信息安全测评与风险评估(第2版)
作 译 者:向宏,傅鹂,詹榜华
出 版 日 期:2014-06-01
书 代 号:G0231630
I S B N:9787121231636
图书简介:
本书分为四部分共14章。第1部分(第1、2章)介绍信息安全测评思想和方法;第2部分(第3章至第6章)介绍测评技术和流程;第3部分(第7章至第13章)介绍风险评估、应急响应、法律法规和信息安全管理体系;第4部分(第14章)介绍了国外在信息安全测评领域的最新进展。全书涉及的信息安全等级保护、风险评估、应急响应和信息安全管理体系等国家标准,均属于我国开展信息安全保障工作中所依据的核心标准集。
-
配 套 资 源
本书资源
本书暂无资源 -
图 书 内 容
内容简介
本书分为四部分共14章。第1部分(第1、2章)介绍信息安全测评思想和方法;第2部分(第3章至第6章)介绍测评技术和流程;第3部分(第7章至第13章)介绍风险评估、应急响应、法律法规和信息安全管理体系;第4部分(第14章)介绍了国外在信息安全测评领域的最新进展。全书涉及的信息安全等级保护、风险评估、应急响应和信息安全管理体系等国家标准,均属于我国开展信息安全保障工作中所依据的核心标准集。图书详情
ISBN:9787121231636开 本:16开页 数:396字 数:600本书目录
第1章 信息安全测评思想 1 要点:本章结束之后,读者应当了解和掌握 1 序幕:何危最险 2 1.1 信息安全测评的科学精神 2 1.2 信息安全测评的科学方法 3 1.3 信息安全测评的贯标思想 5 1.4 信息安全标准化组织 6 1.4.1 国际标准化组织 6 1.4.2 国外标准化组织 7 1.4.3 国内标准化组织 8 1.5 本章小结 9 尾声:三位旅行者 9 观感 9 第2章 信息安全测评方法 11 要点:本章结束之后,读者应当了解和掌握 11 序幕:培根的《新工具》 12 2.1 为何测评 12 2.1.1 信息系统安全等级保护标准与TCSEC 13 2.1.2 中国的计算机安全等级保护标准 15 2.1.3 安全域 17 2.2 何时测评 18 2.3 测评什么 19 2.3.1 外网测评特点 20 2.3.2 内网测评特点 21 2.4 谁来测评 22 2.5 如何准备测评 23 2.6 怎样测评 27 2.6.1 测评案例——“天网”工程 27 2.6.2 启动“天网”测评 29 2.7 本章小结 32 尾声:比《新工具》更新的是什么 32 观感 32 第3章 数据安全测评技术 35 要点:本章结束之后,读者应当了解和掌握 35 序幕:谜已解,史可鉴 36 3.1 数据安全测评的诸方面 36 3.2 数据安全测评的实施 38 3.2.1 数据安全访谈调研 38 3.2.2 数据安全现场检查 43 3.2.3 数据安全测试 54 3.3 本章小结 57 尾声:窃之犹在 57 观感 58 第4章 主机安全测评技术 61 要点:本章结束之后,读者应当了解和掌握 61 序幕:第一代黑客 62 4.1 主机安全测评的诸方面 62 4.2 主机安全测评的实施 64 4.2.1 主机安全访谈调研 64 4.2.2 主机安全现场检查 68 4.2.3 主机安全测试 87 4.3 本章小结 95 尾声:可信赖的主体 96 观感 96 第5章 网络安全测评技术 97 要点:本章结束之后,读者应当了解和掌握 97 序幕:围棋的智慧 98 5.1 网络安全测评的诸方面 98 5.2 网络安全测评的实施 100 5.2.1 网络安全访谈调研 100 5.2.2 网络安全现场检查 105 5.2.3 网络安全测试 128 5.3 本章小结 139 尾声:墙、门、界 139 观感 140 第6章 应用安全测评技术 141 要点:本章结束之后,读者应当了解和掌握 141 序幕:机器会思考吗 142 6.1 应用安全测评的诸方面 142 6.2 应用安全测评的实施 143 6.2.1 应用安全访谈调研 143 6.2.2 应用安全现场检查 147 6.2.3 应用安全测试 162 6.3 本章小结 179 尾声:史上最“万能”的机器 179 观感 180 第7章 资产识别 181 要点:本章结束之后,读者应当了解和掌握 181 序幕:伦敦大火启示录 182 7.1 风险概述 182 7.2 资产识别的诸方面 186 7.2.1 资产分类 186 7.2.2 资产赋值 190 7.3 资产识别案例分析 193 7.3.1 模拟案例背景简介 193 7.3.2 资产分类 195 7.3.3 资产赋值 207 7.3.4 资产识别输出报告 215 7.4 本章小结 