信息安全风险管理从基础到实践

本书特色

[

本书以信息安全风险为切入点,站在信息安全风险管理的角度阐述网络安全新时代下网络与信息系统安全保障的相关内容,重点提出了信息安全风险识别与分析的方法,明确了信息安全风险控制措施。

全书共分为3个部分:第1部分讲述了信息安全风险管理的基础,明确了信息安全风险定义及构成要素,描述了信息安全风险管理内容及对象,提出了信息安全风险识别分析和信息安全风险处置的基本方法,突出了信息安全风险管理的标准、规范以及信息系统生命周期风险管理的内容;第2部分讲述了信息安全风险管理的发展,分析了信息安全风险形势变化,对信息安全风险产生因素的变化进行描述,对信息安全风险识别与分析的方法进行优化,对信息安全风险控制方法进行优化,对新形势下信息安全风险管理合规性要求的发展进行描述;第3部分重点讲述了信息安全风险管理的实践工作,介绍了风险识别与分析方法有机融合的创新点,对信息安全风险控制的技术措施进行了叙述,列举了风险分析与识别方法以及风险控制方法在税务行业的良好实践,在新型技术应用场景中对信息安全风险识别与分析方法进行了展望。
本书以信息安全风险为切入点,站在信息安全风险管理的角度阐述网络安全新时代下网络与信息系统安全保障的相关内容,重点提出了信息安全风险识别与分析的方法,明确了信息安全风险控制措施。

全书共分为3个部分:第1部分讲述了信息安全风险管理的基础,明确了信息安全风险定义及构成要素,描述了信息安全风险管理内容及对象,提出了信息安全风险识别分析和信息安全风险处置的基本方法,突出了信息安全风险管理的标准、规范以及信息系统生命周期风险管理的内容;第2部分讲述了信息安全风险管理的发展,分析了信息安全风险形势变化,对信息安全风险产生因素的变化进行描述,对信息安全风险识别与分析的方法进行优化,对信息安全风险控制方法进行优化,对新形势下信息安全风险管理合规性要求的发展进行描述;第3部分重点讲述了信息安全风险管理的实践工作,介绍了风险识别与分析方法有机融合的创新点,对信息安全风险控制的技术措施进行了叙述,列举了风险分析与识别方法以及风险控制方法在税务行业的良好实践,在新型技术应用场景中对信息安全风险识别与分析方法进行了展望。

本书内容实用性强,理论与实践紧密结合,语言通俗易懂,非常适合信息安全技术人员、计算机网络工程师等自学使用,也可用作高等院校相关专业的教材及参考书。

]

内容简介

[

本书以信息安全风险为切入点,站在信息安全风险管理的角度阐述网络安全新时代下网络与信息系统安全保障的相关内容,重点提出了信息安全风险识别与分析的方法,明确了信息安全风险控制措施。
全书共分为3个部分:部分讲述了信息安全风险管理的基础,明确了信息安全风险定义及构成要素,描述了信息安全风险管理内容及对象,提出了信息安全风险识别分析和信息安全风险处置的基本方法,突出了信息安全风险管理的标准、规范以及信息系统生命周期风险管理的内容;第2部分讲述了信息安全风险管理的发展,分析了信息安全风险形势变化,对信息安全风险产生因素的变化进行描述,对信息安全风险识别与分析的方法进行优化,对信息安全风险控制方法进行优化,对新形势下信息安全风险管理合规性要求的发展进行描述;第3部分重点讲述了信息安全风险管理的实践工作,介绍了风险识别与分析方法有机融合的创新点,对信息安全风险控制的技术措施进行了叙述,列举了风险分析与识别方法以及风险控制方法在税务行业的良好实践,在新型技术应用场景中对信息安全风险识别与分析方法进行了展望。
本书内容实用性强,理论与实践紧密结合,语言通俗易懂,很好适合信息安全技术人员、计算机网络工程师等自学使用,也可用作高等院校相关专业的教材及参考书。

]

