內容簡介
本書分為四部分共14章。第1部分(第1、2章)介紹信息安全測評思想和方法;第2部分(第3章至第6章)介紹測評技術和流程;第3部分(第7章至第13章)介紹風險評估、應急響應、法律法規和信息安全管理體係;第4部分(第14章)介紹瞭國外在信息安全測評領域的最新進展。全書涉及的信息安全等級保護、風險評估、應急響應和信息安全管理體係等國傢標準,均屬於我國開展信息安全保障工作中所依據的核心標準集。
作者簡介
嚮宏,重慶大學軟件學院,教授,數學及信息安全專業。“信息安全風險評估工程實施手冊研究”(項目負責人);多項重慶市信息産業發展基金項目(省部級項目負責人);教育部全國雙語教學示範課程(信息安全導論,主講教師)
目錄
第1章 信息安全測評思想 1
要點:本章結束之後,讀者應當瞭解和掌握 1
序幕:何危最險 2
1.1 信息安全測評的科學精神 2
1.2 信息安全測評的科學方法 3
1.3 信息安全測評的貫標思想 5
1.4 信息安全標準化組織 6
1.4.1 國際標準化組織 6
1.4.2 國外標準化組織 7
1.4.3 國內標準化組織 8
1.5 本章小結 9
尾聲:三位旅行者 9
觀感 9
第2章 信息安全測評方法 11
要點:本章結束之後,讀者應當瞭解和掌握 11
序幕:培根的《新工具》 12
2.1 為何測評 12
2.1.1 信息係統安全等級保護標準與TCSEC 13
2.1.2 中國的計算機安全等級保護標準 15
2.1.3 安全域 17
2.2 何時測評 18
2.3 測評什麼 19
2.3.1 外網測評特點 20
2.3.2 內網測評特點 21
2.4 誰來測評 22
2.5 如何準備測評 23
2.6 怎樣測評 27
2.6.1 測評案例――“天網”工程 27
2.6.2 啓動“天網”測評 29
2.7 本章小結 32
尾聲:比《新工具》更新的是什麼 32
觀感 32
第3章 數據安全測評技術 35
要點:本章結束之後,讀者應當瞭解和掌握 35
序幕:謎已解,史可鑒 36
3.1 數據安全測評的諸方麵 36
3.2 數據安全測評的實施 38
3.2.1 數據安全訪談調研 38
3.2.2 數據安全現場檢查 43
3.2.3 數據安全測試 54
3.3 本章小結 57
尾聲:竊之猶在 57
觀感 58
第4章 主機安全測評技術 61
要點:本章結束之後,讀者應當瞭解和掌握 61
序幕:第一代黑客 62
4.1 主機安全測評的諸方麵 62
4.2 主機安全測評的實施 64
4.2.1 主機安全訪談調研 64
4.2.2 主機安全現場檢查 68
4.2.3 主機安全測試 87
4.3 本章小結 95
尾聲:可信賴的主體 96
觀感 96
第5章 網絡安全測評技術 97
要點:本章結束之後,讀者應當瞭解和掌握 97
序幕:圍棋的智慧 98
5.1 網絡安全測評的諸方麵 98
5.2 網絡安全測評的實施 100
5.2.1 網絡安全訪談調研 100
5.2.2 網絡安全現場檢查 105
5.2.3 網絡安全測試 128
5.3 本章小結 139
尾聲:牆、門、界 139
觀感 140
第6章 應用安全測評技術 141
要點:本章結束之後,讀者應當瞭解和掌握 141
序幕:機器會思考嗎 142
6.1 應用安全測評的諸方麵 142
6.2 應用安全測評的實施 143
6.2.1 應用安全訪談調研 143
6.2.2 應用安全現場檢查 147
6.2.3 應用安全測試 162
6.3 本章小結 179
尾聲:史上最“萬能”的機器 179
觀感 180
第7章 資産識彆 181
要點:本章結束之後,讀者應當瞭解和掌握 181
序幕:倫敦大火啓示錄 182
7.1 風險概述 182
7.2 資産識彆的諸方麵 186
7.2.1 資産分類 186
7.2.2 資産賦值 190
7.3 資産識彆案例分析 193
7.3.1 模擬案例背景簡介 193
7.3.2 資産分類 195
7.3.3 資産賦值 207
7.3.4 資産識彆輸齣報告 215
7.4 本章小結 215
尾聲:我們究竟擁有什麼 216
觀感 216
第8章 威脅識彆 217
要點:本章結束之後,讀者應當瞭解和掌握 217
序幕:威脅在哪裏 218
8.1 威脅概述 218
8.2 威脅識彆的諸方麵 220
8.2.1 威脅分類――植樹和剪枝 220
8.2.2 威脅賦值――統計 222
8.3 威脅識彆案例分析 224
