信息安全管理與風(fēng)險(xiǎn)評(píng)估

前言

近年來，隨著互聯(lián)網(wǎng)的普及與應(yīng)用，政府部門、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)組織等對(duì)信息系統(tǒng)的依賴程度日益加深，信息技術(shù)幾乎滲透到了人們?nèi)粘９ぷ髋c生活的方方面面。置身高度開放的信息社會(huì)，計(jì)算機(jī)病毒、黑客入侵、信息失竊、物理故障……信息技術(shù)無處不在，安全事件時(shí)有發(fā)生，信息安全問題成為全社會(huì)共同關(guān)注的問題。據(jù)有關(guān)部門統(tǒng)計(jì)，所有的計(jì)算機(jī)安全事件中，屬于管理方面的原因比重高達(dá)70%以上，而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免的。因此，管理在解決信息安全問題中占重要作用，而管理的核心是信息安全風(fēng)險(xiǎn)評(píng)估。目前，“信息安全管理與風(fēng)險(xiǎn)評(píng)估”已納入我國普通高校信息安全、信息管理與信息系統(tǒng)、計(jì)算機(jī)科學(xué)與技術(shù)等專業(yè)的課程體系中，為使相關(guān)專業(yè)學(xué)生全面了解、掌握信息安全管理與風(fēng)險(xiǎn)評(píng)估理論與實(shí)踐知識(shí)，我們組織編寫了本教材，其教學(xué)目標(biāo)是通過本課程的學(xué)習(xí)，使學(xué)生了解信息安全管理、信息安全風(fēng)險(xiǎn)管理、信息安全風(fēng)險(xiǎn)評(píng)估的基本知識(shí)、相關(guān)標(biāo)準(zhǔn)或指南，能夠使用風(fēng)險(xiǎn)評(píng)估工具進(jìn)行風(fēng)險(xiǎn)評(píng)估，能夠?qū)?shí)際的企業(yè)、網(wǎng)站或單位進(jìn)行信息安全管理、信息安全風(fēng)險(xiǎn)評(píng)估。全書共分為8章。第1章介紹信息與信息安全、信息安全管理、信息安全管理的目的，以及信息安全管理遵循的原則；第2章介紹國內(nèi)外信息安全管理標(biāo)準(zhǔn)：BS 7799、ISO/IEC 13335、ISO/IEC 27001：2005、CC準(zhǔn)則、GB/T 19715標(biāo)準(zhǔn)、GB/T 19716-2005；第3章介紹信息安全管理標(biāo)準(zhǔn)BS 7799實(shí)施中的問題及實(shí)施案例；第4章介紹信息安全風(fēng)險(xiǎn)管理概述及信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)：AS/NZS 4360:1999、NIST SP800-30、The Security Risk Management Guide、GB/T 20269-2006；第5章介紹信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況、信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義、信息安全風(fēng)險(xiǎn)評(píng)估的原則、信息安全風(fēng)險(xiǎn)評(píng)估的概念、國內(nèi)外信息安全管理標(biāo)準(zhǔn)：OCTAVE、SSE-CMM、GAO/AIMD-99-13、GB/T 20984-2007、信息安全風(fēng)險(xiǎn)評(píng)估方法，以及信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估；第6章介紹信息安全風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具、信息安全風(fēng)險(xiǎn)評(píng)估工具的發(fā)展方向和最新成果；第7章依據(jù)GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，介紹信息安全風(fēng)險(xiǎn)評(píng)估的基本過程及各個(gè)階段的主要任務(wù)；第8章依據(jù)GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和第7章信息安全風(fēng)險(xiǎn)評(píng)估的基本過程，以某信息系統(tǒng)為例詳細(xì)介紹信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過程。在編寫上，根據(jù)當(dāng)前高校相關(guān)專業(yè)課程體系設(shè)置情況，結(jié)合學(xué)生學(xué)習(xí)特點(diǎn)，力求保持內(nèi)容的系統(tǒng)性、先進(jìn)性和實(shí)踐性，力求理論與實(shí)踐相結(jié)合。

