123,123,123

內(nèi)容簡(jiǎn)介

　　以信息安全管理為主線，以信息安全風(fēng)險(xiǎn)評(píng)估為重點(diǎn)，對(duì)近年來國(guó)內(nèi)外信息安全管理與風(fēng)險(xiǎn)評(píng)估的研究成果和應(yīng)用實(shí)踐，進(jìn)行系統(tǒng)歸納和總結(jié)，全面介紹信息安全管理、信息安全風(fēng)險(xiǎn)管理、信息安全風(fēng)險(xiǎn)評(píng)估的基本知識(shí)、相關(guān)標(biāo)準(zhǔn)或指南，以及信息安全風(fēng)險(xiǎn)評(píng)估的工具、方法、過程等?！缎畔踩芾砼c風(fēng)險(xiǎn)評(píng)估》層次分明，結(jié)構(gòu)合理，敘述嚴(yán)謹(jǐn)，重點(diǎn)突出，注重實(shí)驗(yàn)環(huán)節(jié)。根據(jù)章節(jié)內(nèi)容，適量安排實(shí)驗(yàn)內(nèi)容，并且將實(shí)驗(yàn)與習(xí)題分開，獨(dú)立編寫。《信息安全管理與風(fēng)險(xiǎn)評(píng)估》可作為高等學(xué)校信息安全、信息管理與信息系統(tǒng)、計(jì)算機(jī)科學(xué)與技術(shù)等專業(yè)本、?？茖W(xué)生的教材，也可作為從事信息化相關(guān)工作的領(lǐng)導(dǎo)、技術(shù)與管理人員的參考書。

