信息安全測評(píng)與風(fēng)險(xiǎn)評(píng)估

內(nèi)容概要

　　《“信息化與信息社會(huì)”系列叢書·高等學(xué)校信息安全專業(yè)系列教材：信息安全測評(píng)與風(fēng)險(xiǎn)評(píng)估》分為三部分共13章。第1部分（第1、2章）介紹信息安全測評(píng)思想和方法，是全書的靈魂；第2部分（第3章至第6章）介紹測評(píng)技術(shù)和流程；第3部分（第7章至第13章）介紹風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)、法律法規(guī)和信息安全管理體系。全書涉及了信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)和信息安全管理體系等相關(guān)的國家標(biāo)準(zhǔn)，均屬于我國開展信息安全保障工作中所依據(jù)的核心標(biāo)準(zhǔn)集?！　　丁靶畔⒒c信息社會(huì)”系列叢書·高等學(xué)校信息安全專業(yè)系列教材：信息安全測評(píng)與風(fēng)險(xiǎn)評(píng)估》通過理論與實(shí)踐緊密聯(lián)系的方式，向讀者介紹如何依據(jù)國家有關(guān)標(biāo)準(zhǔn)要求進(jìn)行信息系統(tǒng)的安全測評(píng)和風(fēng)險(xiǎn)評(píng)估。讀者讀完《“信息化與信息社會(huì)”系列叢書·高等學(xué)校信息安全專業(yè)系列教材：信息安全測評(píng)與風(fēng)險(xiǎn)評(píng)估》之后，既可掌握國家有關(guān)標(biāo)準(zhǔn)，更能在實(shí)際工作中去貫徹執(zhí)行這些標(biāo)準(zhǔn)?！　　丁靶畔⒒c信息社會(huì)”系列叢書·高等學(xué)校信息安全專業(yè)系列教材：信息安全測評(píng)與風(fēng)險(xiǎn)評(píng)估》主要是針對(duì)全日制普通高等學(xué)校信息安全專業(yè)高年級(jí)本科生編寫的，但從事信息安全測評(píng)工作的有關(guān)讀者也可從中獲得借鑒。

