編輯推薦
適讀人群 :嚮國傢和地方政府部門、大型企事業單位的信息安全管理人員,以及信息安全專業人員 本書獲央視財經頻道《第一時間》欄目推薦
內容簡介
本書介紹瞭認識風險評估、信息安全風險評估的主要內容、實施流程、評估工具、評估案例、安全管理措施、手機客戶端安全檢測、雲計算信息安全風險評估。
本書主要麵嚮國傢和地方政府部門、大型企事業單位的信息安全管理人員,以及信息安全專業人員,可作為培訓教材和參考書使用。本書對進行信息安全風險評估、風險管理、ISMS(ISO/IEC27001)認證等具有較高的實用參考價值。
精彩書評
攻防是網絡安全永恒的兩麵,安全看重的是全局,而非單點。本書參照國際相關標準,通過風險評估理論突齣瞭網絡安全整體把控,內容詳盡且深入淺齣。無論是對希望從事網絡安全行業的人員,還是長期從事網絡安全的專業人士,此書都大有裨益。
——公安部信息安全等級保護評估中心副主任張宇翔
這本書在原有風險評估基礎上,又加入瞭移動安全評估、雲平颱安全評估兩個熱點行業,緊跟信息安全發展趨勢,值得一讀!
——信息産業信息安全測評中心常務副主任霍珊珊
目前國內的企業進行信息安全建設時,大多是進行單點建設,但安全是一個整體的過程,需要進行全局考慮。此書基於風險評估國際標準,對企業進行通盤安全評估,是一本難得的好書!
——中國信息安全認證中心體係與服務認證部副主任翟亞紅
信息安全風險恒久存在,並不會因為信息技術的不斷發展而消失。在雲計算、物聯網、移動互聯網等技術日新月異的今天,更應該關注風險評估技術的發展,切實保障信息安全。此書詳細解讀瞭風險評估的全過程,值得所有對信息安全有興趣的讀者一讀。
——中國信息安全測評中心資質評估處副處長王琰
目錄
推薦語
前言
第1章認識風險評估
1.1信息安全風險評估的基本概念
1.1.1風險評估介紹
1.1.2風險評估的基本注意事項
1.2信息安全風險評估相關標準
1.3信息安全標準化組織
1.3.1國際標準化組織介紹
1.3.2國外標準化組織介紹
1.3.3國內標準化組織介紹
1.4信息安全風險評估的發展與現狀
1.4.1信息安全風險評估的發展
1.4.2信息安全風險評估的現狀
思考題
第2章信息安全風險評估的主要內容
2.1信息安全風險評估工作概述
2.1.1風險評估的依據
2.1.2風險評估的原則
2.1.3風險評估的相關術語
2.2風險評估基礎模型
2.2.1風險要素關係模型
2.2.2風險分析原理
2.2.3風險評估方法
2.3信息係統生命周期各階段的風險評估
2.3.1規劃階段的信息安全風險評估
2.3.2設計階段的信息安全風險評估
2.3.3實施階段的信息安全風險評估
2.3.4運維階段的信息安全風險評估
2.3.5廢棄階段的信息安全風險評估
思考題
信息安全風險評估手冊
第3章信息安全風險評估實施流程
3.1風險評估準備工作
3.2資産識彆
3.2.1資産分類
3.2.2資産賦值
3.3威脅識彆
3.3.1威脅分類
3.3.2威脅賦值
3.4脆弱性識彆
3.4.1脆弱性識彆內容
3.4.2脆弱性賦值
3.5確認已有安全措施
3.6風險分析
3.6.1風險計算原理
3.6.2風險結果判定
3.6.3風險處置計劃
3.7風險評估記錄
3.7.1風險評估文件記錄的要求
3.7.2風險評估文件
3.8風險評估工作形式
3.8.1自評估
3.8.2檢查評估
3.9風險計算方法
3.9.1矩陣法計算風險
3.9.2相乘法計算風險
思考題
第4章信息安全風險評估工具
4.1風險評估工具
4.1.1ASSET
4.1.2RiskWatch
4.1.3COBRA
4.1.4CRAMM
4.1.5CORA
4.2主機係統風險評估工具
4.2.1MBSA
4.2.2Metasploit滲透工具
4.2.3雪豹自動化檢測滲透工具
4.3應用係統風險評估工具
4.3.1AppScan
4.3.2Web Vulnerability Scanner
4.4手機端安全評估輔助工具
4.5風險評估輔助工具
4.5.1資産調研錶
4.5.2人員訪談模闆
4.5.3基綫檢查模闆
4.5.4風險評估工作申請單
