信息安全管理與風(fēng)險評估

第1章 信息安全管理概述
　1.1 信息與信息安全
　　1.1.1 信息
　　1.1.2 信息安全
　1.2 信息安全管理
　1.3 信息安全管理的目的
　1.4 信息安全管理遵循的原則
　習(xí)題1
第2章 信息安全管理標(biāo)準(zhǔn)
　2.1 國外信息安全管理標(biāo)準(zhǔn)
　　2.1.1 信息安全管理標(biāo)準(zhǔn)BS 7799
　　2.1.2 ISO/IEC 13335
　　2.1.3 ISO/IEC 27001:2005
　　2.1.4 CC準(zhǔn)則
　2.2 我國的信息安全管理標(biāo)準(zhǔn)
　　2.2.1 我國的信息安全管理標(biāo)準(zhǔn)概述
　　2.2.2 GB/T 19715標(biāo)準(zhǔn)
　　2.2.3 GB/T 19716—2005
　習(xí)題2
第3章 信息安全管理的實施
　3.1 信息安全管理標(biāo)準(zhǔn)BS 7799實施中的問題
　　3.1.1 企業(yè)信息安全管理的現(xiàn)狀
　　3.1.2 信息安全管理標(biāo)準(zhǔn)實施的誤區(qū)
　　3.1.3 靈活使用BS 7799
　3.2 BS 7799信息安全管理實施案例
　　3.2.1 信息安全管理體系認(rèn)證實施案例
　　3.2.2 BS 7799框架下安全產(chǎn)品與技術(shù)的具體實現(xiàn)
　習(xí)題3
第4章 信息安全風(fēng)險管理
　4.1 信息安全風(fēng)險管理概述
　　4.1.1 信息安全風(fēng)險管理的概念
　　4.1.2 相關(guān)要素及概念
　　4.1.3 信息安全風(fēng)險管理各要素間的關(guān)系
　4.2 AS/NZS 4360:1999
　　4.2.1 AS/NZS 4360:1999簡介
　　4.2.2 AS/NZS 4360:1999的內(nèi)容
　　4.2.3 AS/NZS 4360:1999風(fēng)險管理流程
　4.3 NIST SP800-30
　　4.3.1 NIST SP800-30簡介
　　4.3.2 NIST SP800-30的內(nèi)容
　　4.3.3 NIST SP800-30風(fēng)險管理流程
　4.4 The Security Risk Management Guide
　　4.4.1 The Security Risk Management Guide簡介
　　4.4.2 The Security Risk Management Guide的內(nèi)容
　　4.4.3 微軟風(fēng)險管理流程
　4.5 GB/T 20269—2006
　　4.5.1 GB/T 20269—2006簡介
　　4.5.2 GB/T 20269—2006的內(nèi)容
　　4.5.3 GB/T 20269—2006風(fēng)險管理
　習(xí)題4
第5章 信息安全風(fēng)險評估概述
　5.1 信息安全風(fēng)險評估發(fā)展概況
　　5.1.1 國外信息安全風(fēng)險評估發(fā)展概況
　　5.1.2 我國信息安全風(fēng)險評估的發(fā)展現(xiàn)狀
　5.2 信息安全風(fēng)險評估的目的和意義
　5.3 信息安全風(fēng)險評估的原則
　5.4 信息安全風(fēng)險評估的相關(guān)概念
　　5.4.1 信息安全風(fēng)險評估的概念
　　5.4.2 信息安全風(fēng)險評估和風(fēng)險管理的關(guān)系
　　5.4.3 信息安全風(fēng)險評估的兩種方式
　　5.4.4 信息安全風(fēng)險評估的分類
　5.5 國外信息安全風(fēng)險評估標(biāo)準(zhǔn)
　　5.5.1 OCTAVE
　　5.5.2 SSE-CMM
　　5.5.3 GAO/AIMD-99-139
　5.6 我國信息安全風(fēng)險評估標(biāo)準(zhǔn)GB/T 20984—2007
　　5.6.1 GB/T 20984—2007簡介
　　5.6.2 GB/T 20984—2007的內(nèi)容
　　5.6.3 GB/T 20984—2007的風(fēng)險評估實施過程
　5.7 信息安全風(fēng)險評估方法
　　5.7.1 概述
　　5.7.2 典型的信息安全風(fēng)險評估方法
　5.8 信息系統(tǒng)生命周期各階段的風(fēng)險評估
　　5.8.1 規(guī)劃階段的信息安全風(fēng)險評估 　　
　　5.8.2 設(shè)計階段的信息安全風(fēng)險評估
　　5.8.3 實施階段的信息安全風(fēng)險評估
　　5.8.4 運維階段的信息安全風(fēng)險評估
