信息安全風(fēng)險(xiǎn)管理從基礎(chǔ)到實(shí)踐

第1部分 信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)
第1章信息安全風(fēng)險(xiǎn)產(chǎn)生003
1.1 信息安全風(fēng)險(xiǎn)含義 / 003
1.2 信息安全風(fēng)險(xiǎn)構(gòu)成 / 005
1.2.1 基本要素 / 005
1.2.2 要素關(guān)系 / 006
1.3 信息安全風(fēng)險(xiǎn)決定因素 / 007
1.3.1 外部安全威脅 / 007
1.3.2 內(nèi)部的脆弱性 / 009

第2章信息安全風(fēng)險(xiǎn)管理的內(nèi)容013
2.1 信息安全風(fēng)險(xiǎn)管理定義 / 013
2.2 信息安全風(fēng)險(xiǎn)管理流程 / 014
2.3 信息安全風(fēng)險(xiǎn)管理對(duì)象 / 015
2.3.1 物理和環(huán)境 / 015
2.3.2 網(wǎng)絡(luò)和通信 / 016
2.3.3 設(shè)備和計(jì)算 / 016
2.3.4 應(yīng)用和數(shù)據(jù) / 016
2.3.5 人員和管理 / 017
2.4 信息安全風(fēng)險(xiǎn)處置 / 018
2.4.1 風(fēng)險(xiǎn)處置總體描述 / 018
2.4.2 風(fēng)險(xiǎn)處置準(zhǔn)備 / 021
2.4.3 風(fēng)險(xiǎn)處置方案制定 / 022
2.4.4 風(fēng)險(xiǎn)處置方案實(shí)施 / 024
2.4.5 風(fēng)險(xiǎn)處置效果評(píng)價(jià) / 024

第3章信息安全風(fēng)險(xiǎn)的識(shí)別與分析027
3.1 信息安全檢查 / 027
3.1.1 工作流程 / 027
3.1.2 工作內(nèi)容 / 027
3.1.3 工作組織 / 029
3.1.4 檢查對(duì)象選取 / 029
3.1.5 檢查工作實(shí)施 / 030
3.2 信息安全風(fēng)險(xiǎn)評(píng)估 / 033
3.2.1 工作流程及框架 / 034
3.2.2 工作內(nèi)容 / 037
3.2.3 確定評(píng)估對(duì)象 / 037
3.2.4 評(píng)估工作實(shí)施 / 039
3.2.5 風(fēng)險(xiǎn)分析及風(fēng)險(xiǎn)處置 / 045
3.3 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng) / 047
3.3.1 工作流程 / 047
3.3.2 定級(jí)要素及流程 / 047
3.3.3 測(cè)評(píng)原則及內(nèi)容 / 048
3.3.4 測(cè)評(píng)對(duì)象 / 049
3.3.5 測(cè)評(píng)實(shí)施 / 050
3.3.6 結(jié)果判定 / 052

第4章信息安全風(fēng)險(xiǎn)的控制053
4.1 信息安全風(fēng)險(xiǎn)控制的概念 / 053
4.2 信息安全風(fēng)險(xiǎn)處置流程與方法 / 055
4.3 信息安全風(fēng)險(xiǎn)評(píng)估有效性檢驗(yàn) / 057

第5章信息安全風(fēng)險(xiǎn)管理的合規(guī)性要求061
5.1 信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)規(guī)范 / 061
5.1.1 信息安全風(fēng)險(xiǎn)管理國(guó)際標(biāo)準(zhǔn) / 061
5.1.2 信息安全風(fēng)險(xiǎn)管理國(guó)內(nèi)標(biāo)準(zhǔn) / 068
5.1.3 國(guó)內(nèi)外風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)關(guān)系 / 069
5.2 信息系統(tǒng)生命周期的風(fēng)險(xiǎn)管理 / 070
5.2.1 信息系統(tǒng)生命周期的風(fēng)險(xiǎn)評(píng)估 / 070
5.2.2 信息系統(tǒng)生命周期的風(fēng)險(xiǎn)管理 / 074

第2部分 信息安全風(fēng)險(xiǎn)管理的發(fā)展變化
第6章新形勢(shì)下信息安全風(fēng)險(xiǎn)的變化081
6.1 網(wǎng)絡(luò)安全形勢(shì)變化 / 081
6.2 信息安全要素變化 / 084
6.3 外部威脅變化 / 084
6.4 內(nèi)在脆弱性變化 / 086
6.5 安全風(fēng)險(xiǎn)的變化 / 087

