第一部分 基本知识 3
第1章 引论 3
1.1 信息与信息安全 3
1.1.1 信息 3
1.1.2 信息安全 3
1.2 信息安全技术与信息安全管理 4
1.2.1 信息安全事件 5
1.2.2 信息安全技术 5
1.2.3 信息安全管理 6
1.3 信息安全风险评估 6
1.3.1 基本定义 7
1.3.2 相关概念 7
1.3.3 基本要素关系 8
1.3.4 风险分析原理 9
1.4 开展信息安全风险评估工作的意义 10
1.4.1 信息安全工作的客观需要和紧迫需求 10
1.4.3 落实信息安全等级保护的重要手段 11
1.4.2 体现党中央国务院的文件精神 11
1.5 我国信息安全风险评估推进过程 12
1.5.1 调查研究阶段 12
1.5.2 标准编制阶段 12
1.5.3 全国试点阶段 13
1.5.4 下一步推进工作 13
2.1.2 信息安全风险评估是分析确定风险的过程 15
2.1.1 信息安全风险评估是信息安全建设和管理的科学方法 15
2.1 信息安全风险评估的内涵 15
第2章 主要内容 15
2.1.3 信息安全风险评估是信息安全建设的起点和基础 16
2.1.4 信息安全风险评估是在倡导一种适度安全 16
2.2 信息安全风险评估的两种方式 16
2.2.1 自评估 17
2.2.2 检查评估 18
2.3 信息安全风险评估的五个环节 19
2.3.1 信息系统生命周期 19
2.3.2 规划阶段的风险评估 20
2.3.4 实施阶段的风险评估 21
2.3.3 设计阶段的风险评估 21
2.3.5 运行维护阶段的风险评估 22
2.3.6 废弃阶段的风险评估 23
2.4 信息安全风险评估的组织管理工作 23
第二部分 技术与方法 27
第3章 评估工作概述 27
3.1 工作原则 27
3.1.1 关于评估工作流程 27
3.1.2 关于风险分析方法 28
3.1.3 关于结果展现 29
3.2 参考流程 30
3.3 质量管理 31
3.3.1 实施方案 31
3.3.2 中间结果 33
3.3.3 项目验收 33
3.4 质量控制规范要求 33
3.4.1 实施组织规范要求 33
3.4.2 前期环境准备规范要求 34
3.4.3 评估流程规范要求 35
3.4.4 沟通与控制规范要求 36
3.4.5 验收规范要求 39
第4章 评估准备 41
4.1 评估目的 41
4.2 评估范围及描述 43
4.3 建立评估团队 45
4.3.1 组织结构 45
4.3.2 人员角色 46
4.4 前期系统调研 47
4.5.2 国际标准 48
4.5 确定评估标准 48
4.5.1 国内标准 48
4.5.3 行业标准和规范 49
4.5.4 组织本身的策略 50
4.6 条件准备 50
4.7 项目启动及培训 52
4.7.1 项目启动 52
4.7.2 评估活动的培训 52
5.1 工作内容 54
5.1.1 回顾评估范围之内的业务 54
第5章 资产识别 54
5.1.2 识别信息资产,进行合理分类 55
5.1.3 确定每类信息资产的安全需求 55
5.1.4 为每类信息资产的重要性赋值 55
5.2 参与人员 55
5.2.1 回顾评估范围之内的业务和系统 55
5.2.2 识别信息资产进行合理分类 55
5.2.3 确定每类信息资产的安全需求 55
5.2.4 为每类信息资产的重要性赋值 55
5.3.2 资产的识别与分类 56
5.3 工作方式 56
5.3.1 评估范围之内的业务识别 56
5.3.3 安全需求分析 58
5.3.4 资产赋值 58
5.4 工具及资料 59
5.4.1 自动化工具 59
5.4.2 手工记录表格 60
5.4.3 辅助资料 60
5.5 输出结果 61
6.1.3 威胁赋值 62
6.1.2 威胁分类 62
6.1.4 构建威胁场景 62
第6章 威胁识别 62
6.1.1 威胁识别 62
6.1 工作内容 62
6.2 参与人员 63
6.2.1 访谈 63
6.2.2 工具检测 63
6.3 工作方式 63
6.3.1 威胁识别 63
6.3.2 威胁分类 65
6.3.3 构建威胁场景 69
6.3.4 威胁赋值 70
6.4 工具及资料 73
6.4.1 IDS采样分析 73
6.4.2 日志分析 74
