在当今快速发展的技术世界中，计算机**从业人员必须能够在信息和系统受到攻击之前保护它们。作为一名将来的**从业人员，你将需要创建有效的**策略，并且知道如何*佳地实施它们，以便在信息和系统受到攻击之前先发制人。《**策略与规程原理与实践》讲述了如何执行这个任务。你将学习全世界的公司如何保护它们自身，以及用于创建你自己的策略和规程的*佳实践。
《**策略与规程原理与实践》深入探讨了以下主题：
·通过设计实用的策略和规程，积极地影响组织的行为。
·实施组织的**标准和*佳实践。
·使用ISO 17799：2000标准作为信息**计划的框架。
·遵守政府规章，如GLBA，HIPAA、FERPA和FISMA。
·为小型和中型企业自定义**计划。
《**策略与规程原理与实践》带有一些工具，用于帮助你超越仅仅学习概念并且帮助你应用它们。这些工具包括：
·实际应用教程：应用概念并通过动手实践来学习。
·习题和项目：向你介绍如何应用新技能的作业。
·案例研究：把你学到的知识应用于现实情况。
配套Web站点(www．prenhall．com／security)包括：
·补充测试材料和项目，用于强化《**

第1部分 策略简介.
第1章 策略定义3
1.1 简介3
1.2 定义策略4
1.3 探讨有史以来的策略5
1.3.1将《圣经》作为古代的策略6
1.3.2将美国宪法作为策略革命7
1.4 定义策略在政府中的作用8
1.5 定义策略在企业文化中的作用9
1.5.1服务.产品和企业文化中的一致性9
1.5.2遵从政府策略11
1.6 理解策略的心理学11
1.6.1使那些知道什么是可能的人参与进来12
1.6.2环境中的变化15
1.7 引荐策略15
1.7.1获得批准15
1.7.2把策略引荐给组织16
1.8 使策略被接受17
1.8.1组织文化来源于*高层17
1.8.2通过良好的交流强化策略18
1.8.3响应环境变化18
1.9 执行信息**策略18
1.9.1执行行为性策略19
1.9.2执行技术性策略19
1.10 本章小结20
1.11 自测题21
1.11.1多项选择题21
1.11.2练习题23
1.11.3项目题24
1.11.4案例研究24
第2章 策略的元素26
2.1 简介26
2.2 定义策略配套文档：标准.准则和规程27
2.2.1标准27
2.2.2准则28
2.2.3规程28
2.3 开发策略风格和格式28
2.3.1在编写策略之前做出计划29
2.4 定义策略元素30
2.4.1策略标题31
2.4.2策略目标32
2.4.3策略目的声明32
2.4.4策略受众33
2.4.5策略声明34
2.4.6策略例外情况34
2.4.7策略执行条款35
2.4.8策略定义37
2.5 本章小结38
2.6 自测题38
2.6.1多项选择题38
2.6.2练习题41
2.6.3项目题42
2.6.4案例研究43

第2部分 信息**策略的各个领域

第3章 信息**框架47
3.1 简介47
3.2 计划信息**计划的目标48
3.2.1C代表保密性48
3.2.2I代表完整性50
3.2.3A代表可用性51
3.2.4信息**的5个A：另外一些有意义的字母及其含义52
3.3 对数据和信息进行分类53
3.4 确定信息所有权角色55
3.5ISO17799/BS7799信息**管理实施细则55
3.6 使用ISO17799：2000的10个**领域56
3.6.1**策略57
3.6.2组织**57
3.6.3资产分类和控制57
3.6.4人员**57
3.6.5物理和环境**57
3.6.6通信和运营管理58
3.6.7访问控制58
3.6.8系统开发和维护58
3.6.9业务连续性管理58
3.6.10合规性59
3.6.11可能具有这么多策略吗59
3.7 本章小结59
3.8 自测题60
3.8.1多项选择题60
3.8.2练习题62
3.8.3项目题63
3.8.4案例研究64

第4章 **策略文档和组织的**策略65
4.1 简介65
4.2 撰写权威声明66
4.2.1谁应该签署权威声明66
4.2.2权威声明应该传达什么消息66
4.2.3**斗士的角色67
4.3 **策略文档策略--关于策略的策略68
4.3.1组织的**策略文档与美国联邦法律之间有关系吗68
4.3.2**策略的雇员版本的要求69
4.3.3策略是动态的70
4.4 管理组织的**71
4.4.1创建支持信息**目标的组织结构71
4.4.2其他人有访问权限吗73
4.4.3外包日益成为一种趋势74
4.5 本章小结76
4.6 自测题76
4.6.1多项选择题76
4.6.2练习题79
4.6.3项目题80
4.6.4案例研究81

