信息安全风险评估

定　价：¥35.00

作　者：	吴亚非、李新友、禄凯
出版社：	清华大学出版社
丛编项：
标　签：	时间/风险管理

购买这本书可以去

ISBN：	9787302146100	出版时间：	2007-04-01	包装：	平装
开本：	16	页数：	287	字数：

内容简介

　　信息安全风险评估理论研究日趋成熟，相关资料比较充分，但有关评估实际工作的参考资料很少。本书以信息安全风险评估实践为基础，围绕评估工作中各阶段的实际操作，分基本知识、技术与方法、产品与工具、案例四个部分，详细介绍了信息安全风险评估的基本概念、国家政策及标准发展、评估实操方法、各种实际评估表格示例、评估分析模型和计算公式、目前主要的评估工具，并从不同行业和不同评估目的出发，列举了多个评估案例，供读者参考。.本书主要面向国家和地方政府部门、大型企事业单位的信息安全管理人员，以及信息安全专业人员，可作为培训教材和参考书使用。本书对进行信息安全风险评估、风险管理、ISMS（ISO/IEC27001）认证等具有较高的实用参考价值。...

作者简介

暂缺《信息安全风险评估》作者简介

图书目录

第一部分基本知识
第1章引论
1.1信息与信息安全
1.1.1信息
1.1.2信息安全
1.2信息安全技术与信息安全管理
1.2.1信息安全事件
1.2.2信息安全技术
1.2.3信息安全管理
1.3信息安全风险评估
1.3.1基本定义
1.3.2相关概念
1.3.3基本要素关系
1.3.4风险分析原理
1.4开展信息安全风险评估工作的
意义
1.4.1信息安全工作的客观
需要和紧迫需求
1.4.2体现党中央国务院的
文件精神
1.4.3落实信息安全等级
保护的重要手段
1.5我国信息安全风险评估推进
过程
1.5.1调查研究阶段
1.5.2标准编制阶段
1.5.3全国试点阶段
1.5.4下一步推进工作
第2章主要内容
2.1信息安全风险评估的内涵
2.1.1信息安全风险评估是信息
安全建设和管理的科学
方法
2.1.2信息安全风险评估是分析
确定风险的过程
2.1.3信息安全风险评估是信息
安全建设的起点和基础
2.1.4信息安全风险评估是在
倡导一种适度安全
2.2信息安全风险评估的两种方式
2.2.1自评估
2.2.2检查评估
2.3信息安全风险评估的五个环节
2.3.1信息系统生命周期
2.3.2规划阶段的风险评估
2.3.3设计阶段的风险评估
2.3.4实施阶段的风险评估
2.3.5运行维护阶段的风险
评估
2.3.6废弃阶段的风险评估
2.4信息安全风险评估的组织管理
工作第二部分技术与方法
第3章评估工作概述
3.1工作原则
3.1.1关于评估工作流程
3.1.2关于风险分析方法
3.1.3关于结果展现
3.2参考流程
3.3质量管理
3.3.1实施方案
3.3.2中间结果
3.3.3项目验收
3.4质量控制规范要求
3.4.1实施组织规范要求
3.4.2前期环境准备规范要求
3.4.3评估流程规范要求
3.4.4沟通与控制规范要求
3.4.5验收规范要求
第4章评估准备
4.1评估目的
4.2评估范围及描述
4.3建立评估团队
4.3.1组织结构
4.3.2人员角色
4.4前期系统调研
4.5确定评估标准
4.5.1国内标准
4.5.2国际标准
4.5.3行业标准和规范
4.5.4组织本身的策略
4.6条件准备
4.7项目启动及培训
4.7.1项目启动
4.7.2评估活动的培训
第5章资产识别
5.1工作内容
5.1.1回顾评估范围之内的
业务
5.1.2识别信息资产，进行
合理分类
5.1.3确定每类信息资产的
安全需求
5.1.4为每类信息资产的
重要性赋值
5.2参与人员
5.2.1回顾评估范围之内的
