信息安全风险评估2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

信息安全风险评估PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 绪论1

1.1 引言1

1.2 信息安全风险评估研究背景1

1.3 信息安全风险评估发展历程3

1.3.1 总的发展历程3

1.3.2 美国的发展状况6

1.3.3 其他国家和组织的发展状况7

1.3.4 我国的发展状况9

1.3.5 未来发展趋势10

1.4 信息安全风险评估发展的推动力10

1.4.1 经验数据的推动10

1.4.2 技术进步的推动11

1.4.3 企业战略的要求11

1.4.4 法律法规的需要11

1.4.5 风险评估的实践13

1.5 信息安全风险评估热点问题14

1.5.1 风险评估过程相关性处理14

1.5.2 动态风险评估15

1.5.3 人因可靠性分析15

1.5.4 不确定性分析15

1.6 本书涉及的风险评估主要问题16

第2章 信息安全风险评估基础17

2.1 引言17

2.2 信息安全风险评估基本概念17

2.2.1 若干定义17

2.2.2 风险与信息安全风险18

2.2.3 信息系统19

2.2.4 威胁与脆弱性20

2.2.5 信息安全风险评估20

2.3 一个简单的风险评估例子21

2.4 信息安全风险评估基本特点22

2.5 信息安全风险评估方法22

2.6 风险接受准则25

2.6.1 基本准则25

2.6.2 风险矩阵26

2.6.3 ALARP原则26

2.7 信息安全风险管理28

2.7.1 信息系统生命周期28

2.7.2 信息安全生命周期32

2.7.3 风险控制措施的选择32

2.7.4 残余风险的评价33

2.7.5 信息安全风险管理的参与者33

2.8 信息安全风险评估与等级保护34

2.9 信息安全风险评估与信息系统安全认证35

第3章 信息安全风险评估模型41

3.1 引言41

3.2 典型的信息安全风险评估模型41

3.2.1 信息安全风险模型41

3.2.2 信息安全风险各要素之间的关系42

3.2.3 ISO 15408信息安全风险评估模型43

3.2.4 安氏公司信息安全风险评估模型44

3.3 面向分布式任务的信息安全风险评估模型45

3.3.1 商业模式变化的驱动45

3.3.2 分布式的任务协作模式46

3.3.3 面向任务的风险流模型47

3.3.4 需要注意的问题48

3.4 信息安全风险评估的关键要素49

3.4.1 指标体系的设置原则49

3.4.2 继承风险和遗传风险51

3.4.3 执行风险51

3.4.4 链接风险56

第4章 信息安全风险评估过程57

4.1 引言57

4.2 信息安全风险评估过程58

4.2.1 风险评估基本步骤58

4.2.2 风险评估准备59

4.2.3 风险因素评估59

4.2.4 风险确定65

4.2.5 风险评价66

4.2.6 风险控制66

4.3 信息安全风险评估过程中应注意的问题68

4.3.1 信息资产的赋值68

4.3.2 评估过程的文档化72

第5章 基于代理的威胁评估方法74

5.1 引言74

5.2 威胁代理分析75

5.2.1 基本原则75

5.2.2 威胁代理与攻击目标之间的联系75

5.2.3 国家型威胁代理76

5.2.4 恐怖组织威胁代理79

5.2.5 压力集团威胁代理80

5.2.6 商业威胁代理81

5.2.7 犯罪威胁代理83

5.2.8 黑客威胁代理84

5.2.9 个人恩怨威胁代理85

5.3 威胁影响因素分析86

5.3.1 威胁放大因素86

5.3.2 威胁抑制因素88

5.3.3 威胁催化因素89

5.3.4 攻击动机分析90

5.4 威胁分析案例91

5.4.1 威胁代理确定91

5.4.2 威胁代理评估92

第6章 信息安全风险评估方法115

6.1 引言115

6.2 信息安全风险评估理论基础115

6.2.1 基本原理115

6.2.2 灰色系统理论117

6.2.3 人工神经网络117

6.2.4 概率风险分析118

6.2.5 马尔可夫过程理论120

6.2.6 不确定性推理技术120

6.2.7 系统动力学121

6.2.8 蒙特卡洛法123

6.3 信息安全风险因素识别方法124

6.4 信息安全风险评估方法综述125

6.4.1 正确选择风险评估方法125

6.4.2 定性风险评估和定量风险评估126