215 尾声:我们究竟拥有什么 216 观感 216 第8章 威胁识别 217 要点:本章结束之后,读者应当了解和掌握 217 序幕:威胁在哪里 218 8.1 威胁概述 218 8.2 威胁识别的诸方面 220 8.2.1 威胁分类——植树和剪枝 220 8.2.2 威胁赋值——统计 222 8.3 威胁识别案例分析 224 8.3.1 “数字兰曦”威胁识别 224 8.3.2 威胁识别输出报告 235 8.4 本章小结 236 尾声:在鹰隼盘旋的天空下 236 观感 236 第9章 脆弱性识别 237 要点:本章结束之后,读者应当了解和掌握 237 序幕:永恒的阿基里斯之踵 238 9.1 脆弱性概述 238 9.2 脆弱性识别的诸方面 240 9.2.1 脆弱性发现 240 9.2.2 脆弱性分类 241 9.2.3 脆弱性验证 242 9.2.4 脆弱性赋值 242 9.3 脆弱性识别案例分析 243 9.3.1 信息环境脆弱性识别 244 9.3.2 公用信息载体脆弱性识别 246 9.3.3 脆弱性仿真验证 249 9.3.4 脆弱性识别输出报告 261 9.4 本章小结 261 尾声:木马歌 261 观感 262 第10章 风险分析 263 要点:本章结束之后,读者应当了解和掌握 263 序幕:烽火的演变 264 10.1 风险分析概述 264 10.2 风险计算 265 10.2.1 相乘法原理 267 10.2.2 风险值计算示例 267 10.3 风险定级 268 10.4 风险控制 269 10.5 残余风险 270 10.6 风险评估案例分析 270 10.6.1 信息环境风险计算 271 10.6.2 人员资产风险计算 271 10.6.3 管理制度风险计算 271 10.6.4 机房风险计算 271 10.6.5 信息环境风险统计 272 10.6.6 公用信息载体风险计算 272 10.6.7 专用信息及信息载体的风险计算 273 10.6.8 风险计算报告 274 10.6.9 风险控制示例 274 10.6.10 风险控制计划 278 10.7 本章小结 279 尾声:“勇敢”的反面是什么 279 观感 280 第11章 应急响应 281 要点:本章结束之后,读者应当了解和掌握 281 序幕:虚拟社会的消防队 282 11.1 应急响应概述 282 11.2 应急响应计划 283 11.2.1 应急响应计划的准备 284 11.2.2 应急响应计划制定中应注意的问题 286 11.2.3 应急响应计划的制定 287 11.2.4 应急响应计划的培训、演练和更新 299 11.2.5 文档的保存、分发与维护 301 11.3 应急响应计划案例分析 301 11.3.1 南海大学信息安全应急响应计划示例 302 11.3.2 “南洋烽火”计划 302 11.4 本章小结 311 尾声:如何变“惊慌失措”为“从容不迫” 311 观感 312 第12章 法律和法规 313 要点:本章结束之后,读者应当了解和掌握 313 序幕:神话世界中需要秩序吗 314 12.1 计算机犯罪概述 314 12.2 信息安全法律和法规简介 316 12.2.1 美国有关法律 316 12.2.2 中国信息安全法律和法规的历史沿革 324 12.3 本章小结 327 尾声:从囚徒困境说起 327 观感 328 第13章 信息安全管理体系 329 要点:本章结束之后,读者应当了解和掌握 329 序幕:武学的最高境界 330 13.1 ISMS概述 330 13.2 ISMS主要内容 333 13.2.1 计划(Plan) 333 13.2.2 实施(Do) 340 13.2.3 检查(Check) 340 13.2.4 处置(Act) 341 13.3 本章小结 342 尾声:实力源于何处 343 观感 343 第14章 信息安全测评新领域 345 要点:本章结束之后,读者应当了解和掌握 345 序幕:大师与大漠 346 14.1 信息安全测评新领域概述 346 14.2 工业控制系统安全测评 347 14.2.1 ICS简介 348 14.2.2 ICS安全与IT安全 351 14.2.3 ICS安全防护技术简介 353 14.2.4 ICS系统安全评估 354 14.3 美国国家网络靶场一览 358 14.3.1 网络靶场的总目标 358 14.3.2 网络靶场的测试需求 361 14.3.3 网络靶场的关键技术 362 14.3.4 网络靶场的试验床简介 365 14.4 本章小结 368 尾声:虚拟与现实 368 参考文献 369展开前 言
