信息安全风险评估2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

信息安全风险评估PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分　基本知识3

第1章 引论3

1.1 信息与信息安全3

1.1.1 信息3

1.1.2 信息安全3

1.2　信息安全技术与信息安全管理4

1.2.1　信息安全事件5

1.2.2　信息安全技术5

1.2.3　信息安全管理6

1.3　信息安全风险评估6

1.3.1 基本定义7

1.3.2　相关概念7

1.3.3　基本要素关系8

1.3.4　风险分析原理9

1.4 开展信息安全风险评估工作的意义10

1.4.1 信息安全工作的客观需要和紧迫需求10

1.4.3　落实信息安全等级保护的重要手段11

1.4.2　体现党中央国务院的文件精神11

1.5 我国信息安全风险评估推进过程12

1.5.1 调查研究阶段12

1.5.2　标准编制阶段12

1.5.3　全国试点阶段13

1.5.4　下一步推进工作13

2.1.2　信息安全风险评估是分析确定风险的过程15

2.1.1 信息安全风险评估是信息安全建设和管理的科学方法15

2.1 信息安全风险评估的内涵15

第2章　主要内容15

2.1.3　信息安全风险评估是信息安全建设的起点和基础16

2.1.4　信息安全风险评估是在倡导一种适度安全16

2.2 信息安全风险评估的两种方式16

2.2.1 自评估17

2.2.2　检查评估18

2.3 信息安全风险评估的五个环节19

2.3.1　信息系统生命周期19

2.3.2　规划阶段的风险评估20

2.3.4　实施阶段的风险评估21

2.3.3　设计阶段的风险评估21

2.3.5　运行维护阶段的风险评估22

2.3.6　废弃阶段的风险评估23

2.4　信息安全风险评估的组织管理工作23

第二部分　技术与方法27

第3章 评估工作概述27

3.1 工作原则27

3.1.1　关于评估工作流程27

3.1.2　关于风险分析方法28

3.1.3　关于结果展现29

3.2　参考流程30

3.3　质量管理31

3.3.1　实施方案31

3.3.2 中间结果33

3.3.3　项目验收33

3.4　质量控制规范要求33

3.4.1　实施组织规范要求33

3.4.2　前期环境准备规范要求34

3.4.3　评估流程规范要求35

3.4.4　沟通与控制规范要求36

3.4.5　验收规范要求39

第4章　评估准备41

4.1　评估目的41

4.2　评估范围及描述43

4.3　建立评估团队45

4.3.1 组织结构45

4.3.2　人员角色46

4.4　前期系统调研47

4.5.2 国际标准48

4.5　确定评估标准48

4.5.1 国内标准48

4.5.3　行业标准和规范49

4.5.4　组织本身的策略50

4.6　条件准备50

4.7　项目启动及培训52

4.7.1　项目启动52

4.7.2　评估活动的培训52

5.1 工作内容54

5.1.1 回顾评估范围之内的业务54

第5章　资产识别54

5.1.2　识别信息资产，进行合理分类55

5.1.3　确定每类信息资产的安全需求55

5.1.4　为每类信息资产的重要性赋值55

5.2　参与人员55

5.2.1 回顾评估范围之内的业务和系统55

5.2.2 识别信息资产进行合理分类55

5.2.3　确定每类信息资产的安全需求55

5.2.4 为每类信息资产的重要性赋值55

5.3.2　资产的识别与分类56

5.3 工作方式56

5.3.1　评估范围之内的业务识别56

5.3.3　安全需求分析58

5.3.4 资产赋值58

5.4 工具及资料59

5.4.1 自动化工具59

5.4.2　手工记录表格60

5.4.3　辅助资料60

5.5　输出结果61

6.1.3　威胁赋值62

6.1.2　威胁分类62

6.1.4　构建威胁场景62

第6章　威胁识别62

6.1.1　威胁识别62

6.1 工作内容62

6.2　参与人员63

6.2.1　访谈63

6.2.2　工具检测63

6.3　工作方式63

6.3.1　威胁识别63

6.3.2　威胁分类65

