信息安全测评与风险评估

图书标准信息

• 作者 向宏 著
• 出版社 电子工业出版社
• 出版时间 2014-06
• 版次 01
• ISBN 9787121231636
• 定价 49.50元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 396页
• 字数 99999千字
• 正文语种 简体中文
• 丛书 “信息化与信息社会”系列丛书之高等学校信息安全专业系列教材

【内容简介】

本书分为四部分共14章。第1部分（第1、2章）介绍信息安全测评思想和方法；第2部分（第3章至第6章）介绍测评技术和流程；第3部分（第7章至第13章）介绍风险评估、应急响应、法律法规和信息安全管理体系；第4部分（第14章）介绍了国外在信息安全测评领域的最新进展。全书涉及的信息安全等级保护、风险评估、应急响应和信息安全管理体系等国家标准，均属于我国开展信息安全保障工作中所依据的核心标准集。

【作者简介】

向宏，重庆大学软件学院，教授，数学及信息安全专业。“信息安全风险评估工程实施手册研究”（项目负责人）；多项重庆市信息产业发展基金项目（省部级项目负责人）；教育部全国双语教学示范课程（信息安全导论，主讲教师）

【目录】

第1章  信息安全测评思想1
要点：本章结束之后，读者应当了解和掌握1
序幕：何危最险2
1．1  信息安全测评的科学精神2
1．2  信息安全测评的科学方法3
1．3  信息安全测评的贯标思想5
1．4  信息安全标准化组织6
1．4．1  国际标准化组织6
1．4．2  国外标准化组织7
1．4．3  国内标准化组织8
1．5  本章小结9
尾声：三位旅行者9
观感9
第2章  信息安全测评方法11
要点：本章结束之后，读者应当了解和掌握11
序幕：培根的《新工具》12
2．1  为何测评12
2．1．1  信息系统安全等级保护标准与TCSEC13
2．1．2  中国的计算机安全等级保护标准15
2．1．3  安全域17
2．2  何时测评18
2．3  测评什么19
2．3．1  外网测评特点20
2．3．2  内网测评特点21
2．4  谁来测评22
2．5  如何准备测评23
2．6  怎样测评27
2．6．1  测评案例――“天网”工程27
2．6．2  启动“天网”测评29
2．7  本章小结32
尾声：比《新工具》更新的是什么32
观感32
第3章  数据安全测评技术35
要点：本章结束之后，读者应当了解和掌握35
序幕：谜已解，史可鉴36
3．1  数据安全测评的诸方面36
3．2  数据安全测评的实施38
3．2．1  数据安全访谈调研38
3．2．2  数据安全现场检查43
3．2．3  数据安全测试54
3．3  本章小结57
尾声：窃之犹在57
观感58
第4章  主机安全测评技术61
要点：本章结束之后，读者应当了解和掌握61
序幕：第一代黑客62
4．1  主机安全测评的诸方面62
4．2  主机安全测评的实施64
4．2．1  主机安全访谈调研64
4．2．2  主机安全现场检查68
4．2．3  主机安全测试87
4．3  本章小结95
尾声：可信赖的主体96
观感96
第5章  网络安全测评技术97
要点：本章结束之后，读者应当了解和掌握97
序幕：围棋的智慧98
5．1  网络安全测评的诸方面98
5．2  网络安全测评的实施100
5．2．1  网络安全访谈调研100
5．2．2  网络安全现场检查105
5．2．3  网络安全测试128
5．3  本章小结139
尾声：墙、门、界139
观感140
第6章  应用安全测评技术141
要点：本章结束之后，读者应当了解和掌握141
序幕：机器会思考吗142
6．1  应用安全测评的诸方面142
6．2  应用安全测评的实施143
6．2．1  应用安全访谈调研143
6．2．2  应用安全现场检查147
6．2．3  应用安全测试162
6．3  本章小结179
尾声：史上最“万能”的机器179
观感180
第7章  资产识别181
要点：本章结束之后，读者应当了解和掌握181
序幕：伦敦大火启示录182
7．1  风险概述182
7．2  资产识别的诸方面186
7．2．1  资产分类186
7．2．2  资产赋值190
7．3  资产识别案例分析193
7．3．1  模拟案例背景简介193
7．3．2  资产分类195
7．3．3  资产赋值207
7．3．4  资产识别输出报告215
7．4  本章小结215
