信息安全風(fēng)險管理方法及應(yīng)用

前言

信息化現(xiàn)在逐步進入人們的生活，融入到人類社會的每一個角落，并不斷推動著社會的進步和發(fā)展。然而，無處不在的信息孕育著隨時可發(fā)生的風(fēng)險。伴隨著社會經(jīng)濟對信息化依賴程度越來越高，各種惡意代碼、黑客攻擊、信息泄漏等安全事件時有發(fā)生，信息安全問題所導(dǎo)致的損失成倍增長。面對日益增長的安全需求，單靠技術(shù)手段是不可能從根本上解決信息安全問題的。絕大多數(shù)信息安全問題都是管理方面的缺陷，需要通過管理、技術(shù)、組織、物理等綜合方法來解決信息安全問題。由此，信息安全風(fēng)險管理應(yīng)運而生。在信息安全領(lǐng)域，風(fēng)險管理就是最大范圍地保護信息資產(chǎn)，確保信息的保密性、完整性和可用性，在可接受的成本范圍之內(nèi)，識別、控制和降低或排除（可能影響信息系統(tǒng)的）安全風(fēng)險的流程。因此，掌握信息安全風(fēng)險識別、風(fēng)險評估和風(fēng)險控制的方法.企業(yè)才能充分利用信息技術(shù)提供更便捷和更優(yōu)質(zhì)的產(chǎn)品或服務(wù)，同時又保障了信息的合理使用和安全。目前學(xué)術(shù)界關(guān)于信息安全風(fēng)險管理的研究，大多局限于某一個方面，鮮有對整個風(fēng)險管理流程各階段內(nèi)容的研究。同時，與信息安全風(fēng)險管理相關(guān)的國際標(biāo)準(zhǔn)，對方法的介紹比較泛泛，企業(yè)在應(yīng)用過程中往往無所適從。因此，本書從信息安全風(fēng)險管理的流程出發(fā)，研究各個階段，即風(fēng)險識別階段、風(fēng)險評估階段和風(fēng)險控制階段的實施方法，并加以應(yīng)用，對企業(yè)的具體實踐提供理論指導(dǎo)，幫助企業(yè)建立合理的信息安全管理體系。

內(nèi)容概要

本書從信息安全風(fēng)險管理體系建立的流程出發(fā)，研究了各階段的工作內(nèi)容及方法，并引入博弈論進行分析以對信息安全的管理提供決策依據(jù)，從而對企業(yè)的信息安全風(fēng)險管理實踐提供指導(dǎo)。

作者簡介

呂俊杰，2007年6月畢業(yè)于北京航空航天大學(xué)管理科學(xué)與工程專業(yè)，師從于風(fēng)險管理領(lǐng)域著名專家邱菀華教授，獲博士學(xué)位。2007年7到北京工商大學(xué)商學(xué)院任教，主要研究方向為信息安全、風(fēng)險評估、風(fēng)險管理、決策理論等。
　　作為課題負責(zé)人，承擔(dān)并完成了國家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項項目“信息安全風(fēng)險自評估理論研究”；作為主要研究者，參加了49國家自然科學(xué)基金項目，1項國家軟科學(xué)研究計劃項目以及多項省部級項目的研究工作i作為編寫者，參與了國家信息中心2項信息安全相關(guān)國家標(biāo)準(zhǔn)草案的編寫工作；作為項目負責(zé)人，承擔(dān)了多項企業(yè)信息安全風(fēng)險評估和風(fēng)險管理項目。
　　截至2007年4月，已在國際學(xué)術(shù)會議以及國內(nèi)一級學(xué)術(shù)期刊上發(fā)表并被錄用學(xué)術(shù)論文20余篇，相關(guān)論文已被El、ISTP檢索20余篇次。

書籍目錄

第一章　緒論　第一節(jié)　選題背景　第二節(jié)　信息安全風(fēng)險管理的發(fā)展歷史　第三節(jié)　信息安全風(fēng)險管理標(biāo)準(zhǔn)概述　　一、BS7799／IS027001&IS027002　　二、CC／IS0—IECl5408　　三、IS0／IECl3335　　四、0CTAVE　　五、SSE．CMM　第四節(jié)　信息安全風(fēng)險管理方法研究　　一、風(fēng)險管理理論發(fā)展歷程　　二、風(fēng)險管理主要內(nèi)容和方法　　三、信息安全風(fēng)險管理方法研究現(xiàn)狀　第五節(jié)　本書的工作概要第二章　基于流程優(yōu)化的信息安全風(fēng)險識別方法　第一節(jié)　信息安全風(fēng)險與風(fēng)險管理　　一、信息安全的含義　　二、信息安全風(fēng)險與風(fēng)險管理的內(nèi)涵　第二節(jié)　信息安全風(fēng)險識別　　一、資產(chǎn)識別　　二、威脅識別　　三、脆弱性識別　　四、資產(chǎn)／威脅／脆弱性映射　　五、已有的安全控制措施識別　第三節(jié)　基于流程優(yōu)化的信息安全風(fēng)險識別方法　　一、信息流的特征以及信息流的優(yōu)化方法　　二、多因素設(shè)計結(jié)構(gòu)矩陣方法　　三、多因素結(jié)構(gòu)矩陣的優(yōu)化方法　第四節(jié)　層次化的資產(chǎn)識別與評估方法　　一、問題描述　　二、作業(yè)一資產(chǎn)識別模型　　三、層次化的關(guān)鍵資產(chǎn)評估模型　　四、應(yīng)用舉例　第五節(jié)　本章　小結(jié)第三章　基于三角模糊數(shù)的信息安全風(fēng)險評估方法　第一節(jié)　風(fēng)險評估方法介紹　第二節(jié)　模糊集以及三角模糊數(shù)　　一、模糊集的相關(guān)定義　　二、三角模糊數(shù)及其相關(guān)性質(zhì)　第三節(jié)　基于三角模糊數(shù)的信息安全風(fēng)險評估方法　　一、語言評價條件下的信息安全風(fēng)險評估矩陣　　二、信息安全風(fēng)險評估短陣集結(jié)方法　　三、基于三角模糊數(shù)的信息安全風(fēng)險評估方法　　四、算例　第四節(jié)　本章　小結(jié)第四章　信息安全風(fēng)險控制及安全措施排序方法　第一節(jié)　信息安全風(fēng)險控制的內(nèi)容　　一、選擇風(fēng)險控制方式　　二、選擇風(fēng)險控制措施　　三、對控制措施的評價　……第五章　信息安全風(fēng)險管理的運行與有效性測量第六章　信息安全風(fēng)險管理機制設(shè)計第七章　多主體信息安全風(fēng)險管理策略模型第八章　基于安全控制模型的信息安全風(fēng)險評估及風(fēng)險控制參考文獻附錄后記

