信息安全管理與風(fēng)險評估

第1章 信息安全風(fēng)險評估的基本概念 1
1.1 信息安全 1
1.1.1 信息安全技術(shù) 1
1.1.2 信息安全管理 2
1.2 信息安全風(fēng)險評估的概念 4
1.2.1 信息安全風(fēng)險的相關(guān)概念 4
1.2.2 信息安全風(fēng)險的基本要素 4
1.3 信息安全風(fēng)險管理體系 7
1.3.1 ISMS的范圍 8
1.3.2 信息安全管理體系的作用 8
1.3.3 PDCA原則 9
1.3.4 ISMS的PDCA 10
1.3.5 ISMS建設(shè)整體思路 11
1.4 信息安全風(fēng)險評估現(xiàn)狀 15
1.4.1 國內(nèi)現(xiàn)狀 15
1.4.2 國外現(xiàn)狀 16
第2章 信息安全風(fēng)險評估的流程與分析方法
18
2.1 信息安全風(fēng)險評估的分類 18
2.1.1 基本風(fēng)險評估 18
2.1.2 詳細風(fēng)險評估 19
2.1.3 聯(lián)合風(fēng)險評估 19
2.2 信息安全風(fēng)險評估的四個階段 19
2.2.1 評估準(zhǔn)備階段 19
2.2.2 評估識別階段 20
2.2.3 風(fēng)險評價階段 22
2.2.4 風(fēng)險處理階段 22
2.3 信息安全風(fēng)險分析方法 23
2.4 信息安全風(fēng)險分析流程 24
2.4.1 資產(chǎn)識別 25
2.4.2 威脅識別 26
2.4.3 脆弱性識別 26
2.4.4 已有安全措施確定 27
2.4.5 風(fēng)險分析 27
2.4.6 風(fēng)險處置 30
第3章 信息風(fēng)險相關(guān)技術(shù)標(biāo)準(zhǔn)和工具 31
3.1 信息風(fēng)險相關(guān)技術(shù)標(biāo)準(zhǔn) 31
3.1.1 BS 7799/ISO 17799/ISO 27002 31
3.1.2 ISO/IEC TR 13335 32
3.1.3 OCTAVE 2.0 34
3.1.4 CC/ISO 15408/GB/T 18336 35
3.1.5 等級保護 36
3.2 信息安全風(fēng)險評估工具 38
3.2.1 風(fēng)險評估與管理工具 38
3.2.2 系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具 51
3.2.3 風(fēng)險評估輔助工具 52
第4章 基于層次分析法的信息安全風(fēng)險評估 54
4.1 層次分析法 54
4.1.1 AHP概述 54
4.1.2 AHP流程 54
4.1.3 算例 55
4.2 基于層次分析法的信息安全風(fēng)險評估模型案例 57
4.2.1 CUMT校園無線局域網(wǎng)安全分析 58
4.2.2 構(gòu)造判斷矩陣并賦值 58
4.2.3 層次單排序（計算權(quán)向量）與檢驗 60
4.2.4 計算一致性檢驗值和特征值λmax 61
4.2.5 權(quán)值整合比較 62
4.2.6 案例實現(xiàn) 63
4.2.7 結(jié)論 64
4.3 代碼 65
4.3.1 C 實現(xiàn)計算一致性檢驗值和特征值λmax代碼 65
4.3.2 C 實現(xiàn)計算總排序代碼 69
第5章 基于網(wǎng)絡(luò)層次分析法的信息安全風(fēng)險分析研究 71
5.1 網(wǎng)絡(luò)層次分析法 71
5.1.1 ANP與AHP的特征比較 71
5.1.2 網(wǎng)絡(luò)層次分析法的網(wǎng)絡(luò)層次結(jié)構(gòu) 72
5.1.3 優(yōu)勢度 72
5.1.4 一致性 73
5.1.5 超矩陣 73
5.1.6 網(wǎng)絡(luò)層次分析法的運用步驟 75
5.2 基于網(wǎng)絡(luò)層次分析法的信息安全風(fēng)險分析 75
5.2.1 控制層 76
5.2.2 網(wǎng)絡(luò)層 76
5.2.3 整體網(wǎng)絡(luò)結(jié)構(gòu) 77
5.3 基于ANP的某保密系統(tǒng)風(fēng)險分析 79
