信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估（第2版）

第1章 信息安全測(cè)評(píng)思想 1
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 1
序幕：何危最險(xiǎn) 2
1．1 信息安全測(cè)評(píng)的科學(xué)精神 2
1．2 信息安全測(cè)評(píng)的科學(xué)方法 3
1．3 信息安全測(cè)評(píng)的貫標(biāo)思想 5
1．4 信息安全標(biāo)準(zhǔn)化組織 6
1．4．1 國(guó)際標(biāo)準(zhǔn)化組織 6
1．4．2 國(guó)外標(biāo)準(zhǔn)化組織 7
1．4．3 國(guó)內(nèi)標(biāo)準(zhǔn)化組織 8
1．5 本章小結(jié) 9
尾聲：三位旅行者 9
觀(guān)感 9
第2章 信息安全測(cè)評(píng)方法 11
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 11
序幕：培根的《新工具》 12
2．1 為何測(cè)評(píng) 12
2．1．1 信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)與TCSEC 13
2．1．2 中國(guó)的計(jì)算機(jī)安全等級(jí)保護(hù)標(biāo)準(zhǔn) 15
2．1．3 安全域 17
2．2 何時(shí)測(cè)評(píng) 18
2．3 測(cè)評(píng)什么 19
2．3．1 外網(wǎng)測(cè)評(píng)特點(diǎn) 20
2．3．2 內(nèi)網(wǎng)測(cè)評(píng)特點(diǎn) 21
2．4 誰(shuí)來(lái)測(cè)評(píng) 22
2．5 如何準(zhǔn)備測(cè)評(píng) 23
2．6 怎樣測(cè)評(píng) 27
2．6．1 測(cè)評(píng)案例――“天網(wǎng)”工程 27
2．6．2 啟動(dòng)“天網(wǎng)”測(cè)評(píng) 29
2．7 本章小結(jié) 32
尾聲：比《新工具》更新的是什么 32
觀(guān)感 32
第3章 數(shù)據(jù)安全測(cè)評(píng)技術(shù) 35
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 35
序幕：謎已解，史可鑒 36
3．1 數(shù)據(jù)安全測(cè)評(píng)的諸方面 36
3．2 數(shù)據(jù)安全測(cè)評(píng)的實(shí)施 38
3．2．1 數(shù)據(jù)安全訪(fǎng)談?wù){(diào)研 38
3．2．2 數(shù)據(jù)安全現(xiàn)場(chǎng)檢查 43
3．2．3 數(shù)據(jù)安全測(cè)試 54
3．3 本章小結(jié) 57
尾聲：竊之猶在 57
觀(guān)感 58
第4章 主機(jī)安全測(cè)評(píng)技術(shù) 61
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 61
序幕：第一代黑客 62
4．1 主機(jī)安全測(cè)評(píng)的諸方面 62
4．2 主機(jī)安全測(cè)評(píng)的實(shí)施 64
4．2．1 主機(jī)安全訪(fǎng)談?wù){(diào)研 64
4．2．2 主機(jī)安全現(xiàn)場(chǎng)檢查 68
4．2．3 主機(jī)安全測(cè)試 87
4．3 本章小結(jié) 95
尾聲：可信賴(lài)的主體 96
觀(guān)感 96
第5章 網(wǎng)絡(luò)安全測(cè)評(píng)技術(shù) 97
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 97
序幕：圍棋的智慧 98
5．1 網(wǎng)絡(luò)安全測(cè)評(píng)的諸方面 98
5．2 網(wǎng)絡(luò)安全測(cè)評(píng)的實(shí)施 100
5．2．1 網(wǎng)絡(luò)安全訪(fǎng)談?wù){(diào)研 100
5．2．2 網(wǎng)絡(luò)安全現(xiàn)場(chǎng)檢查 105
5．2．3 網(wǎng)絡(luò)安全測(cè)試 128