　　5.8.5 廢棄階段的信息安全風(fēng)險評估
　習(xí)題5
　上機實驗
第6章 信息安全風(fēng)險評估工具
　6.1 風(fēng)險評估與管理工具
　　6.1.1 MBSA
　　6.1.2 COBRA
　　6.1.3 CRAMM
　　6.1.4 ASSET
　　6.1.5 RiskWatch
　　6.1.6 其他風(fēng)險評估與管理工具
　　6.1.7 常用風(fēng)險評估與管理工具對比
　6.2 系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具
　　6.2.1 脆弱性掃描工具
　　6.2.2 流光（Fluxay）脆弱性掃描工具
　　6.2.3 Nessus脆弱性掃描工具
　　6.2.4 極光遠(yuǎn)程安全評估系統(tǒng)
　　6.2.5 天鏡脆弱性掃描與管理系統(tǒng)
　　6.2.6 滲透測試工具
　　6.2.7 Metasploit滲透工具
　　6.2.8 Immunity CANVAS滲透測試工具
　6.3 風(fēng)險評估輔助工具
　　6.3.1 調(diào)查問卷
　　6.3.2 檢查列表
　　6.3.3 人員訪談
　　6.3.4 入侵檢測工具
　　6.3.5 安全審計工具
　　6.3.6 拓?fù)浒l(fā)現(xiàn)工具
　　6.3.7 其他：評估指標(biāo)庫、知識庫、漏洞庫、算法庫、模型庫
　6.4 信息安全風(fēng)險評估工具的發(fā)展方向和最新成果
　習(xí)題6
　上機實驗
第7章 信息安全風(fēng)險評估的基本過程
　7.1 信息安全風(fēng)險評估的過程
　7.2 評估準(zhǔn)備
　　7.2.1 確定信息安全風(fēng)險評估的目標(biāo)
　　7.2.2 確定信息安全風(fēng)險評估的范圍
　　7.2.3 組建適當(dāng)?shù)脑u估管理與實施團隊
　　7.2.4 進行系統(tǒng)調(diào)研
　　7.2.5 確定信息安全風(fēng)險評估的依據(jù)和方法
　　7.2.6 制定信息安全風(fēng)險評估方案
　　7.2.7 獲得最高管理者對信息安全風(fēng)險評估工作的支持
　7.3 識別并評價資產(chǎn)
　　7.3.1 識別資產(chǎn)
　　7.3.2 資產(chǎn)分類
　　7.3.3 資產(chǎn)賦值
　　7.3.4 輸出結(jié)果
　7.4 識別并評估威脅
　　7.4.1 威脅識別 　
　　7.4.2 威脅分類
　　7.4.3 威脅賦值
　　7.4.4 輸出結(jié)果
　7.5 識別并評估脆弱性
　　7.5.1 脆弱性識別
　　7.5.2 脆弱性分類
　　7.5.3 脆弱性賦值
　　7.5.4 輸出結(jié)果
　7.6 識別安全措施和輸出結(jié)果
　　7.6.1 識別安全措施
　　7.6.2 輸出結(jié)果
　7.7 分析可能性和影響
　　7.7.1 分析可能性
　　7.7.2 分析影響
　7.8 風(fēng)險計算
　　7.8.1 使用矩陣法計算風(fēng)險
　　7.8.2 使用相乘法計算風(fēng)險
　7.9 風(fēng)險處理
　　7.9.1 現(xiàn)存風(fēng)險判斷
　　7.9.2 控制目標(biāo)確定
　　7.9.3 控制措施選擇
　7.10 編寫信息安全風(fēng)險評估報告
　習(xí)題7
第8章 信息安全風(fēng)險評估實例
　8.1 評估準(zhǔn)備
　　8.1.1 確定信息安全風(fēng)險評估的目標(biāo)
　　8.1.2 確定信息安全風(fēng)險評估的范圍
　　8.1.3 組建適當(dāng)?shù)脑u估管理與實施團隊
　　8.1.4 進行系統(tǒng)調(diào)研 　　
　　8.1.5 評估依據(jù)
　　8.1.6 信息安全風(fēng)險評估項目實施方案
　　8.1.7 獲得最高管理者對信息安全風(fēng)險評估工作的支持
　8.2 識別并評價資產(chǎn)
　　8.2.1 識別資產(chǎn)
　　8.2.2 資產(chǎn)賦值
　　8.2.3 資產(chǎn)價值
　8.3 識別并評估威脅
　8.4 識別并評估脆弱性
　8.5 分析可能性和影響
　　8.5.1 分析威脅發(fā)生的頻率 　　
　　8.5.2 分析脆弱性嚴(yán)重程度
　8.6 風(fēng)險計算
　　8.6.1 使用矩陣法計算風(fēng)險
　　8.6.2 使用相乘法計算風(fēng)險
　8.7 風(fēng)險處理
　　8.7.1 現(xiàn)存風(fēng)險判斷
　　8.7.2 控制目標(biāo)確定
　　8.7.3 控制措施選擇
　8.8 編寫信息安全風(fēng)險評估報告
　上機實驗
參考文獻