信息安全风险评估PDF电子书下载

第一部分　基本知识 3

第1章 引论 3

1.1 信息与信息安全 3

1.1.1 信息 3

1.1.2 信息安全 3

1.2　信息安全技术与信息安全管理 4

1.2.1　信息安全事件 5

1.2.2　信息安全技术 5

1.2.3　信息安全管理 6

1.3　信息安全风险评估 6

1.3.1 基本定义 7

1.3.2　相关概念 7

1.3.3　基本要素关系 8

1.3.4　风险分析原理 9

1.4 开展信息安全风险评估工作的意义 10

1.4.1 信息安全工作的客观需要和紧迫需求 10

1.4.3　落实信息安全等级保护的重要手段 11

1.4.2　体现党中央国务院的文件精神 11

1.5 我国信息安全风险评估推进过程 12

1.5.1 调查研究阶段 12

1.5.2　标准编制阶段 12

1.5.3　全国试点阶段 13

1.5.4　下一步推进工作 13

2.1.2　信息安全风险评估是分析确定风险的过程 15

2.1.1 信息安全风险评估是信息安全建设和管理的科学方法 15

2.1 信息安全风险评估的内涵 15

第2章　主要内容 15

2.1.3　信息安全风险评估是信息安全建设的起点和基础 16

2.1.4　信息安全风险评估是在倡导一种适度安全 16

2.2 信息安全风险评估的两种方式 16

2.2.1 自评估 17

2.2.2　检查评估 18

2.3 信息安全风险评估的五个环节 19

2.3.1　信息系统生命周期 19

2.3.2　规划阶段的风险评估 20

2.3.4　实施阶段的风险评估 21

2.3.3　设计阶段的风险评估 21

2.3.5　运行维护阶段的风险评估 22

2.3.6　废弃阶段的风险评估 23

2.4　信息安全风险评估的组织管理工作 23

第二部分　技术与方法 27

第3章 评估工作概述 27

3.1 工作原则 27

3.1.1　关于评估工作流程 27

3.1.2　关于风险分析方法 28

3.1.3　关于结果展现 29

3.2　参考流程 30

3.3　质量管理 31

3.3.1　实施方案 31

3.3.2 中间结果 33

3.3.3　项目验收 33

3.4　质量控制规范要求 33

3.4.1　实施组织规范要求 33

3.4.2　前期环境准备规范要求 34

3.4.3　评估流程规范要求 35

3.4.4　沟通与控制规范要求 36

3.4.5　验收规范要求 39

第4章　评估准备 41

4.1　评估目的 41

4.2　评估范围及描述 43

4.3　建立评估团队 45

4.3.1 组织结构 45

4.3.2　人员角色 46

4.4　前期系统调研 47

4.5.2 国际标准 48

4.5　确定评估标准 48

4.5.1 国内标准 48

4.5.3　行业标准和规范 49

4.5.4　组织本身的策略 50

4.6　条件准备 50

4.7　项目启动及培训 52

4.7.1　项目启动 52

4.7.2　评估活动的培训 52

5.1 工作内容 54

5.1.1 回顾评估范围之内的业务 54

第5章　资产识别 54

5.1.2　识别信息资产，进行合理分类 55

5.1.3　确定每类信息资产的安全需求 55

5.1.4　为每类信息资产的重要性赋值 55

5.2　参与人员 55

5.2.1 回顾评估范围之内的业务和系统 55

5.2.2 识别信息资产进行合理分类 55

5.2.3　确定每类信息资产的安全需求 55

5.2.4 为每类信息资产的重要性赋值 55

5.3.2　资产的识别与分类 56

5.3 工作方式 56

5.3.1　评估范围之内的业务识别 56

5.3.3　安全需求分析 58

5.3.4 资产赋值 58

5.4 工具及资料 59

5.4.1 自动化工具 59

5.4.2　手工记录表格 60

5.4.3　辅助资料 60

5.5　输出结果 61

6.1.3　威胁赋值 62

6.1.2　威胁分类 62

6.1.4　构建威胁场景 62

第6章　威胁识别 62

6.1.1　威胁识别 62

6.1 工作内容 62

6.2　参与人员 63

6.2.1　访谈 63

6.2.2　工具检测 63

6.3　工作方式 63

6.3.1　威胁识别 63

6.3.2　威胁分类 65

6.3.3　构建威胁场景 69

6.3.4　威胁赋值 70

6.4　工具及资料 73

6.4.1 IDS采样分析 73

