信息安全風(fēng)險評估

第一部分基本知識
第1章引論
1.1信息與信息安全
1.1.1信息
1.1.2信息安全
1.2信息安全技術(shù)與信息安全管理
1.2.1信息安全事件
1.2.2信息安全技術(shù)
1.2.3信息安全管理
1.3信息安全風(fēng)險評估
1.3.1基本定義
1.3.2相關(guān)概念
1.3.3基本要素關(guān)系
1.3.4風(fēng)險分析原理
1.4開展信息安全風(fēng)險評估工作的
意義
1.4.1信息安全工作的客觀
需要和緊迫需求
1.4.2體現(xiàn)黨中央國務(wù)院的
文件精神
1.4.3落實信息安全等級
保護(hù)的重要手段
1.5我國信息安全風(fēng)險評估推進(jìn)
過程
1.5.1調(diào)查研究階段
1.5.2標(biāo)準(zhǔn)編制階段
1.5.3全國試點階段
1.5.4下一步推進(jìn)工作
第2章主要內(nèi)容
2.1信息安全風(fēng)險評估的內(nèi)涵
2.1.1信息安全風(fēng)險評估是信息
安全建設(shè)和管理的科學(xué)
方法
2.1.2信息安全風(fēng)險評估是分析
確定風(fēng)險的過程
2.1.3信息安全風(fēng)險評估是信息
安全建設(shè)的起點和基礎(chǔ)
2.1.4信息安全風(fēng)險評估是在
倡導(dǎo)一種適度安全
2.2信息安全風(fēng)險評估的兩種方式
2.2.1自評估
2.2.2檢查評估
2.3信息安全風(fēng)險評估的五個環(huán)節(jié)
2.3.1信息系統(tǒng)生命周期
2.3.2規(guī)劃階段的風(fēng)險評估
2.3.3設(shè)計階段的風(fēng)險評估
2.3.4實施階段的風(fēng)險評估
2.3.5運行維護(hù)階段的風(fēng)險
評估
2.3.6廢棄階段的風(fēng)險評估
2.4信息安全風(fēng)險評估的組織管理
工作第二部分技術(shù)與方法
第3章評估工作概述
3.1工作原則
3.1.1關(guān)于評估工作流程
3.1.2關(guān)于風(fēng)險分析方法
3.1.3關(guān)于結(jié)果展現(xiàn)
3.2參考流程
3.3質(zhì)量管理
3.3.1實施方案
3.3.2中間結(jié)果
3.3.3項目驗收
3.4質(zhì)量控制規(guī)范要求
3.4.1實施組織規(guī)范要求
3.4.2前期環(huán)境準(zhǔn)備規(guī)范要求
3.4.3評估流程規(guī)范要求
3.4.4溝通與控制規(guī)范要求
3.4.5驗收規(guī)范要求
第4章評估準(zhǔn)備
4.1評估目的
4.2評估范圍及描述
4.3建立評估團(tuán)隊
4.3.1組織結(jié)構(gòu)
4.3.2人員角色
4.4前期系統(tǒng)調(diào)研
4.5確定評估標(biāo)準(zhǔn)
4.5.1國內(nèi)標(biāo)準(zhǔn)
4.5.2國際標(biāo)準(zhǔn)
4.5.3行業(yè)標(biāo)準(zhǔn)和規(guī)范
4.5.4組織本身的策略
4.6條件準(zhǔn)備
4.7項目啟動及培訓(xùn)
4.7.1項目啟動
4.7.2評估活動的培訓(xùn)
第5章資產(chǎn)識別
5.1工作內(nèi)容
5.1.1回顧評估范圍之內(nèi)的
業(yè)務(wù)
5.1.2識別信息資產(chǎn)，進(jìn)行
合理分類
5.1.3確定每類信息資產(chǎn)的
安全需求
5.1.4為每類信息資產(chǎn)的
重要性賦值
5.2參與人員
5.2.1回顧評估范圍之內(nèi)的
業(yè)務(wù)和系統(tǒng)
5.2.2識別信息資產(chǎn)進(jìn)行合理
分類
5.2.3確定每類信息資產(chǎn)的
安全需求
5.2.4為每類信息資產(chǎn)的
重要性賦值
5.3工作方式
5.3.1評估范圍之內(nèi)的業(yè)務(wù)
識別
5.3.2資產(chǎn)的識別與分類
5.3.3安全需求分析
5.3.4資產(chǎn)賦值
5.4工具及資料
5.4.1自動化工具
5.4.2手工記錄表格
5.4.3輔助資料
5.5輸出結(jié)果
第6章威脅識別
6.1工作內(nèi)容
6.1.1威脅識別
6.1.2威脅分類
6.1.3威脅賦值
6.1.4構(gòu)建威脅場景
6.2參與人員
6.2.1訪談
6.2.2工具檢測
6.3工作方式
