信息安全测评与风险评估作者:向宏 傅鹂 詹榜华
合著者:何德全 赵泽良
市场价:¥36.00
出版社:电子工业出版社
页码:401 页
出版日期:2009年
ISBN:9787121079924
版本:1版
装帧:平装
开本:16
丛书名:“信息化与信息社会”系列丛书之高等学校信息安全专业系列教材
内容简介《信息安全测评与风险评估》包含了大量的实验案例。我们在进行实验设计的时候,已经充分考虑到《信息安全测评与风险评估》读者的实验条件和动手练习的可能性,因此我们强烈建议阅读《信息安全测评与风险评估》的读者在可能的情况下“重现”(reproduce)书中案例分析的实验,这是学习测评技术和方法的最好途径。在此基础上,我们在每一章结束后都以“观感”的形式给出一些补充练习,供读者思考。此外,我们也希望读者能够不受《信息安全测评与风险评估》实验方案设计思路的束缚,举一反三,创新出更好、更贴切的实验方案。我们也真诚地欢迎读者指出《信息安全测评与风险评估》可能存在的谬误之处(联系地址:xianghong@cqu.edu.cn)。
《信息安全测评与风险评估》的三位作者分别来自高校和国内知名安全企业。我们希望能够用这种方式来真正体现我国高等教育“产、学、研”的结合。在《信息安全测评与风险评估》的编写过程中得到了重庆大学有关师生、重庆市信息安全技术中心和北京数字证书有限责任公司员工的大力支持。作者们愿借此机会向他们表示衷心的感谢,没有他们的鼎力支持和批评指正,我们是不可能完成这个艰巨的任务的。
目录第1章 信息安全测评思想
序幕:何危最险?
要点:本章结束之后,读者应当了解和掌握
1.1 信息安全测评的科学精神
1.2 信息安全测评的科学方法
1.3 信息安全测评的贯标思想
1.4 信息安全标准化组织
1.4.1 国际标准化组织
1.4.2 国外标准化组织
1.4.3 国内标准化组织
1.5 本章小结
尾声:三位旅行者
观感
第2章 信息安全测评方法
序幕:培根的《新工具》
要点:本章结束之后,读者应当了解和掌握
2.1 为何测评
2.1.1 信息系统安全等级保护标准与TCSEC
2.1.2 中国的计算机安全等级保护标准
2.1.3 安全域
2.2 何时测评
2.3 测评什么
2.3.1 外网测评特点
2.3.2 内网测评特点
2.4 谁来测评
2.5 如何准备测评
2.6 怎样测评
2.6.1 测评案例——“天网”工程
2.6.2 启动“天网”测评
2.7 本章小结
尾声:比《新工具》更新的是什么?
观感
第3章 数据安全测评技术
序幕:谜已解,史可鉴
要点:本章结束之后,读者应当了解和掌握
3.1 数据安全测评的诸方面
3.2 数据安全测评的实施
3.2.1 数据安全访谈调研
3.2.2 数据安全现场检查
3.2.3 数据安全测试
3.3 本章小结
尾声:窃之犹在!
观感
第4章 主机安全测评技术
序幕:第一代黑客
要点:本章结束之后,读者应当了解和掌握
4.1 主机安全测评的诸方面
4.2 主机安全测评的实施
4.2.1 主机安全访谈调研
4.2.2 主机安全现场检查
4.2.3 主机安全测试
4.3 本章小结
尾声:可信赖的主体
观感
第5章 网络安全测评技术
序幕:围棋的智慧
要点:本章结束之后,读者应当了解和掌握
5.1 网络安全测评的诸方面
5.2 网络安全测评的实施
5.2.1 网络安全访谈调研
5.2.2 网络安全现场检查
5.2.3 网络安全测试
5.3 本章小结
尾声:墙、门、界
观感
第6章 应用安全测评技术
序幕:“机器会思考吗?”
要点:本章结束之后,读者应当了解和掌握
6.1 应用安全测评的诸方面
6.2 应用安全测评的实施
6.2.1 应用安全访谈调研
6.2.2 应用安全现场检查
6.2.3 应用安全测试
6.3 本章小结
尾声:史上最“万能”的机器
观感
第7章 资产识别
序幕:伦敦大火启示录
要点:本章结束之后,读者应当了解和掌握
7.1 风险概述
7.2 资产识别的诸方面
7.2.1 资产分类
7.2.2 资产赋值
7.3 资产识别案例分析
7.3.1 模拟案例背景简介
7.3.2 资产分类
7.3.3 资产赋值
7.3.4 资产识别输出报告
7.4 本章小结
尾声:我们究竟拥有什么?
观感
第8章 威胁识别
序幕:威胁在哪里?