第7章新技術(shù)應(yīng)用環(huán)境產(chǎn)生的信息安全風(fēng)險(xiǎn)089
7.1 虛擬化技術(shù)平臺(tái)安全風(fēng)險(xiǎn) / 089
7.1.1 大數(shù)據(jù)平臺(tái)的安全風(fēng)險(xiǎn) / 089
7.1.2 云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn) / 092
7.2 移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn) / 102
7.2.1 移動(dòng)互聯(lián)網(wǎng)安全威脅 / 102
7.2.2 移動(dòng)互聯(lián)網(wǎng)脆弱性 / 105
7.3 工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn) / 108
7.3.1 工業(yè)控制系統(tǒng)安全威脅 / 108
7.3.2 工業(yè)控制系統(tǒng)脆弱性 / 110
7.4 信息安全保障能力的不足 / 112

第8章新形勢(shì)下信息安全風(fēng)險(xiǎn)識(shí)別與分析方法的優(yōu)化115
8.1 現(xiàn)行方法存在的局限性 / 115
8.2 現(xiàn)行方法融合的必要性 / 117
8.3 現(xiàn)行方法融合的基本思路 / 119
8.4 現(xiàn)行方法融合的主要內(nèi)容 / 121
8.4.1 檢測(cè)目標(biāo)統(tǒng)一定義 / 121
8.4.2 信息資產(chǎn)統(tǒng)一定義 / 122
8.4.3 外部威脅統(tǒng)一定義 / 122
8.4.4 內(nèi)在脆弱性統(tǒng)一定義 / 123
8.4.5 風(fēng)險(xiǎn)分析統(tǒng)一定義 / 125
8.5 新型風(fēng)險(xiǎn)識(shí)別與分析方法的提出 / 128
8.6 新型風(fēng)險(xiǎn)識(shí)別與分析方法的優(yōu)化 / 128
8.6.1 工作原理的優(yōu)化 / 128
8.6.2 工作流程的優(yōu)化 / 129
8.6.3 工作內(nèi)容的優(yōu)化 / 132

第9章新形勢(shì)下信息安全風(fēng)險(xiǎn)控制的方法優(yōu)化135
9.1 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù) / 135
9.1.1 明確關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)對(duì)象 / 135
9.1.2 我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的威脅 / 136
9.1.3 制定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)規(guī)范 / 137
9.1.4 網(wǎng)絡(luò)安全等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù) / 138
9.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知 / 138
9.2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念 / 138
9.2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知的內(nèi)容 / 139
9.2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知的方式優(yōu)化 / 140
9.3 虛擬化應(yīng)用安全保護(hù) / 141
9.4 威脅情報(bào)分析 / 141
9.5 構(gòu)建縱深網(wǎng)絡(luò)安全防御體系 / 144
9.6 新技術(shù)應(yīng)用環(huán)境下的信息安全風(fēng)險(xiǎn)控制 / 146
9.6.1 虛擬化平臺(tái)風(fēng)險(xiǎn)控制 / 146
9.6.2 物聯(lián)網(wǎng)風(fēng)險(xiǎn)控制 / 147
9.6.3 移動(dòng)互聯(lián)網(wǎng)風(fēng)險(xiǎn)控制 / 148
9.6.4 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)控制 / 149

第10章新形勢(shì)下信息安全風(fēng)險(xiǎn)管理合規(guī)性要求的發(fā)展151
10.1 新形勢(shì)下信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系 / 151
10.2 網(wǎng)絡(luò)安全法 / 153
10.2.1 網(wǎng)絡(luò)安全法立法的背景 / 153
10.2.2 網(wǎng)絡(luò)安全法的基本內(nèi)容 / 154
10.2.3 網(wǎng)絡(luò)安全法的作用及意義 / 155
10.3 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例 / 155
10.3.1 安全保護(hù)條例主要內(nèi)容 / 155
10.3.2 安全保護(hù)條例的局限性 / 157
10.3.3 安全保護(hù)條例與網(wǎng)絡(luò)安全等級(jí)保護(hù)關(guān)系 / 158
10.4 網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn) / 158
10.4.1 現(xiàn)有等級(jí)保護(hù)政策和標(biāo)準(zhǔn)體系 / 158
10.4.2 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0 / 159
10.5 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法 / 162
10.5.1 安全審查辦法主要內(nèi)容 / 162
10.5.2 安全審查辦法出臺(tái)后的影響 / 163
10.5.3 安全審查辦法意義及作用 / 163

第3部分 信息安全風(fēng)險(xiǎn)管理的實(shí)踐
第11章風(fēng)險(xiǎn)識(shí)別與分析方法融合——信息安全風(fēng)險(xiǎn)測(cè)評(píng)167
11.1 基本原理 / 167
11.2 流程方法 / 168
11.2.1 工作流程 / 168
11.2.2 工作方法 / 177
11.3 實(shí)施組織 / 178
11.4 對(duì)象確定 / 179
11.5 準(zhǔn)備階段工作 / 183
11.6 實(shí)施階段工作 / 184
11.6.1 現(xiàn)場(chǎng)培訓(xùn) / 184
11.6.2 資產(chǎn)識(shí)別 / 185
11.6.3 威脅識(shí)別 / 186
11.6.4 技術(shù)安全檢測(cè) / 188
11.6.5 管理安全檢測(cè) / 191
11.6.6 滲透測(cè)試 / 193
11.6.7 已有安全措施分析 / 196
11.6.8 脆弱性分析與賦值 / 196
11.6.9 現(xiàn)場(chǎng)工作小結(jié) / 196
11.7 總結(jié)階段工作 / 197
11.7.1 數(shù)據(jù)整理 / 197
11.7.2 綜合分析 / 199
11.7.3 報(bào)告編制 / 200

