安全策略与规程：原理与实践

本书提供了信息安全思想的总体描述，以便企业管理人员能够更好地评估他们的公司在处理信息安全问题上的表现。同时本书也提供一些实用方法来协助各个公司改进其信息安全计划。 　　本书是按照为公司建立信息安全计划的步骤来组织内容的。本书分为三个部分。第1部分“策略简介”旨在为开发、引荐和实施策略提供基础。第2部分“信息安全策略的各个领域”探讨了9个安全领域的信息安全策略和规程。第3部分“合规性”是关于策略和规程遵从联邦规章以及行业最佳实践的实际应用。本书各章都配有相关的习题，以指导读者深入地进行学习。 　　本书可作为高等学校计算机及相关专业的教材，也可作为信息安全及管理人员的参考书。对于有志成为信息安全专业人员的人，掌握本书中介绍的信息是绝对必要的。

Sari Stern Greene(CISSP、MCSE、MCT、MCNE、MCNI、CTT、NSA／IAM)是Sage Data Security公司的总裁。在Sage，Sari领导一个经验丰富的安全从业人员团队。Sari致力于提供信息安全服务，比如策略和规程开发、信息安全程序开发、风险和漏洞评估，以及金融、卫生保健和政府领域的灾难恢复／业务连续性计划。Sari积极参与技术和安全社区。她是MESDA理事会中的一员，并且是Maine ISSA支部的创始会员。她还经常在安全大会和研讨会上发言，并且撰写了众多信息安全文章、教程和培训材料。

第1部分　策略简介.
第1章　策略定义3
1.1　简介3
1.2　定义策略4
1.3　探讨有史以来的策略5
1.3.1将《圣经》作为古代的策略6
1.3.2将美国宪法作为策略革命7
1.4　定义策略在政府中的作用8
1.5　定义策略在企业文化中的作用9
1.5.1服务.产品和企业文化中的一致性9
1.5.2遵从政府策略11
1.6　理解策略的心理学11
1.6.1使那些知道什么是可能的人参与进来12
1.6.2环境中的变化15
1.7　引荐策略15
1.7.1获得批准15
1.7.2把策略引荐给组织16
1.8　使策略被接受17
1.8.1组织文化来源于最高层17
1.8.2通过良好的交流强化策略18
1.8.3响应环境变化18
1.9　执行信息安全策略18
1.9.1执行行为性策略19
1.9.2执行技术性策略19
1.10　本章小结20
1.11　自测题21
1.11.1多项选择题21
1.11.2练习题23
1.11.3项目题24
1.11.4案例研究24
第2章　策略的元素26
2.1　简介26
2.2　定义策略配套文档：标准.准则和规程27
2.2.1标准27
2.2.2准则28
2.2.3规程28
2.3　开发策略风格和格式28
2.3.1在编写策略之前做出计划29
2.4　定义策略元素30
2.4.1策略标题31
2.4.2策略目标32
2.4.3策略目的声明32
2.4.4策略受众33
2.4.5策略声明34
2.4.6策略例外情况34
2.4.7策略执行条款35
2.4.8策略定义37
2.5　本章小结38
2.6　自测题38
2.6.1多项选择题38
2.6.2练习题41
2.6.3项目题42
2.6.4案例研究43

第2部分　信息安全策略的各个领域

第3章　信息安全框架47
3.1　简介47
3.2　计划信息安全计划的目标48
3.2.1C代表保密性48
3.2.2I代表完整性50
3.2.3A代表可用性51
3.2.4信息安全的5个A：另外一些有意义的字母及其含义52
3.3　对数据和信息进行分类53
3.4　确定信息所有权角色55
3.5ISO17799/BS7799信息安全管理实施细则55
3.6　使用ISO17799：2000的10个安全领域56
3.6.1安全策略57
3.6.2组织安全57
3.6.3资产分类和控制57
3.6.4人员安全57
3.6.5物理和环境安全57
3.6.6通信和运营管理58
3.6.7访问控制58
3.6.8系统开发和维护58
3.6.9业务连续性管理58
3.6.10合规性59
3.6.11可能具有这么多策略吗59
3.7　本章小结59
3.8　自测题60
3.8.1多项选择题60
3.8.2练习题62
3.8.3项目题63
3.8.4案例研究64