作者簡(jiǎn)介

暫缺《信息安全管理與風(fēng)險(xiǎn)評(píng)估》作者簡(jiǎn)介

圖書目錄

第1章信息安全管理概述
　1.1 信息與信息安全
　　1.1.1 信息
　　1.1.2 信息安全
　1.2 信息安全管理
　1.3 信息安全管理的目的
　1.4 信息安全管理遵循的原則
　習(xí)題1
第2章信息安全管理標(biāo)準(zhǔn)
　2.1 國(guó)外信息安全管理標(biāo)準(zhǔn)
　　2.1.1 信息安全管理標(biāo)準(zhǔn)BS 7799
　　2.1.2 ISO/IEC 13335
　　2.1.3 ISO/IEC 27001:2005
　　2.1.4 CC準(zhǔn)則
　2.2 我國(guó)的信息安全管理標(biāo)準(zhǔn)
　　2.2.1 我國(guó)的信息安全管理標(biāo)準(zhǔn)概述
　　2.2.2 GB/T 19715標(biāo)準(zhǔn)
　　2.2.3 GB/T 19716—2005
　習(xí)題2
第3章信息安全管理的實(shí)施
　3.1 信息安全管理標(biāo)準(zhǔn)BS 7799實(shí)施中的問題
　　3.1.1 企業(yè)信息安全管理的現(xiàn)狀
　　3.1.2 信息安全管理標(biāo)準(zhǔn)實(shí)施的誤區(qū)
　　3.1.3 靈活使用BS 7799
　3.2 BS 7799信息安全管理實(shí)施案例
　　3.2.1 信息安全管理體系認(rèn)證實(shí)施案例
　　3.2.2 BS 7799框架下安全產(chǎn)品與技術(shù)的具體實(shí)現(xiàn)
　習(xí)題3
第4章信息安全風(fēng)險(xiǎn)管理
　4.1 信息安全風(fēng)險(xiǎn)管理概述
　　4.1.1 信息安全風(fēng)險(xiǎn)管理的概念
　　4.1.2 相關(guān)要素及概念
　　4.1.3 信息安全風(fēng)險(xiǎn)管理各要素間的關(guān)系
　4.2 AS/NZS 4360:1999
　　4.2.1 AS/NZS 4360:1999簡(jiǎn)介
　　4.2.2 AS/NZS 4360:1999的內(nèi)容
　　4.2.3 AS/NZS 4360:1999風(fēng)險(xiǎn)管理流程
　4.3 NIST SP800-30
　　4.3.1 NIST SP800-30簡(jiǎn)介
　　4.3.2 NIST SP800-30的內(nèi)容
　　4.3.3 NIST SP800-30風(fēng)險(xiǎn)管理流程
　4.4 The Security Risk Management Guide
　　4.4.1 The Security Risk Management Guide簡(jiǎn)介
　　4.4.2 The Security Risk Management Guide的內(nèi)容
　　4.4.3 微軟風(fēng)險(xiǎn)管理流程
　4.5 GB/T 20269—2006
　　4.5.1 GB/T 20269—2006簡(jiǎn)介
　　4.5.2 GB/T 20269—2006的內(nèi)容
　　4.5.3 GB/T 20269—2006風(fēng)險(xiǎn)管理
　習(xí)題4
第5章信息安全風(fēng)險(xiǎn)評(píng)估概述
　5.1 信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況
　　5.1.1 國(guó)外信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況
　　5.1.2 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀
　5.2 信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義
　5.3 信息安全風(fēng)險(xiǎn)評(píng)估的原則
　5.4 信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)概念
　　5.4.1 信息安全風(fēng)險(xiǎn)評(píng)估的概念
　　5.4.2 信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的關(guān)系
　　5.4.3 信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式
　　5.4.4 信息安全風(fēng)險(xiǎn)評(píng)估的分類
　5.5 國(guó)外信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)
　　5.5.1 OCTAVE
　　5.5.2 SSE-CMM
　　5.5.3 GAO/AIMD-99-139
　5.6 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T 20984—2007
　　5.6.1 GB/T 20984—2007簡(jiǎn)介
　　5.6.2 GB/T 20984—2007的內(nèi)容
　　5.6.3 GB/T 20984—2007的風(fēng)險(xiǎn)評(píng)估實(shí)施過程
　5.7 信息安全風(fēng)險(xiǎn)評(píng)估方法
　　5.7.1 概述
　　5.7.2 典型的信息安全風(fēng)險(xiǎn)評(píng)估方法
　5.8 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估
　　5.8.1 規(guī)劃階段的信息安全風(fēng)險(xiǎn)評(píng)估　　
　　5.8.2 設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)評(píng)估
　　5.8.3 實(shí)施階段的信息安全風(fēng)險(xiǎn)評(píng)估
　　5.8.4 運(yùn)維階段的信息安全風(fēng)險(xiǎn)評(píng)估
　　5.8.5 廢棄階段的信息安全風(fēng)險(xiǎn)評(píng)估
　習(xí)題5
　上機(jī)實(shí)驗(yàn)
第6章信息安全風(fēng)險(xiǎn)評(píng)估工具
　6.1 風(fēng)險(xiǎn)評(píng)估與管理工具
