123,123

內(nèi)容簡介

　　本解決信息安全問題不是簡單地依靠安全技術(shù)人員就可以的，對于所有從事IT業(yè)務(wù)或者倚仗IT基礎(chǔ)設(shè)施來輔助業(yè)務(wù)動作的公司或組織而方，制定適合本單位的安全計劃是非常重要的。本書層次清晰地介紹了安全計劃的建立、實施和管理，緊急事件處理等方面的具體細(xì)節(jié)。針對安全計劃所涉及的政策、過程、審計、監(jiān)控、培訓(xùn)、時間和資金投入以及意外事件的應(yīng)急處理等進(jìn)行了專題講解。本書內(nèi)容環(huán)環(huán)相扣，具有很強的指導(dǎo)性和可實踐性。本書適合政府、企業(yè)等行業(yè)中IT相關(guān)部門的管理人員，以及網(wǎng)絡(luò)和信息安全服務(wù)行業(yè)的從業(yè)人員使用。

作者簡介

　　EricMaiwald是Fortrex公司的首席技術(shù)官，負(fù)責(zé)管理公司全部的安全研究和培訓(xùn)活動以及Fortrex網(wǎng)絡(luò)安全中心的運行工作。此外，Maiwald先生還參與過很多其他類型的工作，比如對大型的金融機構(gòu)、服務(wù)公司和生產(chǎn)廠商進(jìn)行風(fēng)險評估，制定企業(yè)的開發(fā)策略和部署安全解決方案等等。作為咨詢顧問、安全主管和開發(fā)者，他在安全領(lǐng)域有著豐富的工作經(jīng)驗。Maiwald擁有Rensselaer理工學(xué)院的電子工程理學(xué)學(xué)士學(xué)位、Stevens科技學(xué)院的電子工程學(xué)碩士學(xué)位，并且是認(rèn)證的信息系統(tǒng)安全專家（CISSP）。

