|
计算机安全介绍:NIST手册
目录
I. 介绍和概述
第一章
介绍
1.1 目的 3
1.2 对象读者 3
1.3 结构 4
1.4 重要术语 5
1.5 联邦计算机安全项目的法律基础 7
第二章
计算机安全的要素
2.1 计算机安全支持机构的使命 9
2.2 计算机安全是良好管理不可分割的一部分 10
2.3 计算机安全应该是有成本效益的 11
2.4 计算机安全的责任和职责应该得到明确 12
2.5 系统拥有者对机构外负有安全责任 12
2.6 计算机安全需要广泛的和集成的方法 13
2.7 应该对计算机安全定期进行重新评估 13
2.8 计算机安全受到社会因素的制约 14
第三章
角色和责任
3.1 高级管理人员 16
3.2 计算机安全管理人员 16
3.3 项目和职能管理人/应用的拥有者 16
3.4 技术提供人员 16
3.5 功能支持人员 18
3.6 用户 20
第四章
常见威胁:概述
4.1 错误和遗漏 22
4.2 欺诈和盗窃 23
4.3 员工破坏 24
4.4 丧失物理和基础设施支持 24
4.5 有害黑客 24
4.6 工业间谍 26
4.7 有害代码 27
4.8 外国政府间谍 27
4.9 对个人隐私的威胁 28
II. 管理控制
第五章
计算机安全的策略
5.1 项目策略 35
5.2 专题策略 37
5.3 针对系统的策略 40
5.4 相互关系 42
5.5 费用考虑 43
第六章
计算机安全的项目管理
6.1 计算机安全项目的结构 45
6.2 核心级计算机安全项目 47
6.3 有效的核心级计算机安全项目的要素 51
6.4 系统级计算机安全项目 53
6.5 有效的系统级项目的要素 53
6.6 核心级和系统级项目的相互影响 56
6.7 相互关系 56
6.8 费用考虑 56
第七章
计算机安全的风险管理
7.1 风险评估 59
7.2 风险消减 63
7.3 不确定性分析 67
7.4 相互关系 68
7.5 费用考虑 68
第八章
计算机系统生命周期中的安全和计划
8.1 联邦系统有关计算机安全法案的相关问题 71
8.2 将安全集成到计算机系统生命周期中的益处 72
8.3 计算机系统生命周期概述 73
8.4 计算机系统生命周期中的安全活动 74
8.5 相互关系 86
8.6 费用考虑 86
第九章
保证
9.1 审批和保证 90
9.2 计划和保证 92
9.3 设计和实施的保证 92
9.4 操作的保证 96
9.5 相互关系 101
9.6 费用考虑 101
III. 操作控制
第十章
人员/用户问题
10.1 员工 107
10.2 用户管理 110
10.3 承包商访问的考虑 116
10.4 公众访问的考虑 116
10.5 相互关系 117
10.6 费用考虑 117
第十一章
为应急和灾难做准备
11.1 第一步:确定对于使命或业务关键的功能 120
11.2 第二步:确定支持关键功能的资源 120
11.3 第三步:预期潜在的紧急情况或灾难 122
11.4 第四步:选择应急计划策略 123
11.5 第五步:实施应急策略 126
11.6 第六步:测试和修订 128
11.7 相互关系 129
11.8 费用考虑 129
第十二章
计算机安全事件的处理
12.1 事件处理能力的益处 134
12.2 成功事件处理能力的特点 137
12.3 事件处理的技术支持 139
12.4 相互关系 140
12.5 费用考虑 141
第十三章
意识、培训和教育
13.1 行为 143
13.2 职责 144
13.3 意识 144
13.4 培训 146
13.5 教育 147
13.6 实施 148
13.7 相互关系 152
13.8 费用考虑 152
第十四章
计算机支持和运行的安全考虑
14.1 用户支持 156
14.2 软件支持 157
14.3 配置管理 157
14.4 备份 158
14.5 介质控制 158
14.6 文档 161
14.7 维护 161
14.8 相互关系 162
14.9 费用考虑 163
第十五章
物理和环境安全
15.1 物理访问控制 166
15.2 防火因素 168
15.3 支持服务的故障 170
15.4 结构坍塌 170
15.5 管道泄漏 171
15.6 数据截获 171
15.7 移动和便携式系统 172
15.8 实施的方法 172
15.9 相互关系 174
15.10 费用考虑 174
IV. 技术控制
第十六章
识别和认证
16.1 基于用户所知的I&A 180
16.2 基于用户所拥有的I&A 182
16.3 基于用户本身的I&A 186
16.4 实施I&A系统 187
16.5 相互关系 189
16.6 费用考虑 189
第十七章
逻辑访问控制
17.1 访问标准 194
17.2 策略:访问控制的动力 197
17.3 技术性实施机制 198
17.4 访问控制的管理 204
17.5 协调访问控制 206
17.6 相互关系 206
17.7 费用考虑 207
第十八章
审计跟踪
18.1 益处和目标 211
18.2 审计跟踪和日志 214
18.3 实施问题 217
18.4 相互关系 220
18.5 费用考虑 221
第十九章
密码系统
19.1 基础的密码技术 223
19.2 密码系统的使用 226
19.3 实施问题 230
19.4 相互关系 233
19.5 费用考虑 234
V. 举例
第二十章
评估和消减假想计算机系统的风险
20.1 启动风险评估 241
20.2 HGA的计算机系统 242
20.3 对HGA资产的威胁 245
20.4 现有的安全措施 248
20.5 风险评估小组关于缺陷的报告 257
20.6 消减所确认的缺陷的建议 261
20.7 总结 266
交叉引用和总索引 269
|