6.3.1威脅識別
6.3.2威脅分類
6.3.3構(gòu)建威脅場景
6.3.4威脅賦值
6.4工具及資料
6.4.1IDS采樣分析
6.4.2日志分析
6.4.3人員訪談記錄表格
6.5輸出結(jié)果
第7章脆弱性識別
7.1工作內(nèi)容
7.1.1脆弱性識別
7.1.2識別結(jié)果整理與展示
7.1.3脆弱性賦值
7.2參與人員
7.3工作方式
7.3.1脆弱性識別
7.3.2脆弱性整理和展現(xiàn)
7.3.3脆弱性分析和CVSS
計算方法
7.4工具及資料
7.4.1漏洞掃描工具
7.4.2各類檢查列表
7.4.3滲透測試
7.5輸出結(jié)果
第8章安全措施識別與確認(rèn)
8.1工作內(nèi)容
8.1.1技術(shù)控制措施的識別
與確認(rèn)
8.1.2管理和操作控制措施的
識別與確認(rèn)
8.2參與人員
8.3工作方式
8.3.1技術(shù)控制措施的識別
與確認(rèn)
8.3.2管理和操作控制措施的
識別與確認(rèn)
8.3.3分析與統(tǒng)計
8.4工具及資料
8.4.1《技術(shù)控制措施調(diào)查表》
8.4.2《管理和操作控制措施
調(diào)查表》
8.4.3涉密信息系統(tǒng)評測表格
（可選，針對涉密信息系
統(tǒng)的評估）
8.4.4符合性檢查工具
8.5輸出結(jié)果
第9章風(fēng)險分析階段
9.1風(fēng)險分析模型
9.2風(fēng)險分析
9.2.1業(yè)務(wù)與資產(chǎn)映射
9.2.2資產(chǎn)/脆弱性/威脅/已有
控制措施映射
9.2.3風(fēng)險計算
9.3工具及資料
9.4輸出結(jié)果
第10章有關(guān)技術(shù)標(biāo)準(zhǔn)
10.1BS 7799/ISO 17799
10.1.1BS 7799、ISO/IEC
17799、ISO/IEC
27000系列
10.1.2ISO/IEC 17799：
2005
10.1.3BS 77992：2002
10.2ISO /IEC TR 13335
10.2.1信息安全管理和計劃
的概念和模型
10.2.2信息安全管理和
計劃
10.2.3信息安全管理
技術(shù)
10.2.4安全措施的選擇
10.2.5網(wǎng)絡(luò)安全管理
指南
10.3OCTAVE 2.0
10.3.1簡介
10.3.2面向大型組織的
OCTAVE方法
10.3.3面向小型組織的
OCTAVES方法
10.3.4兩種方法的選擇
10.4ISO 15408/GB 18336/CC
10.4.1適用范圍
10.4.2內(nèi)容簡介
10.4.3局限性
10.5等級保護(hù)
10.5.1GB 178591999《計算機
信息系統(tǒng)安全保護(hù)等級
劃分準(zhǔn)則》
10.5.2其他正在制定過程
中的相關(guān)配套系列
標(biāo)準(zhǔn)
10.6涉秘信息系統(tǒng)分級保護(hù)技術(shù)
要求
10.6.1涉密信息系統(tǒng)的
等級劃分
10.6.2涉密信息系統(tǒng)基本
保護(hù)要求
10.6.3涉密信息系統(tǒng)的
安全風(fēng)險評估第三部分產(chǎn)品與工具
第11章風(fēng)險評估管理工具
11.1天融信信息安全管理系統(tǒng)
11.1.1TSM概述
11.1.2TopAnalyzer工具在
信息安全風(fēng)險評估
中的應(yīng)用
11.1.3TopAnalyzer工具的
構(gòu)成
11.1.4Top Analvzer工具的
功能
11.1.5工具的特點
11.1.6工具的應(yīng)用環(huán)境
11.1.7案例說明
11.2啟明星辰風(fēng)險評估管理
系統(tǒng)
11.2.1系統(tǒng)概述
11.2.2產(chǎn)品的構(gòu)成
11.2.3產(chǎn)品的使用及
功能
11.2.4應(yīng)用案例
11.2.5總結(jié)
11.3聯(lián)想網(wǎng)御風(fēng)險評估輔助
工具
11.3.1系統(tǒng)構(gòu)成與功能
11.3.2應(yīng)用環(huán)境
11.3.3使用方法
11.3.4應(yīng)用案例
第12章漏洞掃描分析工具
12.1極光遠(yuǎn)程安全評估系統(tǒng)
12.1.1概述
12.1.2系統(tǒng)總體構(gòu)成
12.1.3系統(tǒng)功能說明
