《信息安全系列教材:信息安全風險評估教程》是2011年武漢大學出版社出版的圖書,作者是吳曉平、付鈺。
基本介紹
- 書名:信息安全系列教材:信息安全風險評估教程
- 作者:吳曉平、付鈺
- ISBN:9787307087736, 7307087731
- 頁數:164頁
- 定價:25元
- 出版社: 武漢大學出版社
- 出版時間:2011-7
- 開本: 16
內容簡介,目錄,
內容簡介
吳曉平、付鈺編著《信息安全風險評估教程》一書較系統地介紹了信息安全風險評估的基本概念、風險要素與分布、評估準則與流程、風險評估工具與基本方法,構建了信息安全風險系統綜合評估模型和計算機網路空間下的風險評估模型,討論了信息安全風險管理的原則與風險控制策略,給出了信息安全風險評估的案例和信息安全風險評估的相關標準。內容豐富、結構嚴謹、概念清晰、語言流暢、深入淺出、特色鮮明、啟發性好,注重理論聯繫實際和學生套用能力培養,全書內容完整,系統性強,便於教學。
《信息安全風險評估教程》可作為高等院校信息安全、計算機科學與技術、通信與信息工程等專業高年級學生的教材,也可供信息安全科研院所、大型企事業單位與政府部門中從事信息安全管理工作者和工程技術人員學習參考。
目錄
第1章 信息安全風險評估概述
1.1 引言
1.2 信息安全風險評估的基本概念
1.3 信息安全風險評估的發展與現狀
1.3.1 信息安全評估標準的發展
1.3.2 信息安全風險評估的現狀
1.3.3 信息安全風險評估的研究熱點
1.4 教材主要內容與章節安排
習題1
第2章 信息安全風險評估原理
2.1 信息安全風險及其分布
2.1.1 風險的定義
2.1.2 信息安全風險要素
2.1.3 信息系統安全風險分布
2.2 信息安全風險評估準則
2.2.1 信息安全風險評估的基本特點
2.2.2 基於Bs 7799標準的信息安全風險評估準則
2.2.3 基於BS 7799標準的分析
2.2.4 風險接受準則
2.3 信息安全風險評估流程
2.3.1 評估準備
2.3.2 風險識別
2.3.3 風險確定
2.3.4 風險控制
習題2
第3章 信息安全風險評估工具
3.1 選擇信息安全風險評估工具的基本原則
3.2 管理型信息安全風險評估工具
3.2.1 概述
3.2.2 COBRA風險評估系統
3.2.3 CRAMM風險評估系統
3.2.4 ASSET風險評估系統
3.2.5 RiskWatch風險評估系統
3.2.6 其他工具
3.2.7 常用風險評估與管理工具對比
3.3 技術型信息安全風險評估工具
3,3.1 漏洞掃描工具
3.3.2 滲透測試工具
3.4 風險評估輔助工具
習題3
第4章 信息安全風險評估基本方法
4.1 風險評估方法概述
4.1.1 技術評估與整體評估
4.1.2 定性評估和定量評估
4.1.3 基於知識的評估和基於模型的評估
4.1.4 動態分析與評估
4.2 典型的風險評估方法分析
4.2.1 風險評估方法介紹
4.2.2 方法比較
習題4
第5章 信息安全風險系統綜合評估
5.1 信息安全風險系統綜合評估思想
5.2 信息安全風險評估指標體系構建
5.2.1 評估指標體系的層次結構模型
5.2.2 信息安全風險評估指標體系建立
5.2.3 信息系統安全風險因素的系統分析
5.3 信息安全風險評估指標處理方法
5.3.1 定性指標的量化處理方法
5.3.2 定量指標的標準化處理方法
5.4 信息安全風險評估指標權重確定方法
5.4.1 指標權重的作用
5.4.2 指標權重確定的基本原則
5.4.3 指標權重的確定方法
習題5
第6章 計算機網路下的信息安全風險評估
6.1 相關依據
6.1.1 NSAIAM
6.1.2 CESG CHECK
6.2 評估過程
6.3 計算機網路空間下的風險因素
6.3.1 計算機網路空間的構成
6.3.2 漏洞分析
6.3.3 攻擊者分類與攻擊方式分析
6.4 計算機網路空間下的風險評估模型
6.4.1 基本風險
6.4.2 提升的風險
6.4.3 整體風險
6.4.4 風險控制
6.5 一種面向多對象的網路化信息安全風險評估算法
6.5.1 網路化信息安全風險分析
6.5.2 基於廣義權距離的信息安全風險評估方法
6.5.3 算例
習題6
第7章 信息安全風險管理
7.1 風險管理概述
7.1.1 風險管理的意義和基本概念
7.1.2 風險管理的對象、角色與責任
7.1.3 風險管理的內容和過程
7.2 生命周期各階段的風險管理
7.2.1 與信息系統生命周期和信息系統安全目標的關係
7.2.2 規劃階段的信息安全風險管理
7.2.3 設計階段的信息安全風險管理
7.2.4 實施階段的信息安全風險管理
7.2.5 運維階段的信息安全風險管理
7.2.6 廢棄階段的信息安全風險管理
7.3 信息安全風險控制策略
7.3.1 物理安全策略
7.3.2 軟體安全策略
7.3.3 管理安全策略
7.3.4 數據安全策略
習題7
第8章 信息安全風險評估案例
8.1 信息安全保密系統介紹
8.2 信息安全風險的模糊綜合評價
8.2.1 一級系統模糊綜合評價
8.2.2 二級系統模糊綜合評價
8.2.3 帶置信因子的系統模糊綜合評價
8.2.4 基於改進模糊綜合評價方法的信息系統安全風險評估
8.2.5 案例分析
8.3 信息安全風險評估系統設計
8.3.1 需求分析與系統工具選擇
8.3.2 信息安全風險評估系統的結構設計
8.3.3 信息安全風險評估系統的詳細設計
8.4 信息安全風險評估系統實現
8.4.1 系統登錄
8.4.2 系統管理
8.4.3 風險評估準備
8.4.4 風險要素識別
8.4.5 評估指標體系
8.4.6 總體評估
第9章 信息安全風險評估標準
9.1 引言
9.2 國際上主要的標準化組織
9.2.1 國際標準化組織
9.2.2 Intemet工程任務組
9.2.3 美國標準化組織
9.2.4 歐洲標準化組織
9.3 Bs 7799信息安全管理實施細則
9.3.1 BS 7799歷史
9.3.2 BS 7799架構
9.3.3 BS 7799認證
9.4 ISO/IEc 17799信息安全管理實施細則
9.4.1 ISO/IEC 17799:2000
9.4.2 ISO/IEC 17799:2005
9.4.3 兩個版本的比較
9.5 ISO 27001:2005信息安全管理體系要求
9.6 CC通用標準
9.6.1 CC是若干標準的綜合
9.6.2 主要內容
9.6.3 安全要求
9.7 ISO 13335信息和通信技術安全管理指南
9.8 系統安全工程能力成熟度模型
9.8.1 安全工程過程域
9.8.2 基於過程的信息安全模型
9.9 NIST相關標準
參考文獻