6.4.2 日志分析 74

6.4.3　人员访谈记录表格 74

6.5　输出结果 76

7.1.3　脆弱性赋值 77

7.1.2　识别结果整理与展示 77

7.2 参与人员 77

第7章　脆弱性识别 77

7.1.1　脆弱性识别 77

7.1 工作内容 77

7.3　工作方式 78

7.3.1　脆弱性识别 78

7.3.2　脆弱性整理和展现 80

7.3.3 脆弱性分析和CVSS计算方法 80

7.4 工具及资料 85

7.4.1　漏洞扫描工具 85

7.4.2　各类检查列表 87

7.4.3　渗透测试 90

7.5　输出结果 90

第8章 安全措施识别与确认 91

8.1 工作内容 91

8.1.1 技术控制措施的识别与确认 91

8.1.2　管理和操作控制措施的识别与确认 91

8.2 参与人员 91

8.3.1 技术控制措施的识别与确认 92

8.3 工作方式 92

8.3.2　管理和操作控制措施的识别与确认 94

8.3.3　分析与统计 96

8.4 工具及资料 96

8.4.1 《技术控制措施调查表》 97

8.4.2　《管理和操作控制措施调查表》 97

8.4.3 涉密信息系统评测表格（可选，针对涉密信息系统的评估） 97

8.4.4　符合性检查工具 97

8.5　输出结果 98

第9章　风险分析阶段 99

9.1　风险分析模型 99

9.2　风险分析 100

9.2.1 业务与资产映射 100

9.2.2 资产／脆弱性／威胁／已有控制措施映射 100

9.2.3　风险计算 101

9.3 工具及资料 109

9.4　输出结果 110

10.1.2 ISO/IEC 17799:2005 111

10.1.1 BS 7799、ISO/IEC 17799、ISO/IEC 27000系列 111

第10章 有关技术标准 111

10.1 BS 7799/ISO 17799 111

10.1.3 BS 7799-2:2002 114

10.2 ISO/IEC TR 13335 115

10.2.1 信息安全管理和计划的概念和模型 115

10.2.2　信息安全管理和计划 117

10.2.3　信息安全管理技术 119

10.2.4 安全措施的选择 120

10.3.1 简介 121

10.3 OCTAVE 2.0 121

10.2.5　网络安全管理指南 121

10.3.2　面向大型组织的OCTAVE方法 123

10.3.3　面向小型组织的OCTAVE-S方法 124

10.3.4　两种方法的选择 126

10.4 ISO 15408/GB 18336/CC 127

10.4.1 适用范围 127

10.4.2 内容简介 127

10.5　等级保护 128

10.5.1 GB 17859-1999《计算机信息系统安全保护等级划分准则》 128

10.4.3　局限性 128

10.5.2　其他正在制定过程中的相关配套系列标准 129

10.6　涉秘信息系统分级保护技术要求 132

10.6.1 涉密信息系统的等级划分 132

10.6.2　涉密信息系统基本保护要求 133

10.6.3　涉密信息系统的安全风险评估 133

11.1 天融信信息安全管理系统 141

11.1.1 TSM概述 141

第11章　风险评估管理工具 141

第三部分　产品与工具 141

11.1.2 TopAnalyzer工具在信息安全风险评估中的应用 142

11.1.3 TopAnalyzer工具的构成 143

11.1.4 Top Analvzer工具的功能 144

11.1.5 工具的特点 150

11.1.6 工具的应用环境 151

11.1.7　案例说明 153

11.2　启明星辰风险评估管理系统 155

11.2.1 系统概述 155

11.2.2　产品的构成 155

11.2.3　产品的使用及功能 156

11.2.5 总结 159

11.2.4　应用案例 159

11.3　联想网御风险评估辅助工具 160

11.3.1 系统构成与功能 160

11.3.2　应用环境 164

11.3.3　使用方法 165

11.3.4　应用案例 165

12.1.1 概述 168

12.1.2　系统总体构成 168

12.1 极光远程安全评估系统 168

第12章　漏洞扫描分析工具 168

12.1.3 系统功能说明 169

12.1.4　系统应用环境 171

