信息安全風(fēng)險(xiǎn)評估

定　價(jià)：￥35.00

作　者：	吳亞非、李新友、祿凱
出版社：	清華大學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	時(shí)間/風(fēng)險(xiǎn)管理

購買這本書可以去

ISBN：	9787302146100	出版時(shí)間：	2007-04-01	包裝：	平裝
開本：	16	頁數(shù)：	287	字?jǐn)?shù)：

內(nèi)容簡介

　　信息安全風(fēng)險(xiǎn)評估理論研究日趨成熟，相關(guān)資料比較充分，但有關(guān)評估實(shí)際工作的參考資料很少。本書以信息安全風(fēng)險(xiǎn)評估實(shí)踐為基礎(chǔ)，圍繞評估工作中各階段的實(shí)際操作，分基本知識、技術(shù)與方法、產(chǎn)品與工具、案例四個(gè)部分，詳細(xì)介紹了信息安全風(fēng)險(xiǎn)評估的基本概念、國家政策及標(biāo)準(zhǔn)發(fā)展、評估實(shí)操方法、各種實(shí)際評估表格示例、評估分析模型和計(jì)算公式、目前主要的評估工具，并從不同行業(yè)和不同評估目的出發(fā)，列舉了多個(gè)評估案例，供讀者參考。.本書主要面向國家和地方政府部門、大型企事業(yè)單位的信息安全管理人員，以及信息安全專業(yè)人員，可作為培訓(xùn)教材和參考書使用。本書對進(jìn)行信息安全風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理、ISMS（ISO/IEC27001）認(rèn)證等具有較高的實(shí)用參考價(jià)值。...