目录

第1部分 信息安全风险管理的基础第1章信息安全风险产生0031.1 信息安全风险含义 / 0031.2 信息安全风险构成 / 0051.2.1 基本要素 / 0051.2.2 要素关系 / 0061.3 信息安全风险决定因素 / 0071.3.1 外部安全威胁 / 0071.3.2 内部的脆弱性 / 009第2章信息安全风险管理的内容0132.1 信息安全风险管理定义 / 0132.2 信息安全风险管理流程 / 0142.3 信息安全风险管理对象 / 0152.3.1 物理和环境 / 0152.3.2 网络和通信 / 0162.3.3 设备和计算 / 0162.3.4 应用和数据 / 0162.3.5 人员和管理 / 0172.4 信息安全风险处置 / 0182.4.1 风险处置总体描述 / 0182.4.2 风险处置准备 / 0212.4.3 风险处置方案制定 / 0222.4.4 风险处置方案实施 / 0242.4.5 风险处置效果评价 / 024第3章信息安全风险的识别与分析0273.1 信息安全检查 / 0273.1.1 工作流程 / 0273.1.2 工作内容 / 0273.1.3 工作组织 / 0293.1.4 检查对象选取 / 0293.1.5 检查工作实施 / 0303.2 信息安全风险评估 / 0333.2.1 工作流程及框架 / 0343.2.2 工作内容 / 0373.2.3 确定评估对象 / 0373.2.4 评估工作实施 / 0393.2.5 风险分析及风险处置 / 0453.3 信息系统安全等级保护测评 / 0473.3.1 工作流程 / 0473.3.2 定级要素及流程 / 0473.3.3 测评原则及内容 / 0483.3.4 测评对象 / 0493.3.5 测评实施 / 0503.3.6 结果判定 / 052第4章信息安全风险的控制0534.1 信息安全风险控制的概念 / 0534.2 信息安全风险处置流程与方法 / 0554.3 信息安全风险评估有效性检验 / 057第5章信息安全风险管理的合规性要求0615.1 信息安全风险管理标准规范 / 0615.1.1 信息安全风险管理国际标准 / 0615.1.2 信息安全风险管理国内标准 / 0685.1.3 国内外风险管理标准关系 / 0695.2 信息系统生命周期的风险管理 / 0705.2.1 信息系统生命周期的风险评估 / 0705.2.2 信息系统生命周期的风险管理 / 074第2部分 信息安全风险管理的发展变化第6章新形势下信息安全风险的变化0816.1 网络安全形势变化 / 0816.2 信息安全要素变化 / 0846.3 外部威胁变化 / 0846.4 内在脆弱性变化 / 0866.5 安全风险的变化 / 087第7章新技术应用环境产生的信息安全风险0897.1 虚拟化技术平台安全风险 / 0897.1.1 大数据平台的安全风险 / 0897.1.2 云计算平台的安全风险 / 0927.2 移动互联网安全风险 / 1027.2.1 移动互联网安全威胁 / 1027.2.2 移动互联网脆弱性 / 1057.3 工业控制系统安全风险 / 1087.3.1 工业控制系统安全威胁 / 1087.3.2 工业控制系统脆弱性 / 1107.4 信息安全保障能力的不足 / 112第8章新形势下信息安全风险识别与分析方法的优化1158.1 现行方法存在的局限性 / 1158.2 现行方法融合的必要性 / 1178.3 现行方法融合的基本思路 / 1198.4 现行方法融合的主要内容 / 1218.4.1 检测目标统一定义 / 1218.4.2 信息资产统一定义 / 1228.4.3 外部威胁统一定义 / 1228.4.4 内在脆弱性统一定义 / 1238.4.5 风险分析统一定义 / 1258.5 新型风险识别与分析方法的提出 / 1288.6 新型风险识别与分析方法的优化 / 1288.6.1 工作原理的优化 / 1288.6.2 工作流程的优化 / 1298.6.3 工作内容的优化 / 132第9章新形势下信息安全风险控制的方法优化1359.1 关键信息基础设施安全保护 / 1359.1.1 明确关键信息基础设施保护对象 / 1359.1.2 我国关键信息基础设施面临的威胁 / 1369.1.3 制定关键信息基础设施安全保护标准规范 / 1379.1.4 网络安全等级保护与关键信息基础设施保护 / 1389.2 网络安全态势感知 / 1389.2.1 网络安全态势感知概念 / 1389.2.2 网络安全态势感知的内容 / 1399.2.3 网络安全态势感知的方式优化 / 1409.3 虚拟化应用安全保护 / 1419.4 威胁情报分析 / 1419.5 构建纵深网络安全防御体系 / 1449.6 新技术应用环境下的信息安全风险控制 / 1469.6.1 虚拟化平台风险控制 / 1469.6.2 物联网风险控制 / 1479.6.3 移动互联网风险控制 / 1489.6.4 工业控制系统风险控制 / 149第10章新形势下信息安全风险管理合规性要求的发展15110.1 新形势下信息安全风险管理标准体系 / 15110.2 网络安全法 / 15310.2.1 网络安全法立法的背景 / 15310.2.2 网络安全法的基本内容 / 15410.2.3 网络安全法的作用及意义 / 15510.3 关键信息基础设施安全保护条例 / 15510.3.1 安全保护条例主要内容 / 15510.3.2 安全保护条例的局限性 / 15710.3.3 安全保护条例与网络安全等级保护关系 / 15810.4 网络安全等级保护相关标准 / 15810.4.1 现有等级保护政策和标准体系 / 15810.4.2 网络安全等级保护制度2.0 / 15910.5 网络产品和服务安全审查办法 / 16210.5.1 安全审查办法主要内容 / 16210.5.2 安全审查办法出台后的影响 / 16310.5.3 安全审查办法意义及作用 / 163第3部分 信息安全风险管理的实践第11章风险识别与分析方法融合——信息安全风险测评16711.1 基本原理 / 16711.2 流程方法 / 16811.2.1 工作流程 / 16811.2.2 工作方法 / 17711.3 实施组织 / 17811.4 对象确定 / 17911.5 准备阶段工作 / 18311.6 实施阶段工作 / 18411.6.1 现场培训 / 18411.6.2 资产识别 / 18511.6.3 威胁识别 / 18611.6.4 技术安全检测 / 18811.6.5 管理安全检测 / 19111.6.6 渗透测试 / 19311.6.7 已有安全措施分析 / 19611.6.8 脆弱性分析与赋值 / 19611.6.9 现场工作小结 / 19611.7 总结阶段工作 / 19711.7.1 数据整理 / 19711.7.2 综合分析 / 19911.7.3 报告编制 / 200第12章信息安全风险控制方法——安全基线配置20312.1 明确安全基线配置作业需求 / 20312.2 建立安全基线配置管理规范 / 20412.3 制定安全基线配置模板 / 20512.4 现场基线配置检查确认 / 20812.4.1 技术基线检查 / 20912.4.2 管理基线审核 / 21212.5 基于安全基线要求的整改加固 / 21312.6 安全基线配置模板的修订 / 215第13章信息安全风险控制方法——服务器信息安全加固21713.1 信息安全加固的目的及意义 / 21713.1.1 精准实施信息安全风险控制 / 21713.1.2 紧密结合等级保护整改建设 / 21813.1.3 严格依据等级保护测评结果 / 21813.1.4 有效提高等级保护测评符合率 / 21813.2 信息安全加固的重点及难点 / 22013.2.1 安全加固可行性分析 / 22013.2.2 安全加固工作重点 / 22113.2.3 安全加固工作难点 / 22213.3 信息安全加固原则及范围 / 22313.3.1 安全加固的原则 / 22313.3.2 安全加固的范围 / 22313.4 信息安全加固流程及组织 / 22413.4.1 安全加固流程与方法 / 22413.4.2 安全加固的组织 / 22613.5 信息安全加固实施内容 / 22913.5.1 准备阶段内容 / 22913.5.2 实施阶段内容 / 23113.5.3 分析总结阶段内容 / 23813.5.4 操作实例 / 239第14章信息安全风险管理的良好实践24114.1 税务系统信息安全风险测评实践工作 / 24114.2 税务系统信息安全基线配置实践工作 / 24314.2.1 计划准备环节 / 24314.2.2 现场实施环节 / 24314.2.3 成果输出环节 / 24414.3 税务系统服务器信息安全加固实践工作 / 244第15章风险识别与分析方法在新技术环境中的应用24715.1 移动互联网环境的风险测评 / 24715.1.1 移动智能终端安全风险测评 / 24715.1.2 移动传输网络安全风险测评 / 24815.1.3 移动应用安全风险测评 / 24915.2 虚拟化环境的风险测评 / 25015.2.1 虚拟化环境安全风险分析 / 25015.2.2 虚拟化环境安全风险测评 / 25115.3 工业控制系统的风险测评 / 25215.3.1 工业控制系统测评原则 / 25215.3.2 工业控制系统测评流程 / 25315.3.3 工业控制系统测评工具 / 254附录257附录1 信息安全风险测评表单 / 257附录2 网络与信息系统安全基线配置表单 / 267附录3 服务器信息安全加固表单 / 274参考文献 / 280

封面

信息安全风险管理从基础到实践

书名:信息安全风险管理从基础到实践

作者:李智勇、张鹏宇、周悦、李伟旗 等 编著

页数:281

定价:¥69.0

出版社:化学工业出版社

出版日期:2020-06-01

ISBN:9787122358455

PDF电子书大小:146MB 高清扫描完整版

百度云下载:http://www.chendianrong.com/pdf

发表评论

邮箱地址不会被公开。 必填项已用*标注