第4章　安全策略文档和组织的安全策略65
4.1　简介65
4.2　撰写权威声明66
4.2.1谁应该签署权威声明66
4.2.2权威声明应该传达什么消息66
4.2.3安全斗士的角色67
4.3　安全策略文档策略--关于策略的策略68
4.3.1组织的安全策略文档与美国联邦法律之间有关系吗68
4.3.2安全策略的雇员版本的要求69
4.3.3策略是动态的70
4.4　管理组织的安全71
4.4.1创建支持信息安全目标的组织结构71
4.4.2其他人有访问权限吗73
4.4.3外包日益成为一种趋势74
4.5　本章小结76
4.6　自测题76
4.6.1多项选择题76
4.6.2练习题79
4.6.3项目题80
4.6.4案例研究81

第5章　资产分类83
5.1　简介83
5.2　我们在尝试保护什么84
5.2.1信息系统84
5.2.2谁负责信息资产84
5.3　信息分类86
5.3.1政府和军队的分类系统87
5.3.2商业分类系统88
5.4　信息分类标记和处理91
5.4.1信息标记91
5.4.2熟悉的标签91
5.4.3信息处理91
5.5信息分类计划生命周期91
5.5.1信息分类规程92
5.5.2重新分级/撤销密级92
5.6　信息系统的价值和关键程度94
5.6.1我们如何知道我们拥有什么95
5.6.2资产清单方法95
5.6.3资产清单的特征和属性96
5.6.4系统表征97
5.7　本章小结99
5.8　自测题99
5.8.1多项选择题99
5.8.2练习题101
5.8.3项目题103
5.8.4案例研究104

第6章　人员安全105
6.1　简介105
6.2　初次接触106
6.2.1工作说明107
6.2.2面试107
6.3　这个人是谁108
6.3.1背景检查的类型110
6.4雇员协议的重要性112
6.4.1保密性协议112
6.4.2信息安全确认协议113
6.5　培训重要吗115
6.5.1适用于各种计划的SETA116
6.5.2利用安全意识影响行为116
6.5.3利用安全培训传授技能117
6.5.4安全教育是知识驱动的117
6.5.5投资于培训117
6.6　安全事件报告是每个人的责任118
6.6.1事件报告培训119
6.6.2安全报告机制119
6.6.3测试规程119
6.7　本章小结120
6.8自测题120
6.8.1多项选择题120
6.8.2练习题123
6.8.3项目题124
6.8.4案例研究125

第7章　物理与环境安全策略和规程129
7.1　简介129
7.2　设计安全区域130
7.2.1保护周界安全130
7.2.2实施物理入口控制132
7.2.3保护办公室.房间和设施安全133
7.2.4在安全区域中工作134
7.3　保护设备安全135
7.3.1设备安置和保护136
7.3.2无电不工作137
7.3.3安全地处置和重用设备138
7.4　一般控制139
7.4.1清扫桌面和清除屏幕140
7.4.2移走公司财产141
7.5　本章小结142
7.6　自测题142
7.6.1多项选择题142
7.6.2练习题144
7.6.3项目题145
7.6.4案例研究146