6.4.3 人员访谈记录表格 74
6.5 输出结果 76
7.1.3 脆弱性赋值 77
7.1.2 识别结果整理与展示 77
7.2 参与人员 77
第7章 脆弱性识别 77
7.1.1 脆弱性识别 77
7.1 工作内容 77
7.3 工作方式 78
7.3.1 脆弱性识别 78
7.3.2 脆弱性整理和展现 80
7.3.3 脆弱性分析和CVSS计算方法 80
7.4 工具及资料 85
7.4.1 漏洞扫描工具 85
7.4.2 各类检查列表 87
7.4.3 渗透测试 90
7.5 输出结果 90
第8章 安全措施识别与确认 91
8.1 工作内容 91
8.1.1 技术控制措施的识别与确认 91
8.1.2 管理和操作控制措施的识别与确认 91
8.2 参与人员 91
8.3.1 技术控制措施的识别与确认 92
8.3 工作方式 92
8.3.2 管理和操作控制措施的识别与确认 94
8.3.3 分析与统计 96
8.4 工具及资料 96
8.4.1 《技术控制措施调查表》 97
8.4.2 《管理和操作控制措施调查表》 97
8.4.3 涉密信息系统评测表格(可选,针对涉密信息系统的评估) 97
8.4.4 符合性检查工具 97
8.5 输出结果 98
第9章 风险分析阶段 99
9.1 风险分析模型 99
9.2 风险分析 100
9.2.1 业务与资产映射 100
9.2.2 资产/脆弱性/威胁/已有控制措施映射 100
9.2.3 风险计算 101
9.3 工具及资料 109
9.4 输出结果 110
10.1.2 ISO/IEC 17799:2005 111
10.1.1 BS 7799、ISO/IEC 17799、ISO/IEC 27000系列 111
第10章 有关技术标准 111
10.1 BS 7799/ISO 17799 111
10.1.3 BS 7799-2:2002 114
10.2 ISO/IEC TR 13335 115
10.2.1 信息安全管理和计划的概念和模型 115
10.2.2 信息安全管理和计划 117
10.2.3 信息安全管理技术 119
10.2.4 安全措施的选择 120
10.3.1 简介 121
10.3 OCTAVE 2.0 121
10.2.5 网络安全管理指南 121
10.3.2 面向大型组织的OCTAVE方法 123
10.3.3 面向小型组织的OCTAVE-S方法 124
10.3.4 两种方法的选择 126
10.4 ISO 15408/GB 18336/CC 127
10.4.1 适用范围 127
10.4.2 内容简介 127
10.5 等级保护 128
10.5.1 GB 17859-1999《计算机信息系统安全保护等级划分准则》 128
10.4.3 局限性 128
10.5.2 其他正在制定过程中的相关配套系列标准 129
10.6 涉秘信息系统分级保护技术要求 132
10.6.1 涉密信息系统的等级划分 132
10.6.2 涉密信息系统基本保护要求 133
10.6.3 涉密信息系统的安全风险评估 133
11.1 天融信信息安全管理系统 141
11.1.1 TSM概述 141
第11章 风险评估管理工具 141
第三部分 产品与工具 141
11.1.2 TopAnalyzer工具在信息安全风险评估中的应用 142
11.1.3 TopAnalyzer工具的构成 143
11.1.4 Top Analvzer工具的功能 144
11.1.5 工具的特点 150
11.1.6 工具的应用环境 151
11.1.7 案例说明 153
11.2 启明星辰风险评估管理系统 155
11.2.1 系统概述 155
11.2.2 产品的构成 155
11.2.3 产品的使用及功能 156
11.2.5 总结 159
11.2.4 应用案例 159
11.3 联想网御风险评估辅助工具 160
11.3.1 系统构成与功能 160
11.3.2 应用环境 164
11.3.3 使用方法 165
11.3.4 应用案例 165
12.1.1 概述 168
12.1.2 系统总体构成 168
12.1 极光远程安全评估系统 168
第12章 漏洞扫描分析工具 168
12.1.3 系统功能说明 169
12.1.4 系统应用环境 171
12.1.5 系统应用说明 173