5.3.1 某保密系統(tǒng)概況 79
5.3.2 威脅、脆弱性、安全措施識別 80
5.3.3 構(gòu)建網(wǎng)絡(luò)層次分析法模型 81
5.3.4 建立兩兩比較的判斷矩陣 83
5.3.5 計算超矩陣 92
5.3.6 風(fēng)險分析 96
第6章 基于風(fēng)險因子的信息安全風(fēng)險評估模型 98
6.1 風(fēng)險因子概述 98
6.2 基于風(fēng)險因子的信息安全評估方法計算 98
6.2.1 風(fēng)險度及因子的基本要素 98
6.2.2 熵系數(shù)法 100
6.3 基于風(fēng)險因子的信息安全評估模型構(gòu)建 102
6.4 綜合風(fēng)險因子評估案例 107
6.4.1 資產(chǎn)的識別與賦值 107
6.4.2 資產(chǎn)依賴與調(diào)整 108
6.4.3 脆弱性識別與賦值 109
6.4.4 脆弱性依賴識別與調(diào)整 109
6.4.5 威脅評估 109
6.4.6 風(fēng)險因子的提取與計算 110
6.4.7 綜合風(fēng)險因子的計算 110
6.5 系統(tǒng)風(fēng)險評估案例 111
6.5.1 資產(chǎn)評估 111
6.5.2 脆弱性評估 112
6.5.3 威脅評估 114
6.5.4 風(fēng)險因子的提取與計算 115
6.5.5 風(fēng)險度的隸屬矩陣 116
6.5.6 風(fēng)險因子的權(quán)重 116
6.5.7 系統(tǒng)風(fēng)險值的計算 117
6.5.8 代碼實現(xiàn)（Matlab） 118
6.5.9 代碼實現(xiàn)（Java） 120
第7章 基于三角模糊數(shù)信息安全風(fēng)險評估模型 128
7.1 模糊數(shù)及其相關(guān)運算 128
7.1.1 模糊數(shù)的產(chǎn)生 128
7.1.2 模糊數(shù)的應(yīng)用 128
7.1.3 相關(guān)運算 130
7.2 三角模糊數(shù)及其相關(guān)性質(zhì) 130
7.2.1 三角模糊數(shù)定義 130
7.2.2 三角模糊數(shù)的算術(shù)運算 131
7.3 基于三角模糊數(shù)的信息安全風(fēng)險評估模型構(gòu)建 131
7.3.1 集結(jié)專家權(quán)重 131
7.3.2 語言評價值轉(zhuǎn)成三角模糊數(shù) 133
7.3.3 集結(jié)矩陣并規(guī)范化風(fēng)險矩陣 134
7.3.4 計算風(fēng)險值并排序 134
7.4 案例實現(xiàn) 135
7.5 模型構(gòu)建 137
7.5.1 Matlab介紹 137
7.5.2 Matlab建模 138
7.6 代碼實現(xiàn) 140
7.6.1 計算可能性矩陣 140
7.6.2 計算損失矩陣 142
7.6.3 計算風(fēng)險矩陣 144
7.6.4 計算風(fēng)險值 145
7.6.5 風(fēng)險評價 147
第8章 基于灰關(guān)聯(lián)分析方法的風(fēng)險評估 148
8.1 方法簡介 148
8.1.1 灰色系統(tǒng)簡介 148
8.1.2 方法適用范圍 148
8.1.3 方法的運用 149
8.1.4 關(guān)聯(lián)度計算實例 150
8.2 DS證據(jù)理論分析方法 151
8.2.1 方法背景 151
8.2.2 適用范圍 151
8.2.3 基本概念 151
8.2.4 組合規(guī)則 152
8.2.5 計算步驟 152
8.2.6 優(yōu)缺點 153
8.2.7 實踐案例——Zadeh悖論 153
8.3 案例分析 154
8.3.1 建立風(fēng)險評估模型 154
8.3.2 收集信息系統(tǒng)的數(shù)據(jù) 154
8.3.3 風(fēng)險評估 155
8.3.4 風(fēng)險評估代碼實現(xiàn)流程圖 156
8.4 代碼實現(xiàn) 157
8.4.1 Java代碼 157
8.4.2 運行結(jié)果 161
8.4.3 C 代碼 162
8.4.4 運行結(jié)果 164
8.5 結(jié)論 164
參考文獻 165