信息安全管理與風險評估

前言

近年來，隨著互聯網的普及與應用，政府部門、金融機構、企事業(yè)單位和商業(yè)組織等對信息系統(tǒng)的依賴程度日益加深，信息技術幾乎滲透到了人們日常工作與生活的方方面面。置身高度開放的信息社會，計算機病毒、黑客入侵、信息失竊、物理故障……信息技術無處不在，安全事件時有發(fā)生，信息安全問題成為全社會共同關注的問題。據有關部門統(tǒng)計，所有的計算機安全事件中，屬于管理方面的原因比重高達70%以上，而這些安全問題中的95%是可以通過科學的信息安全管理來避免的。因此，管理在解決信息安全問題中占重要作用，而管理的核心是信息安全風險評估。目前，“信息安全管理與風險評估”已納入我國普通高校信息安全、信息管理與信息系統(tǒng)、計算機科學與技術等專業(yè)的課程體系中，為使相關專業(yè)學生全面了解、掌握信息安全管理與風險評估理論與實踐知識，我們組織編寫了本教材，其教學目標是通過本課程的學習，使學生了解信息安全管理、信息安全風險管理、信息安全風險評估的基本知識、相關標準或指南，能夠使用風險評估工具進行風險評估，能夠對實際的企業(yè)、網站或單位進行信息安全管理、信息安全風險評估。全書共分為8章。第1章介紹信息與信息安全、信息安全管理、信息安全管理的目的，以及信息安全管理遵循的原則；第2章介紹國內外信息安全管理標準：BS 7799、ISO/IEC 13335、ISO/IEC 27001：2005、CC準則、GB/T 19715標準、GB/T 19716-2005；第3章介紹信息安全管理標準BS 7799實施中的問題及實施案例；第4章介紹信息安全風險管理概述及信息安全風險管理標準：AS/NZS 4360:1999、NIST SP800-30、The Security Risk Management Guide、GB/T 20269-2006；第5章介紹信息安全風險評估發(fā)展概況、信息安全風險評估的目的和意義、信息安全風險評估的原則、信息安全風險評估的概念、國內外信息安全管理標準：OCTAVE、SSE-CMM、GAO/AIMD-99-13、GB/T 20984-2007、信息安全風險評估方法，以及信息系統(tǒng)生命周期各階段的風險評估；第6章介紹信息安全風險評估與管理工具、系統(tǒng)基礎平臺風險評估工具、風險評估輔助工具、信息安全風險評估工具的發(fā)展方向和最新成果；第7章依據GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》，介紹信息安全風險評估的基本過程及各個階段的主要任務；第8章依據GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》和第7章信息安全風險評估的基本過程，以某信息系統(tǒng)為例詳細介紹信息安全風險評估的實施過程。在編寫上，根據當前高校相關專業(yè)課程體系設置情況，結合學生學習特點，力求保持內容的系統(tǒng)性、先進性和實踐性，力求理論與實踐相結合。

內容概要

本書以信息安全管理為主線，以信息安全風險評估為重點，對近年來國內外信息安全管理與風險評估的研究成果和應用實踐，進行系統(tǒng)歸納和總結，全面介紹信息安全管理、信息安全風險管理、信息安全風險評估的基本知識、相關標準或指南，以及信息安全風險評估的工具、方法、過程等?！　”緯鴮哟畏置?，結構合理，敘述嚴謹，重點突出，注重實驗環(huán)節(jié)。根據章節(jié)內容，適量安排實驗內容，并且將實驗與習題分開，獨立編寫?！　”緯勺鳛楦叩葘W校信息安全、信息管理與信息系統(tǒng)、計算機科學與技術等專業(yè)本、專科學生的教材，也可作為從事信息化相關工作的領導、技術與管理人員的參考書。