內(nèi)容概要

本書以信息安全管理為主線，以信息安全風(fēng)險(xiǎn)評(píng)估為重點(diǎn)，對(duì)近年來國內(nèi)外信息安全管理與風(fēng)險(xiǎn)評(píng)估的研究成果和應(yīng)用實(shí)踐，進(jìn)行系統(tǒng)歸納和總結(jié)，全面介紹信息安全管理、信息安全風(fēng)險(xiǎn)管理、信息安全風(fēng)險(xiǎn)評(píng)估的基本知識(shí)、相關(guān)標(biāo)準(zhǔn)或指南，以及信息安全風(fēng)險(xiǎn)評(píng)估的工具、方法、過程等?！　”緯鴮哟畏置鳎Y(jié)構(gòu)合理，敘述嚴(yán)謹(jǐn)，重點(diǎn)突出，注重實(shí)驗(yàn)環(huán)節(jié)。根據(jù)章節(jié)內(nèi)容，適量安排實(shí)驗(yàn)內(nèi)容，并且將實(shí)驗(yàn)與習(xí)題分開，獨(dú)立編寫。　　本書可作為高等學(xué)校信息安全、信息管理與信息系統(tǒng)、計(jì)算機(jī)科學(xué)與技術(shù)等專業(yè)本、?？茖W(xué)生的教材，也可作為從事信息化相關(guān)工作的領(lǐng)導(dǎo)、技術(shù)與管理人員的參考書。