第5章 资产分类83
5.1 简介83
5.2 我们在尝试保护什么84
5.2.1信息系统84
5.2.2谁负责信息资产84
5.3 信息分类86
5.3.1政府和军队的分类系统87
5.3.2商业分类系统88
5.4 信息分类标记和处理91
5.4.1信息标记91
5.4.2熟悉的标签91
5.4.3信息处理91
5.5信息分类计划生命周期91
5.5.1信息分类规程92
5.5.2重新分级/撤销密级92
5.6 信息系统的价值和关键程度94
5.6.1我们如何知道我们拥有什么95
5.6.2资产清单方法95
5.6.3资产清单的特征和属性96
5.6.4系统表征97
5.7 本章小结99
5.8 自测题99
5.8.1多项选择题99
5.8.2练习题101
5.8.3项目题103
5.8.4案例研究104

第6章 人员**105
6.1 简介105
6.2 初次接触106
6.2.1工作说明107
6.2.2面试107
6.3 这个人是谁108
6.3.1背景检查的类型110
6.4雇员协议的重要性112
6.4.1保密性协议112
6.4.2信息**确认协议113
6.5 培训重要吗115
6.5.1适用于各种计划的SETA116
6.5.2利用**意识影响行为116
6.5.3利用**培训传授技能117
6.5.4**教育是知识驱动的117
6.5.5投资于培训117
6.6 **事件报告是每个人的责任118
6.6.1事件报告培训119
6.6.2**报告机制119
6.6.3测试规程119
6.7 本章小结120
6.8自测题120
6.8.1多项选择题120
6.8.2练习题123
6.8.3项目题124
6.8.4案例研究125

第7章 物理与环境**策略和规程129
7.1 简介129
7.2 设计**区域130
7.2.1保护周界**130
7.2.2实施物理入口控制132
7.2.3保护办公室.房间和设施**133
7.2.4在**区域中工作134
7.3 保护设备**135
7.3.1设备安置和保护136
7.3.2无电不工作137
7.3.3**地处置和重用设备138
7.4 一般控制139
7.4.1清扫桌面和清除屏幕140
7.4.2移走公司财产141
7.5 本章小结142
7.6 自测题142
7.6.1多项选择题142
7.6.2练习题144
7.6.3项目题145
7.6.4案例研究146

第8章 通信和运营管理147
8.1 简介147
8.2 标准操作规程148
8.2.1为什么要编制操作规程的文档148
8.2.2开发标准操作规程文档编制149
8.2.3授权SOP文档编制152
8.2.4保护SOP文档编制153
8.2.5SOAP更改管理153
8.3 操作更改控制154
8.3.1第1步：评估154
8.3.2第2步：记录更改154
8.3.3第3步：交流155
8.4 事件响应计划156
8.4.1事件和严重性级别156
8.4.2指定的事件处理者是谁158
8.4.3事件报告.响应和处理规程158
8.4.4分析事件和故障159
8.4.5报告可疑的或者观察到的**弱点159
8.4.6测试可疑的或观察到的**弱点160
8.5 恶意软件161
8.5.1什么是恶意软件161
8.5.2恶意软件控制162
8.6 信息系统备份165
8.6.1定义备份策略165
8.6.2测试恢复的重要性165
8.7 管理便携式存储设备167
8.7.1控制非公司所有的可移动介质168
8.7.2控制公司所有的可移动介质离开公司建筑物169
8.7.3存储可移动介质170
8.7.4**地重用和处置介质171
8.7.5外包介质拆除172
8.7.6当感到怀疑时就检查日志172
8.7.7运输过程中的介质**173
8.7.8仅适用于经过授权的快递员173
8.7.9在运输期间物理地保护介质174
8.7.10与运输介质相关的**控制174
8.7.11保护公共可用系统上的数据**176
8.7.12发布数据和遵守法律176
8.7.13对渗透测试的要求177
8.8 保护电子邮件**177
8.8.1电子邮件不同于其他通信形式吗178
8.8.2我们可能是我们自己*坏的敌人179
8.8.3危及电子邮件服务器180
8.9 本章小结181
8.10 自测题181
8.10.1多项选择题181
8.10.2练习题183
8.10.3项目题185
8.10.4案例研究187