書籍目錄

第1章  信息安全管理概述	　1.1  信息與信息安全　　1.1.1  信息	　　1.1.2  信息安全	　1.2  信息安全管理	　1.3  信息安全管理的目的	　1.4  信息安全管理遵循的原則	　習題1	第2章  信息安全管理標準	　2.1  國外信息安全管理標準	　　2.1.1  信息安全管理標準BS 7799	　　2.1.2  ISO/IEC 13335	　　2.1.3  ISO/IEC 27001:2005	　　2.1.4  CC準則	　2.2  我國的信息安全管理標準	　　2.2.1  我國的信息安全管理標準概述	　　2.2.2  GB/T 19715標準	　　2.2.3  GB/T 19716—2005	　習題2	第3章  信息安全管理的實施	　3.1  信息安全管理標準BS 7799實施中的問題	　　3.1.1  企業(yè)信息安全管理的現狀	　　3.1.2  信息安全管理標準實施的誤區(qū)	　　3.1.3  靈活使用BS 7799	　3.2  BS 7799信息安全管理實施案例	　　3.2.1  信息安全管理體系認證實施案例	　　3.2.2  BS 7799框架下安全產品與技術的具體實現	　習題3	第4章  信息安全風險管理	　4.1  信息安全風險管理概述	　　4.1.1  信息安全風險管理的概念	　　4.1.2  相關要素及概念	　　4.1.3  信息安全風險管理各要素間的關系	　4.2  AS/NZS 4360:1999	　　4.2.1  AS/NZS 4360:1999簡介	　　4.2.2  AS/NZS 4360:1999的內容	　　4.2.3  AS/NZS 4360:1999風險管理流程	　4.3  NIST SP800-30	　　4.3.1  NIST SP800-30簡介	　　4.3.2  NIST SP800-30的內容	　　4.3.3  NIST SP800-30風險管理流程	　4.4  The Security Risk Management Guide	　　4.4.1  The Security Risk Management Guide簡介	　　4.4.2  The Security Risk Management Guide的內容	　　4.4.3  微軟風險管理流程	　4.5  GB/T 20269—2006	　　4.5.1  GB/T 20269—2006簡介	　　4.5.2  GB/T 20269—2006的內容	　　4.5.3  GB/T 20269—2006風險管理	　習題4	第5章  信息安全風險評估概述	　5.1  信息安全風險評估發(fā)展概況	　　5.1.1  國外信息安全風險評估發(fā)展概況	　　5.1.2  我國信息安全風險評估的發(fā)展現狀	　5.2  信息安全風險評估的目的和意義	　5.3  信息安全風險評估的原則	　5.4  信息安全風險評估的相關概念	　　5.4.1  信息安全風險評估的概念	　　5.4.2  信息安全風險評估和風險管理的關系	　　5.4.3  信息安全風險評估的兩種方式	　　5.4.4  信息安全風險評估的分類	　5.5  國外信息安全風險評估標準	　　5.5.1  OCTAVE	　　5.5.2  SSE-CMM	　　5.5.3  GAO/AIMD-99-139	　5.6  我國信息安全風險評估標準GB/T 20984—2007	　　5.6.1  GB/T 20984—2007簡介	　　5.6.2  GB/T 20984—2007的內容	　　5.6.3  GB/T 20984—2007的風險評估實施過程	　5.7  信息安全風險評估方法	　　5.7.1  概述	　　5.7.2  典型的信息安全風險評估方法	　5.8  信息系統(tǒng)生命周期各階段的風險評估	　　5.8.1  規(guī)劃階段的信息安全風險評估	　　　　5.8.2  設計階段的信息安全風險評估	　　5.8.3  實施階段的信息安全風險評估	　　5.8.4  運維階段的信息安全風險評估	　　5.8.5  廢棄階段的信息安全風險評估	　習題5	　上機實驗	第6章  信息安全風險評估工具	　6.1  風險評估與管理工具	　　6.1.1  MBSA	　　6.1.2  COBRA	　　6.1.3  CRAMM	　　6.1.4  ASSET	　　6.1.5  RiskWatch	　　6.1.6  其他風險評估與管理工具	　　6.1.7  常用風險評估與管理工具對比	　6.2  系統(tǒng)基礎平臺風險評估工具	　　6.2.1  脆弱性掃描工具	　　6.2.2  流光（Fluxay）脆弱性掃描工具	　　6.2.3  Nessus脆弱性掃描工具	　　6.2.4  極光遠程安全評估系統(tǒng)	　　6.2.5  天鏡脆弱性掃描與管理系統(tǒng)	　　6.2.6  滲透測試工具	　　6.2.7  Metasploit滲透工具	　　6.2.8  Immunity CANVAS滲透測試工具	　6.3  風險評估輔助工具　　6.3.1  調查問卷	　　6.3.2  檢查列表	　　6.3.3  人員訪談	　　6.3.4  入侵檢測工具	　　6.3.5  安全審計工具	　　6.3.6  拓撲發(fā)現工具	　　6.3.7  其他：評估指標庫、知識庫、漏洞庫、算法庫、模型庫	　6.4  信息安全風險評估工具的發(fā)展方向和最新成果	　習題6	　上機實驗	第7章  信息安全風險評估的基本過程	　7.1  信息安全風險評估的過程	　7.2  評估準備	　　7.2.1  確定信息安全風險評估的目標	　　7.2.2  確定信息安全風險評估的范圍	　　7.2.3  組建適當的評估管理與實施團隊	　　7.2.4  進行系統(tǒng)調研	　　7.2.5  確定信息安全風險評估的依據和方法	　　7.2.6  制定信息安全風險評估方案	　　7.2.7  獲得最高管理者對信息安全風險評估工作的支持	　7.3  識別并評價資產	　　7.3.1  識別資產	　　7.3.2  資產分類	　　7.3.3  資產賦值	　　7.3.4  輸出結果	　7.4  識別并評估威脅	　　7.4.1  威脅識別	　　　7.4.2  威脅分類	　　7.4.3  威脅賦值	　　7.4.4  輸出結果	　7.5  識別并評估脆弱性	　　7.5.1  脆弱性識別	　　7.5.2  脆弱性分類	　　7.5.3  脆弱性賦值	　　7.5.4  輸出結果	　7.6  識別安全措施和輸出結果	　　7.6.1  識別安全措施	　　7.6.2  輸出結果	　7.7  分析可能性和影響	　　7.7.1  分析可能性	　　7.7.2  分析影響	　7.8  風險計算	　　7.8.1  使用矩陣法計算風險	　　7.8.2  使用相乘法計算風險	　7.9  風險處理	　　7.9.1  現存風險判斷	　　7.9.2  控制目標確定	　　7.9.3  控制措施選擇	　7.10  編寫信息安全風險評估報告	　習題7	第8章  信息安全風險評估實例	　8.1  評估準備	　　8.1.1  確定信息安全風險評估的目標	　　8.1.2  確定信息安全風險評估的范圍	　　8.1.3  組建適當的評估管理與實施團隊	　　8.1.4  進行系統(tǒng)調研	　　　　8.1.5  評估依據	　　8.1.6  信息安全風險評估項目實施方案	　　8.1.7  獲得最高管理者對信息安全風險評估工作的支持	　8.2  識別并評價資產	　　8.2.1  識別資產	　　8.2.2  資產賦值	　　8.2.3  資產價值	　8.3  識別并評估威脅	　8.4  識別并評估脆弱性	　8.5  分析可能性和影響	　　8.5.1  分析威脅發(fā)生的頻率	　　　　8.5.2  分析脆弱性嚴重程度　8.6  風險計算	　　8.6.1  使用矩陣法計算風險　　8.6.2  使用相乘法計算風險	　8.7  風險處理	　　8.7.1  現存風險判斷	　　8.7.2  控制目標確定	　　8.7.3  控制措施選擇	　8.8  編寫信息安全風險評估報告	　上機實驗	參考文獻

