信息安全風(fēng)險(xiǎn)評(píng)估

第一部分基本知識(shí)
第1章引論
1.1信息與信息安全
1.1.1信息
1.1.2信息安全
1.2信息安全技術(shù)與信息安全管理
1.2.1信息安全事件
1.2.2信息安全技術(shù)
1.2.3信息安全管理
1.3信息安全風(fēng)險(xiǎn)評(píng)估
1.3.1基本定義
1.3.2相關(guān)概念
1.3.3基本要素關(guān)系
1.3.4風(fēng)險(xiǎn)分析原理
1.4開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的
意義
1.4.1信息安全工作的客觀
需要和緊迫需求
1.4.2體現(xiàn)黨中央國(guó)務(wù)院的
文件精神
1.4.3落實(shí)信息安全等級(jí)
保護(hù)的重要手段
1.5我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估推進(jìn)
過(guò)程
1.5.1調(diào)查研究階段
1.5.2標(biāo)準(zhǔn)編制階段
1.5.3全國(guó)試點(diǎn)階段
1.5.4下一步推進(jìn)工作
第2章主要內(nèi)容
2.1信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)涵
2.1.1信息安全風(fēng)險(xiǎn)評(píng)估是信息
安全建設(shè)和管理的科學(xué)
方法
2.1.2信息安全風(fēng)險(xiǎn)評(píng)估是分析
確定風(fēng)險(xiǎn)的過(guò)程
2.1.3信息安全風(fēng)險(xiǎn)評(píng)估是信息
安全建設(shè)的起點(diǎn)和基礎(chǔ)
2.1.4信息安全風(fēng)險(xiǎn)評(píng)估是在
倡導(dǎo)一種適度安全
2.2信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式
2.2.1自評(píng)估
2.2.2檢查評(píng)估
2.3信息安全風(fēng)險(xiǎn)評(píng)估的五個(gè)環(huán)節(jié)
2.3.1信息系統(tǒng)生命周期
2.3.2規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估
2.3.3設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估
2.3.4實(shí)施階段的風(fēng)險(xiǎn)評(píng)估
2.3.5運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)
評(píng)估
2.3.6廢棄階段的風(fēng)險(xiǎn)評(píng)估
2.4信息安全風(fēng)險(xiǎn)評(píng)估的組織管理
工作第二部分技術(shù)與方法
第3章評(píng)估工作概述
3.1工作原則
3.1.1關(guān)于評(píng)估工作流程
3.1.2關(guān)于風(fēng)險(xiǎn)分析方法
3.1.3關(guān)于結(jié)果展現(xiàn)
3.2參考流程
3.3質(zhì)量管理
3.3.1實(shí)施方案
3.3.2中間結(jié)果
3.3.3項(xiàng)目驗(yàn)收
3.4質(zhì)量控制規(guī)范要求
3.4.1實(shí)施組織規(guī)范要求
3.4.2前期環(huán)境準(zhǔn)備規(guī)范要求
3.4.3評(píng)估流程規(guī)范要求
3.4.4溝通與控制規(guī)范要求
3.4.5驗(yàn)收規(guī)范要求
第4章評(píng)估準(zhǔn)備
4.1評(píng)估目的
4.2評(píng)估范圍及描述
4.3建立評(píng)估團(tuán)隊(duì)
4.3.1組織結(jié)構(gòu)
4.3.2人員角色
4.4前期系統(tǒng)調(diào)研
4.5確定評(píng)估標(biāo)準(zhǔn)
4.5.1國(guó)內(nèi)標(biāo)準(zhǔn)
4.5.2國(guó)際標(biāo)準(zhǔn)