5．3 本章小結(jié) 139
尾聲：墻、門(mén)、界 139
觀(guān)感 140
第6章 應(yīng)用安全測(cè)評(píng)技術(shù) 141
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 141
序幕：機(jī)器會(huì)思考嗎 142
6．1 應(yīng)用安全測(cè)評(píng)的諸方面 142
6．2 應(yīng)用安全測(cè)評(píng)的實(shí)施 143
6．2．1 應(yīng)用安全訪(fǎng)談?wù){(diào)研 143
6．2．2 應(yīng)用安全現(xiàn)場(chǎng)檢查 147
6．2．3 應(yīng)用安全測(cè)試 162
6．3 本章小結(jié) 179
尾聲：史上最“萬(wàn)能”的機(jī)器 179
觀(guān)感 180
第7章 資產(chǎn)識(shí)別 181
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 181
序幕：倫敦大火啟示錄 182
7．1 風(fēng)險(xiǎn)概述 182
7．2 資產(chǎn)識(shí)別的諸方面 186
7．2．1 資產(chǎn)分類(lèi) 186
7．2．2 資產(chǎn)賦值 190
7．3 資產(chǎn)識(shí)別案例分析 193
7．3．1 模擬案例背景簡(jiǎn)介 193
7．3．2 資產(chǎn)分類(lèi) 195
7．3．3 資產(chǎn)賦值 207
7．3．4 資產(chǎn)識(shí)別輸出報(bào)告 215
7．4 本章小結(jié) 215
尾聲：我們究竟擁有什么 216
觀(guān)感 216
第8章 威脅識(shí)別 217
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 217
序幕：威脅在哪里 218
8．1 威脅概述 218
8．2 威脅識(shí)別的諸方面 220
8．2．1 威脅分類(lèi)――植樹(shù)和剪枝 220
8．2．2 威脅賦值――統(tǒng)計(jì) 222
8．3 威脅識(shí)別案例分析 224
8．3．1 “數(shù)字蘭曦”威脅識(shí)別 224
8．3．2 威脅識(shí)別輸出報(bào)告 235
8．4 本章小結(jié) 236
尾聲：在鷹隼盤(pán)旋的天空下 236
觀(guān)感 236
第9章 脆弱性識(shí)別 237
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 237
序幕：永恒的阿基里斯之踵 238
9．1 脆弱性概述 238
9．2 脆弱性識(shí)別的諸方面 240
9．2．1 脆弱性發(fā)現(xiàn) 240
9．2．2 脆弱性分類(lèi) 241
9．2．3 脆弱性驗(yàn)證 242
9．2．4 脆弱性賦值 242
9．3 脆弱性識(shí)別案例分析 243
9．3．1 信息環(huán)境脆弱性識(shí)別 244
9．3．2 公用信息載體脆弱性識(shí)別 246
9．3．3 脆弱性仿真驗(yàn)證 249
9．3．4 脆弱性識(shí)別輸出報(bào)告 261
9．4 本章小結(jié) 261
尾聲：木馬歌 261
觀(guān)感 262
第10章 風(fēng)險(xiǎn)分析 263
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 263
序幕：烽火的演變 264
10．1 風(fēng)險(xiǎn)分析概述 264
10．2 風(fēng)險(xiǎn)計(jì)算 265
10．2．1 相乘法原理 267
10．2．2 風(fēng)險(xiǎn)值計(jì)算示例 267
10．3 風(fēng)險(xiǎn)定級(jí) 268
10．4 風(fēng)險(xiǎn)控制 269
10．5 殘余風(fēng)險(xiǎn) 270
10．6 風(fēng)險(xiǎn)評(píng)估案例分析 270
10．6．1 信息環(huán)境風(fēng)險(xiǎn)計(jì)算 271
10．6．2 人員資產(chǎn)風(fēng)險(xiǎn)計(jì)算 271
10．6．3 管理制度風(fēng)險(xiǎn)計(jì)算 271
10．6．4 機(jī)房風(fēng)險(xiǎn)計(jì)算 271
