信息安全测评与风险评估

第1章信息安全测评思想

序幕：何危最险？

要点：本章结束之后，读者应当了解和掌握

1.1信息安全测评的科学精神

1.2信息安全测评的科学方法

1.3信息安全测评的贯标思想

1.4信息安全标准化组织

1.4.1国际标准化组织

1.4.2国外标准化组织

1.4.3国内标准化组织

1.5本章小结

尾声：三位旅行者

观感

第2章信息安全测评方法

序幕：培根的《新工具》

要点：本章结束之后，读者应当了解和掌握

2.1为何测评

2.1.1信息系统安全等级保护标准与TCSEC

2.1.2中国的计算机安全等级保护标准

2.1.3安全域

2.2何时测评

2.3测评什么

2.3.1外网测评特点

2.3.2内网测评特点

2.4谁来测评

2.5如何准备测评

2.6怎样测评

2.6.1测评案例“天网”工程

2.6.2启动“天网”测评

2.7本章小结

尾声：比《新工具》更新的是什么？

观感

第3章数据安全测评技术

序幕：谜已解，史可鉴

要点：本章结束之后，读者应当了解和掌握

3.1数据安全测评的诸方面

3.2数据安全测评的实施

3.2.1数据安全访谈调研

3.2.2数据安全现场检查

3.2.3数据安全测试

3.3本章小结

尾声：窃之犹在！

观感

第4章主机安全测评技术

序幕：第一代黑客

要点：本章结束之后，读者应当了解和掌握

4.1主机安全测评的诸方面

4.2主机安全测评的实施

4.2.1主机安全访谈调研

4.2.2主机安全现场检查

4.2.3主机安全测试

4.3本章小结

尾声：可信赖的主体

观感

第5章网络安全测评技术

序幕：围棋的智慧

要点：本章结束之后，读者应当了解和掌握

5.1网络安全测评的诸方面

5.2网络安全测评的实施

5.2.1网络安全访谈调研

5.2.2网络安全现场检查

5.2.3网络安全测试

5.3本章小结

尾声：墙、门、界

观感

第6章应用安全测评技术

序幕：“机器会思考吗？”

要点：本章结束之后，读者应当了解和掌握

6.1应用安全测评的诸方面

6.2应用安全测评的实施

6.2.1应用安全访谈调研

6.2.2应用安全现场检查

6.2.3应用安全测试

6.3本章小结

尾声：史上最“万能”的机器

观感

第7章资产识别

序幕：伦敦大火启示录

要点：本章结束之后，读者应当了解和掌握

7.1风险概述

7.2资产识别的诸方面

7.2.1资产分类

7.2.2资产赋值

7.3资产识别案例分析

7.3.1模拟案例背景简介

7.3.2资产分类

7.3.3资产赋值

7.3.4资产识别输出报告

7.4本章小结

尾声：我们究竟拥有什么？

观感

第8章威胁识别

序幕：威胁在哪里？

要点：本章结束之后，读者应当了解和掌握

8.1威胁概述

8.2威胁识别的诸方面

8.2.1威胁分类植树和剪枝

8.2.2威胁赋值统计

8.3威胁识别案例分析

8.3.1“数字兰曦”威胁识别

8.3.2威胁识别输出报告

8.4本章小结

尾声：在鹰隼盘旋的天空下

观感

第9章脆弱性识别

序幕：永恒的阿基里斯之踵

要点：本章结束之后，读者应当了解和掌握

9.1脆弱性概述

9.2脆弱性识别的诸方面

9.2.1脆弱性发现

9.2.2脆弱性分类

9.2.3脆弱性验证

9.2.4脆弱性赋值

9.3脆弱性识别案例分析

9.3.1信息环境脆弱性识别

9.3.2公用信息载体脆弱性识别

9.3.3脆弱性仿真验证

9.3.4脆弱性识别输出报告

9.4本章小结

尾声：木马歌

观感

第10章风险分析

序幕：烽火的演变

要点：本章结束之后，读者应当了解和掌握

10.1风险分析概述

10.2风险计算

10.2.1相乘法原理

10.2.2风险值计算示例

10.3风险定级

10.4风险控制

10.5残余风险

10.6风险评估案例分析

10.6.1信息环境风险计算

10.6.2人员资产风险计算

10.6.3管理制度风险计算

10.6.4机房风险计算1.

10.6.5信息环境风险统计

10.6.6公用信息载体风险计算

10.6.7专用信息及信息载体的风险计算

10.6.8风险计算报告

10.6.9风险控制示例

10.6.10风险控制计划

10.7本章小结

尾声：“勇敢”的反面是什么

观感

第11章应急响应

序幕：虚拟社会的消防队

要点：本章结束之后，读者应当了解和掌握

11.1应急响应概述

11.2应急响应计划

11.2.1应急响应计划的准备

11.2.2应急响应计划制定中应注意的问题

11.2.3应急响应计划的制定

11.2.4应急响应计划的培训、演练和更新

11.2.5文档的保存、分发与维护

11.3应急响应计划案例分析

11.3.1南海大学信息安全应急响应计划示例

11.3.2“南洋烽火计划”

11.4本章小结

尾声：如何变“惊慌失措”为“从容不迫”

观感

第12章法律和法规

序幕：神话世界中需要秩序吗

要点：本章结束之后，读者应当了解和掌握

12.1计算机犯罪概述

12.2信息安全法律和法规简介

12.2.1美国有关法律

12.2.2中国信息安全法律和法规的历史沿革

12.3本章小结

尾声：从囚徒困境说起

观感

第13章信息安全管理体系

序幕：武学的最高境界

要点：本章结束之后，读者应当了解和掌握

13.1ISMS概述

13.2ISMS主要内容

13.2.1计划(Plan)

13.2.2实施(Do)

13.2.3检查(Check)

13.2.4处置(Act)

13.3本章小结

尾声：实力源于何处

观感

参考文献

　　本书是“信息化与信息社会系列丛书”之一，全书共分13个章节，主要通过理论与实践紧密联系的方式，向读者介绍如何依据国家有关标准要求进行信息系统的安全测评和风险评估。具体内容包括信息安全测评思想、信息安全测评方法、数据安全测评技术、主机安全测评技术、应用安全测评技术等。该书可供各大专院校作为教材使用，也可供从事相关工作的人员作为参考用书使用。　　本书分为三部分共13章。第1部分(第1、2章)介绍信息安全测评思想和方法，是全书的灵魂；第2部分(第3章至第6章)介绍测评技术和流程；第3部分(第7章至第13章)介绍风险评估、应急响应、法律法规和信息安全管理体系。全书涉及了信息安全等级保护、风险评估、应急响应和信息安全管理体系等相关的国家标准，均属于我国开展信息安全保障工作中所依据的核心标准集。　　本书通过理论与实践紧密联系的方式，向读者介绍如何依据国家有关标准要求进行信息系统的安全测评和风险评估。读者读完本书之后，既可掌握国家有关标准，更能在实际工作中去贯彻执行这些标准。　　本书主要是针对全日制普通高等学校信息安全专业高年级本科生编写的，但从事信息安全测评工作的有关读者也可从中获得借鉴。