作者簡介

暫缺《信息安全風(fēng)險(xiǎn)評估》作者簡介

圖書目錄

第一部分基本知識
第1章引論
1.1信息與信息安全
1.1.1信息
1.1.2信息安全
1.2信息安全技術(shù)與信息安全管理
1.2.1信息安全事件
1.2.2信息安全技術(shù)
1.2.3信息安全管理
1.3信息安全風(fēng)險(xiǎn)評估
1.3.1基本定義
1.3.2相關(guān)概念
1.3.3基本要素關(guān)系
1.3.4風(fēng)險(xiǎn)分析原理
1.4開展信息安全風(fēng)險(xiǎn)評估工作的
意義
1.4.1信息安全工作的客觀
需要和緊迫需求
1.4.2體現(xiàn)黨中央國務(wù)院的
文件精神
1.4.3落實(shí)信息安全等級
保護(hù)的重要手段
1.5我國信息安全風(fēng)險(xiǎn)評估推進(jìn)
過程
1.5.1調(diào)查研究階段
1.5.2標(biāo)準(zhǔn)編制階段
1.5.3全國試點(diǎn)階段
1.5.4下一步推進(jìn)工作
第2章主要內(nèi)容
2.1信息安全風(fēng)險(xiǎn)評估的內(nèi)涵
2.1.1信息安全風(fēng)險(xiǎn)評估是信息
安全建設(shè)和管理的科學(xué)
方法
2.1.2信息安全風(fēng)險(xiǎn)評估是分析
確定風(fēng)險(xiǎn)的過程
2.1.3信息安全風(fēng)險(xiǎn)評估是信息
安全建設(shè)的起點(diǎn)和基礎(chǔ)
2.1.4信息安全風(fēng)險(xiǎn)評估是在
倡導(dǎo)一種適度安全
2.2信息安全風(fēng)險(xiǎn)評估的兩種方式
2.2.1自評估
2.2.2檢查評估
2.3信息安全風(fēng)險(xiǎn)評估的五個(gè)環(huán)節(jié)
2.3.1信息系統(tǒng)生命周期
2.3.2規(guī)劃階段的風(fēng)險(xiǎn)評估
2.3.3設(shè)計(jì)階段的風(fēng)險(xiǎn)評估
2.3.4實(shí)施階段的風(fēng)險(xiǎn)評估
2.3.5運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)
評估
2.3.6廢棄階段的風(fēng)險(xiǎn)評估
2.4信息安全風(fēng)險(xiǎn)評估的組織管理
工作第二部分技術(shù)與方法
第3章評估工作概述
3.1工作原則
3.1.1關(guān)于評估工作流程
3.1.2關(guān)于風(fēng)險(xiǎn)分析方法
3.1.3關(guān)于結(jié)果展現(xiàn)
3.2參考流程
3.3質(zhì)量管理
3.3.1實(shí)施方案
3.3.2中間結(jié)果
3.3.3項(xiàng)目驗(yàn)收
3.4質(zhì)量控制規(guī)范要求
3.4.1實(shí)施組織規(guī)范要求
3.4.2前期環(huán)境準(zhǔn)備規(guī)范要求
3.4.3評估流程規(guī)范要求
3.4.4溝通與控制規(guī)范要求
3.4.5驗(yàn)收規(guī)范要求
第4章評估準(zhǔn)備
4.1評估目的
4.2評估范圍及描述
4.3建立評估團(tuán)隊(duì)
4.3.1組織結(jié)構(gòu)
4.3.2人員角色
4.4前期系統(tǒng)調(diào)研
4.5確定評估標(biāo)準(zhǔn)
4.5.1國內(nèi)標(biāo)準(zhǔn)
4.5.2國際標(biāo)準(zhǔn)
4.5.3行業(yè)標(biāo)準(zhǔn)和規(guī)范
4.5.4組織本身的策略
4.6條件準(zhǔn)備
4.7項(xiàng)目啟動及培訓(xùn)
4.7.1項(xiàng)目啟動
4.7.2評估活動的培訓(xùn)
第5章資產(chǎn)識別
5.1工作內(nèi)容
5.1.1回顧評估范圍之內(nèi)的
業(yè)務(wù)
5.1.2識別信息資產(chǎn)，進(jìn)行
合理分類
5.1.3確定每類信息資產(chǎn)的
安全需求
5.1.4為每類信息資產(chǎn)的
重要性賦值
5.2參與人員
5.2.1回顧評估范圍之內(nèi)的
業(yè)務(wù)和系統(tǒng)
5.2.2識別信息資產(chǎn)進(jìn)行合理
分類
5.2.3確定每類信息資產(chǎn)的
安全需求
5.2.4為每類信息資產(chǎn)的
重要性賦值
5.3工作方式
5.3.1評估范圍之內(nèi)的業(yè)務(wù)
識別
5.3.2資產(chǎn)的識別與分類
5.3.3安全需求分析
5.3.4資產(chǎn)賦值
5.4工具及資料
5.4.1自動化工具
5.4.2手工記錄表格
5.4.3輔助資料
5.5輸出結(jié)果
第6章威脅識別
6.1工作內(nèi)容
6.1.1威脅識別
6.1.2威脅分類
6.1.3威脅賦值
6.1.4構(gòu)建威脅場景
6.2參與人員
6.2.1訪談
6.2.2工具檢測
6.3工作方式