要点:本章结束之后,读者应当了解和掌握
8.1 威胁概述
8.2 威胁识别的诸方面
8.2.1 威胁分类——植树和剪枝
8.2.2 威胁赋值——统计
8.3 威胁识别案例分析
8.3.1 “数字兰曦”威胁识别
8.3.2 威胁识别输出报告
8.4 本章小结
尾声:在鹰隼盘旋的天空下
观感
第9章 脆弱性识别
序幕:永恒的阿基里斯之踵
要点:本章结束之后,读者应当了解和掌握
9.1 脆弱性概述
9.2 脆弱性识别的诸方面
9.2.1 脆弱性发现
9.2.2 脆弱性分类
9.2.3 脆弱性验证
9.2.4 脆弱性赋值
9.3 脆弱性识别案例分析
9.3.1 信息环境脆弱性识别
9.3.2 公用信息载体脆弱性识别
9.3.3 脆弱性仿真验证
9.3.4 脆弱性识别输出报告
9.4 本章小结
尾声:木马歌
观感
第10章 风险分析
序幕:烽火的演变
要点:本章结束之后,读者应当了解和掌握
10.1 风险分析概述
10.2 风险计算
10.2.1 相乘法原理
10.2.2 风险值计算示例
10.3 风险定级
10.4 风险控制
10.5 残余风险
10.6 风险评估案例分析
10.6.1 信息环境风险计算
10.6.2 人员资产风险计算
10.6.3 管理制度风险计算
10.6.4 机房风险计算
10.6.5 信息环境风险统计
10.6.6 公用信息载体风险计算
10.6.7 专用信息及信息载体的风险计算
10.6.8 风险计算报告
10.6.9 风险控制示例
10.6.10 风险控制计划
10.7 本章小结
尾声:“勇敢”的反面是什么
观感
第11章 应急响应
序幕:虚拟社会的消防队
要点:本章结束之后,读者应当了解和掌握
11.1 应急响应概述
11.2 应急响应计划
11.2.1 应急响应计划的准备
11.2.2 应急响应计划制定中应注意的问题
11.2.3 应急响应计划的制定
11.2.4 应急响应计划的培训、演练和更新
11.2.5 文档的保存、分发与维护
11.3 应急响应计划案例分析
11.3.1 南海大学信息安全应急响应计划示例
11.3.2 “南洋烽火计划”
11.4 本章小结
尾声:如何变“惊慌失措”为“从容不迫”
观感
第12章 法律和法规
序幕:神话世界中需要秩序吗
要点:本章结束之后,读者应当了解和掌握
12.1 计算机犯罪概述
12.2 信息安全法律和法规简介
12.2.1 美国有关法律
12.2.2 中国信息安全法律和法规的历史沿革
12.3 本章小结
尾声:从囚徒困境说起
观感
第13章 信息安全管理体系
序幕:武学的最高境界
要点:本章结束之后,读者应当了解和掌握
13.1 ISMS概述
13.2 ISMS主要内容
13.2.1 计划(Plan)
13.2.2 实施(Do)
13.2.3 检查(Check)
13.2.4 处置(Act)
13.3 本章小结
尾声:实力源于何处
观感
参考文献
……
序言“读万卷书,行万里路”是古人对理论联系实际的最好诠释。面对虚拟空间中纷纷建立起来的形态各异的信息大厦,为了保证它们的建筑质量,世界各国标准化组织均出台了众多的安全标准。这就是本书撰写之前所面临的“万卷书”。如何在信息系统的设计、施工、验收和运行等阶段进行安全检查,就是本书希望做到的在虚拟空间“行万里路”。
作为国内高校信息安全专业本科教材,我们将本书定位为“在国家有关标准的指导下进行信息安全工程作业的参考手册”,并希望以此弥补高校教材在这方面的不足。
在撰写本书的时候,我们首先想到的就是“实用性”。考虑到本书的读者群主要是全日制普通高校信息安全专业的高年级本科生,即将面临社会对他们从事信息安全工作的能力和水平的检验。因此,为了满足我国目前正在开展的信息安全保障工作对测评人员的急迫需求,我们在国家已经颁布实施的众多安全标准中,筛选了“信息安全等级保护”和“信息安全风险评估”这两大类标准作为本书的知识主体,同时也参考了部分已经制定完成但仍处于报批阶段的国家标准,如“应急响应”、“信息安全管理体系”等,以使得本书的知识具有一定的前瞻性。
如果仅仅是介绍国家有关信息安全等级保护、风险评估或应急响应等方面的标准,读者可能会感到比较枯燥或难于理解,而且无从下手进行测评。因此本书大量的篇幅被用来进行案例教学。我们设计了三个具有典型意义的大型模拟案例,逐条指导读者去理解、执行这些标准。这三个模拟案例的设计目的分别是:“天网”(电子政务)系统主要针对信息安全等级保护的测评;“数字兰曦”(企业信息化)主要针对信息安全的风险评估;“南洋烽火”(校园信息系统)主要针对信息安全应急响应计划的制定和演练。