第9章 访问控制189
9.1 简介189
9.2 什么是**姿态190
9.2.1拒绝全部或者不拒绝全部……这是一个问题190
9.2.2执行业务活动的*少特权190
9.2.3你需要知道吗,或者只是想知道191
9.2.4我们如何知道谁需要什么191
9.2.5谁决定谁需要什么192
9.3 管理用户访问193
9.3.1一个人授权,一个人实施,另一个人监督193
9.3.2用户访问管理193
9.3.3晋升.解雇和其他变化194
9.3.4特权伴随有责任194
9.4 保持密码**196
9.4.1不要问,也不要讲196
9.4.2保护密钥196
9.4.3其他密码策略问题198
9.5 用于远程连接的用户身份验证199
9.5.1IPSec和虚拟专用网199
9.5.2RADIUS和TACACS+200
9.5.3硬件令牌200
9.5.4质询/响应协议201
9.5.5专用线路201
9.5.6地址检查和回拨控制201
9.5.7准备测试202
9.6 移动计算203
9.6.1仍然是另一种风险评估203
9.6.2批准还是禁止203
9.7 远程工作206
9.7.1远程工作环境206
9.8 监视系统访问和使用208
9.8.1我们需要监视什么209
9.8.2审阅和保持210
9.8.3监视合法吗210
9.9 本章小结211
9.10 自测题212
9.10.1多项选择题212
9.10.2练习题214
9.10.3项目题..215
9.10.4案例研究216

第10章 系统开发和维护217
10.1 简介217
10.2 机构的风险是什么218
10.2.1系统开发218
10.2.2系统维护218
10.3 系统的**需求218
10.3.1风险评估219
10.3.2独立的第三方顾问：需要吗219
10.3.3实现完成后添加控制220
10.4 永远不能在敏感数据上发生的事情221
10.4.1数据丢失221
10.4.2数据修改222
10.4.3数据滥用222
10.5 随意代码与**代码222
10.5.1系统所有者223
10.5.2输入验证：简介223
10.5.3**输入验证223
10.5.4测试数据输入的可信度224
10.5.5输出验证224
10.6 风险评估和加密术226
10.6.1风险评估227
10.6.2保密性.完整性.身份验证.认可227
10.6.3密钥的保管人229
10.6.4密钥管理229
10.6.5加密术与业务合作伙伴230
10.7 操作系统与应用软件的稳定性231
10.7.1唯有稳定版本才应在生产服务器上部署232
10.7.2更新：必需的.不**的,还是两者兼备232
10.7.3更新：应当部署的时机233
10.7.4更新：应当执行部署的人233
10.7.5测试环境所关心的内容234
10.8 本章小结235
10.9 自测题236
10.9.1多项选择题236
10.9.2练习题238
10.9.3项目题240
10.9.4案例研究243

第11章 业务连续性管理244
11.1 简介244
11.2 什么是灾难245
11.2.1风险评估和业务影响分析（BIA)245
11.3 无警告的灾难打击247
11.3.1行动计划248
11.3.2业务连续性计划（BCP）组成248
11.4 理解角色和职责250
11.4.1定义例外情况250
11.4.2由谁负责251
11.5 灾难准备252
11.5.1组织机构253
11.5.2指挥**位置253
11.5.3通知全体人员253
11.5.4业务的重新部署253
11.5.5备用数据**站254
11.6 响应灾难254
11.6.1发现254
11.6.2通知255
11.6.3宣布255
11.6.4启动255
11.7 应急计划256
11.7.1业务应急规程256
11.7.2业务应急文档256
11.8 灾难恢复257
11.8.1恢复策略257
11.8.2规程258
11.8.3恢复手册259
11.9 计划的测试与维护259
11.9.1测试方法259
11.9.2计划的维护260
11.9.3与卖主达成一致260
11.9.4计划的审计261
11.10 本章小结262
11.11 自测题262
11.11.1多项选择题262
11.11.2练习题264
11.11.3项目题265
11.11.4案例研究266