6.3.1威脅識別
6.3.2威脅分類
6.3.3構(gòu)建威脅場景
6.3.4威脅賦值
6.4工具及資料
6.4.1IDS采樣分析
6.4.2日志分析
6.4.3人員訪談記錄表格
6.5輸出結(jié)果
第7章脆弱性識別
7.1工作內(nèi)容
7.1.1脆弱性識別
7.1.2識別結(jié)果整理與展示
7.1.3脆弱性賦值
7.2參與人員
7.3工作方式
7.3.1脆弱性識別
7.3.2脆弱性整理和展現(xiàn)
7.3.3脆弱性分析和CVSS
計(jì)算方法
7.4工具及資料
7.4.1漏洞掃描工具
7.4.2各類檢查列表
7.4.3滲透測試
7.5輸出結(jié)果
第8章安全措施識別與確認(rèn)
8.1工作內(nèi)容
8.1.1技術(shù)控制措施的識別
與確認(rèn)
8.1.2管理和操作控制措施的
識別與確認(rèn)
8.2參與人員
8.3工作方式
8.3.1技術(shù)控制措施的識別
與確認(rèn)
8.3.2管理和操作控制措施的
識別與確認(rèn)
8.3.3分析與統(tǒng)計(jì)
8.4工具及資料
8.4.1《技術(shù)控制措施調(diào)查表》
8.4.2《管理和操作控制措施
調(diào)查表》
8.4.3涉密信息系統(tǒng)評測表格
（可選，針對涉密信息系
統(tǒng)的評估）
8.4.4符合性檢查工具
8.5輸出結(jié)果
第9章風(fēng)險(xiǎn)分析階段
9.1風(fēng)險(xiǎn)分析模型
9.2風(fēng)險(xiǎn)分析
9.2.1業(yè)務(wù)與資產(chǎn)映射
9.2.2資產(chǎn)/脆弱性/威脅/已有
控制措施映射
9.2.3風(fēng)險(xiǎn)計(jì)算
9.3工具及資料
9.4輸出結(jié)果
第10章有關(guān)技術(shù)標(biāo)準(zhǔn)
10.1BS 7799/ISO 17799
10.1.1BS 7799、ISO/IEC
17799、ISO/IEC
27000系列
10.1.2ISO/IEC 17799：
2005
10.1.3BS 77992：2002
10.2ISO /IEC TR 13335
10.2.1信息安全管理和計(jì)劃
的概念和模型
10.2.2信息安全管理和
計(jì)劃
10.2.3信息安全管理
技術(shù)
10.2.4安全措施的選擇
10.2.5網(wǎng)絡(luò)安全管理
指南
10.3OCTAVE 2.0
10.3.1簡介
10.3.2面向大型組織的
OCTAVE方法
10.3.3面向小型組織的
OCTAVES方法
10.3.4兩種方法的選擇
10.4ISO 15408/GB 18336/CC
10.4.1適用范圍
10.4.2內(nèi)容簡介
10.4.3局限性
10.5等級保護(hù)
10.5.1GB 178591999《計(jì)算機(jī)
信息系統(tǒng)安全保護(hù)等級
劃分準(zhǔn)則》
10.5.2其他正在制定過程
中的相關(guān)配套系列
標(biāo)準(zhǔn)
10.6涉秘信息系統(tǒng)分級保護(hù)技術(shù)
要求
10.6.1涉密信息系統(tǒng)的
等級劃分
10.6.2涉密信息系統(tǒng)基本
保護(hù)要求
10.6.3涉密信息系統(tǒng)的
安全風(fēng)險(xiǎn)評估第三部分產(chǎn)品與工具
第11章風(fēng)險(xiǎn)評估管理工具
11.1天融信信息安全管理系統(tǒng)
11.1.1TSM概述
11.1.2TopAnalyzer工具在
信息安全風(fēng)險(xiǎn)評估
中的應(yīng)用
11.1.3TopAnalyzer工具的
構(gòu)成
11.1.4Top Analvzer工具的
功能
11.1.5工具的特點(diǎn)
11.1.6工具的應(yīng)用環(huán)境
11.1.7案例說明
11.2啟明星辰風(fēng)險(xiǎn)評估管理
系統(tǒng)
11.2.1系統(tǒng)概述
11.2.2產(chǎn)品的構(gòu)成
11.2.3產(chǎn)品的使用及
功能
11.2.4應(yīng)用案例
11.2.5總結(jié)
11.3聯(lián)想網(wǎng)御風(fēng)險(xiǎn)評估輔助
工具
11.3.1系統(tǒng)構(gòu)成與功能
11.3.2應(yīng)用環(huán)境
11.3.3使用方法
11.3.4應(yīng)用案例
第12章漏洞掃描分析工具
12.1極光遠(yuǎn)程安全評估系統(tǒng)
12.1.1概述
12.1.2系統(tǒng)總體構(gòu)成
12.1.3系統(tǒng)功能說明
12.1.4系統(tǒng)應(yīng)用環(huán)境
12.1.5系統(tǒng)應(yīng)用說明
12.1.6系統(tǒng)應(yīng)用案例
12.1.7總結(jié)
12.2天鏡脆弱性掃描與管理
系統(tǒng)
12.2.1系統(tǒng)概述