書籍目錄

第1章 信息安全測評(píng)思想序幕：何危最險(xiǎn)？要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握1.1 信息安全測評(píng)的科學(xué)精神1.2 信息安全測評(píng)的科學(xué)方法1.3 信息安全測評(píng)的貫標(biāo)思想1.4 信息安全標(biāo)準(zhǔn)化組織1.4.1 國際標(biāo)準(zhǔn)化組織1.4.2 國外標(biāo)準(zhǔn)化組織1.4.3 國內(nèi)標(biāo)準(zhǔn)化組織1.5 本章小結(jié)尾聲：三位旅行者觀感第2章 信息安全測評(píng)方法序幕：培根的《新工具》要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握2.1 為何測評(píng)2.1.1 信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)與TCSEC2.1.2 中國的計(jì)算機(jī)安全等級(jí)保護(hù)標(biāo)準(zhǔn)2.1.3 安全域2.2 何時(shí)測評(píng)2.3 測評(píng)什么2.3.1 外網(wǎng)測評(píng)特點(diǎn)2.3.2 內(nèi)網(wǎng)測評(píng)特點(diǎn)2.4 誰來測評(píng)2.5 如何準(zhǔn)備測評(píng)2.6 怎樣測評(píng)2.6.1 測評(píng)案例——“天網(wǎng)”工程2.6.2 啟動(dòng)“天網(wǎng)”測評(píng)2.7 本章小結(jié)尾聲：比《新工具》更新的是什么？觀感第3章 數(shù)據(jù)安全測評(píng)技術(shù)序幕：謎已解，史可鑒要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握3.1 數(shù)據(jù)安全測評(píng)的諸方面3.2 數(shù)據(jù)安全測評(píng)的實(shí)施3.2.1 數(shù)據(jù)安全訪談?wù){(diào)研3.2.2 數(shù)據(jù)安全現(xiàn)場檢查3.2.3 數(shù)據(jù)安全測試3.3 本章小結(jié)尾聲：竊之猶在！觀感第4章 主機(jī)安全測評(píng)技術(shù)序幕：第一代黑客要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握4.1 主機(jī)安全測評(píng)的諸方面4.2 主機(jī)安全測評(píng)的實(shí)施4.2.1 主機(jī)安全訪談?wù){(diào)研4.2.2 主機(jī)安全現(xiàn)場檢查4.2.3 主機(jī)安全測試4.3 本章小結(jié)尾聲：可信賴的主體觀感第5章 網(wǎng)絡(luò)安全測評(píng)技術(shù)序幕：圍棋的智慧要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握5.1 網(wǎng)絡(luò)安全測評(píng)的諸方面5.2 網(wǎng)絡(luò)安全測評(píng)的實(shí)施5.2.1 網(wǎng)絡(luò)安全訪談?wù){(diào)研5.2.2 網(wǎng)絡(luò)安全現(xiàn)場檢查5.2.3 網(wǎng)絡(luò)安全測試5.3 本章小結(jié)尾聲：墻、門、界觀感第6章 應(yīng)用安全測評(píng)技術(shù)序幕：“機(jī)器會(huì)思考嗎？”要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握6.1 應(yīng)用安全測評(píng)的諸方面6.2 應(yīng)用安全測評(píng)的實(shí)施6.2.1 應(yīng)用安全訪談?wù){(diào)研6.2.2 應(yīng)用安全現(xiàn)場檢查6.2.3 應(yīng)用安全測試6.3 本章小結(jié)尾聲：史上最“萬能”的機(jī)器觀感第7章 資產(chǎn)識(shí)別序幕：倫敦大火啟示錄要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握7.1 風(fēng)險(xiǎn)概述7.2 資產(chǎn)識(shí)別的諸方面7.2.1 資產(chǎn)分類7.2.2 資產(chǎn)賦值7.3 資產(chǎn)識(shí)別案例分析7.3.1 模擬案例背景簡介7.3.2 資產(chǎn)分類7.3.3 資產(chǎn)賦值7.3.4 資產(chǎn)識(shí)別輸出報(bào)告7.4 本章小結(jié)尾聲：我們究竟擁有什么？