12.1.6 系统应用案例 175
12.1.7 总结 177
12.2 天镜脆弱性扫描与管理系统 179
12.2.1 系统概述 179
12.2.2 系统的构成 180
12.2.3 系统的使用及功能 182
12.2.4 系统的收益和特点 186
12.3 ISS安全漏洞扫描系统 187
12.3.1 产品简介 187
12.3.2 产品功能 187
12.3.3 产品的应用 188
12.3.4 产品输出报表 192
13.1.1 为什么需要网络入侵检测系统 194
13.1.2 常见的入侵检测技术 194
13.1 概述 194
第13章 入侵检测工具 194
13.1.3 新一代入侵检测技术 195
13.2 冰之眼网络入侵检测系统 197
13.2.1 产品架构 197
13.2.2 产品功能 197
13.2.3 产品部署 201
13.2.4 应用案例 202
13.3.2 产品构成 205
13.3 天阗入侵检测系统 205
13.3.1 系统概述 205
13.3.3 产品功能 206
13.3.4 产品应用 210
14.1.1 项目启动与立项 217
14.1.4 范围 217
14.1.2 目标 217
14.1.3 内容 217
14.1 项目概述 217
第14章 案例一:某国税安全评估项目 217
第四部分 案例 217
14.2 项目阶段 218
14.2.1 项目规划 218
14.2.2 评估实施 218
14.2.3 评估报告和解决方案 218
14.2.4 支持和维护 218
14.3 交付的文档及报告 218
14.3.1 中间评估文档 218
14.4 项目时间表 219
14.3.2 最终报告 219
14.5 安全评估具体实施内容 220
14.5.1 主机安全现状评估 220
14.5.2 网络架构安全状况评估 220
14.5.3 应用系统安全状况评估 220
14.5.4 安全管理状况评估 221
14.6 附录 221
14.6.1 附件1:某国税安全风险评估工作声明目录 221
14.6.2 附件2:某国税安全评估技术方案建议书目录 222
14.6.3 附件3:某国税网络架构评估报告目录 224
14.6.4 附件4:某国税应用系统安全评估报告目录 225
14.6.5 附件5:某国税安全管理审计报告目录 227
14.6.6 附件6:某国家税务局安全现状报告目录 229
14.6.7 附件7:某国税信息系统安全解决方案建议书目录 230
14.6.8 附件8:安全检查列表实例 232
14.6.9 附件9:主机安全评估评估结果实例 239
15.1 项目概述 241
15.1.1 基本情况 241
第15章 案例二:某电信公司信息安全风险评估项目 241
15.1.2 项目目标与范围 242
15.1.3 项目组织和进度安排 242
15.1.4 实施简述 246
15.2 风险评估方案实施 247
15.2.1 风险评估的依据 247
15.2.2 评估阶段定义 248
15.2.3 本次风险评估的具体内容 249
15.3.1 建设实施 254
15.3 安全信息库的建设 254
15.3.2 功能 255
15.3.3 数据接口 257
15.4 项目验收 257
15.4.1 省网层面风险评估 257
15.4.2 分公司节点风险评估 258
15.4.3 风险评估总结 258
15.4.4 安全信息库 258
15.4.5 培训 258
15.5 评估工具 259
16.1 项目概述 260
16.1.1 项目简介 260
第16章 案例三:某公司网络风险评估项目 260
16.1.2 项目目标 261
16.1.3 项目范围 261
16.2 项目指导策略 262
16.2.1 评估遵循的原则 262
16.2.2 风险评估策略 262
16.2.3 风险评估模型 264
16.3.1 风险评估流程 269
16.3 风险评估方法 269
16.3.2 风险评估方法 275
16.4 项目实施 279
16.4.1 项目组织结构 279
16.4.2 项目实施计划 281
16.4.3 项目实施过程 281
16.4.4 项目实施过程中的风险控制措施 285
16.4.5 项目文档提交 286
16.4.6 项目工作配合 286