網絡空間安全計劃與策略開發(fā)

目　錄
譯者序
前言
作者簡介
第1章　理解網絡安全策略和治理1
信息安全與網絡安全策略2
看一看古往今來的策略3
古代策略3
美國憲法3
現(xiàn)代策略4
網絡安全策略5
資產6
成功策略的特點7
政府的角色11
其他聯(lián)邦銀行的法規(guī)14
其他 的政府網絡安全條例14
策略的挑戰(zhàn)14
網絡安全策略生命周期14
策略開發(fā)15
策略發(fā)布16
策略采用17
策略評價17
總結18
自測題18
參考資料21
第2章　網絡安全策略組織、格式和風格23
策略的層次結構23
標準24
基線24
指南25
進程26
計劃和方案27
寫作風格和技巧27
使用簡明語言27
簡明語言運動28
簡明語言策略寫作技巧29
策略格式31
理解你的受眾31
策略格式的類型31
策略組件32
總結39
自測題40
參考資料44
第3章　網絡安全框架45
機密性、完整性和可用性46
機密性46
完整性48
可用性49
誰負責CIA52
NIST的網絡安全框架53
NIST的功能53
ISO54
NIST網絡安全框架54
ISO標準55
總結59
自測題60
參考資料63
第4章　治理與風險管理65
理解網絡安全策略65
治理65
戰(zhàn)略一致性的意義66
法規(guī)要求67
用戶級別網絡安全策略67
提供商網絡安全策略67
網絡安全漏洞披露策略68
網絡安全策略的客戶概要68
誰授權網絡安全策略69
分布式治理模型69
評估網絡安全策略71
修訂網絡安全策略：變 驅動因素73
NIST網絡安全框架治理子類別和
　信息參考74
法規(guī)要求76
網絡安全風險76
風險是不好的嗎77
理解風險管理78
風險偏好和容忍度80
風險評估80
風險評估方法81
總結83
自測題84
參考資料88
第5章　資產管理和數(shù)據丟失預防 90
信息資產和系統(tǒng)91
誰負責信息資產91
信息分類93
聯(lián)邦政府如何對信息進行分類94
為什么 安全信息分類不同95
誰決定如何分類 安全數(shù)據96
私營部門如何對數(shù)據進行分類97
信息可以重新分類甚至解密嗎98
標簽和處理標準98
為什么貼標簽98
為什么要處理標準99
信息系統(tǒng)清單100
為什么清單是必要的，如何整理清單100
理解數(shù)據丟失預防技術103
總結105
自測題106
參考資料110
第6章　人力資源安全111
員工的生命周期112
招聘與安全有什么關系113
入職階段會發(fā)生什么117
什么是用戶配置117
員工在任職培訓過程中應該學習什么118
為什么終止被視為 危險的階段119
員工協(xié)議的重要性119
什么是保密協(xié)議或不泄露協(xié)議120
什么是可接受使用協(xié)議120
安全教育與培訓的重要性121
安全意識影響行為122
安全技能培訓122
安全教育由知識驅動122
總結123
自測題124
參考資料128
第7章　物理和環(huán)境安全130
理解安全設施分層防御模型131
如何保證網站安全132
如何控制物理訪問133
保護設備136
沒電無法工作136
火有多危險137
如何處置138
住手，小偷140
總結142
自測題142
參考資料146
第8章　通信和運營安全147
標準運營程序148
為何記錄SOP148
制定SOP149
運營變 控制152
為何管理變 152
為什么補丁處理不同155
惡意軟件防護157
是否存在不同類型的惡意軟件158
如何控制惡意軟件159
什么是防病毒軟件160
數(shù)據復制163
是否有 的備份或復制策略164
安全消息傳遞166
是什么使電子郵件成為安全風險166
電子郵件服務器是否存在風險168
其他協(xié)作和通信工具169
活動監(jiān)控和日志分析170
日志管理170
服務提供商監(jiān)督174
盡職調查175
服務提供商合同中應該包含的內容176
威脅情報和信息共享177
如果無法共享網絡威脅情報，
　該有多好178
總結179
自測題181
參考資料185
第9章　訪問控制管理187
訪問控制基礎188
安全狀態(tài)188
如何驗證身份190
授權193
審計195
