出版时间:2011-7 出版社:武汉大学出版社 作者:吴晓平,付钰 编著 页数:164
内容概要
吴晓平、付钰编著《信息安全风险评估教程》较系统地介绍了信息安全风险评估的基本概念、风险要素与分布、评估准则与流程、风险评估工具与基本方法,构建了信息安全风险系统综合评估模型和计算机网络空间下的风险评估模型,讨论了信息安全风险管理的原则与风险控制策略,给出了信息安全风险评估的案例和信息安全风险评估的相关标准。内容丰富、结构严谨、概念清晰、语言流畅、深入浅出、特色鲜明、启发性好,注重理论联系实际和学生应用能力培养,全书内容完整,系统性强,便于教学。
《信息安全风险评估教程》可作为高等院校信息安全、计算机科学与技术、通信与信息工程等专业高年级学生的教材,也可供信息安全科研院所、大型企事业单位与政府部门中从事信息安全管理工作者和工程技术人员学习参考。
书籍目录
第1章 信息安全风险评估概述
1.1 引言
1.2 信息安全风险评估的基本概念
1.3 信息安全风险评估的发展与现状
1.3.1 信息安全评估标准的发展
1.3.2 信息安全风险评估的现状
1.3.3 信息安全风险评估的研究热点
1.4 教材主要内容与章节安排
习题1
第2章 信息安全风险评估原理
2.1 信息安全风险及其分布
2.1.1 风险的定义
2.1.2 信息安全风险要素
2.1.3 信息系统安全风险分布
2.2 信息安全风险评估准则
2.2.1 信息安全风险评估的基本特点
2.2.2 基于Bs 7799标准的信息安全风险评估准则
2.2.3 基于BS 7799标准的分析
2.2.4 风险接受准则
2.3 信息安全风险评估流程
2.3.1 评估准备
2.3.2 风险识别
2.3.3 风险确定
2.3.4 风险控制
习题2
第3章 信息安全风险评估工具
3.1 选择信息安全风险评估工具的基本原则
3.2 管理型信息安全风险评估工具
3.2.1 概述
3.2.2 COBRA风险评估系统
3.2.3 CRAMM风险评估系统
3.2.4 ASSET风险评估系统
3.2.5 RiskWatch风险评估系统
3.2.6 其他工具
3.2.7 常用风险评估与管理工具对比
3.3 技术型信息安全风险评估工具
3,3.1 漏洞扫描工具
3.3.2 渗透测试工具
3.4 风险评估辅助工具
习题3
第4章 信息安全风险评估基本方法
4.1 风险评估方法概述
4.1.1 技术评估与整体评估
4.1.2 定性评估和定量评估
4.1.3 基于知识的评估和基于模型的评估
4.1.4 动态分析与评估
4.2 典型的风险评估方法分析
4.2.1 风险评估方法介绍
4.2.2 方法比较
习题4
第5章 信息安全风险系统综合评估
5.1 信息安全风险系统综合评估思想
5.2 信息安全风险评估指标体系构建
5.2.1 评估指标体系的层次结构模型
5.2.2 信息安全风险评估指标体系建立
5.2.3 信息系统安全风险因素的系统分析
5.3 信息安全风险评估指标处理方法
5.3.1 定性指标的量化处理方法
5.3.2 定量指标的标准化处理方法
5.4 信息安全风险评估指标权重确定方法
5.4.1 指标权重的作用
5.4.2 指标权重确定的基本原则
5.4.3 指标权重的确定方法
习题5
第6章 计算机网络下的信息安全风险评估
6.1 相关依据
6.1.1 NSAIAM
6.1.2 CESG CHECK
6.2 评估过程
6.3 计算机网络空间下的风险因素
6.3.1 计算机网络空间的构成
6.3.2 漏洞分析
6.3.3 攻击者分类与攻击方式分析
6.4 计算机网络空间下的风险评估模型
6.4.1 基本风险
6.4.2 提升的风险
6.4.3 整体风险
6.4.4 风险控制
6.5 一种面向多对象的网络化信息安全风险评估算法
6.5.1 网络化信息安全风险分析
6.5.2 基于广义权距离的信息安全风险评估方法
6.5.3 算例
习题6
第7章 信息安全风险管理
7.1 风险管理概述
7.1.1 风险管理的意义和基本概念
7.1.2 风险管理的对象、角色与责任
7.1.3 风险管理的内容和过程
7.2 生命周期各阶段的风险管理
7.2.1 与信息系统生命周期和信息系统安全目标的关系
7.2.2 规划阶段的信息安全风险管理
7.2.3 设计阶段的信息安全风险管理
7.2.4 实施阶段的信息安全风险管理
7.2.5 运维阶段的信息安全风险管理
7.2.6 废弃阶段的信息安全风险管理
7.3 信息安全风险控制策略
7.3.1 物理安全策略
7.3.2 软件安全策略
7.3.3 管理安全策略
7.3.4 数据安全策略
习题7
第8章 信息安全风险评估案例
8.1 信息安全保密系统介绍
8.2 信息安全风险的模糊综合评价
8.2.1 一级系统模糊综合评价
8.2.2 二级系统模糊综合评价
8.2.3 带置信因子的系统模糊综合评价
8.2.4 基于改进模糊综合评价方法的信息系统安全风险评估
8.2.5 案例分析
8.3 信息安全风险评估系统设计
8.3.1 需求分析与系统工具选择
8.3.2 信息安全风险评估系统的结构设计
8.3.3 信息安全风险评估系统的详细设计
8.4 信息安全风险评估系统实现
8.4.1 系统登录
8.4.2 系统管理
8.4.3 风险评估准备
8.4.4 风险要素识别
8.4.5 评估指标体系
8.4.6 总体评估
第9章 信息安全风险评估标准
9.1 引言
9.2 国际上主要的标准化组织
9.2.1 国际标准化组织
9.2.2 Intemet工程任务组
9.2.3 美国标准化组织
9.2.4 欧洲标准化组织
9.3 Bs 7799信息安全管理实施细则
9.3.1 BS 7799历史
9.3.2 BS 7799架构
9.3.3 BS 7799认证
9.4 ISO/IEc 17799信息安全管理实施细则
9.4.1 ISO/IEC 17799:2000
9.4.2 ISO/IEC 17799:2005
9.4.3 两个版本的比较
9.5 ISO 27001:2005信息安全管理体系要求
9.6 CC通用标准
9.6.1 CC是若干标准的综合
9.6.2 主要内容
9.6.3 安全要求
9.7 ISO 13335信息和通信技术安全管理指南
9.8 系统安全工程能力成熟度模型
9.8.1 安全工程过程域
9.8.2 基于过程的信息安全模型
9.9 NIST相关标准
参考文献
编辑推荐
吴晓平、付钰编著《信息安全风险评估教程》面向信息系统安全风险评估的全过程,运用系统工程中整体性、综合性、相关性、满意性等基本观点,提出系统安全风险评估理论与方法。本书涉及信息安全工程、系统工程、管理科学与工程等交叉学科的前沿研究与应用领域,给出面向信息系统与计算机网络系统的安全风险评估理论与方法,促使信息安全风险评估工作更为系统规范也更加科学合理。
图书封面
评论、评分、阅读与下载