内容简介
信息安全策略(Security Policy )描述一个组织高层的安全目标,它描述应该做什么而不是怎么去做。确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。本书以通俗而不是专业语言描述了什么是安全策略、怎样编写安全策略以及策略的维护周期,并给出了许多安全策略的样板。 本书对于企业安全策略的编写人员来说是一本难得的参考书。本书适用于各组织的高层技术人员和管理人员,是从事网络安全领域的研究人员、IT技术服务领域的技术和管理人员。
目录
第一部分 开始策略过程 1 第1章 什么是信息安全策略 3 1.1 关于信息安全策略 3 1.2 策略的重要性 4 1.3 什么时候制定策略 4 1.4 怎样开发策略 6 1.5 小结 8 第2章 确定策略需求 11 2.1 明确要保护的对象 11 2.2 判断系统保护应该针对哪些人 13 2.3 数据安全考虑 15 2.4 备份. 文档存储和数据处理 17 2.5 知识产权权利和策略 19 2.6 意外事件响应和取证 20 2.7 小结 22 第3章 信息安全责任 25 3.1 管理层的责任 25 3.2 信息安全部门的角色 28 3.3 其它信息安全角色 29 3.4 了解安全管理和法律实施 31 3.5 信息安全意识培训和支持 32 3.6 小结 33 第二部分 编写安全策略 35 第4章 物理安全 37 4.1 计算机放置地点和设施结构 37 4.2 设备访问控制 40 4.3 意外事件应对计划 42 4.4 一般计算机系统安全 43 4.5 系统和网络配置的定期审计 44 4.6 人员方面的考虑 45 4.7 小结 45 第5章 身份认证和网络安全 47 5.1 网络编址和体系结构 47 5.2 网络访问控制 52 5.3 登录安全 53 5.4 口令 58 5.5 用户界面 59 5.6 访问控制 60 5.7 远程办公与远程访问 61 5.8 小结 63 第6章 Internet安全策略 67 6.1 理解Internet的大门 67 6.2 管理责任 73 6.3 用户责任 74 6.4 WWW策略 76 6.5 应用程序责任 81 6.6 VPN. Extranet. Intranet和其它隧道(Tunnel) 82 6.7 调制解调器和其它后门 82 6.8 使用PKI和其它控制 83 6.9 电子商务 84 6.10 小结 85 第7章 电子邮件安全策略 89 7.1 电子邮件使用规则 89 7.2 电子邮件的管理 90 7.3 保密通信中电子邮件的使用 93 7.4 小结 94 第8章 病毒. 蠕虫和特洛伊木马 97