12.2.2系統(tǒng)的構(gòu)成
12.2.3系統(tǒng)的使用及
功能
12.2.4系統(tǒng)的收益和
特點(diǎn)
12.3ISS安全漏洞掃描系統(tǒng)
12.3.1產(chǎn)品簡介
12.3.2產(chǎn)品功能
12.3.3產(chǎn)品的應(yīng)用
12.3.4產(chǎn)品輸出報(bào)表
第13章入侵檢測工具
13.1概述
13.1.1為什么需要網(wǎng)絡(luò)入侵
檢測系統(tǒng)
13.1.2常見的入侵檢測
技術(shù)
13.1.3新一代入侵檢測
技術(shù)
13.2冰之眼網(wǎng)絡(luò)入侵檢測系統(tǒng)
13.2.1產(chǎn)品架構(gòu)
13.2.2產(chǎn)品功能
13.2.3產(chǎn)品部署
13.2.4應(yīng)用案例
13.3天闐入侵檢測系統(tǒng)
13.3.1系統(tǒng)概述
13.3.2產(chǎn)品構(gòu)成
13.3.3產(chǎn)品功能
13.3.4產(chǎn)品應(yīng)用第四部分案例
第14章案例一：某國稅安全評估
項(xiàng)目
14.1項(xiàng)目概述
14.1.1項(xiàng)目啟動與立項(xiàng)
14.1.2目標(biāo)
14.1.3內(nèi)容
14.1.4范圍
14.2項(xiàng)目階段
14.2.1項(xiàng)目規(guī)劃
14.2.2評估實(shí)施
14.2.3評估報(bào)告和解決
方案
14.2.4支持和維護(hù)
14.3交付的文檔及報(bào)告
14.3.1中間評估文檔
14.3.2最終報(bào)告
14.4項(xiàng)目時(shí)間表
14.5安全評估具體實(shí)施內(nèi)容
14.5.1主機(jī)安全現(xiàn)狀
評估
14.5.2網(wǎng)絡(luò)架構(gòu)安全
狀況評估
14.5.3應(yīng)用系統(tǒng)安全
狀況評估
14.5.4安全管理狀況
評估
14.6附錄
14.6.1附件1：某國稅安全
風(fēng)險(xiǎn)評估工作聲明
目錄
14.6.2附件2：某國稅安全
評估技術(shù)方案建議書
目錄
14.6.3附件3：某國稅網(wǎng)絡(luò)
架構(gòu)評估報(bào)告
目錄
14.6.4附件4：某國稅應(yīng)用
系統(tǒng)安全評估報(bào)告
目錄
14.6.5附件5：某國稅安全
管理審計(jì)報(bào)告
目錄
14.6.6附件6：某國家稅務(wù)
局安全現(xiàn)狀報(bào)告
目錄
14.6.7附件7：某國稅信息
系統(tǒng)安全解決方案
建議書目錄
14.6.8附件8：安全檢查
列表實(shí)例
14.6.9附件9：主機(jī)安全評估
評估結(jié)果實(shí)例
第15章案例二：某電信公司信息
安全風(fēng)險(xiǎn)評估項(xiàng)目
15.1項(xiàng)目概述
15.1.1基本情況
15.1.2項(xiàng)目目標(biāo)與范圍
15.1.3項(xiàng)目組織和進(jìn)度
安排
15.1.4實(shí)施簡述
15.2風(fēng)險(xiǎn)評估方案實(shí)施
15.2.1風(fēng)險(xiǎn)評估的依據(jù)
15.2.2評估階段定義
15.2.3本次風(fēng)險(xiǎn)評估的
具體內(nèi)容
15.3安全信息庫的建設(shè)
15.3.1建設(shè)實(shí)施
15.3.2功能
15.3.3數(shù)據(jù)接口
15.4項(xiàng)目驗(yàn)收
15.4.1省網(wǎng)層面風(fēng)險(xiǎn)
評估
15.4.2分公司節(jié)點(diǎn)風(fēng)險(xiǎn)
評估
15.4.3風(fēng)險(xiǎn)評估總結(jié)
15.4.4安全信息庫
15.4.5培訓(xùn)
15.5評估工具
第16章案例三：某公司網(wǎng)絡(luò)風(fēng)險(xiǎn)
評估項(xiàng)目
16.1項(xiàng)目概述
16.1.1項(xiàng)目簡介
16.1.2項(xiàng)目目標(biāo)
16.1.3項(xiàng)目范圍
16.2項(xiàng)目指導(dǎo)策略
16.2.1評估遵循的原則
16.2.2風(fēng)險(xiǎn)評估策略
16.2.3風(fēng)險(xiǎn)評估模型
16.3風(fēng)險(xiǎn)評估方法
16.3.1風(fēng)險(xiǎn)評估流程
16.3.2風(fēng)險(xiǎn)評估方法
16.4項(xiàng)目實(shí)施
16.4.1項(xiàng)目組織結(jié)構(gòu)
16.4.2項(xiàng)目實(shí)施計(jì)劃
16.4.3項(xiàng)目實(shí)施過程
16.4.4項(xiàng)目實(shí)施過程中
的風(fēng)險(xiǎn)控制措施
16.4.5項(xiàng)目文檔提交
16.4.6項(xiàng)目工作配合