內容簡介
本書主要面向國家和地方政府部門、大型企事業單位的信息安全管理人員,以及信息安全專業人員,可作為培訓教材和參考書使用。
信息安全風險評估理論研究日趨成熟,相關資料比較充分,但有關評估實際工作的參考資料很少。本書以信息安全風險評估實踐為基礎,圍繞評估工作中各階段的實際操作,分基本知識、技術與方法、產品與工具、案例四個部分,詳細介紹了信息安全風險評估的基本概念、國家政策及標準發展、評估實操方法、各種實際評估表格示例、評估分析模型和計算公式、主要的評估工具,並從不同行業和不同評估目的出發,列舉了多個評估案例,供讀者參考。
目錄
第一部分 基本知識
第1章 引論
1.1 信息與信息安全
1.2 信息安全技術與信息安全管理
1.3 信息安全風險評估
1.4 開展信息安全風險評估工作的意義
1.5 我國信息安全風險評估推進過程
第2章 主要內容
2.1 信息安全風險評估的內涵
2.2 信息安全風險評估的兩種方式
2.3 信息安全風險評估的五個環節
2.4 信息安全風險評估的組織管理工作
第二部分 技術與方法
第3章 評估工作概述
3.1 工作原則
3.2 參考流程
3.3 質量管理
3.4 質量控制規範要求
第4章 評估準備
4.1 評估目的
4.2 評估範圍及描述
4.3 建立評估團隊
4.4 前期系統調研
4.5 確定評估標準
4.6 條件準備
4.7 項目啟動及培訓
第5章 資產識別
5.1 工作內容
5.2 參與人員
5.3 工作方式
5.4 工具及資料
5.5 輸出結果
第6章 威脅識別
6.1 工作內容
6.2 參與人員
6.3 工作方式
6.4 工具及資料
6.5 輸出結果
第7章 脆弱性識別
7.1 工作內容
7.2 參與人員
7.3 工作方式
7.4 工具及資料
7.5 輸出結果
第8章 安全措施識別與確認
8.1 工作內容
8.2 參與人員
8.3 工作方式
8.4 工具及資料
8.5 輸出結果
第9章 風險分析階段
9.1 風險分析模型
9.2 風險分析
9.3 工具及資料
9.4 輸出結果
第10章 有關技術標準
10.1 BS 7799/ISO 17799
10.2 ISO/IEC TR 13335
10.3 OCTAVE 2.0
10.4 ISO 15408/GB 18336/CC
10.5 等級保護
10.6 涉秘信息系統分級保護技術要求
第三部分 產品與工具
第11章 風險評估管理工具
11.1 天融信信息安全管理系統
11.2 啟明星辰風險評估管理系統
11.3 聯想網御風險評估輔助工具
第12章 漏洞掃描分析工具
12.1 極光遠程安全評估系統
12.2 天鏡脆弱性掃描與管理系統
12.3 ISS安全漏洞掃描系統
第13章 入侵檢測工具
13.1 概述
13.2 冰之眼網路入侵檢測系統
13.3 天闐入侵檢測系統
第14章 案例一:某國稅安全評估項目
14.1 項目概述
14.2 項目階段
14.3 交付的文檔及報告
14.4 項目時間表
14.5 安全評估具體實施內容
14.6 附錄
第15章 案例二:某電信公司信息安全風險評估項目
15.1 項目概述
15.2 風險評估方案實施
15.3 安全信息庫的建設
15.4 項目驗收
15.5 評估工具
第16章 案例三:某公司網路風險評估項目
16.1 項目概述
16.2 項目指導策略
16.3 風險評估方法
16.4 項目實施