第12章信息安全風(fēng)險(xiǎn)控制方法——安全基線配置203
12.1 明確安全基線配置作業(yè)需求 / 203
12.2 建立安全基線配置管理規(guī)范 / 204
12.3 制定安全基線配置模板 / 205
12.4 現(xiàn)場(chǎng)基線配置檢查確認(rèn) / 208
12.4.1 技術(shù)基線檢查 / 209
12.4.2 管理基線審核 / 212
12.5 基于安全基線要求的整改加固 / 213
12.6 安全基線配置模板的修訂 / 215

第13章信息安全風(fēng)險(xiǎn)控制方法——服務(wù)器信息安全加固217
13.1 信息安全加固的目的及意義 / 217
13.1.1 精準(zhǔn)實(shí)施信息安全風(fēng)險(xiǎn)控制 / 217
13.1.2 緊密結(jié)合等級(jí)保護(hù)整改建設(shè) / 218
13.1.3 嚴(yán)格依據(jù)等級(jí)保護(hù)測(cè)評(píng)結(jié)果 / 218
13.1.4 有效提高等級(jí)保護(hù)測(cè)評(píng)符合率 / 218
13.2 信息安全加固的重點(diǎn)及難點(diǎn) / 220
13.2.1 安全加固可行性分析 / 220
13.2.2 安全加固工作重點(diǎn) / 221
13.2.3 安全加固工作難點(diǎn) / 222
13.3 信息安全加固原則及范圍 / 223
13.3.1 安全加固的原則 / 223
13.3.2 安全加固的范圍 / 223
13.4 信息安全加固流程及組織 / 224
13.4.1 安全加固流程與方法 / 224
13.4.2 安全加固的組織 / 226
13.5 信息安全加固實(shí)施內(nèi)容 / 229
13.5.1 準(zhǔn)備階段內(nèi)容 / 229
13.5.2 實(shí)施階段內(nèi)容 / 231
13.5.3 分析總結(jié)階段內(nèi)容 / 238
13.5.4 操作實(shí)例 / 239

第14章信息安全風(fēng)險(xiǎn)管理的良好實(shí)踐241
14.1 稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)測(cè)評(píng)實(shí)踐工作 / 241
14.2 稅務(wù)系統(tǒng)信息安全基線配置實(shí)踐工作 / 243
14.2.1 計(jì)劃準(zhǔn)備環(huán)節(jié) / 243
14.2.2 現(xiàn)場(chǎng)實(shí)施環(huán)節(jié) / 243
14.2.3 成果輸出環(huán)節(jié) / 244
14.3 稅務(wù)系統(tǒng)服務(wù)器信息安全加固實(shí)踐工作 / 244

第15章風(fēng)險(xiǎn)識(shí)別與分析方法在新技術(shù)環(huán)境中的應(yīng)用247
15.1 移動(dòng)互聯(lián)網(wǎng)環(huán)境的風(fēng)險(xiǎn)測(cè)評(píng) / 247
15.1.1 移動(dòng)智能終端安全風(fēng)險(xiǎn)測(cè)評(píng) / 247
15.1.2 移動(dòng)傳輸網(wǎng)絡(luò)安全風(fēng)險(xiǎn)測(cè)評(píng) / 248
15.1.3 移動(dòng)應(yīng)用安全風(fēng)險(xiǎn)測(cè)評(píng) / 249
15.2 虛擬化環(huán)境的風(fēng)險(xiǎn)測(cè)評(píng) / 250
15.2.1 虛擬化環(huán)境安全風(fēng)險(xiǎn)分析 / 250
15.2.2 虛擬化環(huán)境安全風(fēng)險(xiǎn)測(cè)評(píng) / 251
15.3 工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)測(cè)評(píng) / 252
15.3.1 工業(yè)控制系統(tǒng)測(cè)評(píng)原則 / 252
15.3.2 工業(yè)控制系統(tǒng)測(cè)評(píng)流程 / 253
15.3.3 工業(yè)控制系統(tǒng)測(cè)評(píng)工具 / 254

附錄257
附錄1 信息安全風(fēng)險(xiǎn)測(cè)評(píng)表單 / 257
附錄2 網(wǎng)絡(luò)與信息系統(tǒng)安全基線配置表單 / 267
附錄3 服務(wù)器信息安全加固表單 / 274

參考文獻(xiàn) / 280