　　6.1.1 MBSA
　　6.1.2 COBRA
　　6.1.3 CRAMM
　　6.1.4 ASSET
　　6.1.5 RiskWatch
　　6.1.6 其他風(fēng)險(xiǎn)評(píng)估與管理工具
　　6.1.7 常用風(fēng)險(xiǎn)評(píng)估與管理工具對(duì)比
　6.2 系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具
　　6.2.1 脆弱性掃描工具
　　6.2.2 流光（Fluxay）脆弱性掃描工具
　　6.2.3 Nessus脆弱性掃描工具
　　6.2.4 極光遠(yuǎn)程安全評(píng)估系統(tǒng)
　　6.2.5 天鏡脆弱性掃描與管理系統(tǒng)
　　6.2.6 滲透測(cè)試工具
　　6.2.7 Metasploit滲透工具
　　6.2.8 Immunity CANVAS滲透測(cè)試工具
　6.3 風(fēng)險(xiǎn)評(píng)估輔助工具
　　6.3.1 調(diào)查問卷
　　6.3.2 檢查列表
　　6.3.3 人員訪談
　　6.3.4 入侵檢測(cè)工具
　　6.3.5 安全審計(jì)工具
　　6.3.6 拓?fù)浒l(fā)現(xiàn)工具
　　6.3.7 其他：評(píng)估指標(biāo)庫(kù)、知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)、模型庫(kù)
　6.4 信息安全風(fēng)險(xiǎn)評(píng)估工具的發(fā)展方向和最新成果
　習(xí)題6
　上機(jī)實(shí)驗(yàn)
第7章信息安全風(fēng)險(xiǎn)評(píng)估的基本過程
　7.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程
　7.2 評(píng)估準(zhǔn)備
　　7.2.1 確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)
　　7.2.2 確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍
　　7.2.3 組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)
　　7.2.4 進(jìn)行系統(tǒng)調(diào)研
　　7.2.5 確定信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)和方法
　　7.2.6 制定信息安全風(fēng)險(xiǎn)評(píng)估方案
　　7.2.7 獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持
　7.3 識(shí)別并評(píng)價(jià)資產(chǎn)
　　7.3.1 識(shí)別資產(chǎn)
　　7.3.2 資產(chǎn)分類
　　7.3.3 資產(chǎn)賦值
　　7.3.4 輸出結(jié)果
　7.4 識(shí)別并評(píng)估威脅
　　7.4.1 威脅識(shí)別　
　　7.4.2 威脅分類
　　7.4.3 威脅賦值
　　7.4.4 輸出結(jié)果
　7.5 識(shí)別并評(píng)估脆弱性
　　7.5.1 脆弱性識(shí)別
　　7.5.2 脆弱性分類
　　7.5.3 脆弱性賦值
　　7.5.4 輸出結(jié)果
　7.6 識(shí)別安全措施和輸出結(jié)果
　　7.6.1 識(shí)別安全措施
　　7.6.2 輸出結(jié)果
　7.7 分析可能性和影響
　　7.7.1 分析可能性
　　7.7.2 分析影響
　7.8 風(fēng)險(xiǎn)計(jì)算
　　7.8.1 使用矩陣法計(jì)算風(fēng)險(xiǎn)
　　7.8.2 使用相乘法計(jì)算風(fēng)險(xiǎn)
　7.9 風(fēng)險(xiǎn)處理
　　7.9.1 現(xiàn)存風(fēng)險(xiǎn)判斷
　　7.9.2 控制目標(biāo)確定
　　7.9.3 控制措施選擇
　7.10 編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告
　習(xí)題7
第8章信息安全風(fēng)險(xiǎn)評(píng)估實(shí)例
　8.1 評(píng)估準(zhǔn)備
　　8.1.1 確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)
　　8.1.2 確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍
　　8.1.3 組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)
　　8.1.4 進(jìn)行系統(tǒng)調(diào)研　　
　　8.1.5 評(píng)估依據(jù)
　　8.1.6 信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施方案
　　8.1.7 獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持
　8.2 識(shí)別并評(píng)價(jià)資產(chǎn)
　　8.2.1 識(shí)別資產(chǎn)
　　8.2.2 資產(chǎn)賦值
　　8.2.3 資產(chǎn)價(jià)值
　8.3 識(shí)別并評(píng)估威脅
　8.4 識(shí)別并評(píng)估脆弱性
　8.5 分析可能性和影響
　　8.5.1 分析威脅發(fā)生的頻率　　
　　8.5.2 分析脆弱性嚴(yán)重程度
　8.6 風(fēng)險(xiǎn)計(jì)算
　　8.6.1 使用矩陣法計(jì)算風(fēng)險(xiǎn)
　　8.6.2 使用相乘法計(jì)算風(fēng)險(xiǎn)
　8.7 風(fēng)險(xiǎn)處理
　　8.7.1 現(xiàn)存風(fēng)險(xiǎn)判斷
　　8.7.2 控制目標(biāo)確定
　　8.7.3 控制措施選擇
　8.8 編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告
　上機(jī)實(shí)驗(yàn)
參考文獻(xiàn)