第1章 认识风险评估 1
1.1 信息安全风险评估的基本概念 1
1.1.1 风险评估介绍 1
1.1.2 风险评估的基本注意事项 1
1.2 信息安全风险评估相关标准 2
1.3 信息安全标准化组织 6
1.3.1 国际标准化组织介绍 6
1.3.2 国外标准化组织介绍 8
1.3.3 国内标准化组织介绍 9
1.4 信息安全风险评估的发展与现状 10
1.4.1 信息安全风险评估的发展 10
1.4.2 信息安全风险评估的现状 10
思考题 11
第2章 信息安全风险评估的主要内容 12
2.1 信息安全风险评估工作概述 12
2.1.1 风险评估的依据 12
2.1.2 风险评估的原则 14
2.1.3 风险评估的相关术语 14
2.2 风险评估基础模型 16
2.2.1 风险要素关系模型 16
2.2.2 风险分析原理 18
2.2.3 风险评估方法 18
2.3 信息系统生命周期各阶段的风险评估 22
2.3.1 规划阶段的信息安全风险评估 23
2.3.2 设计阶段的信息安全风险评估 28
2.3.3 实施阶段的信息安全风险评估 29
2.3.4 运维阶段的信息安全风险评估 30
2.3.5 废弃阶段的信息安全风险评估 32
思考题 33
第3章 信息安全风险评估实施流程 34
3.1 风险评估准备工作 34
3.2 资产识别 34
3.2.1 资产分类 34
3.2.2 资产赋值 35
3.3 威胁识别 38
3.3.1 威胁分类 38
3.3.2 威胁赋值 39
3.4 脆弱性识别 40
3.4.1 脆弱性识别内容 40
3.4.2 脆弱性赋值 42
3.5 确认已有安全措施 42
3.6 风险分析 43
3.6.1 风险计算原理 43
3.6.2 风险结果判定 44
3.6.3 风险处置计划 45
3.7 风险评估记录 45
3.7.1 风险评估文件记录的要求 45
3.7.2 风险评估文件 46
3.8 风险评估工作形式 46
3.8.1 自评估 47
3.8.2 检查评估 47
3.9 风险计算方法 48
3.9.1 矩阵法计算风险 49
3.9.2 相乘法计算风险 53
思考题 55
第4章 信息安全风险评估工具 56
4.1 风险评估工具 56
4.1.1 ASSET 56
4.1.2 RiskWatch 56
4.1.3 COBRA 57
4.1.4 CRAMM 57
4.1.5 CORA 58
4.2 主机系统风险评估工具 58
4.2.1 MBSA 58
4.2.2 Metasploit渗透工具 63
4.2.3 雪豹自动化检测渗透工具 68
4.3 应用系统风险评估工具 75
4.3.1 AppScan 75
4.3.2 Web Vulnerability Scanner 81
4.4 手机端安全评估辅助工具 84
4.5 风险评估辅助工具 85
4.5.1 资产调研表 85
4.5.2 人员访谈模板 88
4.5.3 基线检查模板 96
4.5.4 风险评估工作申请单 137
4.5.5 项目计划及会议纪要 140
思考题 143
第5章 信息安全风险评估案例 144
5.1 概述 144
5.1.1 评估内容 144
5.1.2 评估依据 144
5.2 安全现状分析 145
5.2.1 系统介绍 145
5.2.2 资产调查列表 145
5.2.3 网络现状 145
5.3 安全风险评估的内容 147
5.3.1 安全评估综合分析 147
5.3.2 威胁评估 147
5.3.3 网络设备安全评估 151
5.3.4 主机人工安全评估 157
5.3.5 应用安全评估 174
5.3.6 网络架构安全评估 192
5.3.7 无线网络安全评估 197
5.3.8 工具扫描 199
5.3.9 管理安全评估 239
5.4 综合风险分析 241
5.4.1 综合风险评估方法 241
5.4.2 综合风险评估分析 242
5.5 风险处置 247
5.5.1 风险处置方式 247
5.5.2 风险处置计划 249
思考题 253
第6章 信息安全管理控制措施 254
6.1 选择控制措施的方法 254
6.1.1 信息安全起点 254
6.1.2 关键的成功因素 255
6.1.3 制定自己的指导方针 255
6.2 选择控制措施的过程 255
6.3 完善信息安全管理组织架构 256
6.4 信息安全管理控制规范 257
思考题 258
第7章 手机客户端安全检测 259
7.1 APK文件安全检测技术 259
7.1.1 安装包证书检验 259
7.1.2 证书加密测试 260
7.1.3 代码保护测试 260
7.1.4 登录界面劫持测试 261
7.1.5 日志打印测试 262
7.1.6 敏感信息测试 262
7.1.7 登录过程测试 263
7.1.8 密码加密测试 263
7.1.9 检测是否有测试文件 264
7.1.10 代码中是否含有测试信息 264
7.1.11 加密方式测试 265
7.2 APK文件安全保护建议 265
7.2.1 Android原理 265
7.2.2 APK文件保护步骤 267
思考题 268
第8章 云计算信息安全风险评估 269
8.1 云计算安全与传统安全的区别 269
8.2 云计算信息安全检测的新特性 270
8.2.1 云计算抗DDOS的安全 270
8.2.2 云计算多用户可信领域安全 271
8.2.3 云计算的其他安全新特性 271
8.3 云计算安全防护 274
8.3.1 针对APT攻击防护 274
8.3.2 针对恶意DDOS攻击防护 275
思考题 276