图书介绍

安全策略与规程:原理与实践PDF|Epub|txt|kindle电子书版本网盘下载

安全策略与规程:原理与实践
  • (美)格林(Greene,S.S);陈宗斌等译 著
  • 出版社: 北京市:清华大学出版社
  • ISBN:9787302179627
  • 出版时间:2008
  • 标注页数:383页
  • 文件大小:94MB
  • 文件页数:413页
  • 主题词:信息系统-安全技术

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:9003f514ab26cd9e58d4f41d959d19d4

下载说明

安全策略与规程:原理与实践PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

第1部分 策略简介3

第1章 策略定义3

1.1简介3

1.2定义策略4

1.3探讨有史以来的策略5

将《圣经》作为古代的策略6

将美国宪法作为策略革命7

1.4定义策略在政府中的作用8

1.5定义策略在企业文化中的作用9

服务、产品和企业文化中的一致性9

遵从政府策略11

1.6理解策略的心理学11

使那些知道什么是可能的人参与进来12

环境中的变化15

1.7引荐策略15

获得批准15

把策略引荐给组织16

1.8使策略被接受17

组织文化来源于最高层17

通过良好的交流强化策略18

响应环境变化18

1.9执行信息安全策略18

执行行为性策略19

执行技术性策略19

1.10本章小结20

1.11自测题21

多项选择题21

练习题23

项目题24

案例研究24

第2章 策略的元素26

2.1简介26

2.2定义策略配套文档:标准、准则和规程27

标准27

准则28

规程28

2.3开发策略风格和格式28

在编写策略之前做出计划29

2.4定义策略元素30

策略标题31

策略目标32

策略目的声明32

策略受众33

策略声明34

策略例外情况34

策略执行条款35

策略定义37

2.5本章小结38

2.6自测题38

多项选择题38

练习题41

项目题42

案例研究43

第2部分 信息安全策略的各个领域47

第3章 信息安全框架47

3.1简介47

3.2计划信息安全计划的目标48

C代表保密性48

I代表完整性50

A代表可用性51

信息安全的5个A:另外一些有意义的字母及其含义52

3.3对数据和信息进行分类53

3.4确定信息所有权角色55

3.5 ISO 17799/BS 7799信息安全管理实施细则55

3.6使用ISO 17799: 2000的10个安全领域56

安全策略57

组织安全57

资产分类和控制57

人员安全57

物理和环境安全57

通信和运营管理58

访问控制58

系统开发和维护58

业务连续性管理58

合规性59

可能具有这么多策略吗59

3.7本章小结59

3.8自测题60

多项选择题60

练习题62

项目题63

案例研究64

第4章 安全策略文档和组织的安全策略65

4.1简介65

4.2撰写权威声明66

谁应该签署权威声明66

权威声明应该传达什么消息66

安全斗士的角色67

4.3安全策略文档策略——关于策略的策略68

组织的安全策略文档与美国联邦法律之间有关系吗68

安全策略的雇员版本的要求69

策略是动态的70

4.4管理组织的安全71

创建支持信息安全目标的组织结构71

其他人有访问权限吗73

外包日益成为一种趋势74

4.5本章小结76

4.6自测题76

多项选择题76

练习题79

项目题80

案例研究81

第5章 资产分类83

5.1简介83

5.2我们在尝试保护什么84

信息系统84

谁负责信息资产84

5.3信息分类86

政府和军队的分类系统87

商业分类系统88

5.4信息分类标记和处理91

信息标记91

熟悉的标签91

信息处理91

5.5信息分类计划生命周期91

信息分类规程92

重新分级/撤销密级92

5.6信息系统的价值和关键程度94

我们如何知道我们拥有什么95

资产清单方法95

资产清单的特征和属性96

系统表征97

5.7本章小结99

5.8自测题99

多项选择题99

练习题101

项目题103

案例研究104

第6章 人员安全105

6.1简介105

6.2初次接触106

工作说明107

面试107

6.3这个人是谁108

背景检查的类型110

6.4雇员协议的重要性112

保密性协议112

信息安全确认协议113

6.5培训重要吗115

适用于各种计划的SETA116

利用安全意识影响行为116

利用安全培训传授技能117

安全教育是知识驱动的117

投资于培训117

6.6安全事件报告是每个人的责任118

事件报告培训119

安全报告机制119

测试规程119

6.7本章小结120

6.8自测题120

多项选择题120

练习题123

项目题124

案例研究125

第7章 物理与环境安全策略和规程129

7.1简介129

7.2设计安全区域130

保护周界安全130

实施物理入口控制132

保护办公室、房间和设施安全133

在安全区域中工作134

7.3保护设备安全135

设备安置和保护136

无电不工作137

安全地处置和重用设备138

7.4一般控制139

清扫桌面和清除屏幕140

移走公司财产141

7.5本章小结142