第8章　通信和运营管理147
8.1　简介147
8.2　标准操作规程148
8.2.1为什么要编制操作规程的文档148
8.2.2开发标准操作规程文档编制149
8.2.3授权SOP文档编制152
8.2.4保护SOP文档编制153
8.2.5SOAP更改管理153
8.3　操作更改控制154
8.3.1第1步：评估154
8.3.2第2步：记录更改154
8.3.3第3步：交流155
8.4　事件响应计划156
8.4.1事件和严重性级别156
8.4.2指定的事件处理者是谁158
8.4.3事件报告.响应和处理规程158
8.4.4分析事件和故障159
8.4.5报告可疑的或者观察到的安全弱点159
8.4.6测试可疑的或观察到的安全弱点160
8.5　恶意软件161
8.5.1什么是恶意软件161
8.5.2恶意软件控制162
8.6　信息系统备份165
8.6.1定义备份策略165
8.6.2测试恢复的重要性165
8.7　管理便携式存储设备167
8.7.1控制非公司所有的可移动介质168
8.7.2控制公司所有的可移动介质离开公司建筑物169
8.7.3存储可移动介质170
8.7.4安全地重用和处置介质171
8.7.5外包介质拆除172
8.7.6当感到怀疑时就检查日志172
8.7.7运输过程中的介质安全173
8.7.8仅适用于经过授权的快递员173
8.7.9在运输期间物理地保护介质174
8.7.10与运输介质相关的安全控制174
8.7.11保护公共可用系统上的数据安全176
8.7.12发布数据和遵守法律176
8.7.13对渗透测试的要求177
8.8　保护电子邮件安全177
8.8.1电子邮件不同于其他通信形式吗178
8.8.2我们可能是我们自己最坏的敌人179
8.8.3危及电子邮件服务器180
8.9　本章小结181
8.10　自测题181
8.10.1多项选择题181
8.10.2练习题183
8.10.3项目题185
8.10.4案例研究187

第9章　访问控制189
9.1　简介189
9.2　什么是安全姿态190
9.2.1拒绝全部或者不拒绝全部……这是一个问题190
9.2.2执行业务活动的最少特权190
9.2.3你需要知道吗,或者只是想知道191
9.2.4我们如何知道谁需要什么191
9.2.5谁决定谁需要什么192
9.3　管理用户访问193
9.3.1一个人授权,一个人实施,另一个人监督193
9.3.2用户访问管理193
9.3.3晋升.解雇和其他变化194
9.3.4特权伴随有责任194
9.4　保持密码安全196
9.4.1不要问,也不要讲196
9.4.2保护密钥196
9.4.3其他密码策略问题198
9.5　用于远程连接的用户身份验证199
9.5.1IPSec和虚拟专用网199
9.5.2RADIUS和TACACS+200
9.5.3硬件令牌200
9.5.4质询/响应协议201
9.5.5专用线路201
9.5.6地址检查和回拨控制201
9.5.7准备测试202
9.6　移动计算203
9.6.1仍然是另一种风险评估203
9.6.2批准还是禁止203
9.7　远程工作206
9.7.1远程工作环境206
9.8　监视系统访问和使用208
9.8.1我们需要监视什么209
9.8.2审阅和保持210
9.8.3监视合法吗210
9.9　本章小结211
9.10　自测题212
9.10.1多项选择题212
9.10.2练习题214
9.10.3项目题..215
9.10.4案例研究216

第10章　系统开发和维护217
10.1　简介217
10.2　机构的风险是什么218
10.2.1系统开发218
10.2.2系统维护218
10.3　系统的安全需求218
10.3.1风险评估219
10.3.2独立的第三方顾问：需要吗219
10.3.3实现完成后添加控制220
10.4　永远不能在敏感数据上发生的事情221
10.4.1数据丢失221
10.4.2数据修改222
10.4.3数据滥用222
10.5　随意代码与安全代码222
10.5.1系统所有者223
10.5.2输入验证：简介223
10.5.3高级输入验证223
10.5.4测试数据输入的可信度224
10.5.5输出验证224
10.6　风险评估和加密术226
10.6.1风险评估227
10.6.2保密性.完整性.身份验证.认可227
10.6.3密钥的保管人229
10.6.4密钥管理229
10.6.5加密术与业务合作伙伴230
10.7　操作系统与应用软件的稳定性231
10.7.1唯有稳定版本才应在生产服务器上部署232
10.7.2更新：必需的.不安全的,还是两者兼备232
10.7.3更新：应当部署的时机233
10.7.4更新：应当执行部署的人233
10.7.5测试环境所关心的内容234
10.8　本章小结235
10.9　自测题236
10.9.1多项选择题236
10.9.2练习题238
10.9.3项目题240
10.9.4案例研究243

