安全策略与规程：原理与实践PDF电子书下载

第1部分 策略简介 3

第1章 策略定义 3

1.1简介 3

1.2定义策略 4

1.3探讨有史以来的策略 5

将《圣经》作为古代的策略 6

将美国宪法作为策略革命 7

1.4定义策略在政府中的作用 8

1.5定义策略在企业文化中的作用 9

服务、产品和企业文化中的一致性 9

遵从政府策略 11

1.6理解策略的心理学 11

使那些知道什么是可能的人参与进来 12

环境中的变化 15

1.7引荐策略 15

获得批准 15

把策略引荐给组织 16

1.8使策略被接受 17

组织文化来源于最高层 17

通过良好的交流强化策略 18

响应环境变化 18

1.9执行信息安全策略 18

执行行为性策略 19

执行技术性策略 19

1.10本章小结 20

1.11自测题 21

多项选择题 21

练习题 23

项目题 24

案例研究 24

第2章 策略的元素 26

2.1简介 26

2.2定义策略配套文档：标准、准则和规程 27

标准 27

准则 28

规程 28

2.3开发策略风格和格式 28

在编写策略之前做出计划 29

2.4定义策略元素 30

策略标题 31

策略目标 32

策略目的声明 32

策略受众 33

策略声明 34

策略例外情况 34

策略执行条款 35

策略定义 37

2.5本章小结 38

2.6自测题 38

多项选择题 38

练习题 41

项目题 42

案例研究 43

第2部分 信息安全策略的各个领域 47

第3章 信息安全框架 47

3.1简介 47

3.2计划信息安全计划的目标 48

C代表保密性 48

I代表完整性 50

A代表可用性 51

信息安全的5个A：另外一些有意义的字母及其含义 52

3.3对数据和信息进行分类 53

3.4确定信息所有权角色 55

3.5 ISO 17799／BS 7799信息安全管理实施细则 55

3.6使用ISO 17799： 2000的10个安全领域 56

安全策略 57

组织安全 57

资产分类和控制 57

人员安全 57

物理和环境安全 57

通信和运营管理 58

访问控制 58

系统开发和维护 58

业务连续性管理 58

合规性 59

可能具有这么多策略吗 59

3.7本章小结 59

3.8自测题 60

多项选择题 60

练习题 62

项目题 63

案例研究 64

第4章 安全策略文档和组织的安全策略 65

4.1简介 65

4.2撰写权威声明 66

谁应该签署权威声明 66

权威声明应该传达什么消息 66

安全斗士的角色 67

4.3安全策略文档策略——关于策略的策略 68

组织的安全策略文档与美国联邦法律之间有关系吗 68

安全策略的雇员版本的要求 69

策略是动态的 70

4.4管理组织的安全 71

创建支持信息安全目标的组织结构 71

其他人有访问权限吗 73

外包日益成为一种趋势 74

4.5本章小结 76

4.6自测题 76

多项选择题 76

练习题 79

项目题 80

案例研究 81

第5章 资产分类 83

5.1简介 83

5.2我们在尝试保护什么 84

信息系统 84

谁负责信息资产 84

5.3信息分类 86

政府和军队的分类系统 87

商业分类系统 88

5.4信息分类标记和处理 91

信息标记 91

熟悉的标签 91

信息处理 91

5.5信息分类计划生命周期 91

信息分类规程 92

重新分级／撤销密级 92

5.6信息系统的价值和关键程度 94

我们如何知道我们拥有什么 95

资产清单方法 95

资产清单的特征和属性 96

系统表征 97

5.7本章小结 99

5.8自测题 99

多项选择题 99

练习题 101

项目题 103

案例研究 104

第6章 人员安全 105

6.1简介 105

6.2初次接触 106

工作说明 107

面试 107

6.3这个人是谁 108

背景检查的类型 110

6.4雇员协议的重要性 112

保密性协议 112

信息安全确认协议 113

6.5培训重要吗 115

适用于各种计划的SETA 116

利用安全意识影响行为 116

利用安全培训传授技能 117

安全教育是知识驱动的 117

投资于培训 117

6.6安全事件报告是每个人的责任 118

事件报告培训 119

安全报告机制 119

测试规程 119

6.7本章小结 120

6.8自测题 120

多项选择题 120

练习题 123

项目题 124

案例研究 125

第7章 物理与环境安全策略和规程 129

7.1简介 129

7.2设计安全区域 130

保护周界安全 130

实施物理入口控制 132

保护办公室、房间和设施安全 133

在安全区域中工作 134

7.3保护设备安全 135

设备安置和保护 136

无电不工作 137

安全地处置和重用设备 138

7.4一般控制 139

清扫桌面和清除屏幕 140

移走公司财产 141

7.5本章小结 142

7.6自测题 142

多项选择题 142

练习题 144

项目题 145

案例研究 146

第8章 通信和运营管理 147

8.1简介 147

8.2标准操作规程 148

为什么要编制操作规程的文档 148

开发标准操作规程文档编制 149

授权SOP文档编制 152

保护SOP文档编制 153

SOAP更改管理 153

8.3操作更改控制 154

第1步：评估 154

第2步：记录更改 154

第3步：交流 155

8.4事件响应计划 156