7.6自测题142

多项选择题142

练习题144

项目题145

案例研究146

第8章 通信和运营管理147

8.1简介147

8.2标准操作规程148

为什么要编制操作规程的文档148

开发标准操作规程文档编制149

授权SOP文档编制152

保护SOP文档编制153

SOAP更改管理153

8.3操作更改控制154

第1步:评估154

第2步:记录更改154

第3步:交流155

8.4事件响应计划156

事件和严重性级别156

指定的事件处理者是谁158

事件报告、响应和处理规程158

分析事件和故障159

报告可疑的或者观察到的安全弱点159

测试可疑的或观察到的安全弱点160

8.5恶意软件161

什么是恶意软件161

恶意软件控制162

8.6信息系统备份165

定义备份策略165

测试恢复的重要性165

8.7管理便携式存储设备167

控制非公司所有的可移动介质168

控制公司所有的可移动介质离开公司建筑物169

存储可移动介质170

安全地重用和处置介质171

外包介质拆除172

当感到怀疑时就检查日志172

运输过程中的介质安全173

仅适用于经过授权的快递员173

在运输期间物理地保护介质174

与运输介质相关的安全控制174

保护公共可用系统上的数据安全176

发布数据和遵守法律176

对渗透测试的要求177

8.8保护电子邮件安全177

电子邮件不同于其他通信形式吗178

我们可能是我们自己最坏的敌人179

危及电子邮件服务器180

8.9本章小结181

8.10自测题181

多项选择题181

练习题183

项目题185

案例研究187

第9章 访问控制189

9. 1简介189

9.2什么是安全姿态190

拒绝全部或者不拒绝全部……这是一个问题190

执行业务活动的最少特权190

你需要知道吗,或者只是想知道191

我们如何知道谁需要什么191

谁决定谁需要什么192

9.3管理用户访问193

一个人授权,一个人实施,另一个人监督193

用户访问管理193

晋升、解雇和其他变化194

特权伴随有责任194

9.4保持密码安全196

不要问,也不要讲196

保护密钥196

其他密码策略问题198

9.5用于远程连接的用户身份验证199

IPSec和虚拟专用网199

RADIUS和TACACS+200

硬件令牌200

质询/响应协议201

专用线路201

地址检查和回拨控制201

准备测试202

9.6移动计算203

仍然是另一种风险评估203

批准还是禁止203

9.7远程工作206

远程工作环境206

9.8监视系统访问和使用208

我们需要监视什么209

审阅和保持210

监视合法吗210

9.9本章小结211

9.10自测题212

多项选择题212

练习题214

项目题215

案例研究216

第10章 系统开发和维护217

10.1简介217

10.2机构的风险是什么218

系统开发218

系统维护218

10.3系统的安全需求218

风险评估219

独立的第三方顾问:需要吗219

实现完成后添加控制220

10.4永远不能在敏感数据上发生的事情221

数据丢失221

数据修改222

数据滥用222

10.5随意代码与安全代码222

系统所有者223

输入验证:简介223

高级输入验证223

测试数据输入的可信度224

输出验证224

10.6风险评估和加密术226

风险评估227

保密性、完整性、身份验证、认可227

密钥的保管人229

密钥管理229

加密术与业务合作伙伴230

10.7操作系统与应用软件的稳定性231

唯有稳定版本才应在生产服务器上部署232

更新:必需的、不安全的,还是两者兼备232

更新:应当部署的时机233

更新:应当执行部署的人233

测试环境所关心的内容234

10.8本章小结235

10.9自测题236

多项选择题236

练习题238

项目题240

案例研究243

第11章 业务连续性管理244

11.1简介244

11.2什么是灾难245

风险评估和业务影响分析(BIA)245

11.3无警告的灾难打击247

行动计划248

业务连续性计划(BCP)组成248

11.4理解角色和职责250

定义例外情况250

由谁负责251

11.5灾难准备252

组织机构253

指挥中心位置253

通知全体人员253

业务的重新部署253

备用数据中心站254

11.6响应灾难254

发现254

通知255

宣布255

启动255

11.7应急计划256

业务应急规程256

业务应急文档256

11.8灾难恢复257

恢复策略257

规程258

恢复手册259

11.9计划的测试与维护259

测试方法259

计划的维护260

与卖主达成一致260

计划的审计261

11.10本章小结262

11.11自测题262

多项选择题262

练习题264

项目题265

案例研究266

第3部分 合规性271

第12章 金融机构的合规性271

12.1简介271

12.2什么是格雷姆-里奇-比利雷法案272

GLBA的适用范围272

GLBA的执行者273

FFIEC的救赎274

GLBA安全条例的理解275

什么是部门间的指导原则275

信息安全计划的开发与实现275

12.3涉及的董事会276

委托信息安全任务276

12.4评估风险277

信息和信息系统的详细清单278