8.3.1 “數字蘭曦”威脅識彆 224
8.3.2 威脅識彆輸齣報告 235
8.4 本章小結 236
尾聲:在鷹隼盤鏇的天空下 236
觀感 236
第9章 脆弱性識彆 237
要點:本章結束之後,讀者應當瞭解和掌握 237
序幕:永恒的阿基裏斯之踵 238
9.1 脆弱性概述 238
9.2 脆弱性識彆的諸方麵 240
9.2.1 脆弱性發現 240
9.2.2 脆弱性分類 241
9.2.3 脆弱性驗證 242
9.2.4 脆弱性賦值 242
9.3 脆弱性識彆案例分析 243
9.3.1 信息環境脆弱性識彆 244
9.3.2 公用信息載體脆弱性識彆 246
9.3.3 脆弱性仿真驗證 249
9.3.4 脆弱性識彆輸齣報告 261
9.4 本章小結 261
尾聲:木馬歌 261
觀感 262
第10章 風險分析 263
要點:本章結束之後,讀者應當瞭解和掌握 263
序幕:烽火的演變 264
10.1 風險分析概述 264
10.2 風險計算 265
10.2.1 相乘法原理 267
10.2.2 風險值計算示例 267
10.3 風險定級 268
10.4 風險控製 269
10.5 殘餘風險 270
10.6 風險評估案例分析 270
10.6.1 信息環境風險計算 271
10.6.2 人員資産風險計算 271
10.6.3 管理製度風險計算 271
10.6.4 機房風險計算 271
10.6.5 信息環境風險統計 272
10.6.6 公用信息載體風險計算 272
10.6.7 專用信息及信息載體的風險計算 273
10.6.8 風險計算報告 274
10.6.9 風險控製示例 274
10.6.10 風險控製計劃 278
10.7 本章小結 279
尾聲:“勇敢”的反麵是什麼 279
觀感 280
第11章 應急響應 281
要點:本章結束之後,讀者應當瞭解和掌握 281
序幕:虛擬社會的消防隊 282
11.1 應急響應概述 282
11.2 應急響應計劃 283
11.2.1 應急響應計劃的準備 284
11.2.2 應急響應計劃製定中應注意的問題 286
11.2.3 應急響應計劃的製定 287
11.2.4 應急響應計劃的培訓、演練和更新 299
11.2.5 文檔的保存、分發與維護 301
11.3 應急響應計劃案例分析 301
11.3.1 南海大學信息安全應急響應計劃示例 302
11.3.2 “南洋烽火”計劃 302
11.4 本章小結 311
尾聲:如何變“驚慌失措”為“從容不迫” 311
觀感 312
第12章 法律和法規 313
要點:本章結束之後,讀者應當瞭解和掌握 313
序幕:神話世界中需要秩序嗎 314
12.1 計算機犯罪概述 314
12.2 信息安全法律和法規簡介 316
12.2.1 美國有關法律 316
12.2.2 中國信息安全法律和法規的曆史沿革 324
12.3 本章小結 327
尾聲:從囚徒睏境說起 327
觀感 328
第13章 信息安全管理體係 329
要點:本章結束之後,讀者應當瞭解和掌握 329
序幕:武學的最高境界 330
13.1 ISMS概述 330
13.2 ISMS主要內容 333
13.2.1 計劃(Plan) 333
13.2.2 實施(Do) 340
13.2.3 檢查(Check) 340
13.2.4 處置(Act) 341
13.3 本章小結 342
尾聲:實力源於何處 343
觀感 343
第14章 信息安全測評新領域 345
要點:本章結束之後,讀者應當瞭解和掌握 345
序幕:大師與大漠 346
14.1 信息安全測評新領域概述 346
14.2 工業控製係統安全測評 347
14.2.1 ICS簡介 348
14.2.2 ICS安全與IT安全 351
14.2.3 ICS安全防護技術簡介 353
14.2.4 ICS係統安全評估 354
14.3 美國國傢網絡靶場一覽 358
14.3.1 網絡靶場的總目標 358
14.3.2 網絡靶場的測試需求 361
14.3.3 網絡靶場的關鍵技術 362
14.3.4 網絡靶場的試驗床簡介 365
14.4 本章小結 368
尾聲:虛擬與現實 368
參考文獻 369
前言/序言
信息安全測評與風險評估(第2版) epub pdf mobi txt 電子書 下載 2024
信息安全測評與風險評估(第2版) 下載 epub mobi pdf txt 電子書