事件和严重性级别 156

指定的事件处理者是谁 158

事件报告、响应和处理规程 158

分析事件和故障 159

报告可疑的或者观察到的安全弱点 159

测试可疑的或观察到的安全弱点 160

8.5恶意软件 161

什么是恶意软件 161

恶意软件控制 162

8.6信息系统备份 165

定义备份策略 165

测试恢复的重要性 165

8.7管理便携式存储设备 167

控制非公司所有的可移动介质 168

控制公司所有的可移动介质离开公司建筑物 169

存储可移动介质 170

安全地重用和处置介质 171

外包介质拆除 172

当感到怀疑时就检查日志 172

运输过程中的介质安全 173

仅适用于经过授权的快递员 173

在运输期间物理地保护介质 174

与运输介质相关的安全控制 174

保护公共可用系统上的数据安全 176

发布数据和遵守法律 176

对渗透测试的要求 177

8.8保护电子邮件安全 177

电子邮件不同于其他通信形式吗 178

我们可能是我们自己最坏的敌人 179

危及电子邮件服务器 180

8.9本章小结 181

8.10自测题 181

多项选择题 181

练习题 183

项目题 185

案例研究 187

第9章 访问控制 189

9. 1简介 189

9.2什么是安全姿态 190

拒绝全部或者不拒绝全部……这是一个问题 190

执行业务活动的最少特权 190

你需要知道吗，或者只是想知道 191

我们如何知道谁需要什么 191

谁决定谁需要什么 192

9.3管理用户访问 193

一个人授权，一个人实施，另一个人监督 193

用户访问管理 193

晋升、解雇和其他变化 194

特权伴随有责任 194

9.4保持密码安全 196

不要问，也不要讲 196

保护密钥 196

其他密码策略问题 198

9.5用于远程连接的用户身份验证 199

IPSec和虚拟专用网 199

RADIUS和TACACS＋ 200

硬件令牌 200

质询／响应协议 201

专用线路 201

地址检查和回拨控制 201

准备测试 202

9.6移动计算 203

仍然是另一种风险评估 203

批准还是禁止 203

9.7远程工作 206

远程工作环境 206

9.8监视系统访问和使用 208

我们需要监视什么 209

审阅和保持 210

监视合法吗 210

9.9本章小结 211

9.10自测题 212

多项选择题 212

练习题 214

项目题 215

案例研究 216

第10章 系统开发和维护 217

10.1简介 217

10.2机构的风险是什么 218

系统开发 218

系统维护 218

10.3系统的安全需求 218

风险评估 219

独立的第三方顾问：需要吗 219

实现完成后添加控制 220

10.4永远不能在敏感数据上发生的事情 221

数据丢失 221

数据修改 222

数据滥用 222

10.5随意代码与安全代码 222

系统所有者 223

输入验证：简介 223

高级输入验证 223

测试数据输入的可信度 224

输出验证 224

10.6风险评估和加密术 226

风险评估 227

保密性、完整性、身份验证、认可 227

密钥的保管人 229

密钥管理 229

加密术与业务合作伙伴 230

10.7操作系统与应用软件的稳定性 231

唯有稳定版本才应在生产服务器上部署 232

更新：必需的、不安全的，还是两者兼备 232

更新：应当部署的时机 233

更新：应当执行部署的人 233

测试环境所关心的内容 234

10.8本章小结 235

10.9自测题 236

多项选择题 236

练习题 238

项目题 240

案例研究 243

第11章 业务连续性管理 244

11.1简介 244

11.2什么是灾难 245

风险评估和业务影响分析（BIA） 245

11.3无警告的灾难打击 247

行动计划 248

业务连续性计划（BCP）组成 248

11.4理解角色和职责 250

定义例外情况 250

由谁负责 251

11.5灾难准备 252

组织机构 253

指挥中心位置 253

通知全体人员 253

业务的重新部署 253

备用数据中心站 254

11.6响应灾难 254

发现 254

通知 255

宣布 255

启动 255

11.7应急计划 256

业务应急规程 256

业务应急文档 256

11.8灾难恢复 257

恢复策略 257

规程 258

恢复手册 259

11.9计划的测试与维护 259

测试方法 259

计划的维护 260

与卖主达成一致 260

计划的审计 261

11.10本章小结 262

11.11自测题 262

多项选择题 262

练习题 264

项目题 265

案例研究 266

第3部分 合规性 271

第12章 金融机构的合规性 271

12.1简介 271

12.2什么是格雷姆-里奇-比利雷法案 272

GLBA的适用范围 272

GLBA的执行者 273

FFIEC的救赎 274

GLBA安全条例的理解 275

什么是部门间的指导原则 275

信息安全计划的开发与实现 275

12.3涉及的董事会 276

委托信息安全任务 276

12.4评估风险 277

信息和信息系统的详细清单 278

识别和评估威胁 278

减损控制 279

12.5管理风险 280

将ISO框架用于完成风险管理的目标 281

逻辑与管理访问控制 282

物理安全 283

数据安全 284

恶意代码 284