第3部分 合规性
第12章 金融机构的合规性271
12.1 简介271
12.2 什么是格雷姆-里奇-比利雷法案272
12.2.1GLBA的适用范围272
12.2.2GLBA的执行者273
12.2.3FFIEC的救赎274
12.2.4GLBA**条例的理解275
12.2.5什么是部门间的指导原则275
12.2.6信息**计划的开发与实现275
12.3 涉及的董事会276
12.3.1委托信息**任务276
12.4 评估风险277
12.4.1信息和信息系统的详细清单278
12.4.2识别和评估威胁278
12.4.3减损控制279
12.5 管理风险280
12.5.1将ISO框架用于完成风险管理的目标281
12.5.2逻辑与管理访问控制282
12.5.3物理**283
12.5.4数据**284
12.5.5恶意代码284
12.5.6系统开发.获取和维护285
12.5.7人员**285
12.5.8电子与纸质介质的处理285
12.5.9日志记录与数据收集286
12.5.10服务提供商监管286
12.5.11入侵检测和响应286
12.5.12业务连续性考虑287
12.5.13培训.培训.再培训287
12.5.14测试控制287
12.6 调整计划.报告董事会并实现标准288
12.6.1调整计划288
12.6.2报告董事会288
12.6.3合规性的有效期288
12.7 与FTC保护法案的不同之处288
12.7.1目标289
12.7.2元素289
12.8 身份盗窃和合规性290
12.8.1身份盗窃的响应290
12.8.2FTC与身份盗窃292
12.9 本章小结292
12.10 自测题293
12.10.1多项选择题293
12.10.2练习题294
12.10.3项目题295
12.10.4案例研究296

第13章 **卫生领域的合规性297
13.1 简介297
13.2 理解**法规298
13.2.1HIPAA的目标与目的299
13.2.2HIPAA的关键原则299
13.2.3达不到合规性导致的惩罚299
13.2.4**法规机构300
13.2.5实现规范300
13.3 管理保护301
13.3.1**管理过程§164.308(a)(1)301
13.3.2指派**责任§164.308(a)(2)303
13.3.3员工**§164.308(a)(3)303
13.3.4信息访问管理§164.308(a)(4)304
13.3.5**意识和培训§164.308(a)(5)305
13.3.6**事件规程§164.308(a)(6)306
13.3.7意外事故计划§164.308(a)(7)307
13.3.8评估§184.308(a)(8)308
13.3.9业务合作合同和其他安排§164.308(b)(1)308
13.4 物理保护309
13.4.1设施访问控制§164.310(a)(1)309
13.4.2工作站的使用§164.310(b)310
13.4.3工作站的**§164.310(b)311
13.4.4设备与介质控制§164.310(d)(1)311
13.5 技术保护312
13.5.1访问控制§164.312(a)(1)312
13.5.2审计控制§164.312(b)313
13.5.3完整性控制§164.312(c)(1)314
13.5.4人员或身份验证§164.312(d)314
13.5.5传输**§164.312(e)(1)315
13.6 机构要求315
13.6.1业务合作合同§164.314(a)(1)316
13.6.2对组健康计划的标准要求§164.314(b)(1)317
13.7 策略和规程317
13.7.1策略和规程§164.316(a)317
13.7.2文档§164.316(b)(1)317
13.8 本章小结318
13.9 自测题318
13.9.1多项选择题318
13.9.2练习题320
13.9.3项目题321
13.9.4案例研究322

第14章 关键基础设施领域的信息**合规性323
14.1 简介323
14.2 电子政务成为现实324
14.2.1**级的**性324
14.2.2合规性必需的元素325
14.2.3用于援救的NIST325
14.2.4从事FISMA的NIST出版物326
14.2.5FISMA实现项目326
14.2.6FISMA的未来326
14.3 保护学生记录的隐私326
14.3.1FERPA的目标是什么327
14.3.2教育记录是什么327
14.3.3教育记录的类型327
14.3.4FERPA与信息**的关系如何328
14.4 一切皆从一件公司丑闻开始328
14.4.1SOX与信息**的关系如何329
14.4.2采用控制框架329
14.5与ISO17799:2000的关联330
14.5. 1ISO17799**领域概述330
14.6 本章小结331
14.7 自测题332
14.7.1多项选择题332
14.7.2练习题333
14.7.3项目题334
14.7.4案例研究335

