网络空间安全计划与策略开发 [美]奥马尔·桑托斯(Omar Santos) 著 大中专 文轩网

目  录<br />译者序<br />前言<br />作者简介<br />第1章  理解网络安全策略和治理1<br />信息安全与网络安全策略2<br />看一看古往今来的策略3<br />古代策略3<br />美国宪法3<br />现代策略4<br />网络安全策略5<br />资产6<br />成功策略的特点7<br />政府的角色11<br />其他联邦银行的法规14<br />其他国家的政府网络安全条例14<br />全球策略的挑战14<br />网络安全策略生命周期14<br />策略开发15<br />策略发布16<br />策略采用17<br />策略评价17<br />总结18<br />自测题18<br />参考资料21<br />第2章  网络安全策略组织、格式和风格23<br />策略的层次结构23<br />标准24<br />基线24<br />指南25<br />进程26<br />计划和方案27<br />写作风格和技巧27<br />使用简明语言27<br />简明语言运动28<br />简明语言策略写作技巧29<br />策略格式31<br />理解你的受众31<br />策略格式的类型31<br />策略组件32<br />总结39<br />自测题40<br />参考资料44<br />第3章  网络安全框架45<br />机密性、完整性和可用性46<br />机密性46<br />完整性48<br />可用性49<br />谁负责CIA52<br />NIST的网络安全框架53<br />NIST的功能53<br />ISO54<br />NIST网络安全框架54<br />ISO标准55<br />总结59<br />自测题60<br />参考资料63<br />第4章  治理与风险管理65<br />理解网络安全策略65<br />治理65<br />战略一致性的意义66<br />法规要求67<br />用户级别网络安全策略67<br />提供商网络安全策略67<br />网络安全漏洞披露策略68<br />网络安全策略的客户概要68<br />谁授权网络安全策略69<br />分布式治理模型69<br />评估网络安全策略71<br />修订网络安全策略：变更驱动因素73<br />NIST网络安全框架治理子类别和<br />  信息参考74<br />法规要求76<br />网络安全风险76<br />风险是不好的吗77<br />理解风险管理78<br />风险偏好和容忍度80<br />风险评估80<br />风险评估方法81<br />总结83<br />自测题84<br />参考资料88<br />第5章  资产管理和数据丢失预防 90<br />信息资产和系统91<br />谁负责信息资产91<br />信息分类93<br />联邦政府如何对信息进行分类94<br />为什么国家安全信息分类不同95<br />谁决定如何分类国家安全数据96<br />私营部门如何对数据进行分类97<br />信息可以重新分类甚至解密吗98<br />标签和处理标准98<br />为什么贴标签98<br />为什么要处理标准99<br />信息系统清单100<br />为什么清单是必要的，如何整理清单100<br />理解数据丢失预防技术103<br />总结105<br />自测题106<br />参考资料110<br />第6章  人力资源安全111<br />员工的生命周期112<br />招聘与安全有什么关系113<br />入职阶段会发生什么117<br />什么是用户配置117<br />员工在任职培训过程中应该学习什么118<br />为什么终止被视为最危险的阶段119<br />员工协议的重要性119<br />什么是保密协议或不泄露协议120<br />什么是可接受使用协议120<br />安全教育与培训的重要性121<br />安全意识影响行为122<br />安全技能培训122<br />安全教育由知识驱动122<br />总结123<br />自测题124<br />参考资料128<br />第7章  物理和环境安全130<br />理解安全设施分层防御模型131<br />如何保证网站安全132<br />如何控制物理访问133<br />保护设备136<br />没电无法工作136<br />火有多危险137<br />如何处置138<br />住手，小偷140<br />总结142<br />自测题142<br />参考资料146<br />第8章  通信和运营安全147<br />标准运营程序148<br />为何记录SOP148<br />制定SOP149<br />运营变更控制152<br />为何管理变更152<br />为什么补丁处理不同155<br />恶意软件防护157<br />是否存在不同类型的恶意软件158<br />如何控制恶意软件159<br />什么是防病毒软件160<br />数据复制163<br />是否有推荐的备份或复制策略164<br />安全消息传递166<br />是什么使电子邮件成为安全风险166<br />电子邮件服务器是否存在风险168<br />其他协作和通信工具169<br />活动监控和日志分析170<br />日志管理170<br />服务提供商监督174<br />尽职调查175<br />服务提供商合同中应该包含的内容176<br />威胁情报和信息共享177<br />如果无法共享网络威胁情报，<br />  该有多好178<br />总结179<br />自测题181<br />参考资料185<br />第9章  访问控制管理187<br />访问控制基础188<br />安全状态188<br />如何验证身份190<br />授权193<br />审计195<br />基础设施访问控制196<br />为什么要划分网络196<br />什么是分层边界安全198<br />远程访问安全202<br />用户访问控制205<br />为什么要管理用户访问206<br />应监控哪些类型的访问207<br />总结209<br />自测题210<br />参考资料213<br />第10章  信息系统的获取、开发和维护215<br />系统安全要求216<br />SDLC216<br />商用或开源软件怎么样218<br />测试环境219<br />保护测试数据219<br />安全代码220<br />开放Web应用程序安全项目220<br />密码学223<br />为什么加密224<br />法规要求225<br />什么是密钥225<br />PKI225<br />为什么要保护加密密钥226<br />数字证书泄露227<br />总结228<br />自测题229<br />参考资料232<br />第11章  网络安全事件响应234<br />事件响应234<br />什么是事件235<br />事件是如何被报告的240<br />事件响应计划241<br />事件响应流程242<br />桌面练习和剧本244<br />信息共享和协调245<br />计算机安全事件响应小组245<br />产品安全事件响应团队247<br />事件响应培训和练习253<br />发生了什么事？调查和证据处理253<br />记录事件253<br />与执法部门合作254<br />了解取证分析254<br />数据泄露通知要求256<br />是否有联邦违约通知法257<br />通知是否有效260<br />总结262<br />自测题263<br />参考资料268<br />第12章  业务连续性管理270<br />应急准备270<br />弹性组织272<br />法规要求272<br />业务连续性风险管理273<br />业务连续性威胁评估273<br />业务连续性风险评估274<br />业务影响评估275<br />业务连续性计划277<br />角色和责任278<br />灾难响应计划280<br />运营应急计划282<br />灾难恢复阶段283<br />重建阶段285<br />计划测试和维护285<br />为什么测试很重要285<br />计划维护287<br />总结288<br />自测题289<br />参考资料291<br />第13章  金融机构的监管合规性293<br />Gramm-Leach-Bliley法案293<br />金融机构294<br />法规监督295<br />机构间指南297<br />纽约金融服务部网络安全法规<br />  （23 NYCRR Part 500）305<br />监管检查306<br />检查流程306<br />检查评分307<br />个人和企业身份盗窃307<br />机构间指南附录A要求的内容308<br />网上银行环境指南中的身份验证补充<br />  所要求的内容309<br />总结310<br />自测题311<br />参考资料316<br />第14章  卫生保健部门的监管合规性318<br />HIPAA安全规则319<br />HIPAA安全规则的目标320<br />如何组织HIPAA安全规则321<br />物理保障328<br />技术保障330<br />组织要求333<br />政策和程序标准334<br />HIPAA安全规则映射到NIST网络<br />  安全框架335<br />HITECH法案和Omnibus规则335<br />为商业伙伴改变了什么336<br />违反通知规则概述337<br />理解HIPAA合规执行流程339<br />总结340<br />自测题340<br />参考资料345<br />第15章  商家的PCI合规性347<br />保护持卡人数据348<br />PAN349<br />Luhn算法349<br />PCI DSS框架350<br />照旧开展业务的方法350<br />PCI DSS要求351<br />PCI DSS合规性358<br />谁需要遵守PCI DSS358<br />数据安全合规性评估359<br />PCI DSS自我评估问卷360<br />不合规是否有处罚361<br />总结362<br />自测题363<br />参考资料367<br />第16章  NIST网络安全框架369<br />NIST网络安全框架组件介绍370<br />框架核心371<br />识别372<br />保护373<br />检测374<br />响应374<br />恢复374<br />框架实现层374<br />谁应该协调框架实现376<br />NIST对建立或改进网络安全计划的建议步骤377<br />与利益相关者的沟通及供应链关系377<br />NIST网络安全框架参考工具378<br />在现实生活中采用NIST网络安全框架380<br />总结381<br />自测题381<br />参考资料384<br />附录A  网络安全计划资源385<br />附录B  选择题答案392