识别和评估威胁278

减损控制279

12.5管理风险280

将ISO框架用于完成风险管理的目标281

逻辑与管理访问控制282

物理安全283

数据安全284

恶意代码284

系统开发、获取和维护285

人员安全285

电子与纸质介质的处理285

日志记录与数据收集286

服务提供商监管286

入侵检测和响应286

业务连续性考虑287

培训、培训、再培训287

测试控制287

12.6调整计划、报告董事会并实现标准288

调整计划288

报告董事会288

合规性的有效期288

12.7与FTC保护法案的不同之处288

目标289

元素289

12.8身份盗窃和合规性290

身份盗窃的响应290

FTC与身份盗窃292

12.9本章小结292

12.10自测题293

多项选择题293

练习题294

项目题295

案例研究296

第13章 医疗卫生领域的合规性297

13.1简介297

13.2理解安全法规298

HIPAA的目标与目的299

HIPAA的关键原则299

达不到合规性导致的惩罚299

安全法规机构300

实现规范300

13.3管理保护301

安全管理过程§164.308(a)(1)301

指派安全责任§ 164.308(a)(2)303

员工安全§ 164.308(a)(3)303

信息访问管理§164.308(a)(4)304

安全意识和培训§ 164.308(a)(5)305

安全事件规程§164.308(a)(6)306

意外事故计划§ 164.308(a)(7)307

评估§184.308(a)(8)308

业务合作合同和其他安排§164.308(b)(1)308

13.4物理保护309

设施访问控制§ 164.310(a)(1)309

工作站的使用§ 164.310(b)310

工作站的安全§164.310(b)311

设备与介质控制§164.310(d)(1)311

13.5技术保护312

访问控制§ 164.312(a)(1)312

审计控制§164.312(b)313

完整性控制§ 164.312(c)(1)314

人员或身份验证§164.312(d)314

传输安全§ 164.312(e)(1)315

13.6机构要求315

业务合作合同§164.314(a)(1)316

对组健康计划的标准要求§164.314(b)(1)317

13.7策略和规程317

策略和规程§ 164.316(a)317

文档§164.316(b)(1)317

13.8本章小结318

13.9自测题318

多项选择题318

练习题320

项目题321

案例研究322

第14章 关键基础设施领域的信息安全合规性323

14.1简介323

14.2电子政务成为现实324

国家级的安全性324

合规性必需的元素325

用于援救的NIST325

从事FISMA的NIST出版物326

FISMA实现项目326

FISMA的未来326

14.3保护学生记录的隐私326

FERPA的目标是什么327

教育记录是什么327

教育记录的类型327

FERPA与信息安全的关系如何328

14.4一切皆从一件公司丑闻开始328

SOX与信息安全的关系如何329

采用控制框架329

14.5与ISO 17799:2000的关联330

ISO 17799安全领域概述330

14.6本章小结331

14.7自测题332

多项选择题332

练习题333

项目题334

案例研究335

第15章 小企业的安全策略与实践336

15.1简介336

15.2什么是小企业337

小企业应当做什么338

额外考虑338

小企业应当拥有什么策略338

策略应当如何提出339

15.3为何要拥有一项保密性策略339

合法化339

不是一种,也不是两种,而是五种340

协议的结构340

保护协议340

15.4什么是可接受的行为341

所有权341

硬件和软件342

资源滥用343

15.5互联网的使用——在哪里划定最后界限343

互联网通信量的监控、记录日志及阻塞343

传输数据344

15.6确保公司电子邮件的安全345

只供业务使用346

明文通信346

资源滥用347

15.7意外事件的报告与响应347

意外事件报告348

意外事件响应348

意外事件响应计划349

15.8口令管理349

口令特征350

口令检查351

15.9保护信息351

分类的确是必需的吗351

信息标记352

信息保护352

15.10防止恶意软件354

病毒、蠕虫、特洛伊木马以及间谍软件354

保护要求355

不要忘记用户355

补丁管理355

15.11保护远程访问356

扩展内部网络357

15.12控制更改358

小企业为何需要一套变更控制策略358

15.13数据备份与恢复359

企业依赖于访问数据的能力359

备份的类型360

备份介质的存储360

测试恢复361

15.14本章小结361

15.15自测题361

多项选择题361

练习题364

项目题366

案例研究367

附录A 访问控制369

附录B 雇员信息安全策略批准协议371

B.1策略综述371

B.2董事长的声明371

可接受的信息资源使用372

互联网使用372

电子邮件使用策略373

信息资源的临时使用373

口令策略374

便携式计算策略374

发布375

认可协议375

标准定义376

术语表379

热门推荐