《信息安全风险管理从基础到实践》求取 ⇩

第1部分信息安全风险管理的基础3

第1章信息安全风险产生3

1.1信息安全风险含义3

1.2信息安全风险构成5

1.2.1基本要素5

1.2.2要素关系6

1.3信息安全风险决定因素7

1.3.1外部安全威胁7

1.3.2内部的脆弱性9

第2章信息安全风险管理的内容13

2.1信息安全风险管理定义13

2.2信息安全风险管理流程14

2.3信息安全风险管理对象15

2.3.1物理和环境15

2.3.2网络和通信16

2.3.3设备和计算16

2.3.4应用和数据16

2.3.5人员和管理17

2.4信息安全风险处置18

2.4.1风险处置总体描述18

2.4.2风险处置准备21

2.4.3风险处置方案制定22

2.4.4风险处置方案实施24

2.4.5风险处置效果评价24

第3章信息安全风险的识别与分析27

3.1信息安全检查27

3.1.1工作流程27

3.1.2工作内容27

3.1.3工作组织29

3.1.4检查对象选取29

3.1.5检查工作实施30

3.2信息安全风险评估33

3.2.1工作流程及框架34

3.2.2工作内容37

3.2.3确定评估对象37

3.2.4评估工作实施39

3.2.5风险分析及风险处置45

3.3信息系统安全等级保护测评47

3.3.1工作流程47

3.3.2定级要素及流程47

3.3.3测评原则及内容48

3.3.4测评对象49

3.3.5测评实施50

3.3.6结果判定52

第4章信息安全风险的控制53

4.1信息安全风险控制的概念53

4.2信息安全风险处置流程与方法55

4.3信息安全风险评估有效性检验57

第5章信息安全风险管理的合规性要求61

5.1信息安全风险管理标准规范61

5.1.1信息安全风险管理国际标准61

5.1.2信息安全风险管理国内标准68

5.1.3国内外风险管理标准关系69

5.2信息系统生命周期的风险管理70

5.2.1信息系统生命周期的风险评估70

5.2.2信息系统生命周期的风险管理74

第2部分信息安全风险管理的发展变化81

第6章新形势下信息安全风险的变化81

6.1网络安全形势变化81

6.2信息安全要素变化84

6.3外部威胁变化84

6.4内在脆弱性变化86

6.5安全风险的变化87

第7章新技术应用环境产生的信息安全风险89

7.1虚拟化技术平台安全风险89

7.1.1大数据平台的安全风险89

7.1.2云计算平台的安全风险92

7.2移动互联网安全风险102

7.2.1移动互联网安全威胁102

7.2.2移动互联网脆弱性105

7.3工业控制系统安全风险108

7.3.1工业控制系统安全威胁108

7.3.2工业控制系统脆弱性110

7.4信息安全保障能力的不足112

第8章新形势下信息安全风险识别与分析方法的优化115

8.1现行方法存在的局限性115

8.2现行方法融合的必要性117

8.3现行方法融合的基本思路119

8.4现行方法融合的主要内容121

8.4.1检测目标统一定义121

8.4.2信息资产统一定义122

8.4.3外部威胁统一定义122

8.4.4内在脆弱性统一定义123

8.4.5风险分析统一定义125

8.5新型风险识别与分析方法的提出128

8.6新型风险识别与分析方法的优化128

8.6.1工作原理的优化128

8.6.2工作流程的优化129

8.6.3工作内容的优化132

第9章新形势下信息安全风险控制的方法优化135

9.1关键信息基础设施安全保护135

9.1.1明确关键信息基础设施保护对象135

9.1.2我国关键信息基础设施面临的威胁136

9.1.3制定关键信息基础设施安全保护标准规范137

9.1.4网络安全等级保护与关键信息基础设施保护138

9.2网络安全态势感知138

9.2.1网络安全态势感知概念138

9.2.2网络安全态势感知的内容139

9.2.3网络安全态势感知的方式优化140

9.3虚拟化应用安全保护141

9.4威胁情报分析141

9.5构建纵深网络安全防御体系144

9.6新技术应用环境下的信息安全风险控制146

9.6.1虚拟化平台风险控制146

9.6.2物联网风险控制147