第11章　业务连续性管理244
11.1　简介244
11.2　什么是灾难245
11.2.1风险评估和业务影响分析（BIA)245
11.3　无警告的灾难打击247
11.3.1行动计划248
11.3.2业务连续性计划（BCP）组成248
11.4　理解角色和职责250
11.4.1定义例外情况250
11.4.2由谁负责251
11.5　灾难准备252
11.5.1组织机构253
11.5.2指挥中心位置253
11.5.3通知全体人员253
11.5.4业务的重新部署253
11.5.5备用数据中心站254
11.6　响应灾难254
11.6.1发现254
11.6.2通知255
11.6.3宣布255
11.6.4启动255
11.7　应急计划256
11.7.1业务应急规程256
11.7.2业务应急文档256
11.8　灾难恢复257
11.8.1恢复策略257
11.8.2规程258
11.8.3恢复手册259
11.9　计划的测试与维护259
11.9.1测试方法259
11.9.2计划的维护260
11.9.3与卖主达成一致260
11.9.4计划的审计261
11.10　本章小结262
11.11　自测题262
11.11.1多项选择题262
11.11.2练习题264
11.11.3项目题265
11.11.4案例研究266

第3部分　合规性
第12章　金融机构的合规性271
12.1　简介271
12.2　什么是格雷姆-里奇-比利雷法案272
12.2.1GLBA的适用范围272
12.2.2GLBA的执行者273
12.2.3FFIEC的救赎274
12.2.4GLBA安全条例的理解275
12.2.5什么是部门间的指导原则275
12.2.6信息安全计划的开发与实现275
12.3　涉及的董事会276
12.3.1委托信息安全任务276
12.4　评估风险277
12.4.1信息和信息系统的详细清单278
12.4.2识别和评估威胁278
12.4.3减损控制279
12.5　管理风险280
12.5.1将ISO框架用于完成风险管理的目标281
12.5.2逻辑与管理访问控制282
12.5.3物理安全283
12.5.4数据安全284
12.5.5恶意代码284
12.5.6系统开发.获取和维护285
12.5.7人员安全285
12.5.8电子与纸质介质的处理285
12.5.9日志记录与数据收集286
12.5.10服务提供商监管286
12.5.11入侵检测和响应286
12.5.12业务连续性考虑287
12.5.13培训.培训.再培训287
12.5.14测试控制287
12.6　调整计划.报告董事会并实现标准288
12.6.1调整计划288
12.6.2报告董事会288
12.6.3合规性的有效期288
12.7　与FTC保护法案的不同之处288
12.7.1目标289
12.7.2元素289
12.8　身份盗窃和合规性290
12.8.1身份盗窃的响应290
12.8.2FTC与身份盗窃292
12.9　本章小结292
12.10　自测题293
12.10.1多项选择题293
12.10.2练习题294
12.10.3项目题295
12.10.4案例研究296

第13章　医疗卫生领域的合规性297
13.1　简介297
13.2　理解安全法规298
13.2.1HIPAA的目标与目的299
13.2.2HIPAA的关键原则299
13.2.3达不到合规性导致的惩罚299
13.2.4安全法规机构300
13.2.5实现规范300
13.3　管理保护301
13.3.1安全管理过程§164.308(a)(1)301
13.3.2指派安全责任§164.308(a)(2)303
13.3.3员工安全§164.308(a)(3)303
13.3.4信息访问管理§164.308(a)(4)304
13.3.5安全意识和培训§164.308(a)(5)305
13.3.6安全事件规程§164.308(a)(6)306
13.3.7意外事故计划§164.308(a)(7)307
13.3.8评估§184.308(a)(8)308
13.3.9业务合作合同和其他安排§164.308(b)(1)308
13.4　物理保护309
13.4.1设施访问控制§164.310(a)(1)309
13.4.2工作站的使用§164.310(b)310
13.4.3工作站的安全§164.310(b)311
13.4.4设备与介质控制§164.310(d)(1)311
13.5　技术保护312
13.5.1访问控制§164.312(a)(1)312
13.5.2审计控制§164.312(b)313
13.5.3完整性控制§164.312(c)(1)314
13.5.4人员或身份验证§164.312(d)314
13.5.5传输安全§164.312(e)(1)315
13.6　机构要求315
13.6.1业务合作合同§164.314(a)(1)316
13.6.2对组健康计划的标准要求§164.314(b)(1)317
13.7　策略和规程317
13.7.1策略和规程§164.316(a)317
13.7.2文档§164.316(b)(1)317
13.8　本章小结318
13.9　自测题318
13.9.1多项选择题318
13.9.2练习题320
13.9.3项目题321
13.9.4案例研究322