12.1.5 系统应用说明 173

12.1.6　系统应用案例 175

12.1.7 总结 177

12.2 天镜脆弱性扫描与管理系统 179

12.2.1 系统概述 179

12.2.2　系统的构成 180

12.2.3　系统的使用及功能 182

12.2.4　系统的收益和特点 186

12.3 ISS安全漏洞扫描系统 187

12.3.1 产品简介 187

12.3.2 产品功能 187

12.3.3　产品的应用 188

12.3.4　产品输出报表 192

13.1.1 为什么需要网络入侵检测系统 194

13.1.2　常见的入侵检测技术 194

13.1 概述 194

第13章　入侵检测工具 194

13.1.3　新一代入侵检测技术 195

13.2　冰之眼网络入侵检测系统 197

13.2.1 产品架构 197

13.2.2 产品功能 197

13.2.3　产品部署 201

13.2.4　应用案例 202

13.3.2 产品构成 205

13.3　天阗入侵检测系统 205

13.3.1 系统概述 205

13.3.3 产品功能 206

13.3.4 产品应用 210

14.1.1　项目启动与立项 217

14.1.4 范围 217

14.1.2 目标 217

14.1.3 内容 217

14.1　项目概述 217

第14章　案例一：某国税安全评估项目 217

第四部分　案例 217

14.2　项目阶段 218

14.2.1 项目规划 218

14.2.2　评估实施 218

14.2.3　评估报告和解决方案 218

14.2.4　支持和维护 218

14.3　交付的文档及报告 218

14.3.1 中间评估文档 218

14.4　项目时间表 219

14.3.2　最终报告 219

14.5　安全评估具体实施内容 220

14.5.1　主机安全现状评估 220

14.5.2　网络架构安全状况评估 220

14.5.3　应用系统安全状况评估 220

14.5.4　安全管理状况评估 221

14.6 附录 221

14.6.1 附件1：某国税安全风险评估工作声明目录 221

14.6.2 附件2：某国税安全评估技术方案建议书目录 222

14.6.3 附件3：某国税网络架构评估报告目录 224

14.6.4 附件4：某国税应用系统安全评估报告目录 225

14.6.5 附件5：某国税安全管理审计报告目录 227

14.6.6 附件6：某国家税务局安全现状报告目录 229

14.6.7　附件7：某国税信息系统安全解决方案建议书目录 230

14.6.8　附件8：安全检查列表实例 232

14.6.9　附件9：主机安全评估评估结果实例 239

15.1 项目概述 241

15.1.1 基本情况 241

第15章　案例二：某电信公司信息安全风险评估项目 241

15.1.2　项目目标与范围 242

15.1.3　项目组织和进度安排 242

15.1.4　实施简述 246

15.2　风险评估方案实施 247

15.2.1　风险评估的依据 247

15.2.2 评估阶段定义 248

15.2.3　本次风险评估的具体内容 249

15.3.1 建设实施 254

15.3　安全信息库的建设 254

15.3.2　功能 255

15.3.3　数据接口 257

15.4 项目验收 257

15.4.1　省网层面风险评估 257

15.4.2　分公司节点风险评估 258

15.4.3　风险评估总结 258

15.4.4　安全信息库 258

15.4.5 培训 258

15.5　评估工具 259

16.1　项目概述 260

16.1.1　项目简介 260

第16章 案例三：某公司网络风险评估项目 260

16.1.2 项目目标 261

16.1.3　项目范围 261

16.2　项目指导策略 262

16.2.1 评估遵循的原则 262

16.2.2　风险评估策略 262

16.2.3　风险评估模型 264

16.3.1　风险评估流程 269

16.3　风险评估方法 269

16.3.2　风险评估方法 275

16.4　项目实施 279

16.4.1　项目组织结构 279

16.4.2　项目实施计划 281

16.4.3　项目实施过程 281

16.4.4　项目实施过程中的风险控制措施 285

16.4.5　项目文档提交 286

16.4.6　项目工作配合 286