9.6.3移动互联网风险控制148

9.6.4工业控制系统风险控制149

第10章新形势下信息安全风险管理合规性要求的发展151

10.1新形势下信息安全风险管理标准体系151

10.2网络安全法153

10.2.1网络安全法立法的背景153

10.2.2网络安全法的基本内容154

10.2.3网络安全法的作用及意义155

10.3关键信息基础设施安全保护条例155

10.3.1安全保护条例主要内容155

10.3.2安全保护条例的局限性157

10.3.3安全保护条例与网络安全等级保护关系158

10.4网络安全等级保护相关标准158

10.4.1现有等级保护政策和标准体系158

10.4.2网络安全等级保护制度2.0159

10.5网络产品和服务安全审查办法162

10.5.1安全审查办法主要内容162

10.5.2安全审查办法出台后的影响163

10.5.3安全审查办法意义及作用163

第3部分信息安全风险管理的实践167

第11章风险识别与分析方法融合——信息安全风险测评167

11.1基本原理167

11.2流程方法168

11.2.1工作流程168

11.2.2工作方法177

11.3实施组织178

11.4对象确定179

11.5准备阶段工作183

11.6实施阶段工作184

11.6.1现场培训184

11.6.2资产识别185

11.6.3威胁识别186

11.6.4技术安全检测188

11.6.5管理安全检测191

11.6.6渗透测试193

11.6.7已有安全措施分析196

11.6.8脆弱性分析与赋值196

11.6.9现场工作小结196

11.7总结阶段工作197

11.7.1数据整理197

11.7.2综合分析199

11.7.3报告编制200

第12章信息安全风险控制方法——安全基线配置203

12.1明确安全基线配置作业需求203

12.2建立安全基线配置管理规范204

12.3制定安全基线配置模板205

12.4现场基线配置检查确认208

12.4.1技术基线检查209

12.4.2管理基线审核212

12.5基于安全基线要求的整改加固213

12.6安全基线配置模板的修订215

第13章信息安全风险控制方法——服务器信息安全加固217

13.1信息安全加固的目的及意义217

13.1.1精准实施信息安全风险控制217

13.1.2紧密结合等级保护整改建设218

13.1.3严格依据等级保护测评结果218

13.1.4有效提高等级保护测评符合率218

13.2信息安全加固的重点及难点220

13.2.1安全加固可行性分析220

13.2.2安全加固工作重点221

13.2.3安全加固工作难点222

13.3信息安全加固原则及范围223

13.3.1安全加固的原则223

13.3.2安全加固的范围223

13.4信息安全加固流程及组织224

13.4.1安全加固流程与方法224

13.4.2安全加固的组织226

13.5信息安全加固实施内容229

13.5.1准备阶段内容229

13.5.2实施阶段内容231

13.5.3分析总结阶段内容238

13.5.4操作实例239

第14章信息安全风险管理的良好实践241

14.1税务系统信息安全风险测评实践工作241

14.2税务系统信息安全基线配置实践工作243

14.2.1计划准备环节243

14.2.2现场实施环节243

14.2.3成果输出环节244

14.3税务系统服务器信息安全加固实践工作244

第15章风险识别与分析方法在新技术环境中的应用247

15.1移动互联网环境的风险测评247

15.1.1移动智能终端安全风险测评247

15.1.2移动传输网络安全风险测评248

15.1.3移动应用安全风险测评249

15.2虚拟化环境的风险测评250

15.2.1虚拟化环境安全风险分析250

15.2.2虚拟化环境安全风险测评251

15.3工业控制系统的风险测评252

15.3.1工业控制系统测评原则252

15.3.2工业控制系统测评流程253

15.3.3工业控制系统测评工具254

附录257

附录1信息安全风险测评表单257

附录2网络与信息系统安全基线配置表单267

附录3服务器信息安全加固表单274

参考文献280