書籍目錄

第1章  信息安全管理概述	　1.1  信息與信息安全　　1.1.1  信息	　　1.1.2  信息安全	　1.2  信息安全管理	　1.3  信息安全管理的目的	　1.4  信息安全管理遵循的原則	　習(xí)題1	第2章  信息安全管理標(biāo)準(zhǔn)	　2.1  國外信息安全管理標(biāo)準(zhǔn)	　　2.1.1  信息安全管理標(biāo)準(zhǔn)BS 7799	　　2.1.2  ISO/IEC 13335	　　2.1.3  ISO/IEC 27001:2005	　　2.1.4  CC準(zhǔn)則	　2.2  我國的信息安全管理標(biāo)準(zhǔn)	　　2.2.1  我國的信息安全管理標(biāo)準(zhǔn)概述	　　2.2.2  GB/T 19715標(biāo)準(zhǔn)	　　2.2.3  GB/T 19716—2005	　習(xí)題2	第3章  信息安全管理的實(shí)施	　3.1  信息安全管理標(biāo)準(zhǔn)BS 7799實(shí)施中的問題	　　3.1.1  企業(yè)信息安全管理的現(xiàn)狀	　　3.1.2  信息安全管理標(biāo)準(zhǔn)實(shí)施的誤區(qū)	　　3.1.3  靈活使用BS 7799	　3.2  BS 7799信息安全管理實(shí)施案例	　　3.2.1  信息安全管理體系認(rèn)證實(shí)施案例	　　3.2.2  BS 7799框架下安全產(chǎn)品與技術(shù)的具體實(shí)現(xiàn)	　習(xí)題3	第4章  信息安全風(fēng)險(xiǎn)管理	　4.1  信息安全風(fēng)險(xiǎn)管理概述	　　4.1.1  信息安全風(fēng)險(xiǎn)管理的概念	　　4.1.2  相關(guān)要素及概念	　　4.1.3  信息安全風(fēng)險(xiǎn)管理各要素間的關(guān)系	　4.2  AS/NZS 4360:1999	　　4.2.1  AS/NZS 4360:1999簡(jiǎn)介	　　4.2.2  AS/NZS 4360:1999的內(nèi)容	　　4.2.3  AS/NZS 4360:1999風(fēng)險(xiǎn)管理流程	　4.3  NIST SP800-30	　　4.3.1  NIST SP800-30簡(jiǎn)介	　　4.3.2  NIST SP800-30的內(nèi)容	　　4.3.3  NIST SP800-30風(fēng)險(xiǎn)管理流程	　4.4  The Security Risk Management Guide	　　4.4.1  The Security Risk Management Guide簡(jiǎn)介	　　4.4.2  The Security Risk Management Guide的內(nèi)容	　　4.4.3  微軟風(fēng)險(xiǎn)管理流程	　4.5  GB/T 20269—2006	　　4.5.1  GB/T 20269—2006簡(jiǎn)介	　　4.5.2  GB/T 20269—2006的內(nèi)容	　　4.5.3  GB/T 20269—2006風(fēng)險(xiǎn)管理	　習(xí)題4	第5章  信息安全風(fēng)險(xiǎn)評(píng)估概述	　5.1  信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況	　　5.1.1  國外信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況	　　5.1.2  我國信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀	　5.2  信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義	　5.3  信息安全風(fēng)險(xiǎn)評(píng)估的原則	　5.4  信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)概念	　　5.4.1  信息安全風(fēng)險(xiǎn)評(píng)估的概念	　　5.4.2  信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的關(guān)系	　　5.4.3  信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式	　　5.4.4  信息安全風(fēng)險(xiǎn)評(píng)估的分類	　5.5  國外信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)	　　5.5.1  OCTAVE	　　5.5.2  SSE-CMM	　　5.5.3  GAO/AIMD-99-139	　5.6  我國信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T 20984—2007	　　5.6.1  GB/T 20984—2007簡(jiǎn)介	　　5.6.2  GB/T 20984—2007的內(nèi)容	　　5.6.3  GB/T 20984—2007的風(fēng)險(xiǎn)評(píng)估實(shí)施過程	　5.7  信息安全風(fēng)險(xiǎn)評(píng)估方法	　　5.7.1  概述	　　5.7.2  典型的信息安全風(fēng)險(xiǎn)評(píng)估方法	　5.8  信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估	　　5.8.1  規(guī)劃階段的信息安全風(fēng)險(xiǎn)評(píng)估	　　　　5.8.2  設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)評(píng)估	　　5.8.3  實(shí)施階段的信息安全風(fēng)險(xiǎn)評(píng)估	　　5.8.4  運(yùn)維階段的信息安全風(fēng)險(xiǎn)評(píng)估	　　5.8.5  廢棄階段的信息安全風(fēng)險(xiǎn)評(píng)估	　習(xí)題5	　上機(jī)實(shí)驗(yàn)	第6章  信息安全風(fēng)險(xiǎn)評(píng)估工具	　6.1  風(fēng)險(xiǎn)評(píng)估與管理工具	　　6.1.1  MBSA	　　6.1.2  COBRA	　　6.1.3  CRAMM	　　6.1.4  ASSET	　　6.1.5  RiskWatch	　　6.1.6  其他風(fēng)險(xiǎn)評(píng)估與管理工具	　　6.1.7  常用風(fēng)險(xiǎn)評(píng)估與管理工具對(duì)比	　6.2  系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具	　　6.2.1  脆弱性掃描工具	　　6.2.2  流光（Fluxay）脆弱性掃描工具	　　6.2.3  Nessus脆弱性掃描工具	　　6.2.4  極光遠(yuǎn)程安全評(píng)估系統(tǒng)	　　6.2.5  天鏡脆弱性掃描與管理系統(tǒng)	　　6.2.6  滲透測(cè)試工具	　　6.2.7  Metasploit滲透工具	　　6.2.8  Immunity CANVAS滲透測(cè)試工具	　6.3  風(fēng)險(xiǎn)評(píng)估輔助工具　　6.3.1  調(diào)查問卷	　　6.3.2  檢查列表	　　6.3.3  人員訪談	　　6.3.4  入侵檢測(cè)工具	　　6.3.5  安全審計(jì)工具	　　6.3.6  拓?fù)浒l(fā)現(xiàn)工具	　　6.3.7  其他：評(píng)估指標(biāo)庫、知識(shí)庫、漏洞庫、算法庫、模型庫	　6.4  信息安全風(fēng)險(xiǎn)評(píng)估工具的發(fā)展方向和最新成果	　習(xí)題6	　上機(jī)實(shí)驗(yàn)	第7章  信息安全風(fēng)險(xiǎn)評(píng)估的基本過程	　7.1  信息安全風(fēng)險(xiǎn)評(píng)估的過程	　7.2  評(píng)估準(zhǔn)備	　　7.2.1  確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)	　　7.2.2  確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍	　　7.2.3  組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)	　　7.2.4  進(jìn)行系統(tǒng)調(diào)研	　　7.2.5  確定信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)和方法	　　7.2.6  制定信息安全風(fēng)險(xiǎn)評(píng)估方案	　　7.2.7  獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持	　7.3  識(shí)別并評(píng)價(jià)資產(chǎn)	　　7.3.1  識(shí)別資產(chǎn)	　　7.3.2  資產(chǎn)分類	　　7.3.3  資產(chǎn)賦值	　　7.3.4  輸出結(jié)果	　7.4  識(shí)別并評(píng)估威脅	　　7.4.1  威脅識(shí)別	　　　7.4.2  威脅分類	　　7.4.3  威脅賦值	　　7.4.4  輸出結(jié)果	　7.5  識(shí)別并評(píng)估脆弱性	　　7.5.1  脆弱性識(shí)別	　　7.5.2  脆弱性分類	　　7.5.3  脆弱性賦值	　　7.5.4  輸出結(jié)果	　7.6  識(shí)別安全措施和輸出結(jié)果	　　7.6.1  識(shí)別安全措施	　　7.6.2  輸出結(jié)果	　7.7  分析可能性和影響	　　7.7.1  分析可能性	　　7.7.2  分析影響	　7.8  風(fēng)險(xiǎn)計(jì)算	　　7.8.1  使用矩陣法計(jì)算風(fēng)險(xiǎn)	　　7.8.2  使用相乘法計(jì)算風(fēng)險(xiǎn)	　7.9  風(fēng)險(xiǎn)處理	　　7.9.1  現(xiàn)存風(fēng)險(xiǎn)判斷	　　7.9.2  控制目標(biāo)確定	　　7.9.3  控制措施選擇	　7.10  編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告	　習(xí)題7	第8章  信息安全風(fēng)險(xiǎn)評(píng)估實(shí)例	　8.1  評(píng)估準(zhǔn)備	　　8.1.1  確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)	　　8.1.2  確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍	　　8.1.3  組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)	　　8.1.4  進(jìn)行系統(tǒng)調(diào)研	　　　　8.1.5  評(píng)估依據(jù)	　　8.1.6  信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施方案	　　8.1.7  獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持	　8.2  識(shí)別并評(píng)價(jià)資產(chǎn)	　　8.2.1  識(shí)別資產(chǎn)	　　8.2.2  資產(chǎn)賦值	　　8.2.3  資產(chǎn)價(jià)值	　8.3  識(shí)別并評(píng)估威脅	　8.4  識(shí)別并評(píng)估脆弱性	　8.5  分析可能性和影響	　　8.5.1  分析威脅發(fā)生的頻率	　　　　8.5.2  分析脆弱性嚴(yán)重程度　8.6  風(fēng)險(xiǎn)計(jì)算	　　8.6.1  使用矩陣法計(jì)算風(fēng)險(xiǎn)　　8.6.2  使用相乘法計(jì)算風(fēng)險(xiǎn)	　8.7  風(fēng)險(xiǎn)處理	　　8.7.1  現(xiàn)存風(fēng)險(xiǎn)判斷	　　8.7.2  控制目標(biāo)確定	　　8.7.3  控制措施選擇	　8.8  編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告	　上機(jī)實(shí)驗(yàn)	參考文獻(xiàn)