4.5.3行業(yè)標(biāo)準(zhǔn)和規(guī)范
4.5.4組織本身的策略
4.6條件準(zhǔn)備
4.7項(xiàng)目啟動(dòng)及培訓(xùn)
4.7.1項(xiàng)目啟動(dòng)
4.7.2評(píng)估活動(dòng)的培訓(xùn)
第5章資產(chǎn)識(shí)別
5.1工作內(nèi)容
5.1.1回顧評(píng)估范圍之內(nèi)的
業(yè)務(wù)
5.1.2識(shí)別信息資產(chǎn)，進(jìn)行
合理分類
5.1.3確定每類信息資產(chǎn)的
安全需求
5.1.4為每類信息資產(chǎn)的
重要性賦值
5.2參與人員
5.2.1回顧評(píng)估范圍之內(nèi)的
業(yè)務(wù)和系統(tǒng)
5.2.2識(shí)別信息資產(chǎn)進(jìn)行合理
分類
5.2.3確定每類信息資產(chǎn)的
安全需求
5.2.4為每類信息資產(chǎn)的
重要性賦值
5.3工作方式
5.3.1評(píng)估范圍之內(nèi)的業(yè)務(wù)
識(shí)別
5.3.2資產(chǎn)的識(shí)別與分類
5.3.3安全需求分析
5.3.4資產(chǎn)賦值
5.4工具及資料
5.4.1自動(dòng)化工具
5.4.2手工記錄表格
5.4.3輔助資料
5.5輸出結(jié)果
第6章威脅識(shí)別
6.1工作內(nèi)容
6.1.1威脅識(shí)別
6.1.2威脅分類
6.1.3威脅賦值
6.1.4構(gòu)建威脅場(chǎng)景
6.2參與人員
6.2.1訪談
6.2.2工具檢測(cè)
6.3工作方式
6.3.1威脅識(shí)別
6.3.2威脅分類
6.3.3構(gòu)建威脅場(chǎng)景
6.3.4威脅賦值
6.4工具及資料
6.4.1IDS采樣分析
6.4.2日志分析
6.4.3人員訪談?dòng)涗洷砀?br />6.5輸出結(jié)果
第7章脆弱性識(shí)別
7.1工作內(nèi)容
7.1.1脆弱性識(shí)別
7.1.2識(shí)別結(jié)果整理與展示
7.1.3脆弱性賦值
7.2參與人員
7.3工作方式
7.3.1脆弱性識(shí)別
7.3.2脆弱性整理和展現(xiàn)
7.3.3脆弱性分析和CVSS
計(jì)算方法
7.4工具及資料
7.4.1漏洞掃描工具
7.4.2各類檢查列表
7.4.3滲透測(cè)試
7.5輸出結(jié)果
第8章安全措施識(shí)別與確認(rèn)
8.1工作內(nèi)容
8.1.1技術(shù)控制措施的識(shí)別
與確認(rèn)
8.1.2管理和操作控制措施的
識(shí)別與確認(rèn)
8.2參與人員
8.3工作方式
8.3.1技術(shù)控制措施的識(shí)別
與確認(rèn)
8.3.2管理和操作控制措施的
識(shí)別與確認(rèn)
8.3.3分析與統(tǒng)計(jì)
8.4工具及資料
8.4.1《技術(shù)控制措施調(diào)查表》
8.4.2《管理和操作控制措施
調(diào)查表》
8.4.3涉密信息系統(tǒng)評(píng)測(cè)表格
（可選，針對(duì)涉密信息系
統(tǒng)的評(píng)估）
8.4.4符合性檢查工具
8.5輸出結(jié)果
第9章風(fēng)險(xiǎn)分析階段
9.1風(fēng)險(xiǎn)分析模型
9.2風(fēng)險(xiǎn)分析
9.2.1業(yè)務(wù)與資產(chǎn)映射
9.2.2資產(chǎn)/脆弱性/威脅/已有
控制措施映射
9.2.3風(fēng)險(xiǎn)計(jì)算
9.3工具及資料
9.4輸出結(jié)果
第10章有關(guān)技術(shù)標(biāo)準(zhǔn)
10.1BS 7799/ISO 17799
10.1.1BS 7799、ISO/IEC
17799、ISO/IEC
27000系列
10.1.2ISO/IEC 17799：
2005
10.1.3BS 77992：2002
10.2ISO /IEC TR 13335
10.2.1信息安全管理和計(jì)劃
的概念和模型
10.2.2信息安全管理和
計(jì)劃
10.2.3信息安全管理
技術(shù)
10.2.4安全措施的選擇
10.2.5網(wǎng)絡(luò)安全管理