4.5.5項目計劃及會議紀要
思考題
第5章信息安全風險評估案例
5.1概述
5.1.1評估內容
5.1.2評估依據
5.2安全現狀分析
5.2.1係統介紹
5.2.2資産調查列錶
5.2.3網絡現狀
5.3安全風險評估的內容
5.3.1安全評估綜閤分析
5.3.2威脅評估
5.3.3網絡設備安全評估
5.3.4主機人工安全評估
5.3.5應用安全評估
5.3.6網絡架構安全評估
5.3.7無綫網絡安全評估
5.3.8工具掃描
5.3.9管理安全評估
5.4綜閤風險分析
5.4.1綜閤風險評估方法
5.4.2綜閤風險評估分析
5.5風險處置
5.5.1風險處置方式
5.5.2風險處置計劃
思考題
第6章信息安全管理控製措施
6.1選擇控製措施的方法
6.1.1信息安全起點
6.1.2關鍵的成功因素
6.1.3製定自己的指導方針
6.2選擇控製措施的過程
6.3完善信息安全管理組織架構
6.4信息安全管理控製規範
思考題
第7章手機客戶端安全檢測
7.1APK文件安全檢測技術
7.1.1安裝包證書檢驗
7.1.2證書加密測試
7.1.3代碼保護測試
7.1.4登錄界麵劫持測試
7.1.5日誌打印測試
7.1.6敏感信息測試
7.1.7登錄過程測試
7.1.8密碼加密測試
7.1.9檢測是否有測試文件
7.1.10代碼中是否含有測試信息
7.1.11加密方式測試
7.2APK文件安全保護建議
7.2.1Android原理
7.2.2APK文件保護步驟
思考題
第8章雲計算信息安全風險評估
8.1雲計算安全與傳統安全的區彆
8.2雲計算信息安全檢測的新特性
8.2.1雲計算抗DDOS的安全
8.2.2雲計算多用戶可信領域安全
8.2.3雲計算的其他安全新特性
8.3雲計算安全防護
8.3.1針對APT攻擊防護
8.3.2針對惡意DDOS攻擊防護
思考題
前言/序言
隨著信息化進程的深入和互聯網産業的迅速發展,人們的工作、學習和生活方式正在發生巨大變化,效率大為提高,信息資源得到共享。但必須看到,緊隨信息化發展而來的網絡安全問題日漸凸齣,如果不能很好地解決這個問題,必將阻礙信息化發展的進程。網絡安全問題已成為信息時代人類共同麵臨的挑戰,國內的網絡安全問題也日益突齣。
同時,各國圍繞互聯網關鍵資源和網絡空間國際規則的角逐將更加激烈,工業控製係統、智能技術應用、雲計算、移動支付領域麵臨的網絡安全風險進一步加大,黑客組織和網絡恐怖組織等發起的網絡安全攻擊將持續增加,影響力和破壞性顯著增強,我國網絡安全形勢更加嚴峻。
個人、企業乃至國傢的信息安全需要科學、係統地進行防護建設,信息安全風險評估基於ISO27001的國際標準,是信息係統安全的基礎性工作。它是傳統的風險理論和方法在信息係統中的運用,是科學地分析和理解信息與信息係統在保密性、完整性、可用性等方麵所麵臨的風險,並在風險的減少、轉移和規避等風險控製方法之間做齣決策的過程。
作為新時代信息安全書籍,本書中加入瞭風險評估案例,理論與實踐內容結閤,相信可以讓廣大讀者獲取到更多的實踐知識點。同時,也期待讀者通過閱讀、學習,可以用所學知識為國傢做齣更大的貢獻!
信息安全風險評估手冊 下載 mobi epub pdf txt 電子書 格式
評分
☆☆☆☆☆
還不錯的一本書,很喜歡,很容易懂,字也很清晰。
評分
☆☆☆☆☆
印刷質量不錯,不過還沒來得及看
評分
☆☆☆☆☆
東西很好,隻是想問一問,裏麵的錶格和文檔有電子版嗎?
評分
☆☆☆☆☆
老公買的書,專業書籍,比較深奧,哈哈哈
評分
☆☆☆☆☆
不錯喲,書詩新的,內容不作評價,還沒那資格。
評分
☆☆☆☆☆
我很喜歡,一本好書
評分
☆☆☆☆☆
買來看,比較新的書。
評分
☆☆☆☆☆
一般我不評價,但這本書真的很坑,內容東拼西湊,特彆簡單和基礎,很多內容來自cissp裏的知識,還有增加瞭一些評估工具的使用截圖,對於雲計算之類的又草草瞭事,根本不值得購買。我找到瞭我們公司一個2009年的風險評估規範,與書中風險評估部分大部分內容相同,不知道誰參考誰的。
評分
☆☆☆☆☆
正版書籍,工具書籍,買來參考學習用。