6.4.3 结构风险因素和过程风险因素126

6.4.4 通用风险评估方法128

6.5 几种典型的信息安全风险评估方法131

6.5.1 OCTAVE法132

6.5.2 层次分析法135

6.5.3 风险矩阵测量138

6.5.4 威胁分级法139

6.5.5 风险综合评价139

6.5.6 快速风险评估方法140

第7章 基于概率影响图的信息安全风险评估方法144

7.1 引言144

7.2 概率风险评估144

7.3 影响图与概率影响图145

7.3.1 若干概念145

7.3.2 影响图基本变换149

7.3.3 概率影响图计算特性151

7.4 基于概率影响图的信息安全风险评估152

7.4.1 模型与概率影响图构建152

7.4.2 模型简化与提炼156

7.4.3 参数描述与处理162

第8章 信息安全中的人为失误风险评估165

8.1 引言165

8.2 对人为因素的认识166

8.2.1 个体因素166

8.2.2 管理因素167

8.2.3 环境因素168

8.3 人因可靠性分析168

8.3.1 人的认知可靠性模型168

8.3.2 人的行为错误模型169

8.3.3 人的行为影响因素169

8.4 人为失误风险评估实施框架170

8.5 信息安全风险评估中对人为失误的考虑172

8.5.1 正常工作状态下人为失误风险评估172

8.5.2 应急反应中人为失误风险评估174

8.6 人为失误风险评估数据175

8.6.1 人因可靠性分析的所需数据175

8.6.2 数据采集的基本准则175

8.7 人为失误风险管理实施175

第9章 计算机网络空间下的信息安全风险评估178

9.1 引言178

9.2 相关依据178

9.3 评估过程179

9.4 计算机网络空间下的风险因素180

9.4.1 计算机网络空间的构成180

9.4.2 漏洞分析181

9.4.3 攻击者分类185

9.4.4 攻击结果分析186

9.4.5 攻击方式分析187

9.5 计算机网络空间下的风险评估模型192

9.5.1 基本风险193

9.5.2 提升的风险194

9.5.3 整体风险196

9.6 计算机网络空间下的风险管理196

9.7 数据分析与结论196

第10章 信息安全风险评估技术手段201

10.1 引言201

10.2 管理型信息安全风险评估工具201

10.2.1 概述201

10.2.2 COBRA风险评估系统202

10.2.3 CRAMM风险评估系统203

10.2.4 ASSET风险评估系统204

10.2.5 RiskWatch风险评估系统205

10.2.6 其他工具206

10.2.7 常用风险评估与管理工具对比207

10.3 技术型信息安全风险评估工具209

10.3.1 概述209

10.3.2 漏洞扫描工具209

10.3.3 渗透测试工具213

10.4 信息安全风险评估辅助工具214

10.5 选择信息安全风险评估工具的基本原则215

第11章 信息安全风险评估标准218

11.1 引言218

11.2 国际上主要的标准化组织218

11.3 BS 7799信息安全管理实施细则220

11.3.1 BS 7799历史220

11.3.2 BS 7799架构221

11.3.3 BS 7799认证225

11.4 ISO/IEC 17799信息安全管理实施细则225

11.4.1 ISO/IEC 17799:2000225

11.4.2 ISO/IEC 17799:2005225

11.4.3 两个版本的比较226

11.5 ISO 27001:2005信息安全管理体系要求227

11.6 CC通用标准228

11.7 ISO 13335信息和通信技术安全管理指南230

11.8 系统安全工程能力成熟度模型232

11.8.1 安全工程过程域232

11.8.2 基于过程的信息安全模型233

11.9 NIST相关标准236

第12章 信息安全风险评估案例243

12.1 BS 7799认证项目背景介绍243

12.1.1 概述243

12.1.2 公司和项目背景介绍243

12.2 信息安全风险评估框架245

12.3 信息安全风险评估实施246

12.3.1 关键信息资产识别246

12.3.2 风险影响因素识别与赋值247

12.4 信息安全风险计算与风险管理251

12.4.1 风险计算251

12.4.2 风险控制251

第13章 信息安全风险评估的未来257

参考文献259