6.3.3　构建威胁场景69

6.3.4　威胁赋值70

6.4　工具及资料73

6.4.1 IDS采样分析73

6.4.2 日志分析74

6.4.3　人员访谈记录表格74

6.5　输出结果76

7.1.3　脆弱性赋值77

7.1.2　识别结果整理与展示77

7.2 参与人员77

第7章　脆弱性识别77

7.1.1　脆弱性识别77

7.1 工作内容77

7.3　工作方式78

7.3.1　脆弱性识别78

7.3.2　脆弱性整理和展现80

7.3.3 脆弱性分析和CVSS计算方法80

7.4 工具及资料85

7.4.1　漏洞扫描工具85

7.4.2　各类检查列表87

7.4.3　渗透测试90

7.5　输出结果90

第8章 安全措施识别与确认91

8.1 工作内容91

8.1.1 技术控制措施的识别与确认91

8.1.2　管理和操作控制措施的识别与确认91

8.2 参与人员91

8.3.1 技术控制措施的识别与确认92

8.3 工作方式92

8.3.2　管理和操作控制措施的识别与确认94

8.3.3　分析与统计96

8.4 工具及资料96

8.4.1 《技术控制措施调查表》97

8.4.2　《管理和操作控制措施调查表》97

8.4.3 涉密信息系统评测表格（可选，针对涉密信息系统的评估）97

8.4.4　符合性检查工具97

8.5　输出结果98

第9章　风险分析阶段99

9.1　风险分析模型99

9.2　风险分析100

9.2.1 业务与资产映射100

9.2.2 资产／脆弱性／威胁／已有控制措施映射100

9.2.3　风险计算101

9.3 工具及资料109

9.4　输出结果110

10.1.2 ISO/IEC 17799:2005111

10.1.1 BS 7799、ISO/IEC 17799、ISO/IEC 27000系列111

第10章 有关技术标准111

10.1 BS 7799/ISO 17799111

10.1.3 BS 7799-2:2002114

10.2 ISO/IEC TR 13335115

10.2.1 信息安全管理和计划的概念和模型115

10.2.2　信息安全管理和计划117

10.2.3　信息安全管理技术119

10.2.4 安全措施的选择120

10.3.1 简介121

10.3 OCTAVE 2.0121

10.2.5　网络安全管理指南121

10.3.2　面向大型组织的OCTAVE方法123

10.3.3　面向小型组织的OCTAVE-S方法124

10.3.4　两种方法的选择126

10.4 ISO 15408/GB 18336/CC127

10.4.1 适用范围127

10.4.2 内容简介127

10.5　等级保护128

10.5.1 GB 17859-1999《计算机信息系统安全保护等级划分准则》128

10.4.3　局限性128

10.5.2　其他正在制定过程中的相关配套系列标准129

10.6　涉秘信息系统分级保护技术要求132

10.6.1 涉密信息系统的等级划分132

10.6.2　涉密信息系统基本保护要求133

10.6.3　涉密信息系统的安全风险评估133

11.1 天融信信息安全管理系统141

11.1.1 TSM概述141

第11章　风险评估管理工具141

第三部分　产品与工具141

11.1.2 TopAnalyzer工具在信息安全风险评估中的应用142

11.1.3 TopAnalyzer工具的构成143

11.1.4 Top Analvzer工具的功能144

11.1.5 工具的特点150

11.1.6 工具的应用环境151

11.1.7　案例说明153

11.2　启明星辰风险评估管理系统155

11.2.1 系统概述155

11.2.2　产品的构成155

11.2.3　产品的使用及功能156

11.2.5 总结159

11.2.4　应用案例159

11.3　联想网御风险评估辅助工具160

11.3.1 系统构成与功能160

11.3.2　应用环境164

11.3.3　使用方法165

11.3.4　应用案例165

12.1.1 概述168

12.1.2　系统总体构成168

12.1 极光远程安全评估系统168

第12章　漏洞扫描分析工具168