12.1.4系統(tǒng)應(yīng)用環(huán)境
12.1.5系統(tǒng)應(yīng)用說明
12.1.6系統(tǒng)應(yīng)用案例
12.1.7總結(jié)
12.2天鏡脆弱性掃描與管理
系統(tǒng)
12.2.1系統(tǒng)概述
12.2.2系統(tǒng)的構(gòu)成
12.2.3系統(tǒng)的使用及
功能
12.2.4系統(tǒng)的收益和
特點
12.3ISS安全漏洞掃描系統(tǒng)
12.3.1產(chǎn)品簡介
12.3.2產(chǎn)品功能
12.3.3產(chǎn)品的應(yīng)用
12.3.4產(chǎn)品輸出報表
第13章入侵檢測工具
13.1概述
13.1.1為什么需要網(wǎng)絡(luò)入侵
檢測系統(tǒng)
13.1.2常見的入侵檢測
技術(shù)
13.1.3新一代入侵檢測
技術(shù)
13.2冰之眼網(wǎng)絡(luò)入侵檢測系統(tǒng)
13.2.1產(chǎn)品架構(gòu)
13.2.2產(chǎn)品功能
13.2.3產(chǎn)品部署
13.2.4應(yīng)用案例
13.3天闐入侵檢測系統(tǒng)
13.3.1系統(tǒng)概述
13.3.2產(chǎn)品構(gòu)成
13.3.3產(chǎn)品功能
13.3.4產(chǎn)品應(yīng)用第四部分案例
第14章案例一：某國稅安全評估
項目
14.1項目概述
14.1.1項目啟動與立項
14.1.2目標(biāo)
14.1.3內(nèi)容
14.1.4范圍
14.2項目階段
14.2.1項目規(guī)劃
14.2.2評估實施
14.2.3評估報告和解決
方案
14.2.4支持和維護(hù)
14.3交付的文檔及報告
14.3.1中間評估文檔
14.3.2最終報告
14.4項目時間表
14.5安全評估具體實施內(nèi)容
14.5.1主機安全現(xiàn)狀
評估
14.5.2網(wǎng)絡(luò)架構(gòu)安全
狀況評估
14.5.3應(yīng)用系統(tǒng)安全
狀況評估
14.5.4安全管理狀況
評估
14.6附錄
14.6.1附件1： 某國稅安全
風(fēng)險評估工作聲明
目錄
14.6.2附件2： 某國稅安全
評估技術(shù)方案建議書
目錄
14.6.3附件3： 某國稅網(wǎng)絡(luò)
架構(gòu)評估報告
目錄
14.6.4附件4： 某國稅應(yīng)用
系統(tǒng)安全評估報告
目錄
14.6.5附件5： 某國稅安全
管理審計報告
目錄
14.6.6附件6： 某國家稅務(wù)
局安全現(xiàn)狀報告
目錄
14.6.7附件7： 某國稅信息
系統(tǒng)安全解決方案
建議書目錄
14.6.8附件8： 安全檢查
列表實例
14.6.9附件9： 主機安全評估
評估結(jié)果實例
第15章案例二：某電信公司信息
安全風(fēng)險評估項目
15.1項目概述
15.1.1基本情況
15.1.2項目目標(biāo)與范圍
15.1.3項目組織和進(jìn)度
安排
15.1.4實施簡述
15.2風(fēng)險評估方案實施
15.2.1風(fēng)險評估的依據(jù)
15.2.2評估階段定義
15.2.3本次風(fēng)險評估的
具體內(nèi)容
15.3安全信息庫的建設(shè)
15.3.1建設(shè)實施
15.3.2功能
15.3.3數(shù)據(jù)接口
15.4項目驗收
15.4.1省網(wǎng)層面風(fēng)險
評估
15.4.2分公司節(jié)點風(fēng)險
評估
15.4.3風(fēng)險評估總結(jié)
15.4.4安全信息庫
15.4.5培訓(xùn)
15.5評估工具
第16章案例三：某公司網(wǎng)絡(luò)風(fēng)險
評估項目
16.1項目概述
16.1.1項目簡介
16.1.2項目目標(biāo)
16.1.3項目范圍
16.2項目指導(dǎo)策略
16.2.1評估遵循的原則
16.2.2風(fēng)險評估策略
16.2.3風(fēng)險評估模型
16.3風(fēng)險評估方法
16.3.1風(fēng)險評估流程
16.3.2風(fēng)險評估方法
16.4項目實施
16.4.1項目組織結(jié)構(gòu)
16.4.2項目實施計劃
16.4.3項目實施過程
16.4.4項目實施過程中
的風(fēng)險控制措施
16.4.5項目文檔提交
16.4.6項目工作配合