信息安全測評與風險評估（第2版）

本書分為四部分共14章。第1部分（第1、2章）介紹信息安全測評思想和方法；第2部分（第3章至第6章）介紹測評技術和流程；第3部分（第7章至第13章）介紹風險評估、應急回響、法律法規和信息安全管理體系；第4部分（第14章）介紹了國外在信息安全測評領域的最新進展。

第1章 信息安全測評思想 1

要點：本章結束之後，讀者應當了解和掌握 1

序幕：何危最險 2

1.1 信息安全測評的科學精神 2

1.2 信息安全測評的科學方法 3

1.3 信息安全測評的貫標思想 5

1.4 信息安全標準化組織 6

1.4.1 國際標準化組織 6

1.4.2 國外標準化組織 7

1.4.3 國內標準化組織 8

1.5 本章小結 9

尾聲：三位旅行者 9

觀感 9

第2章 信息安全測評方法 11

要點：本章結束之後，讀者應當了解和掌握 11

序幕：培根的《新工具》 12

2.1 為何測評 12

2.1.1 信息系統安全等級保護標準與TCSEC 13

2.1.2 中國的計算機安全等級保護標準 15

2.1.3 安全域 17

2.2 何時測評 18

2.3 測評什麼 19

2.3.1 外網測評特點 20

2.3.2 區域網路測評特點 21

2.4 誰來測評 22

2.5 如何準備測評 23

2.6 怎樣測評 27

2.6.1 測評案例——“天網”工程 27

2.6.2 啟動“天網”測評 29

2.7 本章小結 32

尾聲：比《新工具》更新的是什麼 32

觀感 32

第3章 數據安全測評技術 35

要點：本章結束之後，讀者應當了解和掌握 35

序幕：謎已解，史可鑑 36

3.1 數據安全測評的諸方面 36

3.2 數據安全測評的實施 38

3.2.1 數據安全訪談調研 38

3.2.2 數據安全現場檢查 43

3.2.3 數據安全測試 54

3.3 本章小結 57

尾聲：竊之猶在 57

觀感 58

第4章 主機安全測評技術 61

要點：本章結束之後，讀者應當了解和掌握 61

序幕：第一代黑客 62

4.1 主機安全測評的諸方面 62

4.2 主機安全測評的實施 64

4.2.1 主機安全訪談調研 64

4.2.2 主機安全現場檢查 68

4.2.3 主機安全測試 87

4.3 本章小結 95

尾聲：可信賴的主體 96

觀感 96

第5章 網路安全測評技術 97

要點：本章結束之後，讀者應當了解和掌握 97

序幕：圍棋的智慧 98

5.1 網路安全測評的諸方面 98

5.2 網路安全測評的實施 100

5.2.1 網路安全訪談調研 100

5.2.2 網路安全現場檢查 105

5.2.3 網路安全測試 128

5.3 本章小結 139

尾聲：牆、門、界 139

觀感 140

第6章 套用安全測評技術 141

要點：本章結束之後，讀者應當了解和掌握 141

序幕：機器會思考嗎 142

6.1 套用安全測評的諸方面 142

6.2 套用安全測評的實施 143

6.2.1 套用安全訪談調研 143

6.2.2 套用安全現場檢查 147

6.2.3 套用安全測試 162

6.3 本章小結 179

尾聲：史上最“萬能”的機器 179

觀感 180

第7章 資產識別 181

要點：本章結束之後，讀者應當了解和掌握 181

序幕：倫敦大火啟示錄 182

7.1 風險概述 182

7.2 資產識別的諸方面 186

7.2.1 資產分類 186

7.2.2 資產賦值 190

7.3 資產識別案例分析 193

7.3.1 模擬案例背景簡介 193

7.3.2 資產分類 195

7.3.3 資產賦值 207

7.3.4 資產識別輸出報告 215

7.4 本章小結 215

尾聲：我們究竟擁有什麼 216

觀感 216

第8章 威脅識別 217

要點：本章結束之後，讀者應當了解和掌握 217

序幕：威脅在哪裡 218

8.1 威脅概述 218

8.2 威脅識別的諸方面 220

8.2.1 威脅分類——植樹和剪枝 220

