信息安全风险管理从基础到实践PDF电子书下载

第1部分 信息安全风险管理的基础 3

第1章 信息安全风险产生 3

1.1信息安全风险含义 3

1.2信息安全风险构成 5

1.2.1基本要素 5

1.2.2要素关系 6

1.3信息安全风险决定因素 7

1.3.1外部安全威胁 7

1.3.2内部的脆弱性 9

第2章 信息安全风险管理的内容 13

2.1信息安全风险管理定义 13

2.2信息安全风险管理流程 14

2.3信息安全风险管理对象 15

2.3.1物理和环境 15

2.3.2网络和通信 16

2.3.3设备和计算 16

2.3.4应用和数据 16

2.3.5人员和管理 17

2.4信息安全风险处置 18

2.4.1风险处置总体描述 18

2.4.2风险处置准备 21

2.4.3风险处置方案制定 22

2.4.4风险处置方案实施 24

2.4.5风险处置效果评价 24

第3章 信息安全风险的识别与分析 27

3.1信息安全检查 27

3.1.1工作流程 27

3.1.2工作内容 27

3.1.3工作组织 29

3.1.4检查对象选取 29

3.1.5检查工作实施 30

3.2信息安全风险评估 33

3.2.1工作流程及框架 34

3.2.2工作内容 37

3.2.3确定评估对象 37

3.2.4评估工作实施 39

3.2.5风险分析及风险处置 45

3.3信息系统安全等级保护测评 47

3.3.1工作流程 47

3.3.2定级要素及流程 47

3.3.3测评原则及内容 48

3.3.4测评对象 49

3.3.5测评实施 50

3.3.6结果判定 52

第4章 信息安全风险的控制 53

4.1信息安全风险控制的概念 53

4.2信息安全风险处置流程与方法 55

4.3信息安全风险评估有效性检验 57

第5章 信息安全风险管理的合规性要求 61

5.1信息安全风险管理标准规范 61

5.1.1信息安全风险管理国际标准 61

5.1.2信息安全风险管理国内标准 68

5.1.3国内外风险管理标准关系 69

5.2信息系统生命周期的风险管理 70

5.2.1信息系统生命周期的风险评估 70

5.2.2信息系统生命周期的风险管理 74

第2部分 信息安全风险管理的发展变化 81

第6章 新形势下信息安全风险的变化 81

6.1网络安全形势变化 81

6.2信息安全要素变化 84

6.3外部威胁变化 84

6.4内在脆弱性变化 86

6.5安全风险的变化 87

第7章 新技术应用环境产生的信息安全风险 89

7.1虚拟化技术平台安全风险 89

7.1.1大数据平台的安全风险 89

7.1.2云计算平台的安全风险 92

7.2移动互联网安全风险 102

7.2.1移动互联网安全威胁 102

7.2.2移动互联网脆弱性 105

7.3工业控制系统安全风险 108

7.3.1工业控制系统安全威胁 108

7.3.2工业控制系统脆弱性 110

7.4信息安全保障能力的不足 112

第8章 新形势下信息安全风险识别与分析方法的优化 115

8.1现行方法存在的局限性 115

8.2现行方法融合的必要性 117

8.3现行方法融合的基本思路 119

8.4现行方法融合的主要内容 121

8.4.1检测目标统一定义 121

8.4.2信息资产统一定义 122

8.4.3外部威胁统一定义 122

8.4.4内在脆弱性统一定义 123

8.4.5风险分析统一定义 125

8.5新型风险识别与分析方法的提出 128

8.6新型风险识别与分析方法的优化 128

8.6.1工作原理的优化 128

8.6.2工作流程的优化 129

8.6.3工作内容的优化 132

第9章 新形势下信息安全风险控制的方法优化 135

9.1关键信息基础设施安全保护 135

9.1.1明确关键信息基础设施保护对象 135

9.1.2我国关键信息基础设施面临的威胁 136

9.1.3制定关键信息基础设施安全保护标准规范 137

9.1.4网络安全等级保护与关键信息基础设施保护 138

9.2网络安全态势感知 138

9.2.1网络安全态势感知概念 138

9.2.2网络安全态势感知的内容 139

9.2.3网络安全态势感知的方式优化 140

9.3虚拟化应用安全保护 141

9.4威胁情报分析 141

9.5构建纵深网络安全防御体系 144

9.6新技术应用环境下的信息安全风险控制 146

9.6.1虚拟化平台风险控制 146

9.6.2物联网风险控制 147