章節(jié)摘錄

插圖：標(biāo)準(zhǔn)化組織采納為國際標(biāo)準(zhǔn)，編號為ISO15408。這個期間英國自己還研發(fā)了基于風(fēng)險管理的BS7799信息安全管理標(biāo)準(zhǔn)，澳大利亞和新西蘭制定了共同的風(fēng)險管理標(biāo)準(zhǔn)AS／NES4360。1997年12月，美國國防部發(fā)表了《信息技術(shù)安全認證和批準(zhǔn)程序》（DITSCAP），成為美國涉密信息系統(tǒng)的安全評估和風(fēng)險管理的重要標(biāo)準(zhǔn)和依據(jù)。3.2 0世紀(jì)90年代末至今，國際范圍的風(fēng)險管理實踐與理論進入第三個階段，即全球化階段由于20世紀(jì)90年代以來互聯(lián)網(wǎng)、移動通信和跨國光纜的高速發(fā)展，各國原本局限于本國內(nèi)的信息網(wǎng)絡(luò)迅速跨越國境連成一片。與此同時，信息安全也成為世界各國面臨的共同挑戰(zhàn)。2002年，美國通過了一部聯(lián)邦信息安全管理法案（FISMA）。根據(jù)該法案，美國國家標(biāo)準(zhǔn)和技術(shù)委員會（NIST）負責(zé)為美國政府和商業(yè)機構(gòu)提供信息安全管理相關(guān)的標(biāo)準(zhǔn)規(guī)范。NISTSP800系列已經(jīng)出版了近90本同信息安全相關(guān)的正式文件，形成了從計劃、風(fēng)險管理、安全意識培訓(xùn)和教育以及安全控制措施的一整套信息安全管理體系。其中，正式發(fā)布的此類標(biāo)準(zhǔn)主要有：SP80026信息技術(shù)系統(tǒng)安全自評估指南（2001年）、SP800-30信息技術(shù)系統(tǒng)風(fēng)險管理指南（2002年）、SPS00-5lCVE使用和漏洞命名法（2002年），等等。

后記

20世紀(jì)90年代以來，隨著經(jīng)濟全球化和世界科技革命，信息技術(shù)、信息產(chǎn)業(yè)和信息網(wǎng)絡(luò)的蓬勃發(fā)展，社會信息化程度不斷加深，信息對國家、組織和個人發(fā)展的影響日益增加、日益突出。國家、企業(yè)和個人對信息安全性要求也變得越來越高。與此同時，各種黑客利用系統(tǒng)安全弱點不斷地開展新型攻擊，網(wǎng)絡(luò)攻擊群體的規(guī)模迅速擴大，攻擊水平飛速提高，攻擊所造成的影響也不斷嚴重，信息系統(tǒng)所面臨的安全風(fēng)險和威脅日趨嚴重。信息系統(tǒng)安全問題單憑技術(shù)是無法得到徹底解決的，管理與技術(shù)相結(jié)合的觀點也日益被學(xué)術(shù)界和實業(yè)界所接受。由此，信息安全風(fēng)險管理應(yīng)運而生。在信息安全領(lǐng)域，風(fēng)險管理是指最大范圍地保護信息資產(chǎn)，確保信息的保密性、完整性和可用性，在可接受的成本范圍內(nèi)，識別、控制和降低或排除（可能影響信息系統(tǒng)的）安全風(fēng)險的流程。本書就從這一流程出發(fā)，注重可操作性，分別研究了風(fēng)險識別、風(fēng)險評估、風(fēng)險控制的方法，對企業(yè)信息安全實踐提供指導(dǎo)。然而，由于時間和個人能力有限，書中的瑕疵紕漏在所難免，有待同行專家批評指正。本書的完成僅僅我一個人的力量是遠遠不夠的。在此，我由衷地感謝我的恩師邱菀華教授，是在她對我的悉心指導(dǎo)、幫助、支持、鼓勵下，本書的研究才得以順利完成！邱老師聰慧博學(xué)的頭腦、敏銳深刻的洞察力、勤奮嚴謹?shù)目茖W(xué)作風(fēng)、嚴肅認真的治學(xué)態(tài)度和高尚的學(xué)術(shù)道德，都使我受益匪淺。

編輯推薦

《信息安全風(fēng)險管理方法及應(yīng)用》是由知識產(chǎn)權(quán)出版社出版的。

圖書封面

評論、評分、閱讀與下載

---

    信息安全風(fēng)險管理方法及應(yīng)用 PDF格式下載

---