第1章 引言 1
1.1 计算机的发展 1
1.2 安全脆弱性与黑客 4
1.3 多种信息安全威胁 6
1.4 信息安全策略的作用 10
1.5 组织资产分类 13
1.6 信息安全的概念 15
1.7 信息安全策略的有关活动 16
1.8 与信息安全策略有关的角色 18
第2章 基本概念 22
2.1 信息安全策略的概念 22
2.2 相关安全术语 24
2.3 信息安全策略的种类 26
2.4 ISO/IEC 17799 28
第3章 信息安全风险 31
3.1 信息安全风险分析 31
3.2 信息标记与分类 35
3.3 敏感信息 36
3.4 信息安全风险分析方法 40
3.5 信息安全风险分析的审核 43
3.6 安全控制选择的考虑 44
第4章 信息安全策略的制定 46
4.1 编写信息安全策略的人员 46
4.2 编写信息安全策略的准备工作 48
4.3 信息安全策略的编制原则 50
4.4 信息安全策略的参考结构 55
4.5 信息安全策略措辞 56
第5章 信息安全控制 59
5.1 安全控制的选择 60
5.2 物理和环境安全控制 64
5.3 访问控制 68
5.4 操作规程 71
5.5 系统安全控制 75
5.6 电子商务安全控制 80
5.7 安全控制原则 89
第6章 资源使用策略 91
6.1 与使用策略有关的问题 92
6.2 电子邮件与Internet使用策略 92
6.3 信息资源的使用策略 95
6.4 口令安全策略 98
6.5 人员管理与教育 100
第7章 灾难策略 104
7.1 业务应急计划 104
7.2 灾难恢复计划 106
7.3 灾难防范 111
第8章 恶意代码防护策略 117
8.1 恶意代码的特征 117
8.2 恶意代码的传播 119
8.3 恶意代码防护策略 121
8.3.1 多层次恶意代码防护策略 121
8.3.2 集中式恶意代码防护管理 126
第9章 网络安全策略 130
9.1 局域网安全策略 130
9.2 非军事区安全策略 142
9.3 无线网安全策略 144
第10章 访问控制 146
10.1 访问的控制 146
10.2 访问控制的确定 149
10.3 访问管理 150
10.4 访问控制的实现 153
10.5 完整性模型 155
10.5.1 Clark-Wilson模型 155
10.5.2 Windows NT安全模型 157
第11章 信息安全策略的实施 159
11.1 信息安全策略成功的要素 159
11.2 培训 163
11.3 实施中的法律问题 168
11.4 审计 170
11.5 ISO/IEC 17799的实施 172
附录A 部分术语解释 174
参考文献 178