第1部分 信息安全风险管理的基础 3
第1章 信息安全风险产生 3
1.1信息安全风险含义 3
1.2信息安全风险构成 5
1.2.1基本要素 5
1.2.2要素关系 6
1.3信息安全风险决定因素 7
1.3.1外部安全威胁 7
1.3.2内部的脆弱性 9
第2章 信息安全风险管理的内容 13
2.1信息安全风险管理定义 13
2.2信息安全风险管理流程 14
2.3信息安全风险管理对象 15
2.3.1物理和环境 15
2.3.2网络和通信 16
2.3.3设备和计算 16
2.3.4应用和数据 16
2.3.5人员和管理 17
2.4信息安全风险处置 18
2.4.1风险处置总体描述 18
2.4.2风险处置准备 21
2.4.3风险处置方案制定 22
2.4.4风险处置方案实施 24
2.4.5风险处置效果评价 24
第3章 信息安全风险的识别与分析 27
3.1信息安全检查 27
3.1.1工作流程 27
3.1.2工作内容 27
3.1.3工作组织 29
3.1.4检查对象选取 29
3.1.5检查工作实施 30
3.2信息安全风险评估 33
3.2.1工作流程及框架 34
3.2.2工作内容 37
3.2.3确定评估对象 37
3.2.4评估工作实施 39
3.2.5风险分析及风险处置 45
3.3信息系统安全等级保护测评 47
3.3.1工作流程 47
3.3.2定级要素及流程 47
3.3.3测评原则及内容 48
3.3.4测评对象 49
3.3.5测评实施 50
3.3.6结果判定 52
第4章 信息安全风险的控制 53
4.1信息安全风险控制的概念 53
4.2信息安全风险处置流程与方法 55
4.3信息安全风险评估有效性检验 57
第5章 信息安全风险管理的合规性要求 61
5.1信息安全风险管理标准规范 61
5.1.1信息安全风险管理国际标准 61
5.1.2信息安全风险管理国内标准 68
5.1.3国内外风险管理标准关系 69
5.2信息系统生命周期的风险管理 70
5.2.1信息系统生命周期的风险评估 70
5.2.2信息系统生命周期的风险管理 74
第2部分 信息安全风险管理的发展变化 81
第6章 新形势下信息安全风险的变化 81
6.1网络安全形势变化 81
6.2信息安全要素变化 84
6.3外部威胁变化 84
6.4内在脆弱性变化 86
6.5安全风险的变化 87
第7章 新技术应用环境产生的信息安全风险 89
7.1虚拟化技术平台安全风险 89
7.1.1大数据平台的安全风险 89
7.1.2云计算平台的安全风险 92
7.2移动互联网安全风险 102
7.2.1移动互联网安全威胁 102
7.2.2移动互联网脆弱性 105
7.3工业控制系统安全风险 108
7.3.1工业控制系统安全威胁 108
7.3.2工业控制系统脆弱性 110
7.4信息安全保障能力的不足 112
第8章 新形势下信息安全风险识别与分析方法的优化 115
8.1现行方法存在的局限性 115
8.2现行方法融合的必要性 117
8.3现行方法融合的基本思路 119
8.4现行方法融合的主要内容 121
8.4.1检测目标统一定义 121
8.4.2信息资产统一定义 122
8.4.3外部威胁统一定义 122
8.4.4内在脆弱性统一定义 123
8.4.5风险分析统一定义 125
8.5新型风险识别与分析方法的提出 128
8.6新型风险识别与分析方法的优化 128
8.6.1工作原理的优化 128
8.6.2工作流程的优化 129
8.6.3工作内容的优化 132
第9章 新形势下信息安全风险控制的方法优化 135
9.1关键信息基础设施安全保护 135
9.1.1明确关键信息基础设施保护对象 135
9.1.2我国关键信息基础设施面临的威胁 136
9.1.3制定关键信息基础设施安全保护标准规范 137
9.1.4网络安全等级保护与关键信息基础设施保护 138
9.2网络安全态势感知 138
9.2.1网络安全态势感知概念 138
9.2.2网络安全态势感知的内容 139
9.2.3网络安全态势感知的方式优化 140
9.3虚拟化应用安全保护 141
9.4威胁情报分析 141
9.5构建纵深网络安全防御体系 144
9.6新技术应用环境下的信息安全风险控制 146
9.6.1虚拟化平台风险控制 146
9.6.2物联网风险控制 147
9.6.3移动互联网风险控制 148