章節(jié)摘錄

插圖：信息安全管理作為一個組織的整個管理體系中的一個重要環(huán)節(jié)，指導組織對其信息資源進行信息安全風險管理和控制。只有建立統(tǒng)一、動態(tài)的安全管理，才能保證信息資源得以充分利用，發(fā)揮出系統(tǒng)的效率。信息安全管理的目的，是通過對計算機和網絡系統(tǒng)中各個環(huán)節(jié)的安全技術和產品實行統(tǒng)一的管理和協調，進而從整體上提高整個系統(tǒng)防御入侵、抵抗攻擊的能力，使得系統(tǒng)達到所需的安全級別，將風險控制在用戶可接受的程度，具體來說，信息安全管理的目的如下：（1）將政策、硬件及軟件等方法結合起來，構成一個統(tǒng)一的分層防衛(wèi)系統(tǒng)，阻擊非法用戶進入，以減少網絡系統(tǒng)受破壞的可能性。（2）通過非法活動的審計追蹤，提供一種快速檢測非法使用網絡資源移迅速測定非法入口位置的方法。（3）使網絡管理者能夠很快地重新組織被破壞了的文件或應用，使系統(tǒng)重新恢復到破壞前的狀態(tài)，以最大限度地減少損失并促使系統(tǒng)恢復。（4）使破壞者的一舉一動均能在有效的監(jiān)控之下，以便能被網絡經營機構抓獲，使其最終受到應有的懲罰。1.4 信息安全管理遵循的原則信息安全管理應遵循以下原則。1.規(guī)范原則信息系統(tǒng)的規(guī)劃、設計、實現、運行要有安全規(guī)范要求。要根據本機構或本部門的安全要求制定相應的安全政策，安全政策中要根據需要采用必要的安全功能，選用必要的安全設備，不應盲目開發(fā)、自由設計、違章操作、無人管理。2.預防原則在信息系統(tǒng)的規(guī)劃、設計、采購、集成、安裝中應該同步考慮安全政策和安全功能具備的程度，以預防為主的指導思想對待信息安全問題，不能存在僥幸心理。

編輯推薦

《信息安全管理與風險評估》是由電子工業(yè)出版社出版的。

圖書封面

評論、評分、閱讀與下載

---

    信息安全管理與風險評估 PDF格式下載

---