第15章 小企业的**策略与实践336
15.1 简介336
15.2 什么是小企业337
15.2.1小企业应当做什么338
15.2.2额外考虑338
15.2.3小企业应当拥有什么策略338
15.2.4策略应当如何提出339
15.3 为何要拥有一项保密性策略339
15.3.1合法化339
15.3.2不是一种,也不是两种,而是五种340
15.3.3协议的结构340
15.3.4保护协议340
15.4 什么是可接受的行为341
15.4.1所有权341
15.4.2硬件和软件342
15.4.3资源滥用343
15.5 互联网的使用--在哪里划定*后界限343
15.5.1互联网通信量的监控.记录日志及阻塞343
15.5.2传输数据344
15.6 确保公司电子邮件的**345
15.6.1只供业务使用346
15.6.2明文通信346
15.6.3资源滥用347
15.7 意外事件的报告与响应347
15.7.1意外事件报告348
15.7.2意外事件响应348
15.7.3意外事件响应计划349
15.8 口令管理349
15.8.1口令特征350
15.8.2口令检查351
15.9 保护信息351
15.9.1分类的确是必需的吗351
15.9.2信息标记352
15.9.3信息保护352
15.10 防止恶意软件354
15.10.1病毒.蠕虫.特洛伊木马以及间谍软件354
15.10.2保护要求355
15.10.3不要忘记用户355
15.10.4补丁管理355
15.11 保护远程访问356
15.11.1扩展内部网络357
15.12 控制更改358
15.12.1小企业为何需要一套变更控制策略358
15.13 数据备份与恢复359
15.13.1企业依赖于访问数据的能力359
15.13.2备份的类型360
15.13.3备份介质的存储360
15.13.4测试恢复361
15.14 本章小结361
15.15 自测题361
15.15.1多项选择题361
15.15.2练习题364
15.15.3项目题366
15.15.4案例研究367
附录A 访问控制369
附录B 雇员信息**策略批准协议371
B.1策略综述371
B.2董事长的声明371
B.2.1可接受的信息资源使用372
B.2.2互联网使用372
B.2.3电子邮件使用策略373
B.2.4信息资源的临时使用373
B.2.5口令策略374
B.2.6便携式计算策略374
B.2.7发布375
B.2.8认可协议375
B.2.9标准定义376
术语表
……

随着Internet的迅速发展，信息**正成为一个越来越受关注的话题。本书遵循由一般到具体、由理论到实践的原则阐述了当前国内外信息**领域的相关主题，探讨了信息**平台建设的理论基础和设计思路，并从实际应用出发探讨如何切实地落实信息**工作。本书有助于组织构建符合IS()17799：2000信息**标准的系统，这个标准为开发信息**策略和理解信息**控制提供了一个框架。在全书中，我们都会引用ISO 17799：2000标准。
本书提供了信息**思想的总体描述，以便企业管理人员能够更好地评估他们的公司在处理信息**问题上的表现。同时本书也提供一些实用方法来协助各个公司改进其信息**计划。
本书是按照为公司建立信息**计划的步骤来组织内容的。本书分为三个部分。第1部分“策略简介”旨在为开发、引荐和实施策略提供基础。第2部分“信息**策略的各个领域”探讨了9个**领域的信息**策略和规程。第3部分“合规性”是关于策略和规程遵从联邦规章以及行业*佳实践的实际应用。本书各章都配有相关的习题，以指导读者深入地进行学习。
本书可作为高等学校计算机及相关专业的教材，也可作为信息**及管理人员的参考书。对于有志成为信息**专业人员的人，掌握本书中介绍的信息是**必要的。
参加本书翻译的人员有陈宗斌、陈红霞、张景友、易小丽、陈婷、管学岗、王新彦、金惠敏、张海峰、徐晔、戴锋、张德福、张士华、张锁玲、杜明宗、高玉琢、王涛、申川、孙玲、李振国、高德杰、宫飞、侯经国、刘淑妮、张春林、李大成、程明、张路红、张淑芝、孙先国、刘冀得、梁永翔、张广东、郁琪琳、邵长凯、蒲书箴、潘曙光、刘瑞东、李军、焦敬俭。
由于时间紧迫，加之译者水平有限，错误在所难免，恳请广大读者批评指正。

Sari Stern Greene(CISSP、MCSE、MCT、MCNE、MCNI、CTT、NSA／IAM)是Sage Data Security公司的总裁。在Sage，Sari领导一个经验丰富的**从业人员团队。Sari致力于提供信息**服务，比如策略和规程开发、信息**程序开发、风险和漏洞评估，以及金融、卫生保健和政府领域的灾难恢复／业务连续性计划。Sari积极参与技术和**社区。她是MESDA理事会中的一员，并且是Maine ISSA支部的创始会员。她还经常在**大会和研讨会上发言，并且撰写了众多信息**文章、教程和培训材料。