10．6．5 信息環(huán)境風(fēng)險(xiǎn)統(tǒng)計(jì) 272
10．6．6 公用信息載體風(fēng)險(xiǎn)計(jì)算 272
10．6．7 專(zhuān)用信息及信息載體的風(fēng)險(xiǎn)計(jì)算 273
10．6．8 風(fēng)險(xiǎn)計(jì)算報(bào)告 274
10．6．9 風(fēng)險(xiǎn)控制示例 274
10．6．10 風(fēng)險(xiǎn)控制計(jì)劃 278
10．7 本章小結(jié) 279
尾聲：“勇敢”的反面是什么 279
觀(guān)感 280
第11章 應(yīng)急響應(yīng) 281
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 281
序幕：虛擬社會(huì)的消防隊(duì) 282
11．1 應(yīng)急響應(yīng)概述 282
11．2 應(yīng)急響應(yīng)計(jì)劃 283
11．2．1 應(yīng)急響應(yīng)計(jì)劃的準(zhǔn)備 284
11．2．2 應(yīng)急響應(yīng)計(jì)劃制定中應(yīng)注意的問(wèn)題 286
11．2．3 應(yīng)急響應(yīng)計(jì)劃的制定 287
11．2．4 應(yīng)急響應(yīng)計(jì)劃的培訓(xùn)、演練和更新 299
11．2．5 文檔的保存、分發(fā)與維護(hù) 301
11．3 應(yīng)急響應(yīng)計(jì)劃案例分析 301
11．3．1 南海大學(xué)信息安全應(yīng)急響應(yīng)計(jì)劃示例 302
11．3．2 “南洋烽火”計(jì)劃 302
11．4 本章小結(jié) 311
尾聲：如何變“驚慌失措”為“從容不迫” 311
觀(guān)感 312
第12章 法律和法規(guī) 313
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 313
序幕：神話(huà)世界中需要秩序嗎 314
12．1 計(jì)算機(jī)犯罪概述 314
12．2 信息安全法律和法規(guī)簡(jiǎn)介 316
12．2．1 美國(guó)有關(guān)法律 316
12．2．2 中國(guó)信息安全法律和法規(guī)的歷史沿革 324
12．3 本章小結(jié) 327
尾聲：從囚徒困境說(shuō)起 327
觀(guān)感 328
第13章 信息安全管理體系 329
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 329
序幕：武學(xué)的最高境界 330
13．1 ISMS概述 330
13．2 ISMS主要內(nèi)容 333
13．2．1 計(jì)劃（Plan） 333
13．2．2 實(shí)施（Do） 340
13．2．3 檢查（Check） 340
13．2．4 處置（Act） 341
13．3 本章小結(jié) 342
尾聲：實(shí)力源于何處 343
觀(guān)感 343
第14章 信息安全測(cè)評(píng)新領(lǐng)域 345
要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握 345
序幕：大師與大漠 346
14．1 信息安全測(cè)評(píng)新領(lǐng)域概述 346
14．2 工業(yè)控制系統(tǒng)安全測(cè)評(píng) 347
14．2．1 ICS簡(jiǎn)介 348
14．2．2 ICS安全與IT安全 351
14．2．3 ICS安全防護(hù)技術(shù)簡(jiǎn)介 353
14．2．4 ICS系統(tǒng)安全評(píng)估 354
14．3 美國(guó)國(guó)家網(wǎng)絡(luò)靶場(chǎng)一覽 358
14．3．1 網(wǎng)絡(luò)靶場(chǎng)的總目標(biāo) 358
14．3．2 網(wǎng)絡(luò)靶場(chǎng)的測(cè)試需求 361
14．3．3 網(wǎng)絡(luò)靶場(chǎng)的關(guān)鍵技術(shù) 362
14．3．4 網(wǎng)絡(luò)靶場(chǎng)的試驗(yàn)床簡(jiǎn)介 365
14．4 本章小結(jié) 368
尾聲：虛擬與現(xiàn)實(shí) 368
參考文獻(xiàn) 369