第2版序言 “十一五”期间,由国家信息化专家咨询委员会牵头,教育部信息安全专业类教学指导委员会有关领导、学者组织,众多信息安全专业著名专家和教师参与开发,并由电子工业出版社出版的“高等学校信息安全专业系列教材”,由于在体系设计上较全面地覆盖了新时期信息安全专业教育的各个知识层面,包括宏观视角上对信息化大环境下信息安全相关知识的综合介绍,对信息安全应用发展前沿的深入剖析,以及对信息安全系统建设各项核心任务的系统讲解和对一些重要信息安全应用形式的讨论,在“高等学校信息安全专业系列教材”面世后,受到高校该专业学科及相关专业师生的热烈欢迎,得到业内专家和教师的好评和高度评价,被誉为该学科专业教材中的精品系列教材。 但是,随着信息技术的快速发展,信息安全专业教育面临着持续更新、不断完善的迫切要求,其日新月异的技术发展及应用变迁也不断对新时期信息安全建设和人才培养提出新的要求。为此,信息安全专业教育需以综合的视角和发展的眼光不断对教学内容进行调整和丰富,已出版的教材内容也需及时进行更新和修改,以满足需求。 这次修订,除对“高等学校信息安全专业系列教材”第1版各册教材的主题内容进行了相应更新和调整外,同时对系列教材的总体架构进行了调整并增加了3个分册,即《信息安全数学基础》、《信息安全实验教程》和《信息隐藏概论》。 调整后的教材在体系架构和内容构成上既保持了基础的经典内容,又介绍了主流的知识、方法和工具,以及最新发展趋势,同时增加了部分案例或实例。使得系列中的每一本教材都有明确的定位,充分体现了国家“信息安全”的领域特征,在结合我国信息安全实际特点的同时,还注重借鉴国际上相关教材中适于作为信息安全本科教育知识的成熟内容。 我们希望这套修订教材能够成为新形势下高等学校信息安全专业的精品教材,成为高等学校信息安全专业学生循序渐进了解和掌握专业知识不可或缺的教科书和知识读本,成为国家信息安全新环境下从业人员及管理者学习信息安全知识的有益参考书。 高等学校信息安全专业系列教材编委会 2013年10月于北京 第2版前言 自本教材2009年出版以来,世人都能感受到在网络信息空间中所发生的巨大变化。从云计算、物联网、移动互联网到大数据等,真是“你方唱罢我登场”,甚至是“众多演员齐声合唱”,让人目不暇接。而在信息安全领域,过去5年来所出现的重大事件甚至成为了世界各国普通民众关注的热点话题:从“伊朗核电站遭受网络武器的攻击”、美国网络战司令部的成立、美国政府发表的“网络空间国际战略”、“斯诺登事件”的曝光,以及我国最新成立的网络安全与信息化领导小组……所有这一切无不昭示着未来网络安全领域的发展将更具挑战性、基础性和全局性。 那么,作为网络信息安全的一个分支,信息安全测评与风险评估在这几年当中又有哪些新的变化呢?在这些新的变化当中又蕴含着哪些新的规律呢?我们结合自身所从事的科研工作,在众多的素材中筛选了两个“自认为”最典型又最具有现实意义的课题,一个涉及国家基础设施——工业控制系统的信息安全及风险评估,另一个涉及国外最新的网络靶场建设及新颖的测评技术,来向读者展示这一领域新的发展趋势。感兴趣的读者可以在第14章了解相关的细节。 除了上述新增的技术部分内容外,在这新版教材中我们更想强调的是,尽管信息安全及相关的测评技术正在发生新的变革,甚至会远远超出我们的想象,但正如本书第1章所阐述的那样,我们始终认为探寻其中一般性的科学规律是一个科学工作者“万变不离其宗”的使命。这就要求我们要秉承人类共同的科学精神财富,不断深化近代文艺复兴运动以来的科学思想,并坚信这远比掌握一门具体的测评技巧更为重要。但是,我们也要清醒的看到,中国传统文化中有一些根本性的指导思想与现代科学鼓励创新、勇于探索的本真要求存在着一些冲突和矛盾。如何对我国的传统文化扬长避短、推陈出新,是我们这一代人应不断思考的问题。为此,在本书第14章的开头部分,我们特意选择了儒家文化的经典之一——《中庸》,以及20世纪80年代我国改革开放之初思想解放运动中的代表作之一——《让科学的光芒照亮自己》,供读者独立思考并得出自己的结论,这也算是我们这几位60后作者与读者的心灵沟通吧。 本书在第2版的撰写过程中,得到了重庆大学软件学院信息安全实验室胡兵、王磊、张亚妮、何湘、黄翠、韩燕南等年轻人的积极协助,以及重庆大学“信息物理社会可信服务计算”教育部重点实验室、重庆大学信息安全国际战略研究所、国家保密科技测评中心重庆市分中心的帮助,在此一并表示感谢。同时也感谢该系列教材编委会主任冯登国等专家和电子工业出版社刘宪兰老师给予我们的鞭策和鼓励。 作者 2014年春 于重庆大学民主湖畔展开作者简介
本书暂无作者简介 -
样 章 试 读本书暂无样章试读!
-
图 书 评 价 我要评论