指南
10.3OCTAVE 2.0
10.3.1簡(jiǎn)介
10.3.2面向大型組織的
OCTAVE方法
10.3.3面向小型組織的
OCTAVES方法
10.3.4兩種方法的選擇
10.4ISO 15408/GB 18336/CC
10.4.1適用范圍
10.4.2內(nèi)容簡(jiǎn)介
10.4.3局限性
10.5等級(jí)保護(hù)
10.5.1GB 178591999《計(jì)算機(jī)
信息系統(tǒng)安全保護(hù)等級(jí)
劃分準(zhǔn)則》
10.5.2其他正在制定過(guò)程
中的相關(guān)配套系列
標(biāo)準(zhǔn)
10.6涉秘信息系統(tǒng)分級(jí)保護(hù)技術(shù)
要求
10.6.1涉密信息系統(tǒng)的
等級(jí)劃分
10.6.2涉密信息系統(tǒng)基本
保護(hù)要求
10.6.3涉密信息系統(tǒng)的
安全風(fēng)險(xiǎn)評(píng)估第三部分產(chǎn)品與工具
第11章風(fēng)險(xiǎn)評(píng)估管理工具
11.1天融信信息安全管理系統(tǒng)
11.1.1TSM概述
11.1.2TopAnalyzer工具在
信息安全風(fēng)險(xiǎn)評(píng)估
中的應(yīng)用
11.1.3TopAnalyzer工具的
構(gòu)成
11.1.4Top Analvzer工具的
功能
11.1.5工具的特點(diǎn)
11.1.6工具的應(yīng)用環(huán)境
11.1.7案例說(shuō)明
11.2啟明星辰風(fēng)險(xiǎn)評(píng)估管理
系統(tǒng)
11.2.1系統(tǒng)概述
11.2.2產(chǎn)品的構(gòu)成
11.2.3產(chǎn)品的使用及
功能
11.2.4應(yīng)用案例
11.2.5總結(jié)
11.3聯(lián)想網(wǎng)御風(fēng)險(xiǎn)評(píng)估輔助
工具
11.3.1系統(tǒng)構(gòu)成與功能
11.3.2應(yīng)用環(huán)境
11.3.3使用方法
11.3.4應(yīng)用案例
第12章漏洞掃描分析工具
12.1極光遠(yuǎn)程安全評(píng)估系統(tǒng)
12.1.1概述
12.1.2系統(tǒng)總體構(gòu)成
12.1.3系統(tǒng)功能說(shuō)明
12.1.4系統(tǒng)應(yīng)用環(huán)境
12.1.5系統(tǒng)應(yīng)用說(shuō)明
12.1.6系統(tǒng)應(yīng)用案例
12.1.7總結(jié)
12.2天鏡脆弱性掃描與管理
系統(tǒng)
12.2.1系統(tǒng)概述
12.2.2系統(tǒng)的構(gòu)成
12.2.3系統(tǒng)的使用及
功能
12.2.4系統(tǒng)的收益和
特點(diǎn)
12.3ISS安全漏洞掃描系統(tǒng)
12.3.1產(chǎn)品簡(jiǎn)介
12.3.2產(chǎn)品功能
12.3.3產(chǎn)品的應(yīng)用
12.3.4產(chǎn)品輸出報(bào)表
第13章入侵檢測(cè)工具
13.1概述
13.1.1為什么需要網(wǎng)絡(luò)入侵
檢測(cè)系統(tǒng)
13.1.2常見(jiàn)的入侵檢測(cè)
技術(shù)
13.1.3新一代入侵檢測(cè)
技術(shù)
13.2冰之眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
13.2.1產(chǎn)品架構(gòu)
13.2.2產(chǎn)品功能
13.2.3產(chǎn)品部署
13.2.4應(yīng)用案例
13.3天闐入侵檢測(cè)系統(tǒng)
13.3.1系統(tǒng)概述
13.3.2產(chǎn)品構(gòu)成
13.3.3產(chǎn)品功能
13.3.4產(chǎn)品應(yīng)用第四部分案例
第14章案例一：某國(guó)稅安全評(píng)估
項(xiàng)目
14.1項(xiàng)目概述
14.1.1項(xiàng)目啟動(dòng)與立項(xiàng)
14.1.2目標(biāo)
14.1.3內(nèi)容
14.1.4范圍