觀感第8章 威脅識(shí)別序幕：威脅在哪里？要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握8.1 威脅概述8.2 威脅識(shí)別的諸方面8.2.1 威脅分類——植樹和剪枝8.2.2 威脅賦值——統(tǒng)計(jì)8.3 威脅識(shí)別案例分析8.3.1 “數(shù)字蘭曦”威脅識(shí)別8.3.2 威脅識(shí)別輸出報(bào)告8.4 本章小結(jié)尾聲：在鷹隼盤旋的天空下觀感第9章 脆弱性識(shí)別序幕：永恒的阿基里斯之踵要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握9.1 脆弱性概述9.2 脆弱性識(shí)別的諸方面9.2.1 脆弱性發(fā)現(xiàn)9.2.2 脆弱性分類9.2.3 脆弱性驗(yàn)證9.2.4 脆弱性賦值9.3 脆弱性識(shí)別案例分析9.3.1 信息環(huán)境脆弱性識(shí)別9.3.2 公用信息載體脆弱性識(shí)別9.3.3 脆弱性仿真驗(yàn)證9.3.4 脆弱性識(shí)別輸出報(bào)告9.4 本章小結(jié)尾聲：木馬歌觀感第10章 風(fēng)險(xiǎn)分析序幕：烽火的演變要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握10.1 風(fēng)險(xiǎn)分析概述10.2 風(fēng)險(xiǎn)計(jì)算10.2.1 相乘法原理10.2.2 風(fēng)險(xiǎn)值計(jì)算示例10.3 風(fēng)險(xiǎn)定級(jí)10.4 風(fēng)險(xiǎn)控制10.5 殘余風(fēng)險(xiǎn)10.6 風(fēng)險(xiǎn)評(píng)估案例分析10.6.1 信息環(huán)境風(fēng)險(xiǎn)計(jì)算10.6.2 人員資產(chǎn)風(fēng)險(xiǎn)計(jì)算10.6.3 管理制度風(fēng)險(xiǎn)計(jì)算10.6.4 機(jī)房風(fēng)險(xiǎn)計(jì)算10.6.5 信息環(huán)境風(fēng)險(xiǎn)統(tǒng)計(jì)10.6.6 公用信息載體風(fēng)險(xiǎn)計(jì)算10.6.7 專用信息及信息載體的風(fēng)險(xiǎn)計(jì)算10.6.8 風(fēng)險(xiǎn)計(jì)算報(bào)告10.6.9 風(fēng)險(xiǎn)控制示例10.6.10 風(fēng)險(xiǎn)控制計(jì)劃10.7 本章小結(jié)尾聲：“勇敢”的反面是什么觀感第11章 應(yīng)急響應(yīng)序幕：虛擬社會(huì)的消防隊(duì)要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握11.1 應(yīng)急響應(yīng)概述11.2 應(yīng)急響應(yīng)計(jì)劃11.2.1 應(yīng)急響應(yīng)計(jì)劃的準(zhǔn)備11.2.2 應(yīng)急響應(yīng)計(jì)劃制定中應(yīng)注意的問題11.2.3 應(yīng)急響應(yīng)計(jì)劃的制定11.2.4 應(yīng)急響應(yīng)計(jì)劃的培訓(xùn)、演練和更新11.2.5 文檔的保存、分發(fā)與維護(hù)11.3 應(yīng)急響應(yīng)計(jì)劃案例分析11.3.1 南海大學(xué)信息安全應(yīng)急響應(yīng)計(jì)劃示例11.3.2 “南洋烽火計(jì)劃”11.4 本章小結(jié)尾聲：如何變“驚慌失措”為“從容不迫”觀感第12章 法律和法規(guī)序幕：神話世界中需要秩序嗎要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握12.1 計(jì)算機(jī)犯罪概述12.2 信息安全法律和法規(guī)簡介12.2.1 美國有關(guān)法律12.2.2 中國信息安全法律和法規(guī)的歷史沿革12.3 本章小結(jié)尾聲：從囚徒困境說起觀感第13章 信息安全管理體系序幕：武學(xué)的最高境界要點(diǎn)：本章結(jié)束之后，讀者應(yīng)當(dāng)了解和掌握13.1 ISMS概述13.2 ISMS主要內(nèi)容13.2.1 計(jì)劃（Plan）13.2.2 實(shí)施（Do）13.2.3 檢查（Check）13.2.4 處置（Act）13.3 本章小結(jié)尾聲：實(shí)力源于何處觀感參考文獻(xiàn)

