網(wǎng)絡(luò)空間安全計(jì)劃與策略開發(fā)

目　錄
譯者序
前言
作者簡介
第1章　理解網(wǎng)絡(luò)安全策略和治理1
信息安全與網(wǎng)絡(luò)安全策略2
看一看古往今來的策略3
古代策略3
美國憲法3
現(xiàn)代策略4
網(wǎng)絡(luò)安全策略5
資產(chǎn)6
成功策略的特點(diǎn)7
政府的角色11
其他聯(lián)邦銀行的法規(guī)14
其他 的政府網(wǎng)絡(luò)安全條例14
策略的挑戰(zhàn)14
網(wǎng)絡(luò)安全策略生命周期14
策略開發(fā)15
策略發(fā)布16
策略采用17
策略評價(jià)17
總結(jié)18
自測題18
參考資料21
第2章　網(wǎng)絡(luò)安全策略組織、格式和風(fēng)格23
策略的層次結(jié)構(gòu)23
標(biāo)準(zhǔn)24
基線24
指南25
進(jìn)程26
計(jì)劃和方案27
寫作風(fēng)格和技巧27
使用簡明語言27
簡明語言運(yùn)動(dòng)28
簡明語言策略寫作技巧29
策略格式31
理解你的受眾31
策略格式的類型31
策略組件32
總結(jié)39
自測題40
參考資料44
第3章　網(wǎng)絡(luò)安全框架45
機(jī)密性、完整性和可用性46
機(jī)密性46
完整性48
可用性49
誰負(fù)責(zé)CIA52
NIST的網(wǎng)絡(luò)安全框架53
NIST的功能53
ISO54
NIST網(wǎng)絡(luò)安全框架54
ISO標(biāo)準(zhǔn)55
總結(jié)59
自測題60
參考資料63
第4章　治理與風(fēng)險(xiǎn)管理65
理解網(wǎng)絡(luò)安全策略65
治理65
戰(zhàn)略一致性的意義66
法規(guī)要求67
用戶級別網(wǎng)絡(luò)安全策略67
提供商網(wǎng)絡(luò)安全策略67
網(wǎng)絡(luò)安全漏洞披露策略68
網(wǎng)絡(luò)安全策略的客戶概要68
誰授權(quán)網(wǎng)絡(luò)安全策略69
分布式治理模型69
評估網(wǎng)絡(luò)安全策略71
修訂網(wǎng)絡(luò)安全策略：變 驅(qū)動(dòng)因素73
NIST網(wǎng)絡(luò)安全框架治理子類別和
　信息參考74
法規(guī)要求76
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)76
風(fēng)險(xiǎn)是不好的嗎77
理解風(fēng)險(xiǎn)管理78
風(fēng)險(xiǎn)偏好和容忍度80
風(fēng)險(xiǎn)評估80
風(fēng)險(xiǎn)評估方法81
總結(jié)83
自測題84
參考資料88
第5章　資產(chǎn)管理和數(shù)據(jù)丟失預(yù)防 90
信息資產(chǎn)和系統(tǒng)91
誰負(fù)責(zé)信息資產(chǎn)91
信息分類93
聯(lián)邦政府如何對信息進(jìn)行分類94
為什么 安全信息分類不同95
誰決定如何分類 安全數(shù)據(jù)96
私營部門如何對數(shù)據(jù)進(jìn)行分類97
信息可以重新分類甚至解密嗎98
標(biāo)簽和處理標(biāo)準(zhǔn)98
為什么貼標(biāo)簽98
為什么要處理標(biāo)準(zhǔn)99
信息系統(tǒng)清單100
為什么清單是必要的，如何整理清單100
理解數(shù)據(jù)丟失預(yù)防技術(shù)103
總結(jié)105
自測題106
參考資料110
第6章　人力資源安全111
員工的生命周期112
招聘與安全有什么關(guān)系113
入職階段會發(fā)生什么117
什么是用戶配置117
員工在任職培訓(xùn)過程中應(yīng)該學(xué)習(xí)什么118
為什么終止被視為 危險(xiǎn)的階段119
員工協(xié)議的重要性119
什么是保密協(xié)議或不泄露協(xié)議120
什么是可接受使用協(xié)議120
安全教育與培訓(xùn)的重要性121
安全意識影響行為122
安全技能培訓(xùn)122
安全教育由知識驅(qū)動(dòng)122
總結(jié)123
自測題124
參考資料128
第7章　物理和環(huán)境安全130
理解安全設(shè)施分層防御模型131
如何保證網(wǎng)站安全132
如何控制物理訪問133
保護(hù)設(shè)備136
沒電無法工作136
火有多危險(xiǎn)137
如何處置138
住手，小偷140
總結(jié)142
自測題142
參考資料146
第8章　通信和運(yùn)營安全147
標(biāo)準(zhǔn)運(yùn)營程序148
為何記錄SOP148
制定SOP149
運(yùn)營變 控制152
為何管理變 152
為什么補(bǔ)丁處理不同155
惡意軟件防護(hù)157
是否存在不同類型的惡意軟件158
如何控制惡意軟件159
什么是防病毒軟件160
數(shù)據(jù)復(fù)制163
是否有 的備份或復(fù)制策略164
安全消息傳遞166
是什么使電子郵件成為安全風(fēng)險(xiǎn)166
電子郵件服務(wù)器是否存在風(fēng)險(xiǎn)168
其他協(xié)作和通信工具169
活動(dòng)監(jiān)控和日志分析170
日志管理170
服務(wù)提供商監(jiān)督174
盡職調(diào)查175
服務(wù)提供商合同中應(yīng)該包含的內(nèi)容176
威脅情報(bào)和信息共享177
如果無法共享網(wǎng)絡(luò)威脅情報(bào)，
　該有多好178
總結(jié)179
自測題181
參考資料185
第9章　訪問控制管理187