尾声：我们究竟拥有什么216
观感216
第8章  威胁识别217
要点：本章结束之后，读者应当了解和掌握217
序幕：威胁在哪里218
8．1  威胁概述218
8．2  威胁识别的诸方面220
8．2．1  威胁分类――植树和剪枝220
8．2．2  威胁赋值――统计222
8．3  威胁识别案例分析224
8．3．1  “数字兰曦”威胁识别224
8．3．2  威胁识别输出报告235
8．4  本章小结236
尾声：在鹰隼盘旋的天空下236
观感236
第9章  脆弱性识别237
要点：本章结束之后，读者应当了解和掌握237
序幕：永恒的阿基里斯之踵238
9．1  脆弱性概述238
9．2  脆弱性识别的诸方面240
9．2．1  脆弱性发现240
9．2．2  脆弱性分类241
9．2．3  脆弱性验证242
9．2．4  脆弱性赋值242
9．3  脆弱性识别案例分析243
9．3．1  信息环境脆弱性识别244
9．3．2  公用信息载体脆弱性识别246
9．3．3  脆弱性仿真验证249
9．3．4  脆弱性识别输出报告261
9．4  本章小结261
尾声：木马歌261
观感262
第10章  风险分析263
要点：本章结束之后，读者应当了解和掌握263
序幕：烽火的演变264
10．1  风险分析概述264
10．2  风险计算265
10．2．1  相乘法原理267
10．2．2  风险值计算示例267
10．3  风险定级268
10．4  风险控制269
10．5  残余风险270
10．6  风险评估案例分析270
10．6．1  信息环境风险计算271
10．6．2  人员资产风险计算271
10．6．3  管理制度风险计算271
10．6．4  机房风险计算271
10．6．5  信息环境风险统计272
10．6．6  公用信息载体风险计算272
10．6．7  专用信息及信息载体的风险计算273
10．6．8  风险计算报告274
10．6．9  风险控制示例274
10．6．10  风险控制计划278
10．7  本章小结279
尾声：“勇敢”的反面是什么279
观感280
第11章  应急响应281
要点：本章结束之后，读者应当了解和掌握281
序幕：虚拟社会的消防队282
11．1  应急响应概述282
11．2  应急响应计划283
11．2．1  应急响应计划的准备284
11．2．2  应急响应计划制定中应注意的问题286
11．2．3  应急响应计划的制定287
11．2．4  应急响应计划的培训、演练和更新299
11．2．5  文档的保存、分发与维护301
11．3  应急响应计划案例分析301
11．3．1  南海大学信息安全应急响应计划示例302
11．3．2  “南洋烽火”计划302
11．4  本章小结311
尾声：如何变“惊慌失措”为“从容不迫”311
观感312
第12章  法律和法规313
要点：本章结束之后，读者应当了解和掌握313
序幕：神话世界中需要秩序吗314
12．1  计算机犯罪概述314
12．2  信息安全法律和法规简介316
12．2．1  美国有关法律316
12．2．2  中国信息安全法律和法规的历史沿革324
12．3  本章小结327
尾声：从囚徒困境说起327
观感328
第13章  信息安全管理体系329
要点：本章结束之后，读者应当了解和掌握329
序幕：武学的最高境界330
13．1  ISMS概述330
13．2  ISMS主要内容333
13．2．1  计划（Plan）333
13．2．2  实施（Do）340
13．2．3  检查（Check）340
13．2．4  处置（Act）341
13．3  本章小结342
尾声：实力源于何处343
观感343
第14章  信息安全测评新领域345
要点：本章结束之后，读者应当了解和掌握345
序幕：大师与大漠346
14．1  信息安全测评新领域概述346
14．2  工业控制系统安全测评347
14．2．1  ICS简介348
14．2．2  ICS安全与IT安全351
14．2．3  ICS安全防护技术简介353
14．2．4  ICS系统安全评估354
14．3  美国国家网络靶场一览358
14．3．1  网络靶场的总目标358
14．3．2  网络靶场的测试需求361
14．3．3  网络靶场的关键技术362
14．3．4  网络靶场的试验床简介365
14．4  本章小结368
尾声：虚拟与现实368
参考文献369