章節(jié)摘錄

插圖：信息安全管理作為一個(gè)組織的整個(gè)管理體系中的一個(gè)重要環(huán)節(jié)，指導(dǎo)組織對(duì)其信息資源進(jìn)行信息安全風(fēng)險(xiǎn)管理和控制。只有建立統(tǒng)一、動(dòng)態(tài)的安全管理，才能保證信息資源得以充分利用，發(fā)揮出系統(tǒng)的效率。信息安全管理的目的，是通過對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中各個(gè)環(huán)節(jié)的安全技術(shù)和產(chǎn)品實(shí)行統(tǒng)一的管理和協(xié)調(diào)，進(jìn)而從整體上提高整個(gè)系統(tǒng)防御入侵、抵抗攻擊的能力，使得系統(tǒng)達(dá)到所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在用戶可接受的程度，具體來說，信息安全管理的目的如下：（1）將政策、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的分層防衛(wèi)系統(tǒng)，阻擊非法用戶進(jìn)入，以減少網(wǎng)絡(luò)系統(tǒng)受破壞的可能性。（2）通過非法活動(dòng)的審計(jì)追蹤，提供一種快速檢測(cè)非法使用網(wǎng)絡(luò)資源移迅速測(cè)定非法入口位置的方法。（3）使網(wǎng)絡(luò)管理者能夠很快地重新組織被破壞了的文件或應(yīng)用，使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，以最大限度地減少損失并促使系統(tǒng)恢復(fù)。（4）使破壞者的一舉一動(dòng)均能在有效的監(jiān)控之下，以便能被網(wǎng)絡(luò)經(jīng)營機(jī)構(gòu)抓獲，使其最終受到應(yīng)有的懲罰。1.4 信息安全管理遵循的原則信息安全管理應(yīng)遵循以下原則。1.規(guī)范原則信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行要有安全規(guī)范要求。要根據(jù)本機(jī)構(gòu)或本部門的安全要求制定相應(yīng)的安全政策，安全政策中要根據(jù)需要采用必要的安全功能，選用必要的安全設(shè)備，不應(yīng)盲目開發(fā)、自由設(shè)計(jì)、違章操作、無人管理。2.預(yù)防原則在信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、采購、集成、安裝中應(yīng)該同步考慮安全政策和安全功能具備的程度，以預(yù)防為主的指導(dǎo)思想對(duì)待信息安全問題，不能存在僥幸心理。

編輯推薦

《信息安全管理與風(fēng)險(xiǎn)評(píng)估》是由電子工業(yè)出版社出版的。

圖書封面

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全管理與風(fēng)險(xiǎn)評(píng)估 PDF格式下載

---