訪問控制基礎(chǔ)188
安全狀態(tài)188
如何驗(yàn)證身份190
授權(quán)193
審計(jì)195
基礎(chǔ)設(shè)施訪問控制196
為什么要?jiǎng)澐志W(wǎng)絡(luò)196
什么是分層邊界安全198
遠(yuǎn)程訪問安全202
用戶訪問控制205
為什么要管理用戶訪問206
應(yīng)監(jiān)控哪些類型的訪問207
總結(jié)209
自測題210
參考資料213
0章　信息系統(tǒng)的獲取、開發(fā)和維護(hù)215
系統(tǒng)安全要求216
SDLC216
商用或開源軟件怎么樣218
測試環(huán)境219
保護(hù)測試數(shù)據(jù)219
安全代碼220
開放Web應(yīng)用程序安全項(xiàng)目220
密碼學(xué)223
為什么加密224
法規(guī)要求225
什么是密鑰225
PKI225
為什么要保護(hù)加密密鑰226
數(shù)字證書泄露227
總結(jié)228
自測題229
參考資料232
1章　網(wǎng)絡(luò)安全事件響應(yīng)234
事件響應(yīng)234
什么是事件235
事件是如何被報(bào)告的240
事件響應(yīng)計(jì)劃241
事件響應(yīng)流程242
桌面練習(xí)和劇本244
信息共享和協(xié)調(diào)245
計(jì)算機(jī)安全事件響應(yīng)小組245
產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)247
事件響應(yīng)培訓(xùn)和練習(xí)253
發(fā)生了什么事？調(diào)查和證據(jù)處理253
記錄事件253
與執(zhí)法部門合作254
了解取證分析254
數(shù)據(jù)泄露通知要求256
是否有聯(lián)邦違約通知法257
通知是否有效260
總結(jié)262
自測題263
參考資料268
2章　業(yè)務(wù)連續(xù)性管理270
應(yīng)急準(zhǔn)備270
彈性組織272
法規(guī)要求272
業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)管理273
業(yè)務(wù)連續(xù)性威脅評估273
業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評估274&am;lt;br />業(yè)務(wù)影響評估275
業(yè)務(wù)連續(xù)性計(jì)劃277
角色和責(zé)任278
災(zāi)難響應(yīng)計(jì)劃280
運(yùn)營應(yīng)急計(jì)劃282
災(zāi)難恢復(fù)階段283
重建階段285
計(jì)劃測試和維護(hù)285
為什么測試很重要285
計(jì)劃維護(hù)287
總結(jié)288
自測題289
參考資料291
3章　金融機(jī)構(gòu)的監(jiān)管合規(guī)性293
Gramm-Leach-Bliley法案293
金融機(jī)構(gòu)294
法規(guī)監(jiān)督295
機(jī)構(gòu)間指南297
紐約金融服務(wù)部網(wǎng)絡(luò)安全法規(guī)
?。?3 NYCRR Part 500）305
監(jiān)管檢查306
檢查流程306
檢查評分307
個(gè)人和企業(yè)身份盜竊307
機(jī)構(gòu)間指南附錄A要求的內(nèi)容308
網(wǎng)上銀行環(huán)境指南中的身份驗(yàn)證補(bǔ)充
　所要求的內(nèi)容309
總結(jié)310
自測題311
參考資料316
4章　衛(wèi)生保健部門的監(jiān)管合規(guī)性318
HIPAA安全規(guī)則319
HIPAA安全規(guī)則的目標(biāo)320
如何組織HIPAA安全規(guī)則321
物理保障328
技術(shù)保障330
組織要求333
政策和程序標(biāo)準(zhǔn)334
HIPAA安全規(guī)則映射到NIST網(wǎng)絡(luò)
　安全框架335
HITECH法案和Omnibus規(guī)則335
為商業(yè)伙伴改變了什么336
違反通知規(guī)則概述337
理解HIPAA合規(guī)執(zhí)行流程339
總結(jié)340
自測題340
參考資料345
5章　商家的PCI合規(guī)性347
保護(hù)持卡人數(shù)據(jù)348
PAN349
Luhn算法349
PCI DSS框架350
照舊開展業(yè)務(wù)的方法350
PCI DSS要求351
PCI DSS合規(guī)性358
誰需要遵守PCI DSS358
數(shù)據(jù)安全合規(guī)性評估359
PCI DSS自我評估問卷360
不合規(guī)是否有處罰361
總結(jié)362
自測題363
參考資料367
6章　NIST網(wǎng)絡(luò)安全框架369
NIST網(wǎng)絡(luò)安全框架組件介紹370
框架核心371
識別372
保護(hù)373
檢測374
響應(yīng)374
恢復(fù)374
框架實(shí)現(xiàn)層374
誰應(yīng)該協(xié)調(diào)框架實(shí)現(xiàn)376
NIST對建立或改進(jìn)網(wǎng)絡(luò)安全計(jì)劃的建議步驟377
與利益相關(guān)者的溝通及供應(yīng)鏈關(guān)系377
NIST網(wǎng)絡(luò)安全框架參考工具378
在現(xiàn)實(shí)生活中采用NIST網(wǎng)絡(luò)安全框架380
總結(jié)381
自測題381
參考資料384
附錄A　網(wǎng)絡(luò)安全計(jì)劃資源385
附錄B　選擇題答案392