本書介紹了認識風(fēng)險評估�、信息安全風(fēng)險評估的主要內(nèi)容��、實施流程�、評估工具、評估案例��、安全管理措施���、手機客戶端安全檢測��、云計算信息安全風(fēng)險評估���。
本書主要面向國家和地方政府部門�、大型企事業(yè)單位的信息安全管理人員���,以及信息安全專業(yè)人員�,可作為培訓(xùn)教材和參考書使用����。本書對進行信息安全風(fēng)險評估、風(fēng)險管理��、ISMS(ISO/IEC27001)認證等具有較高的實用參考價值��。
隨著信息化進程的深入和互聯(lián)網(wǎng)產(chǎn)業(yè)的迅速發(fā)展��,人們的工作�����、學(xué)習(xí)和生活方式正在發(fā)生巨大變化����,效率大為提高���,信息資源得到共享���。但必須看到����,緊隨信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸凸出�����,如果不能很好地解決這個問題��,必將阻礙信息化發(fā)展的進程���。網(wǎng)絡(luò)安全問題已成為信息時代人類共同面臨的挑戰(zhàn)����,國內(nèi)的網(wǎng)絡(luò)安全問題也日益突出�����。
同時�����,各國圍繞互聯(lián)網(wǎng)關(guān)鍵資源和網(wǎng)絡(luò)空間國際規(guī)則的角逐將更加激烈,工業(yè)控制系統(tǒng)����、智能技術(shù)應(yīng)用、云計算�、移動支付領(lǐng)域面臨的網(wǎng)絡(luò)安全風(fēng)險進一步加大,黑客組織和網(wǎng)絡(luò)恐怖組織等發(fā)起的網(wǎng)絡(luò)安全攻擊將持續(xù)增加����,影響力和破壞性顯著增強,我國網(wǎng)絡(luò)安全形勢更加嚴(yán)峻���。
個人�、企業(yè)乃至國家的信息安全需要科學(xué)���、系統(tǒng)地進行防護建設(shè)���,信息安全風(fēng)險評估基于ISO27001的國際標(biāo)準(zhǔn),是信息系統(tǒng)安全的基礎(chǔ)性工作����。它是傳統(tǒng)的風(fēng)險理論和方法在信息系統(tǒng)中的運用,是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性��、完整性��、可用性等方面所面臨的風(fēng)險�����,并在風(fēng)險的減少����、轉(zhuǎn)移和規(guī)避等風(fēng)險控制方法之間做出決策的過程。
作為新時代信息安全書籍����,本書中加入了風(fēng)險評估案例,理論與實踐內(nèi)容結(jié)合�����,相信可以讓廣大讀者獲取到更多的實踐知識點�。同時,也期待讀者通過閱讀�、學(xué)習(xí),可以用所學(xué)知識為國家做出更大的貢獻����!
目錄
推薦語
前言
第1章認識風(fēng)險評估
1.1信息安全風(fēng)險評估的基本概念
1.1.1風(fēng)險評估介紹
1.1.2風(fēng)險評估的基本注意事項
1.2信息安全風(fēng)險評估相關(guān)標(biāo)準(zhǔn)
1.3信息安全標(biāo)準(zhǔn)化組織
1.3.1國際標(biāo)準(zhǔn)化組織介紹
1.3.2國外標(biāo)準(zhǔn)化組織介紹
1.3.3國內(nèi)標(biāo)準(zhǔn)化組織介紹
1.4信息安全風(fēng)險評估的發(fā)展與現(xiàn)狀
1.4.1信息安全風(fēng)險評估的發(fā)展
1.4.2信息安全風(fēng)險評估的現(xiàn)狀
思考題
第2章信息安全風(fēng)險評估的主要內(nèi)容
2.1信息安全風(fēng)險評估工作概述
2.1.1風(fēng)險評估的依據(jù)
2.1.2風(fēng)險評估的原則
2.1.3風(fēng)險評估的相關(guān)術(shù)語
2.2風(fēng)險評估基礎(chǔ)模型
2.2.1風(fēng)險要素關(guān)系模型
2.2.2風(fēng)險分析原理
2.2.3風(fēng)險評估方法
2.3信息系統(tǒng)生命周期各階段的風(fēng)險評估
2.3.1規(guī)劃階段的信息安全風(fēng)險評估
