第1章 信息安全风险评估概述 1
1.1 引言 1
1.2 信息安全风险评估的基本概念 1
1.3 信息安全风险评估的发展与现状 3
1.3.1 信息安全评估标准的发展 3
1.3.2 信息安全风险评估的现状 4
1.3.3 信息安全风险评估的研究热点 7
1.4 教材主要内容与章节安排 8
习题1 9
第2章 信息安全风险评估原理 10
2.1 信息安全风险及其分布 10
2.1.1 风险的定义 10
2.1.2 信息安全风险要素 10
2.1.3 信息系统安全风险分布 18
2.2 信息安全风险评估准则 20
2.2.1 信息安全风险评估的基本特点 20
2.2.2 基于BS 7799标准的信息安全风险评估准则 21
2.2.3 基于BS 7799标准的分析 21
2.2.4 风险接受准则 22
2.3 信息安全风险评估流程 25
2.3.1 评估准备 25
2.3.2 风险识别 26
2.3.3 风险确定 26
2.3.4 风险控制 26
习题2 26
第3章 信息安全风险评估工具 28
3.1 选择信息安全风险评估工具的基本原则 28
3.2 管理型信息安全风险评估工具 30
3.2.1 概述 30
3.2.2 COBRA风险评估系统 30
3.2.3 CRAMM风险评估系统 31
3.2.4 ASSET风险评估系统 33
3.2.5 RiskWatch风险评估系统 33
3.2.6 其他工具 34
3.2.7 常用风险评估与管理工具对比 35
3.3 技术型信息安全风险评估工具 35
3.3.1 漏洞扫描工具 37
3.3.2 渗透测试工具 38
3.4 风险评估辅助工具 41
习题3 41
第4章 信息安全风险评估基本方法 42
4.1 风险评估方法概述 42
4.1.1 技术评估与整体评估 42
4.1.2 定性评估和定量评估 43
4.1.3 基于知识的评估和基于模型的评估 43
4.1.4 动态分析与评估 44
4.2 典型的风险评估方法分析 45
4.2.1 风险评估方法介绍 45
4.2.2 方法比较 51
习题4 53
第5章 信息安全风险系统综合评估 54
5.1 信息安全风险系统综合评估思想 54
5.2 信息安全风险评估指标体系构建 55
5.2.1 评估指标体系的层次结构模型 55
5.2.2 信息安全风险评估指标体系建立 55
5.2.3 信息系统安全风险因素的系统分析 58
5.3 信息安全风险评估指标处理方法 62
5.3.1 定性指标的量化处理方法 62
5.3.2 定量指标的标准化处理方法 66
5.4 信息安全风险评估指标权重确定方法 71
5.4.1 指标权重的作用 71
5.4.2 指标权重确定的基本原则 72
5.4.3 指标权重的确定方法 72
习题5 83
第6章 计算机网络下的信息安全风险评估 84
6.1 相关依据 84
6.1.1 NSAIAM 84
6.1.2 CESG CHECK 84
6.2 评估过程 85
6.3 计算机网络空间下的风险因素 86
6.3.1 计算机网络空间的构成 86
6.3.2 漏洞分析 86
6.3.3 攻击者分类与攻击方式分析 88
6.4 计算机网络空间下的风险评估模型 90
6.4.1 基本风险 91
6.4.2 提升的风险 92
6.4.3 整体风险 93
6.4.4 风险控制 94
6.5 一种面向多对象的网络化信息安全风险评估算法 94
6.5.1 网络化信息安全风险分析 94
6.5.2 基于广义权距离的信息安全风险评估方法 95
6.5.3 算例 97
习题6 98
第7章 信息安全风险管理 99
7.1 风险管理概述 99
7.1.1 风险管理的意义和基本概念 99
7.1.2 风险管理的对象、角色与责任 100
7.1.3 风险管理的内容和过程 101
7.2 生命周期各阶段的风险管理 102
7.2.1 与信息系统生命周期和信息系统安全目标的关系 102
7.2.2 规划阶段的信息安全风险管理 103
7.2.3 设计阶段的信息安全风险管理 105
7.2.4 实施阶段的信息安全风险管理 106
7.2.5 运维阶段的信息安全风险管理 108
7.2.6 废弃阶段的信息安全风险管理 109
7.3 信息安全风险控制策略 110
7.3.1 物理安全策略 110
7.3.2 软件安全策略 111
7.3.3 管理安全策略 112
7.3.4 数据安全策略 112
习题7 113
第8章 信息安全风险评估案例 114
8.1 信息安全保密系统介绍 114
8.2 信息安全风险的模糊综合评价 115
8.2.1 一级系统模糊综合评价 115
8.2.2 二级系统模糊综合评价 117
8.2.3 带置信因子的系统模糊综合评价 118
8.2.4 基于改进模糊综合评价方法的信息系统安全风险评估 120
8.2.5 案例分析 124
8.3 信息安全风险评估系统设计 126
8.3.1 需求分析与系统工具选择 126
8.3.2 信息安全风险评估系统的结构设计 126
8.3.3 信息安全风险评估系统的详细设计 128
8.4 信息安全风险评估系统实现 131
8.4.1 系统登录 131
8.4.2 系统管理 132
8.4.3 风险评估准备 133
8.4.4 风险要素识别 134
8.4.5 评估指标体系 135
8.4.6 总体评估 135
第9章 信息安全风险评估标准 138
9.1 引言 138
9.2 国际上主要的标准化组织 138
9.2.1 国际标准化组织 138
9.2.2 Internet工程任务组 138
9.2.3 美国标准化组织 139
9.2.4 欧洲标准化组织 139
9.3 BS 7799信息安全管理实施细则 139
9.3.1 BS 7799历史 139
9.3.2 BS 7799架构 141
9.3.3 BS 7799认证 144
9.4 ISO/IEC 17799信息安全管理实施细则 144
9.4.1 ISO/IEC 17799:2000 144
9.4.2 ISO/IEC 17799:2005 145
9.4.3 两个版本的比较 145
9.5 ISO 27001:2005信息安全管理体系要求 146
9.6 CC通用标准 148
9.6.1 CC是若干标准的综合 148
9.6.2 主要内容 148
9.6.3 安全要求 148
9.7 ISO 13335信息和通信技术安全管理指南 149
9.8 系统安全工程能力成熟度模型 150
9.8.1 安全工程过程域 150
9.8.2 基于过程的信息安全模型 151
9.9 NIST相关标准 154
参考文献 161