第14章　关键基础设施领域的信息安全合规性323
14.1　简介323
14.2　电子政务成为现实324
14.2.1国家级的安全性324
14.2.2合规性必需的元素325
14.2.3用于援救的NIST325
14.2.4从事FISMA的NIST出版物326
14.2.5FISMA实现项目326
14.2.6FISMA的未来326
14.3　保护学生记录的隐私326
14.3.1FERPA的目标是什么327
14.3.2教育记录是什么327
14.3.3教育记录的类型327
14.3.4FERPA与信息安全的关系如何328
14.4　一切皆从一件公司丑闻开始328
14.4.1SOX与信息安全的关系如何329
14.4.2采用控制框架329
14.5与ISO17799:2000的关联330
14.5.　1ISO17799安全领域概述330
14.6　本章小结331
14.7　自测题332
14.7.1多项选择题332
14.7.2练习题333
14.7.3项目题334
14.7.4案例研究335

第15章　小企业的安全策略与实践336
15.1　简介336
15.2　什么是小企业337
15.2.1小企业应当做什么338
15.2.2额外考虑338
15.2.3小企业应当拥有什么策略338
15.2.4策略应当如何提出339
15.3　为何要拥有一项保密性策略339
15.3.1合法化339
15.3.2不是一种,也不是两种,而是五种340
15.3.3协议的结构340
15.3.4保护协议340
15.4　什么是可接受的行为341
15.4.1所有权341
15.4.2硬件和软件342
15.4.3资源滥用343
15.5　互联网的使用--在哪里划定最后界限343
15.5.1互联网通信量的监控.记录日志及阻塞343
15.5.2传输数据344
15.6　确保公司电子邮件的安全345
15.6.1只供业务使用346
15.6.2明文通信346
15.6.3资源滥用347
15.7　意外事件的报告与响应347
15.7.1意外事件报告348
15.7.2意外事件响应348
15.7.3意外事件响应计划349
15.8　口令管理349
15.8.1口令特征350
15.8.2口令检查351
15.9　保护信息351
15.9.1分类的确是必需的吗351
15.9.2信息标记352
15.9.3信息保护352
15.10　防止恶意软件354
15.10.1病毒.蠕虫.特洛伊木马以及间谍软件354
15.10.2保护要求355
15.10.3不要忘记用户355
15.10.4补丁管理355
15.11　保护远程访问356
15.11.1扩展内部网络357
15.12　控制更改358
15.12.1小企业为何需要一套变更控制策略358
15.13　数据备份与恢复359
15.13.1企业依赖于访问数据的能力359
15.13.2备份的类型360
15.13.3备份介质的存储360
15.13.4测试恢复361
15.14　本章小结361
15.15　自测题361
15.15.1多项选择题361
15.15.2练习题364
15.15.3项目题366
15.15.4案例研究367
附录A　访问控制369
附录B　雇员信息安全策略批准协议371
B.1策略综述371
B.2董事长的声明371
B.2.1可接受的信息资源使用372
B.2.2互联网使用372
B.2.3电子邮件使用策略373
B.2.4信息资源的临时使用373
B.2.5口令策略374
B.2.6便携式计算策略374
B.2.7发布375
B.2.8认可协议375
B.2.9标准定义376
术语表

插图：