9.6.3移动互联网风险控制 148

9.6.4工业控制系统风险控制 149

第10章 新形势下信息安全风险管理合规性要求的发展 151

10.1新形势下信息安全风险管理标准体系 151

10.2网络安全法 153

10.2.1网络安全法立法的背景 153

10.2.2网络安全法的基本内容 154

10.2.3网络安全法的作用及意义 155

10.3关键信息基础设施安全保护条例 155

10.3.1安全保护条例主要内容 155

10.3.2安全保护条例的局限性 157

10.3.3安全保护条例与网络安全等级保护关系 158

10.4网络安全等级保护相关标准 158

10.4.1现有等级保护政策和标准体系 158

10.4.2网络安全等级保护制度2.0 159

10.5网络产品和服务安全审查办法 162

10.5.1安全审查办法主要内容 162

10.5.2安全审查办法出台后的影响 163

10.5.3安全审查办法意义及作用 163

第3部分 信息安全风险管理的实践 167

第11章 风险识别与分析方法融合——信息安全风险测评 167

11.1基本原理 167

11.2流程方法 168

11.2.1工作流程 168

11.2.2工作方法 177

11.3实施组织 178

11.4对象确定 179

11.5准备阶段工作 183

11.6实施阶段工作 184

11.6.1现场培训 184

11.6.2资产识别 185

11.6.3威胁识别 186

11.6.4技术安全检测 188

11.6.5管理安全检测 191

11.6.6渗透测试 193

11.6.7已有安全措施分析 196

11.6.8脆弱性分析与赋值 196

11.6.9现场工作小结 196

11.7总结阶段工作 197

11.7.1数据整理 197

11.7.2综合分析 199

11.7.3报告编制 200

第12章 信息安全风险控制方法——安全基线配置 203

12.1明确安全基线配置作业需求 203

12.2建立安全基线配置管理规范 204

12.3制定安全基线配置模板 205

12.4现场基线配置检查确认 208

12.4.1技术基线检查 209

12.4.2管理基线审核 212

12.5基于安全基线要求的整改加固 213

12.6安全基线配置模板的修订 215

第13章 信息安全风险控制方法——服务器信息安全加固 217

13.1信息安全加固的目的及意义 217

13.1.1精准实施信息安全风险控制 217

13.1.2紧密结合等级保护整改建设 218

13.1.3严格依据等级保护测评结果 218

13.1.4有效提高等级保护测评符合率 218

13.2信息安全加固的重点及难点 220

13.2.1安全加固可行性分析 220

13.2.2安全加固工作重点 221

13.2.3安全加固工作难点 222

13.3信息安全加固原则及范围 223

13.3.1安全加固的原则 223

13.3.2安全加固的范围 223

13.4信息安全加固流程及组织 224

13.4.1安全加固流程与方法 224

13.4.2安全加固的组织 226

13.5信息安全加固实施内容 229

13.5.1准备阶段内容 229

13.5.2实施阶段内容 231

13.5.3分析总结阶段内容 238

13.5.4操作实例 239

第14章 信息安全风险管理的良好实践 241

14.1税务系统信息安全风险测评实践工作 241

14.2税务系统信息安全基线配置实践工作 243

14.2.1计划准备环节 243

14.2.2现场实施环节 243

14.2.3成果输出环节 244

14.3税务系统服务器信息安全加固实践工作 244

第15章 风险识别与分析方法在新技术环境中的应用 247

15.1移动互联网环境的风险测评 247

15.1.1移动智能终端安全风险测评 247

15.1.2移动传输网络安全风险测评 248

15.1.3移动应用安全风险测评 249

15.2虚拟化环境的风险测评 250

15.2.1虚拟化环境安全风险分析 250

15.2.2虚拟化环境安全风险测评 251

15.3工业控制系统的风险测评 252

15.3.1工业控制系统测评原则 252

15.3.2工业控制系统测评流程 253

15.3.3工业控制系统测评工具 254

附录 257

附录1信息安全风险测评表单 257

附录2网络与信息系统安全基线配置表单 267

附录3服务器信息安全加固表单 274

参考文献 280