2.3.2設(shè)計階段的信息安全風(fēng)險評估
2.3.3實施階段的信息安全風(fēng)險評估
2.3.4運維階段的信息安全風(fēng)險評估
2.3.5廢棄階段的信息安全風(fēng)險評估
思考題
信息安全風(fēng)險評估手冊
第3章信息安全風(fēng)險評估實施流程
3.1風(fēng)險評估準(zhǔn)備工作
3.2資產(chǎn)識別
3.2.1資產(chǎn)分類
3.2.2資產(chǎn)賦值
3.3威脅識別
3.3.1威脅分類
3.3.2威脅賦值
3.4脆弱性識別
3.4.1脆弱性識別內(nèi)容
3.4.2脆弱性賦值
3.5確認已有安全措施
3.6風(fēng)險分析
3.6.1風(fēng)險計算原理
3.6.2風(fēng)險結(jié)果判定
3.6.3風(fēng)險處置計劃
3.7風(fēng)險評估記錄
3.7.1風(fēng)險評估文件記錄的要求
3.7.2風(fēng)險評估文件
3.8風(fēng)險評估工作形式
3.8.1自評估
3.8.2檢查評估
3.9風(fēng)險計算方法
3.9.1矩陣法計算風(fēng)險
3.9.2相乘法計算風(fēng)險
思考題
第4章信息安全風(fēng)險評估工具
4.1風(fēng)險評估工具
4.1.1ASSET
4.1.2RiskWatch
4.1.3COBRA
4.1.4CRAMM
4.1.5CORA
4.2主機系統(tǒng)風(fēng)險評估工具
4.2.1MBSA
4.2.2Metasploit滲透工具
4.2.3雪豹自動化檢測滲透工具
4.3應(yīng)用系統(tǒng)風(fēng)險評估工具
4.3.1AppScan
4.3.2Web Vulnerability Scanner
4.4手機端安全評估輔助工具
4.5風(fēng)險評估輔助工具
4.5.1資產(chǎn)調(diào)研表
4.5.2人員訪談模板
4.5.3基線檢查模板
4.5.4風(fēng)險評估工作申請單
4.5.5項目計劃及會議紀(jì)要
思考題
第5章信息安全風(fēng)險評估案例
5.1概述
5.1.1評估內(nèi)容
5.1.2評估依據(jù)
5.2安全現(xiàn)狀分析
5.2.1系統(tǒng)介紹
5.2.2資產(chǎn)調(diào)查列表
5.2.3網(wǎng)絡(luò)現(xiàn)狀
5.3安全風(fēng)險評估的內(nèi)容
5.3.1安全評估綜合分析
5.3.2威脅評估
5.3.3網(wǎng)絡(luò)設(shè)備安全評估
5.3.4主機人工安全評估
5.3.5應(yīng)用安全評估
5.3.6網(wǎng)絡(luò)架構(gòu)安全評估
5.3.7無線網(wǎng)絡(luò)安全評估
5.3.8工具掃描
5.3.9管理安全評估
5.4綜合風(fēng)險分析
5.4.1綜合風(fēng)險評估方法
5.4.2綜合風(fēng)險評估分析
5.5風(fēng)險處置
5.5.1風(fēng)險處置方式
5.5.2風(fēng)險處置計劃
思考題
第6章信息安全管理控制措施
6.1選擇控制措施的方法
6.1.1信息安全起點
6.1.2關(guān)鍵的成功因素
6.1.3制定自己的指導(dǎo)方針
6.2選擇控制措施的過程
6.3完善信息安全管理組織架構(gòu)
6.4信息安全管理控制規(guī)范
思考題
第7章手機客戶端安全檢測
7.1APK文件安全檢測技術(shù)
7.1.1安裝包證書檢驗
7.1.2證書加密測試
7.1.3代碼保護測試
7.1.4登錄界面劫持測試
7.1.5日志打印測試
7.1.6敏感信息測試
7.1.7登錄過程測試
7.1.8密碼加密測試
7.1.9檢測是否有測試文件
7.1.10代碼中是否含有測試信息
7.1.11加密方式測試
7.2APK文件安全保護建議
7.2.1Android原理
7.2.2APK文件保護步驟
思考題
第8章云計算信息安全風(fēng)險評估
8.1云計算安全與傳統(tǒng)安全的區(qū)別
8.2云計算信息安全檢測的新特性
8.2.1云計算抗DDOS的安全
8.2.2云計算多用戶可信領(lǐng)域安全
8.2.3云計算的其他安全新特性
8.3云計算安全防護
8.3.1針對APT攻擊防護
8.3.2針對惡意DDOS攻擊防護
思考題
書單推薦