章節(jié)摘錄

版權(quán)頁：插圖：1.1 信息安全測評(píng)的科學(xué)精神如果有讀者認(rèn)為信息安全測評(píng)就是從事神秘的“hacker”工作，對(duì)此我們不敢茍同。我們認(rèn)為信息安全測評(píng)首先是探索真理、發(fā)現(xiàn)真相的科學(xué)。因此，與其他自然科學(xué)一樣，信息安全測評(píng)也遵循著一般的客觀規(guī)律。要掌握好信息安全測評(píng)的理論、方法和技術(shù)，首先應(yīng)該明確一名安全測評(píng)工程師應(yīng)該具備什么樣的科學(xué)精神和素養(yǎng)？這是從事信息安全測評(píng)工作的前提和基礎(chǔ)。有了這些科學(xué)精神，再加上訓(xùn)練有素的工作作風(fēng)和您偏愛的某種hacker氣質(zhì)，也許就是作者心目中的安全測評(píng)工程師了。那么，首先要具備什么樣的科學(xué)精神呢？我們認(rèn)為，“懷疑、批判、創(chuàng)新、求實(shí)、協(xié)作”是一名科學(xué)工作者必須具備的科學(xué)素養(yǎng)，同樣也是指導(dǎo)我們進(jìn)行信息系統(tǒng)安全測評(píng)的基本精神和思想。這種科學(xué)精神源自于五百多年前的文藝復(fù)興及其后來的啟蒙運(yùn)動(dòng)（Enlightenment）。從16世紀(jì)開始，歐洲一批批進(jìn)步的宗教人士、哲學(xué)家、科學(xué)家和藝術(shù)家們前赴后繼，對(duì)萬能上帝存在的合理性提出質(zhì)疑，對(duì)中世紀(jì)歐洲宗教法庭的權(quán)威發(fā)起挑戰(zhàn)，終于“將科學(xué)從神學(xué)婢女的地位中解放出來?！?919年發(fā)生在中國著名的“五四”運(yùn)動(dòng)，請(qǐng)來的“德先生、賽先生”（民主、科學(xué)），則是這場偉大的啟蒙運(yùn)動(dòng)在古老東方的美妙回聲，并持續(xù)影響著一代代中國人。盡管這場人類歷史上轟轟烈烈的思想解放運(yùn)動(dòng)不屬于本書撰寫的范疇，但請(qǐng)讀者記住，包括信息安全學(xué)科在內(nèi)的各門自然科學(xué)的發(fā)展深受其影響。而作為一門新興的IT學(xué)科分支，信息安全測評(píng)也必將從前輩們的思想源泉中源源不斷地吸取營養(yǎng)。如果讀者覺得上面這些“說教”非常抽象，那么就換個(gè)角度來思考吧。設(shè)想您作為一名信息安全測評(píng)工程師，正在對(duì)一個(gè)信息系統(tǒng)，如某重要金融信息系統(tǒng)進(jìn)行安全測評(píng)。該信息系統(tǒng)建設(shè)之前，已經(jīng)通過了眾多專家的評(píng)審。現(xiàn)在您發(fā)現(xiàn)這個(gè)投入了巨資的建設(shè)方案并不合理。請(qǐng)問您的質(zhì)疑有依據(jù)嗎？您的質(zhì)疑合理嗎？你能實(shí)事求是地指出問題出在什么地方嗎？您的領(lǐng)導(dǎo)和其他測評(píng)工程師支持您嗎？1.2 信息安全測評(píng)的科學(xué)方法如果說信息安全測評(píng)工作最主要的方法是系統(tǒng)科學(xué)，系統(tǒng)工程的方法，有的讀者可能會(huì)感到生疏或迷茫。那么讓我們換一個(gè)角度來思考吧。您知道Windows操作系統(tǒng)，如Windows2003有多少行代碼嗎？5000萬行！參與開發(fā)與測試的人員接近8000人。而這僅僅是一個(gè)大型信息系統(tǒng)的某一臺(tái)PC終端可能安裝的若干軟件之一。您知道現(xiàn)代超大規(guī)模集成電路（VLSI）是一個(gè)什么概念嗎？Intel公司利用納米工藝制造的45nmPenrynWolfdale雙核芯片，集成了近4億個(gè)晶體管，核心面積僅為107rrrrri2（一個(gè)手指甲大?。《@僅僅是一臺(tái)計(jì)算機(jī)中若干硬件的一部分。您知道一名配備得有單兵數(shù)字化作戰(zhàn)系統(tǒng)的二1：兵在作戰(zhàn)時(shí)，身后有多少軟、硬件在支撐他嗎？太空中有數(shù)百顆衛(wèi)星、天空中有成千架作戰(zhàn)飛機(jī)、地面上有成群的戰(zhàn)車火炮、大海中有各種軍艦。而這些“武裝到牙齒”的戰(zhàn)爭怪獸的指揮中樞，又是由千千萬萬的計(jì)算機(jī)軟、硬件構(gòu)成的。他們相互交織在一起，構(gòu)成了一個(gè)龐大的“人一機(jī)合一”的信息網(wǎng)絡(luò)……我們?cè)谶@里無意扮演桑魯卓公主的角色來講述信息時(shí)代“一千零一夜”的故事，但想象力豐富的讀者應(yīng)該對(duì)現(xiàn)代信息系統(tǒng)的復(fù)雜性有了一個(gè)大概的認(rèn)識(shí)了吧？現(xiàn)在讓我們回到本節(jié)的主題，什么是信息安全測評(píng)的科學(xué)方法？由于我們面臨的測評(píng)對(duì)象往往是一個(gè)復(fù)雜、龐大的信息系統(tǒng)，“殺牛就得用牛刀”，因此我們需要采用解決系統(tǒng)復(fù)雜性的科學(xué)方法一系統(tǒng)科學(xué)方法。由于篇幅所限，這里僅僅簡要介紹系統(tǒng)科學(xué)發(fā)展的主要脈絡(luò)，有興趣的讀者可以參見諸如《系統(tǒng)科學(xué)》（許國志主編，上海科技教育出版社.2 000）等著作。熟悉這部分內(nèi)容的讀者則可以進(jìn)入下一節(jié)。

編輯推薦

《信息安全測評(píng)與風(fēng)險(xiǎn)評(píng)估》是普通高等教育“十一五”國家級(jí)規(guī)劃教材，“信息化與信息社會(huì)”系列叢書之高等學(xué)校信息安全專業(yè)系列教材之一。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全測評(píng)與風(fēng)險(xiǎn)評(píng)估 PDF格式下載

---