12.1.3 系统功能说明169

12.1.4　系统应用环境171

12.1.5 系统应用说明173

12.1.6　系统应用案例175

12.1.7 总结177

12.2 天镜脆弱性扫描与管理系统179

12.2.1 系统概述179

12.2.2　系统的构成180

12.2.3　系统的使用及功能182

12.2.4　系统的收益和特点186

12.3 ISS安全漏洞扫描系统187

12.3.1 产品简介187

12.3.2 产品功能187

12.3.3　产品的应用188

12.3.4　产品输出报表192

13.1.1 为什么需要网络入侵检测系统194

13.1.2　常见的入侵检测技术194

13.1 概述194

第13章　入侵检测工具194

13.1.3　新一代入侵检测技术195

13.2　冰之眼网络入侵检测系统197

13.2.1 产品架构197

13.2.2 产品功能197

13.2.3　产品部署201

13.2.4　应用案例202

13.3.2 产品构成205

13.3　天阗入侵检测系统205

13.3.1 系统概述205

13.3.3 产品功能206

13.3.4 产品应用210

14.1.1　项目启动与立项217

14.1.4 范围217

14.1.2 目标217

14.1.3 内容217

14.1　项目概述217

第14章　案例一：某国税安全评估项目217

第四部分　案例217

14.2　项目阶段218

14.2.1 项目规划218

14.2.2　评估实施218

14.2.3　评估报告和解决方案218

14.2.4　支持和维护218

14.3　交付的文档及报告218

14.3.1 中间评估文档218

14.4　项目时间表219

14.3.2　最终报告219

14.5　安全评估具体实施内容220

14.5.1　主机安全现状评估220

14.5.2　网络架构安全状况评估220

14.5.3　应用系统安全状况评估220

14.5.4　安全管理状况评估221

14.6 附录221

14.6.1 附件1：某国税安全风险评估工作声明目录221

14.6.2 附件2：某国税安全评估技术方案建议书目录222

14.6.3 附件3：某国税网络架构评估报告目录224

14.6.4 附件4：某国税应用系统安全评估报告目录225

14.6.5 附件5：某国税安全管理审计报告目录227

14.6.6 附件6：某国家税务局安全现状报告目录229

14.6.7　附件7：某国税信息系统安全解决方案建议书目录230

14.6.8　附件8：安全检查列表实例232

14.6.9　附件9：主机安全评估评估结果实例239

15.1 项目概述241

15.1.1 基本情况241

第15章　案例二：某电信公司信息安全风险评估项目241

15.1.2　项目目标与范围242

15.1.3　项目组织和进度安排242

15.1.4　实施简述246

15.2　风险评估方案实施247

15.2.1　风险评估的依据247

15.2.2 评估阶段定义248

15.2.3　本次风险评估的具体内容249

15.3.1 建设实施254

15.3　安全信息库的建设254

15.3.2　功能255

15.3.3　数据接口257

15.4 项目验收257

15.4.1　省网层面风险评估257

15.4.2　分公司节点风险评估258

15.4.3　风险评估总结258

15.4.4　安全信息库258

15.4.5 培训258

15.5　评估工具259

16.1　项目概述260

16.1.1　项目简介260

第16章 案例三：某公司网络风险评估项目260

16.1.2 项目目标261

16.1.3　项目范围261

16.2　项目指导策略262

16.2.1 评估遵循的原则262

16.2.2　风险评估策略262

16.2.3　风险评估模型264

16.3.1　风险评估流程269

16.3　风险评估方法269

16.3.2　风险评估方法275

16.4　项目实施279

16.4.1　项目组织结构279

16.4.2　项目实施计划281

16.4.3　项目实施过程281

16.4.4　项目实施过程中的风险控制措施285

16.4.5　项目文档提交286

16.4.6　项目工作配合286