9.6.4工业控制系统风险控制 149
第10章 新形势下信息安全风险管理合规性要求的发展 151
10.1新形势下信息安全风险管理标准体系 151
10.2网络安全法 153
10.2.1网络安全法立法的背景 153
10.2.2网络安全法的基本内容 154
10.2.3网络安全法的作用及意义 155
10.3关键信息基础设施安全保护条例 155
10.3.1安全保护条例主要内容 155
10.3.2安全保护条例的局限性 157
10.3.3安全保护条例与网络安全等级保护关系 158
10.4网络安全等级保护相关标准 158
10.4.1现有等级保护政策和标准体系 158
10.4.2网络安全等级保护制度2.0 159
10.5网络产品和服务安全审查办法 162
10.5.1安全审查办法主要内容 162
10.5.2安全审查办法出台后的影响 163
10.5.3安全审查办法意义及作用 163
第3部分 信息安全风险管理的实践 167
第11章 风险识别与分析方法融合——信息安全风险测评 167
11.1基本原理 167
11.2流程方法 168
11.2.1工作流程 168
11.2.2工作方法 177
11.3实施组织 178
11.4对象确定 179
11.5准备阶段工作 183
11.6实施阶段工作 184
11.6.1现场培训 184
11.6.2资产识别 185
11.6.3威胁识别 186
11.6.4技术安全检测 188
11.6.5管理安全检测 191
11.6.6渗透测试 193
11.6.7已有安全措施分析 196
11.6.8脆弱性分析与赋值 196
11.6.9现场工作小结 196
11.7总结阶段工作 197
11.7.1数据整理 197
11.7.2综合分析 199
11.7.3报告编制 200
第12章 信息安全风险控制方法——安全基线配置 203
12.1明确安全基线配置作业需求 203
12.2建立安全基线配置管理规范 204
12.3制定安全基线配置模板 205
12.4现场基线配置检查确认 208
12.4.1技术基线检查 209
12.4.2管理基线审核 212
12.5基于安全基线要求的整改加固 213
12.6安全基线配置模板的修订 215
第13章 信息安全风险控制方法——服务器信息安全加固 217
13.1信息安全加固的目的及意义 217
13.1.1精准实施信息安全风险控制 217
13.1.2紧密结合等级保护整改建设 218
13.1.3严格依据等级保护测评结果 218
13.1.4有效提高等级保护测评符合率 218
13.2信息安全加固的重点及难点 220
13.2.1安全加固可行性分析 220
13.2.2安全加固工作重点 221
13.2.3安全加固工作难点 222
13.3信息安全加固原则及范围 223
13.3.1安全加固的原则 223
13.3.2安全加固的范围 223
13.4信息安全加固流程及组织 224
13.4.1安全加固流程与方法 224
13.4.2安全加固的组织 226
13.5信息安全加固实施内容 229
13.5.1准备阶段内容 229
13.5.2实施阶段内容 231
13.5.3分析总结阶段内容 238
13.5.4操作实例 239
第14章 信息安全风险管理的良好实践 241
14.1税务系统信息安全风险测评实践工作 241
14.2税务系统信息安全基线配置实践工作 243
14.2.1计划准备环节 243
14.2.2现场实施环节 243
14.2.3成果输出环节 244
14.3税务系统服务器信息安全加固实践工作 244
第15章 风险识别与分析方法在新技术环境中的应用 247
15.1移动互联网环境的风险测评 247
15.1.1移动智能终端安全风险测评 247
15.1.2移动传输网络安全风险测评 248
15.1.3移动应用安全风险测评 249
15.2虚拟化环境的风险测评 250
15.2.1虚拟化环境安全风险分析 250
15.2.2虚拟化环境安全风险测评 251
15.3工业控制系统的风险测评 252
15.3.1工业控制系统测评原则 252
15.3.2工业控制系统测评流程 253
15.3.3工业控制系统测评工具 254
附录 257
附录1信息安全风险测评表单 257
附录2网络与信息系统安全基线配置表单 267
附录3服务器信息安全加固表单 274
参考文献 280