本书的第二个特点是科学性。作为自然科学和社会科学的交叉学科分支,信息安全测评与风险评估有其自身的特殊规律。为了探索这个规律,我们希望读者在进入这个领域之初就应当具备实事求是的科学态度。因此本书的第1、2章“信息安全测评思想”和“信息安全测评方法”是本书作者希望与读者交流的最重要的心里话。
本书的第三个特点是规范性。作为一名信息安全测评工程师,在工作中的主要依据就是有关国家标准。因此本书对第2部分(第3至第6章)从事信息安全等级保护测评、第3部分从事信息安全风险评估(第7至第10章)、应急响应(第11章)和信息安全管理体系(第13章)等工作所遵循的相关标准进行了尽量详细的阐述和解释。
我们向读者特别指出的是,本书所强调的“安全测评是科学与艺术的完美结合”这个观点,并最终体现在“安全测评”、“风险评估”和“应急响应”等技术的融合上,形成“信息安全管理体系”。这也是作者将“信息安全管理体系”相关知识的介绍安排在最后一章的良苦用心。此外,考虑到国家标准对相关法律、法规的密切联系,我们在第12章专门介绍了国外有代表性的法律、法规以及我国与本书内容相关的法律、法规情况。
本书的第四个特点是(尽量)做到趣味性。“知之者不如好知者,好知者不如乐知者”。我们希望本书中所采用的“典故”、“争鸣”、“工具”等小模块能够启发读者的创新思维。同时,我们在全书体例上也采用了格言、序幕、要点、正文、尾声、观感的风格,希望给读者营造一种欣赏戏剧或交响乐般的氛围,从而体会信息安全测评工作的艺术性。为了方便读者阅读,本书设计了一些象形符号:
“三星堆面具”图案代表与正文相关的某个典故或背景故事。
“斗士”图案代表一些值得商榷的观点或看法,鼓励讨论。
“榔头”图案代表用于测评/评估工作时的小工具,谨供读者参考。
“逍遥椅”图案代表我们认为值得读者重视的一些观点或工程经验。
“笔记”图案代表重要的概念或定义。
本书包含了大量的实验案例。我们在进行实验设计的时候,已经充分考虑到本书读者的实验条件和动手练习的可能性,因此我们强烈建议阅读本书的读者在可能的情况下“重现”(reproduce)书中案例分析的实验,这是学习测评技术和方法的最好途径。在此基础上,我们在每一章结束后都以“观感”的形式给出一些补充练习,供读者思考。此外,我们也希望读者能够不受本书实验方案设计思路的束缚,举一反三,创新出更好、更贴切的实验方案。我们也真诚地欢迎读者指出本书可能存在的谬误之处(联系地址:xianghong@cqu.edu.cn)。
本书的三位作者分别来自高校和国内知名安全企业。我们希望能够用这种方式来真正体现我国高等教育“产、学、研”的结合。在本书的编写过程中得到了重庆大学有关师生、重庆市信息安全技术中心和北京数字证书有限责任公司员工的大力支持。作者们愿借此机会向他们表示衷心的感谢,没有他们的鼎力支持和批评指正,我们是不可能完成这个艰巨的任务的。
我们要特别感谢重庆大学吴中福教授在本书整体框架确定方面给予的指导并与我们分享他数十年的育才经验。重庆大学胡海波、方蔚涛、蔡斌、桑军、叶春晓、夏晓峰等骨干教师则承担了本书大量的正文撰写和实验指导等工作。
感谢重庆市信息安全技术中心何湘、张亚妮、胡兵、王磊、黄翠等同仁以及重庆大学软件学院2005、2006、2007级研究生在从事相关测评实验及本书校稿过程中做的大量工作;感谢北京数字证书有限责任公司安全事业部翟建军等同行提供众多素材并开展休闲式的讨论,作者从中受益匪浅。
本书在撰写过程中先后多次聆听了“信息化与信息社会”系列教材编委会委员赵择良、高等学校“信息安全”专业系列教材编委会顾问沈昌祥院士、高等学校“信息安全”专业系列教材编委会主任冯登国等专家的建议和指导并从中获益匪浅。感谢教材编委会给我们提供了向本领域许多专家如邬贺铨、周宏仁、高世辑、赵小凡、陈国青、徐愈、刘希俭请教的机会。此外,陈晓桦等专家也对本书的初稿提出了诸多有益的建议;重庆市公安局公共网络监察总队白志、重庆市信息安全产品测评中心廖斌、重庆市国家保密局王晓亚等领域专家对本书架构的酝酿及对国家标准的理解等方面也提供了诸多灵感。在此作者也一并表示感谢,并对由于作者能力有限而未能充分体现上述各位专家的建议或批评表示歉意。希望今后有机会能够进一步弥补本书的种种不足之处。
最后作者要感谢电子工业出版社的刘宪兰等老师在本书成稿过程中给予的各种支持、鼓励和花费的大量心血及三位作者的家人在我们挑灯夜战的时候给予我们的理解和支持。