圖書目錄

第一部分  制定安全計劃的指導(dǎo)原則
第1章  信息安全計劃的任務(wù)
1. 1  正確的開端
1. 2  確定安全部門的任務(wù)
1. 2. 1  報告的機構(gòu)
1. 2. 2  任務(wù)聲明
1. 2. 3  長期目標(biāo)
1. 2. 4  短期目標(biāo)
1. 3  關(guān)系
1. 3. 1  技術(shù)關(guān)系
1. 3. 2  業(yè)務(wù)關(guān)系
1. 4  檢查清單：計劃的關(guān)鍵任務(wù)
第2章  美國的相關(guān)法律和法規(guī)
2. 1  與執(zhí)法部門合作
2. 2  法律背景
2. 2. 1  計算機欺騙和濫用法(1986年版)
2. 2. 2  電子通信隱私法(1986年版)
2. 2. 3  計算機安全法(1987)
2. 2. 4  國家信息基礎(chǔ)設(shè)施保護(hù)法(1996)
2. 2. 5  Gramm-Leach-Bliley金融服務(wù)現(xiàn)代化法案(GLBA)
2. 2. 6  醫(yī)療保險信息攜帶及責(zé)任法案(HIPAA)
2. 3  網(wǎng)絡(luò)資源
2. 4  檢查清單：信息安全法律問題的要點
第3章  評估
3. 1  內(nèi)部審計
3. 2  外部審計
3. 3  評估
3. 3. 1  自我評估
3. 3. 2  漏洞評估
3. 3. 3  穿透測試
3. 3. 4  風(fēng)險評估
3. 4  檢查清單：評估的要點
第二部分  計劃的實施
第4章  制定政策與程序
4. 1  政策的目的
4. 2  制定政策
4. 2. 1  可接受使用政策(AUP)
4. 2. 2  信息安全政策
4. 3  現(xiàn)有文檔的處理
4. 4  使他們認(rèn)可
4. 5  政策審查
4. 6  檢查清單：制定政策與程序的要點
第5章  安全計劃的實施
5. 1  從何處開始
5. 1. 1  建立計劃書
5. 1. 2  風(fēng)險評估
5. 1. 3  降低風(fēng)險的計劃
5. 1. 4  制定政策
5. 1. 5  解決方案的部署
5. 1. 6  培訓(xùn)
5. 1. 7  審計和報告
5. 1. 8  重新再做一遍
5. 2  和系統(tǒng)管理員們一起工作
5. 3  和管理者一起工作
5. 4  教育用戶
5. 5  檢查清單：安全計劃實施的要點
第6章  部署新項目和新技術(shù)
6. 1  新的業(yè)務(wù)項目
6. 1. 1  需求定義
6. 1. 2  系統(tǒng)設(shè)計
6. 1. 3  內(nèi)部開發(fā)
6. 1. 4  第三方產(chǎn)品
6. 1. 5  測試
6. 1. 6  試運行
6. 1. 7  完全產(chǎn)品化
6. 2  檢查清單：部署業(yè)務(wù)項目的要點
第7章  安全培訓(xùn)和安全意識
7. 1  用戶意識
7. 2  管理者意識
7. 3  安全小組的培訓(xùn)和意識
7. 4  培訓(xùn)方法
7. 4. 1  工作描述
7. 4. 2  始業(yè)教育
7. 4. 3  可接受使用政策(AUP)
7. 4. 4  正式的課堂培訓(xùn)
7. 4. 5  研討會和自助會議
7. 4. 6  時事通訊和網(wǎng)站
7. 4. 7  大型活動
7. 4. 8  會議
7. 5  檢查清單：  安全培訓(xùn)和安全意識的要點
第8章  安全監(jiān)控
8. 1  政策監(jiān)控
8. 1. 1  意識
8. 1. 2  系統(tǒng)
8. 1. 3  員工
8. 1. 4  計算機的使用政策
8. 2  網(wǎng)絡(luò)監(jiān)控
8. 2. 1  系統(tǒng)配置
8. 2. 2  網(wǎng)絡(luò)攻擊
8. 2. 3  網(wǎng)絡(luò)監(jiān)控機制
8. 3  審計日志的監(jiān)控
8. 3. 1  非授權(quán)的訪問
8. 3. 2  不合適的行為
8. 3. 3  有效日志監(jiān)控機制
8. 4  安全漏洞監(jiān)控
8. 4. 1  軟件補丁
8. 4. 2  配置問題
8. 4. 3  識別安全漏洞的機制
8. 5  檢查清單：安全監(jiān)控的要點
第三部分  安全計劃的管理
第9章  安全預(yù)算
9. 1  確定需求
9. 2  制定預(yù)算
9. 3  其他事項
9. 3. 1  人員需求
9. 3. 2  培訓(xùn)費用
9. 3. 3  軟件和硬件維護(hù)
9. 3. 4  外部服務(wù)
9. 3. 5  新產(chǎn)品
9. 3. 6  不可預(yù)料的費用
9. 4  嚴(yán)格執(zhí)行預(yù)算
9. 5  檢查清單：安全計劃預(yù)算中的要點
第10章  安全人員
10. 1  技能領(lǐng)域
10. 1. 1  安全管理能力
10. 1. 2  政策開發(fā)能力
10. 1. 3  體系結(jié)構(gòu)設(shè)計能力
10. 1. 4  研究能力
10. 1. 5  評估能力
10. 1. 6  審計能力
10. 2  雇用好的員工
10. 2. 1  職業(yè)道德
10. 2. 2  能力與經(jīng)驗
10. 2. 3  個性品質(zhì)
10. 2. 4  認(rèn)證證書
10. 3  小型機構(gòu)
10. 3. 1  職員的技能
10. 3. 2  尋找外部的技能
10. 4  大型機構(gòu)
10. 4. 1  安全部門的基本編制
10. 4. 2  尋找外部的技能
10. 5  檢查清單：雇用職員的要點
第11章  報告
11. 1  項目計劃的進(jìn)度
11. 2  安全的狀態(tài)
11. 2. 1  測度
11. 2. 2  風(fēng)險的測量
11. 3  投資回報
11. 3. 1  業(yè)務(wù)項目
11. 3. 2  直接的回報
11. 4  意外事件
11. 4. 1  事件的事實描述