业务和系统
5.2.2识别信息资产进行合理
分类
5.2.3确定每类信息资产的
安全需求
5.2.4为每类信息资产的
重要性赋值
5.3工作方式
5.3.1评估范围之内的业务
识别
5.3.2资产的识别与分类
5.3.3安全需求分析
5.3.4资产赋值
5.4工具及资料
5.4.1自动化工具
5.4.2手工记录表格
5.4.3辅助资料
5.5输出结果
第6章威胁识别
6.1工作内容
6.1.1威胁识别
6.1.2威胁分类
6.1.3威胁赋值
6.1.4构建威胁场景
6.2参与人员
6.2.1访谈
6.2.2工具检测
6.3工作方式
6.3.1威胁识别
6.3.2威胁分类
6.3.3构建威胁场景
6.3.4威胁赋值
6.4工具及资料
6.4.1IDS采样分析
6.4.2日志分析
6.4.3人员访谈记录表格
6.5输出结果
第7章脆弱性识别
7.1工作内容
7.1.1脆弱性识别
7.1.2识别结果整理与展示
7.1.3脆弱性赋值
7.2参与人员
7.3工作方式
7.3.1脆弱性识别
7.3.2脆弱性整理和展现
7.3.3脆弱性分析和CVSS
计算方法
7.4工具及资料
7.4.1漏洞扫描工具
7.4.2各类检查列表
7.4.3渗透测试
7.5输出结果
第8章安全措施识别与确认
8.1工作内容
8.1.1技术控制措施的识别
与确认
8.1.2管理和操作控制措施的
识别与确认
8.2参与人员
8.3工作方式
8.3.1技术控制措施的识别
与确认
8.3.2管理和操作控制措施的
识别与确认
8.3.3分析与统计
8.4工具及资料
8.4.1《技术控制措施调查表》
8.4.2《管理和操作控制措施
调查表》
8.4.3涉密信息系统评测表格
（可选，针对涉密信息系
统的评估）
8.4.4符合性检查工具
8.5输出结果
第9章风险分析阶段
9.1风险分析模型
9.2风险分析
9.2.1业务与资产映射
9.2.2资产/脆弱性/威胁/已有
控制措施映射
9.2.3风险计算
9.3工具及资料
9.4输出结果
第10章有关技术标准
10.1BS 7799/ISO 17799
10.1.1BS 7799、ISO/IEC
17799、ISO/IEC
27000系列
10.1.2ISO/IEC 17799：
2005
10.1.3BS 77992：2002
10.2ISO /IEC TR 13335
10.2.1信息安全管理和计划
的概念和模型
10.2.2信息安全管理和
计划
10.2.3信息安全管理
技术
10.2.4安全措施的选择
10.2.5网络安全管理
指南
10.3OCTAVE 2.0
10.3.1简介
10.3.2面向大型组织的
OCTAVE方法
10.3.3面向小型组织的
OCTAVES方法
10.3.4两种方法的选择
10.4ISO 15408/GB 18336/CC
10.4.1适用范围
10.4.2内容简介
10.4.3局限性
10.5等级保护
10.5.1GB 178591999《计算机
信息系统安全保护等级
划分准则》
10.5.2其他正在制定过程
中的相关配套系列
标准
10.6涉秘信息系统分级保护技术
要求
10.6.1涉密信息系统的
等级划分
10.6.2涉密信息系统基本
保护要求
10.6.3涉密信息系统的
安全风险评估第三部分产品与工具
第11章风险评估管理工具
11.1天融信信息安全管理系统
11.1.1TSM概述
11.1.2TopAnalyzer工具在
信息安全风险评估
中的应用
11.1.3TopAnalyzer工具的
构成
11.1.4Top Analvzer工具的
功能
11.1.5工具的特点
11.1.6工具的应用环境
11.1.7案例说明
11.2启明星辰风险评估管理
系统
11.2.1系统概述