14.2項(xiàng)目階段
14.2.1項(xiàng)目規(guī)劃
14.2.2評(píng)估實(shí)施
14.2.3評(píng)估報(bào)告和解決
方案
14.2.4支持和維護(hù)
14.3交付的文檔及報(bào)告
14.3.1中間評(píng)估文檔
14.3.2最終報(bào)告
14.4項(xiàng)目時(shí)間表
14.5安全評(píng)估具體實(shí)施內(nèi)容
14.5.1主機(jī)安全現(xiàn)狀
評(píng)估
14.5.2網(wǎng)絡(luò)架構(gòu)安全
狀況評(píng)估
14.5.3應(yīng)用系統(tǒng)安全
狀況評(píng)估
14.5.4安全管理狀況
評(píng)估
14.6附錄
14.6.1附件1： 某國(guó)稅安全
風(fēng)險(xiǎn)評(píng)估工作聲明
目錄
14.6.2附件2： 某國(guó)稅安全
評(píng)估技術(shù)方案建議書
目錄
14.6.3附件3： 某國(guó)稅網(wǎng)絡(luò)
架構(gòu)評(píng)估報(bào)告
目錄
14.6.4附件4： 某國(guó)稅應(yīng)用
系統(tǒng)安全評(píng)估報(bào)告
目錄
14.6.5附件5： 某國(guó)稅安全
管理審計(jì)報(bào)告
目錄
14.6.6附件6： 某國(guó)家稅務(wù)
局安全現(xiàn)狀報(bào)告
目錄
14.6.7附件7： 某國(guó)稅信息
系統(tǒng)安全解決方案
建議書目錄
14.6.8附件8： 安全檢查
列表實(shí)例
14.6.9附件9： 主機(jī)安全評(píng)估
評(píng)估結(jié)果實(shí)例
第15章案例二：某電信公司信息
安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目
15.1項(xiàng)目概述
15.1.1基本情況
15.1.2項(xiàng)目目標(biāo)與范圍
15.1.3項(xiàng)目組織和進(jìn)度
安排
15.1.4實(shí)施簡(jiǎn)述
15.2風(fēng)險(xiǎn)評(píng)估方案實(shí)施
15.2.1風(fēng)險(xiǎn)評(píng)估的依據(jù)
15.2.2評(píng)估階段定義
15.2.3本次風(fēng)險(xiǎn)評(píng)估的
具體內(nèi)容
15.3安全信息庫(kù)的建設(shè)
15.3.1建設(shè)實(shí)施
15.3.2功能
15.3.3數(shù)據(jù)接口
15.4項(xiàng)目驗(yàn)收
15.4.1省網(wǎng)層面風(fēng)險(xiǎn)
評(píng)估
15.4.2分公司節(jié)點(diǎn)風(fēng)險(xiǎn)
評(píng)估
15.4.3風(fēng)險(xiǎn)評(píng)估總結(jié)
15.4.4安全信息庫(kù)
15.4.5培訓(xùn)
15.5評(píng)估工具
第16章案例三：某公司網(wǎng)絡(luò)風(fēng)險(xiǎn)
評(píng)估項(xiàng)目
16.1項(xiàng)目概述
16.1.1項(xiàng)目簡(jiǎn)介
16.1.2項(xiàng)目目標(biāo)
16.1.3項(xiàng)目范圍
16.2項(xiàng)目指導(dǎo)策略
16.2.1評(píng)估遵循的原則
16.2.2風(fēng)險(xiǎn)評(píng)估策略
16.2.3風(fēng)險(xiǎn)評(píng)估模型
16.3風(fēng)險(xiǎn)評(píng)估方法
16.3.1風(fēng)險(xiǎn)評(píng)估流程
16.3.2風(fēng)險(xiǎn)評(píng)估方法
16.4項(xiàng)目實(shí)施
16.4.1項(xiàng)目組織結(jié)構(gòu)
16.4.2項(xiàng)目實(shí)施計(jì)劃
16.4.3項(xiàng)目實(shí)施過(guò)程
16.4.4項(xiàng)目實(shí)施過(guò)程中
的風(fēng)險(xiǎn)控制措施
16.4.5項(xiàng)目文檔提交
16.4.6項(xiàng)目工作配合