基礎設施訪問控制196
為什么要劃分網絡196
什么是分層邊界安全198
遠程訪問安全202
用戶訪問控制205
為什么要管理用戶訪問206
應監(jiān)控哪些類型的訪問207
總結209
自測題210
參考資料213
0章　信息系統(tǒng)的獲取、開發(fā)和維護215
系統(tǒng)安全要求216
SDLC216
商用或開源軟件怎么樣218
測試環(huán)境219
保護測試數(shù)據219
安全代碼220
開放Web應用程序安全項目220
密碼學223
為什么加密224
法規(guī)要求225
什么是密鑰225
PKI225
為什么要保護加密密鑰226
數(shù)字證書泄露227
總結228
自測題229
參考資料232
1章　網絡安全事件響應234
事件響應234
什么是事件235
事件是如何被報告的240
事件響應計劃241
事件響應流程242
桌面練習和劇本244
信息共享和協(xié)調245
計算機安全事件響應小組245
產品安全事件響應團隊247
事件響應培訓和練習253
發(fā)生了什么事？調查和證據處理253
記錄事件253
與執(zhí)法部門合作254
了解取證分析254
數(shù)據泄露通知要求256
是否有聯(lián)邦違約通知法257
通知是否有效260
總結262
自測題263
參考資料268
2章　業(yè)務連續(xù)性管理270
應急準備270
彈性組織272
法規(guī)要求272
業(yè)務連續(xù)性風險管理273
業(yè)務連續(xù)性威脅評估273
業(yè)務連續(xù)性風險評估274&am;lt;br />業(yè)務影響評估275
業(yè)務連續(xù)性計劃277
角色和責任278
災難響應計劃280
運營應急計劃282
災難恢復階段283
重建階段285
計劃測試和維護285
為什么測試很重要285
計劃維護287
總結288
自測題289
參考資料291
3章　金融機構的監(jiān)管合規(guī)性293
Gramm-Leach-Bliley法案293
金融機構294
法規(guī)監(jiān)督295
機構間指南297
紐約金融服務部網絡安全法規(guī)
?。?3 NYCRR Part 500）305
監(jiān)管檢查306
檢查流程306
檢查評分307
個人和企業(yè)身份盜竊307
機構間指南附錄A要求的內容308
網上銀行環(huán)境指南中的身份驗證補充
　所要求的內容309
總結310
自測題311
參考資料316
4章　衛(wèi)生保健部門的監(jiān)管合規(guī)性318
HIPAA安全規(guī)則319
HIPAA安全規(guī)則的目標320
如何組織HIPAA安全規(guī)則321
物理保障328
技術保障330
組織要求333
政策和程序標準334
HIPAA安全規(guī)則映射到NIST網絡
　安全框架335
HITECH法案和Omnibus規(guī)則335
為商業(yè)伙伴改變了什么336
違反通知規(guī)則概述337
理解HIPAA合規(guī)執(zhí)行流程339
總結340
自測題340
參考資料345
5章　商家的PCI合規(guī)性347
保護持卡人數(shù)據348
PAN349
Luhn算法349
PCI DSS框架350
照舊開展業(yè)務的方法350
PCI DSS要求351
PCI DSS合規(guī)性358
誰需要遵守PCI DSS358
數(shù)據安全合規(guī)性評估359
PCI DSS自我評估問卷360
不合規(guī)是否有處罰361
總結362
自測題363
參考資料367
6章　NIST網絡安全框架369
NIST網絡安全框架組件介紹370
框架核心371
識別372
保護373
檢測374
響應374
恢復374
框架實現(xiàn)層374
誰應該協(xié)調框架實現(xiàn)376
NIST對建立或改進網絡安全計劃的建議步驟377
與利益相關者的溝通及供應鏈關系377
NIST網絡安全框架參考工具378
在現(xiàn)實生活中采用NIST網絡安全框架380
總結381
自測題381
參考資料384
附錄A　網絡安全計劃資源385
附錄B　選擇題答案392