11.2.2产品的构成
11.2.3产品的使用及
功能
11.2.4应用案例
11.2.5总结
11.3联想网御风险评估辅助
工具
11.3.1系统构成与功能
11.3.2应用环境
11.3.3使用方法
11.3.4应用案例
第12章漏洞扫描分析工具
12.1极光远程安全评估系统
12.1.1概述
12.1.2系统总体构成
12.1.3系统功能说明
12.1.4系统应用环境
12.1.5系统应用说明
12.1.6系统应用案例
12.1.7总结
12.2天镜脆弱性扫描与管理
系统
12.2.1系统概述
12.2.2系统的构成
12.2.3系统的使用及
功能
12.2.4系统的收益和
特点
12.3ISS安全漏洞扫描系统
12.3.1产品简介
12.3.2产品功能
12.3.3产品的应用
12.3.4产品输出报表
第13章入侵检测工具
13.1概述
13.1.1为什么需要网络入侵
检测系统
13.1.2常见的入侵检测
技术
13.1.3新一代入侵检测
技术
13.2冰之眼网络入侵检测系统
13.2.1产品架构
13.2.2产品功能
13.2.3产品部署
13.2.4应用案例
13.3天阗入侵检测系统
13.3.1系统概述
13.3.2产品构成
13.3.3产品功能
13.3.4产品应用第四部分案例
第14章案例一：某国税安全评估
项目
14.1项目概述
14.1.1项目启动与立项
14.1.2目标
14.1.3内容
14.1.4范围
14.2项目阶段
14.2.1项目规划
14.2.2评估实施
14.2.3评估报告和解决
方案
14.2.4支持和维护
14.3交付的文档及报告
14.3.1中间评估文档
14.3.2最终报告
14.4项目时间表
14.5安全评估具体实施内容
14.5.1主机安全现状
评估
14.5.2网络架构安全
状况评估
14.5.3应用系统安全
状况评估
14.5.4安全管理状况
评估
14.6附录
14.6.1附件1：某国税安全
风险评估工作声明
目录
14.6.2附件2：某国税安全
评估技术方案建议书
目录
14.6.3附件3：某国税网络
架构评估报告
目录
14.6.4附件4：某国税应用
系统安全评估报告
目录
14.6.5附件5：某国税安全
管理审计报告
目录
14.6.6附件6：某国家税务
局安全现状报告
目录
14.6.7附件7：某国税信息
系统安全解决方案
建议书目录
14.6.8附件8：安全检查
列表实例
14.6.9附件9：主机安全评估
评估结果实例
第15章案例二：某电信公司信息
安全风险评估项目
15.1项目概述
15.1.1基本情况
15.1.2项目目标与范围
15.1.3项目组织和进度
安排
15.1.4实施简述
15.2风险评估方案实施
15.2.1风险评估的依据
15.2.2评估阶段定义
15.2.3本次风险评估的
具体内容
15.3安全信息库的建设
15.3.1建设实施
15.3.2功能
15.3.3数据接口
15.4项目验收
15.4.1省网层面风险
评估
15.4.2分公司节点风险
评估
15.4.3风险评估总结
15.4.4安全信息库
15.4.5培训
15.5评估工具
第16章案例三：某公司网络风险
评估项目
16.1项目概述
16.1.1项目简介
16.1.2项目目标
16.1.3项目范围
16.2项目指导策略
16.2.1评估遵循的原则
16.2.2风险评估策略
16.2.3风险评估模型
16.3风险评估方法
16.3.1风险评估流程
16.3.2风险评估方法
16.4项目实施
16.4.1项目组织结构
16.4.2项目实施计划
16.4.3项目实施过程
16.4.4项目实施过程中
的风险控制措施
16.4.5项目文档提交
16.4.6项目工作配合