11. 4. 2  被利用的安全漏洞
11. 4. 3  采取的行動
11. 4. 4  建議
11. 5  審計
11. 6  檢查清單：安全報告中的要點
第四部分  如何響應(yīng)意外事件
第12章  事件響應(yīng)
12. 1  事件響應(yīng)組
12. 1. 1  小組成員
12. 1. 2  領(lǐng)導(dǎo)
12. 1. 3  授權(quán)
12. 1. 4  小組籌備
12. 2  事件確認(rèn)
12. 2. 1  事件是什么
12. 2. 2  要查找什么
12. 2. 3  服務(wù)臺的幫助
12. 3  升級
12. 3. 1  調(diào)查
12. 3. 2  收集證據(jù)
12. 3. 3  決定如何響應(yīng)
12. 4  控制措施
12. 5  事件根除
12. 6  文檔
12. 6. 1  事件發(fā)生前的文檔
12. 6. 2  事件處理過程中的文檔
12. 6. 3  事件處理后的文檔
12. 7  法律問題
12. 7. 1  監(jiān)控
12. 7. 2  證據(jù)收集
12. 8  檢查清單：事件響應(yīng)的要點
第13章  制定意外事件的應(yīng)急計劃
13. 1  災(zāi)難定義
13. 2  確定重要的系統(tǒng)和數(shù)據(jù)
13. 2. 1  業(yè)務(wù)影響分析
13. 2. 2  采訪過程
13. 3  準(zhǔn)備
13. 3. 1  風(fēng)險分析項目
13. 3. 2  資產(chǎn)清單
13. 3. 3  獲得資金
13. 3. 4  支出的理由
13. 3. 5  資金分配
13. 3. 6  組織間的合作和合作政策
13. 4  把DPR工作組和指導(dǎo)委員會一起考慮
13. 5  常規(guī)程序
13. 6  資源
13. 7  檢查清單：應(yīng)急計劃的要點
第14章  災(zāi)難響應(yīng)
14. 1  真實性檢查
14. 1. 1  先發(fā)生的事情先處理
14. 1. 2  損失評估
14. 2  定義權(quán)威和工作組
14. 2. 1  工作組的召集
14. 2. 2  可用技術(shù)評估
14. 2. 3  設(shè)定優(yōu)先次序
14. 2. 4  設(shè)定目標(biāo)
14. 3  是否遵守計劃
14. 4  災(zāi)難的階段
14. 4. 1  災(zāi)難響應(yīng)階段
14. 4. 2  恢復(fù)運作階段
14. 4. 3  恢復(fù)生產(chǎn)階段
14. 4. 4  災(zāi)后重建階段
14. 5  檢查清單：災(zāi)難響應(yīng)的要點
第五部分  附  錄
附錄A  處理審計
A. 1  成為其中一員
A. 1. 1  信息搜集
A. 1. 2  審計報告
A. 1. 3  響應(yīng)審計
A. 2  內(nèi)部審計
A. 2. 1  例行審計
A. 2. 2  特定問題的審計
A. 3  外部審計
A. 3. 1  財務(wù)審計
A. 3. 2  SAS-70
A. 4  信息安全部門對審計的響應(yīng)
A. 5  檢查清單：審計中的關(guān)鍵步驟
附錄B 安全外包
B. 1  外包安全服務(wù)
B. 1. 1  “技術(shù)性”的安全服務(wù)
B. 1. 2  “面向人”的安全服務(wù)
B. 2  選擇外包什么
B. 2. 1  選擇外包的理由
B. 2. 2  外部安全服務(wù)的費用
B. 2. 3  回到風(fēng)險管理問題
B. 3  選擇安全服務(wù)商
B. 3. 1  服務(wù)
B. 3. 2  價格
B. 3. 3  其他問題
B. 4  與服務(wù)商一起工作
B. 4. 1  經(jīng)常進(jìn)行溝通和交流
B. 4. 2  設(shè)定期望值
B. 4. 3  風(fēng)險管理
B. 5  檢查清單：外部安全服務(wù)的關(guān)鍵要點
附錄C  管理新的安全項目
C. 1  需求定義
C. 1. 1  安全需求
C. 1. 2  故障時切換需求
C. 1. 3  性能需求
C. 1. 4  可管理性需求
C. 1. 5  集成的需求
C. 2  征求建議書(RFP)
C. 2. 1  RFP的內(nèi)容
C. 2. 2  RFP的條件
C. 3  評估供應(yīng)商的反饋
C. 3. 1  技術(shù)部分的評估
C. 3. 2  非技術(shù)部分的評估
C. 3. 3  折衷
C. 4  選擇供應(yīng)商
C. 5  內(nèi)部開發(fā)新信息安全項目
C. 6  在內(nèi)部進(jìn)行產(chǎn)品集成
C. 6. 1  技術(shù)集成
C. 6. 2  程序的集成
C. 7  安全產(chǎn)品的集成
C. 8  檢查清單：部署新信息安全技術(shù)的關(guān)鍵要點
附錄D  安全計劃與災(zāi)難恢復(fù)藍(lán)圖

作　者：	(美)Eric Maiwald，(美)William Sieglein著；孫東紅等譯
出版社：	人民郵電出版社
叢編項：
標(biāo)　簽：	安全工程系統(tǒng)工程

ISBN：	9787115116840	出版時間：	2003-01-01	包裝：	膠版紙
開本：	26cm	頁數(shù)：	244	字?jǐn)?shù)：

安全計劃與災(zāi)難恢復(fù)

購買這本書可以去

內(nèi)容簡介

作者簡介

圖書目錄

本目錄推薦

計算機安全：ESORICS 2006/會議…

網(wǎng)絡(luò)空間安全管理

大數(shù)據(jù)背景下網(wǎng)絡(luò)安全問題研究

網(wǎng)絡(luò)安全測試方法及應(yīng)用實踐（2…

安全數(shù)據(jù)管理

應(yīng)用密碼分析學(xué)：破解真實世界的…

快速軟件加密法

軟件開發(fā)安全之道概念、設(shè)計與實…

物聯(lián)網(wǎng)安全滲透測試技術(shù)

擊退黑客：IT安全非技術(shù)性指南