第一部分 开始策略过程 1
第1章 什么是信息安全策略 3
1.1 关于信息安全策略 3
1.2 策略的重要性 4
1.3 什么时候制定策略 4
1.4 怎样开发策略 6
1.5 小结 8
第2章 确定策略需求 11
2.1 明确要保护的对象 11
2.2 判断系统保护应该针对哪些人 13
2.3 数据安全考虑 15
2.4 备份、文档存储和数据处理 17
2.5 知识产权权利和策略 19
2.6 意外事件响应和取证 20
2.7 小结 22
第3章 信息安全责任 25
3.1 管理层的责任 25
3.2 信息安全部门的角色 28
3.3 其它信息安全角色 29
3.4 了解安全管理和法律实施 31
3.5 信息安全意识培训和支持 32
3.6 小结 33
第二部分 编写安全策略 35
第4章 物理安全 37
4.1 计算机放置地点和设施结构 37
4.2 设备访问控制 40
4.3 意外事件应对计划 42
4.4 一般计算机系统安全 43
4.5 系统和网络配置的定期审计 44
4.6 人员方面的考虑 45
4.7 小结 45
第5章 身份认证和网络安全 47
5.1 网络编址和体系结构 47
5.2 网络访问控制 52
5.3 登录安全 53
5.4 口令 58
5.5 用户界面 59
5.6 访问控制 60
5.7 远程办公与远程访问 61
5.8 小结 63
第6章 Internet安全策略 67
6.1 理解Internet的大门 67
6.2 管理责任 73
6.3 用户责任 74
6.4 WWW策略 76
6.5 应用程序责任 81
6.6 VPN、Extranet、Intranet和其它隧道(Tunnel) 82
6.7 调制解调器和其它后门 82
6.8 使用PKI和其它控制 83
6.9 电子商务 84
6.10 小结 85
第7章 电子邮件安全策略 89
7.1 电子邮件使用规则 89
7.2 电子邮件的管理 90
7.3 保密通信中电子邮件的使用 93
7.4 小结 94
第8章 病毒、蠕虫和特洛伊木马 97
8.1 对保护的需要 97
8.2 建立病毒保护类型 98
8.3 处理第三方软件的规则 100
8.4 牵涉到病毒的用户 100
8.5 小结 101
第9章 加密 103
9.1 法律问题 103
9.2 加密管理 105
9.3 对加密过程和被加密数据的处理 106
9.4 关于密钥生成 107
9.5 密钥管理 107
9.6 小结 109
第10章 软件开发策略 113
10.1 软件开发过程 113
10.2 测试和文档 117
10.3 修正控制和配置管理 118
10.4 第三方开发 120
10.5 知识产权问题 122
10.6 小结 122
第三部分 维护策略 125
第11章 可接受的使用策略 127
11.1 编写AUP 127
11.2 用户登录责任 129
11.3 系统和网络的使用 129
11.4 用户责任 130
11.5 公司责任和公开制度 131
11.6 谈话常识原则 132
11.7 小结 133
第12章 策略的遵守和执行 135
12.1 策略的测试和效果 135
12.2 策略的公布和通告需求 136
12.3 监视、控制和补救 137
12.4 管理员的责任 139
12.5 日志方面的问题 140
12.6 安全问题的报告 141
12.7 计算机犯罪的提交 143
12.8 小结 144
第13章 策略审查过程 147
13.1 对策略文档的定期审查 147
13.2 策略审查应该包括什么 148
13.3 审查委员会 149
13.4 小结 150
第四部分 附录 151
附录A 词汇表 153
附录B 资源 161
B.1 计算机安全事件响应组(CERT) 161
B.3 病毒保护 162
B.2 其他意外事件响应信息 162
B.4 厂商专用安全信息 163
B.5 安全信息资源 164
B.6 安全出版物 164
B.7 工业团体和协会 165
B.8 黑客和“地下”组织 165
B.9 医疗保健信息的携带和责任法案 165
B.10 健壮性 166
B.11 密码策略和规章 167
B.12 安全策略参考资料 167
附录C 策略范例 169
C.1 可接受的使用策略范例 170
C.2 电子邮件安全策略范例 172
C.3 管理策略范例 173