適用于各組織的高層技術(shù)人員和管理人員，特別是從事網(wǎng)絡(luò)安全領(lǐng)域的研究人員、IT技術(shù)服務(wù)領(lǐng)域的技術(shù)和管理人員。

作者簡介

　　Scott Barman目前是一位信息安全和系統(tǒng)結(jié)構(gòu)分析師，受聘于MITRE公司。他已經(jīng)從事信息安全方面的工作將近20年，為商業(yè)組織和政府機(jī)構(gòu)促進(jìn)系統(tǒng)發(fā)展和實(shí)現(xiàn)它們的安全要求。從Internet被廣泛使用開始，在加入MITRE之前，他在華盛頓特區(qū)的許多組織中的不同領(lǐng)域從事安全策略方面的工作。本書的靈感來自于他的SANS’99演講。他從佐治大學(xué)獲得學(xué)士學(xué)位，從卡耐基·梅隆大學(xué)獲得信息系統(tǒng)管理碩士學(xué)位。

圖書目錄

第一部分  開始策略過程　1
第1章  什么是信息安全策略　3
1.1  關(guān)于信息安全策略　3
1.2  策略的重要性　4
1.3  什么時(shí)候制定策略　4
1.4  怎樣開發(fā)策略　6
1.5  小結(jié)　8
第2章  確定策略需求　11
2.1  明確要保護(hù)的對象　11
2.2  判斷系統(tǒng)保護(hù)應(yīng)該針對哪些人　13
2.3  數(shù)據(jù)安全考慮　15
2.4  備份. 文檔存儲和數(shù)據(jù)處理　17
2.5  知識產(chǎn)權(quán)權(quán)利和策略　19
2.6  意外事件響應(yīng)和取證　20
2.7  小結(jié)　22
第3章  信息安全責(zé)任　25
3.1  管理層的責(zé)任　25
3.2  信息安全部門的角色　28
3.3  其它信息安全角色　29
3.4  了解安全管理和法律實(shí)施　31
3.5  信息安全意識培訓(xùn)和支持　32
3.6  小結(jié)　33
第二部分  編寫安全策略　35
第4章  物理安全　37
4.1  計(jì)算機(jī)放置地點(diǎn)和設(shè)施結(jié)構(gòu)　37
4.2  設(shè)備訪問控制　40
4.3  意外事件應(yīng)對計(jì)劃　42
4.4  一般計(jì)算機(jī)系統(tǒng)安全　43
4.5  系統(tǒng)和網(wǎng)絡(luò)配置的定期審計(jì)　44
4.6  人員方面的考慮　45
4.7  小結(jié)　45
第5章  身份認(rèn)證和網(wǎng)絡(luò)安全　47
5.1  網(wǎng)絡(luò)編址和體系結(jié)構(gòu)　47
5.2  網(wǎng)絡(luò)訪問控制　52
5.3  登錄安全　53
5.4  口令　58
5.5  用戶界面　59
5.6  訪問控制　60
5.7  遠(yuǎn)程辦公與遠(yuǎn)程訪問　61
5.8  小結(jié)　63
第6章  Internet安全策略　67
6.1  理解Internet的大門　67
6.2  管理責(zé)任　73
6.3  用戶責(zé)任　74
6.4  WWW策略　76
6.5  應(yīng)用程序責(zé)任　81
6.6  VPN. Extranet. Intranet和其它隧道（Tunnel）　82
6.7  調(diào)制解調(diào)器和其它后門　82
6.8  使用PKI和其它控制　83
6.9  電子商務(wù)　84
6.10  小結(jié)　85
第7章  電子郵件安全策略　89
7.1  電子郵件使用規(guī)則　89
7.2  電子郵件的管理　90
7.3  保密通信中電子郵件的使用　93
7.4  小結(jié)　94
第8章  病毒. 蠕蟲和特洛伊木馬　97
8.1  對保護(hù)的需要　97
8.2  建立病毒保護(hù)類型　98
8.3  處理第三方軟件的規(guī)則　100
8.4  牽涉到病毒的用戶　100
8.5  小結(jié)　101
第9章  加密　103
9.1  法律問題　103
9.2  加密管理　105
9.3  對加密過程和被加密數(shù)據(jù)的處理　106
9.4  關(guān)于密鑰生成　107
9.5  密鑰管理　107
9.6  小結(jié)　109
第10章  軟件開發(fā)策略　113
10.1  軟件開發(fā)過程　113
10.2  測試和文檔　117
10.3  修正控制和配置管理　118
10.4  第三方開發(fā)　120
10.5  知識產(chǎn)權(quán)問題　122
10.6  小結(jié)　122
第三部分  維護(hù)策略　125
第11章  可接受的使用策略　127
11.1  編寫AUP　127
11.2  用戶登錄責(zé)任　129
11.3  系統(tǒng)和網(wǎng)絡(luò)的使用　129
11.4  用戶責(zé)任　130
11.5  公司責(zé)任和公開制度　131
11.6  談話常識原則　132
11.7  小結(jié)　133
第12章  策略的遵守和執(zhí)行　135
12.1  策略的測試和效果　135
12.2  策略的公布和通告需求　136
12.3  監(jiān)視. 控制和補(bǔ)救　137
12.4  管理員的責(zé)任　139
12.5  日志方面的問題　140
12.6  安全問題的報(bào)告　141
12.7  計(jì)算機(jī)犯罪的提交　143
12.8  小結(jié)　144
第13章  策略審查過程　147
13.1  對策略文檔的定期審查　147
13.2  策略審查應(yīng)該包括什么　148
13.3  審查委員會　149
13.4  小結(jié)　150
第四部分  附錄　151
附錄A  詞匯表　153
附錄B  資源　161
B.1  計(jì)算機(jī)安全事件響應(yīng)組（CERT）　161
B.2  其他意外事件響應(yīng)信息　162
B.3  病毒保護(hù)　162
B.4  廠商專用安全信息　163
B.5  安全信息資源　164
B.6  安全出版物　164
B.7  工業(yè)團(tuán)體和協(xié)會　165
B.8  黑客和“地下”組織　165
B.9  醫(yī)療保健信息的攜帶和責(zé)任法案　165
B.10  健壯性　166
B.11  密碼策略和規(guī)章　167
B.12  安全策略參考資料　167
附錄C  策略范例　169
C.1  可接受的使用策略范例　170
C.2  電子郵件安全策略范例　172
C.3  管理策略范例　173