系统开发、获取和维护 285

人员安全 285

电子与纸质介质的处理 285

日志记录与数据收集 286

服务提供商监管 286

入侵检测和响应 286

业务连续性考虑 287

培训、培训、再培训 287

测试控制 287

12.6调整计划、报告董事会并实现标准 288

调整计划 288

报告董事会 288

合规性的有效期 288

12.7与FTC保护法案的不同之处 288

目标 289

元素 289

12.8身份盗窃和合规性 290

身份盗窃的响应 290

FTC与身份盗窃 292

12.9本章小结 292

12.10自测题 293

多项选择题 293

练习题 294

项目题 295

案例研究 296

第13章 医疗卫生领域的合规性 297

13.1简介 297

13.2理解安全法规 298

HIPAA的目标与目的 299

HIPAA的关键原则 299

达不到合规性导致的惩罚 299

安全法规机构 300

实现规范 300

13.3管理保护 301

安全管理过程§164.308（a）（1） 301

指派安全责任§ 164.308（a）（2） 303

员工安全§ 164.308（a）（3） 303

信息访问管理§164.308（a）（4） 304

安全意识和培训§ 164.308（a）（5） 305

安全事件规程§164.308（a）（6） 306

意外事故计划§ 164.308（a）（7） 307

评估§184.308（a）（8） 308

业务合作合同和其他安排§164.308（b）（1） 308

13.4物理保护 309

设施访问控制§ 164.310（a）（1） 309

工作站的使用§ 164.310（b） 310

工作站的安全§164.310（b） 311

设备与介质控制§164.310（d）（1） 311

13.5技术保护 312

访问控制§ 164.312（a）（1） 312

审计控制§164.312（b） 313

完整性控制§ 164.312（c）（1） 314

人员或身份验证§164.312（d） 314

传输安全§ 164.312（e）（1） 315

13.6机构要求 315

业务合作合同§164.314（a）（1） 316

对组健康计划的标准要求§164.314（b）（1） 317

13.7策略和规程 317

策略和规程§ 164.316（a） 317

文档§164.316（b）（1） 317

13.8本章小结 318

13.9自测题 318

多项选择题 318

练习题 320

项目题 321

案例研究 322

第14章 关键基础设施领域的信息安全合规性 323

14.1简介 323

14.2电子政务成为现实 324

国家级的安全性 324

合规性必需的元素 325

用于援救的NIST 325

从事FISMA的NIST出版物 326

FISMA实现项目 326

FISMA的未来 326

14.3保护学生记录的隐私 326

FERPA的目标是什么 327

教育记录是什么 327

教育记录的类型 327

FERPA与信息安全的关系如何 328

14.4一切皆从一件公司丑闻开始 328

SOX与信息安全的关系如何 329

采用控制框架 329

14.5与ISO 17799：2000的关联 330

ISO 17799安全领域概述 330

14.6本章小结 331

14.7自测题 332

多项选择题 332

练习题 333

项目题 334

案例研究 335

第15章 小企业的安全策略与实践 336

15.1简介 336

15.2什么是小企业 337

小企业应当做什么 338

额外考虑 338

小企业应当拥有什么策略 338

策略应当如何提出 339

15.3为何要拥有一项保密性策略 339

合法化 339

不是一种，也不是两种，而是五种 340

协议的结构 340

保护协议 340

15.4什么是可接受的行为 341

所有权 341

硬件和软件 342

资源滥用 343

15.5互联网的使用——在哪里划定最后界限 343

互联网通信量的监控、记录日志及阻塞 343

传输数据 344

15.6确保公司电子邮件的安全 345

只供业务使用 346

明文通信 346

资源滥用 347

15.7意外事件的报告与响应 347

意外事件报告 348

意外事件响应 348

意外事件响应计划 349

15.8口令管理 349

口令特征 350

口令检查 351

15.9保护信息 351

分类的确是必需的吗 351

信息标记 352

信息保护 352

15.10防止恶意软件 354

病毒、蠕虫、特洛伊木马以及间谍软件 354

保护要求 355

不要忘记用户 355

补丁管理 355

15.11保护远程访问 356

扩展内部网络 357

15.12控制更改 358

小企业为何需要一套变更控制策略 358

15.13数据备份与恢复 359

企业依赖于访问数据的能力 359

备份的类型 360

备份介质的存储 360

测试恢复 361

15.14本章小结 361

15.15自测题 361

多项选择题 361

练习题 364

项目题 366

案例研究 367

附录A 访问控制 369

附录B 雇员信息安全策略批准协议 371

B.1策略综述 371

B.2董事长的声明 371

可接受的信息资源使用 372

互联网使用 372

电子邮件使用策略 373

信息资源的临时使用 373

口令策略 374

便携式计算策略 374

发布 375

认可协议 375

标准定义 376

术语表 379