8.2.2 威脅賦值——統計 222

8.3 威脅識別案例分析 224

8.3.1 “數字蘭曦”威脅識別 224

8.3.2 威脅識別輸出報告 235

8.4 本章小結 236

尾聲：在鷹隼盤旋的天空下 236

觀感 236

第9章 脆弱性識別 237

要點：本章結束之後，讀者應當了解和掌握 237

序幕：永恆的阿基里斯之踵 238

9.1 脆弱性概述 238

9.2 脆弱性識別的諸方面 240

9.2.1 脆弱性發現 240

9.2.2 脆弱性分類 241

9.2.3 脆弱性驗證 242

9.2.4 脆弱性賦值 242

9.3 脆弱性識別案例分析 243

9.3.1 信息環境脆弱性識別 244

9.3.2 公用信息載體脆弱性識別 246

9.3.3 脆弱性仿真驗證 249

9.3.4 脆弱性識別輸出報告 261

9.4 本章小結 261

尾聲：木馬歌 261

觀感 262

第10章 風險分析 263

要點：本章結束之後，讀者應當了解和掌握 263

序幕：烽火的演變 264

10.1 風險分析概述 264

10.2 風險計算 265

10.2.1 相乘法原理 267

10.2.2 風險值計算示例 267

10.3 風險定級 268

10.4 風險控制 269

10.5 殘餘風險 270

10.6 風險評估案例分析 270

10.6.1 信息環境風險計算 271

10.6.2 人員資產風險計算 271

10.6.3 管理制度風險計算 271

10.6.4 機房風險計算 271

10.6.5 信息環境風險統計 272

10.6.6 公用信息載體風險計算 272

10.6.7 專用信息及信息載體的風險計算 273

10.6.8 風險計算報告 274

10.6.9 風險控制示例 274

10.6.10 風險控制計畫 278

10.7 本章小結 279

尾聲：“勇敢”的反面是什麼 279

觀感 280

第11章 應急回響 281

要點：本章結束之後，讀者應當了解和掌握 281

序幕：虛擬社會的消防隊 282

11.1 應急回響概述 282

11.2 應急回響計畫 283

11.2.1 應急回響計畫的準備 284

11.2.2 應急回響計畫制定中應注意的問題 286

11.2.3 應急回響計畫的制定 287

11.2.4 應急回響計畫的培訓、演練和更新 299

11.2.5 文檔的保存、分發與維護 301

11.3 應急回響計畫案例分析 301

11.3.1 南海大學信息安全應急回響計畫示例 302

11.3.2 “南洋烽火”計畫 302

11.4 本章小結 311

尾聲：如何變“驚慌失措”為“從容不迫” 311

觀感 312

第12章 法律和法規 313

要點：本章結束之後，讀者應當了解和掌握 313

序幕：神話世界中需要秩序嗎 314

12.1 計算機犯罪概述 314

12.2 信息安全法律和法規簡介 316

12.2.1 美國有關法律 316

12.2.2 中國信息安全法律和法規的歷史沿革 324

12.3 本章小結 327

尾聲：從囚徒困境說起 327

觀感 328

第13章 信息安全管理體系 329

要點：本章結束之後，讀者應當了解和掌握 329

序幕：武學的最高境界 330

13.1 ISMS概述 330

13.2 ISMS主要內容 333

13.2.1 計畫（Plan） 333

13.2.2 實施（Do） 340

13.2.3 檢查（Check） 340

13.2.4 處置（Act） 341

13.3 本章小結 342

尾聲：實力源於何處 343

觀感 343

第14章 信息安全測評新領域 345

要點：本章結束之後，讀者應當了解和掌握 345

序幕：大師與大漠 346

14.1 信息安全測評新領域概述 346

14.2 工業控制系統安全測評 347

14.2.1 ICS簡介 348

14.2.2 ICS安全與IT安全 351

14.2.3 ICS安全防護技術簡介 353

14.2.4 ICS系統安全評估 354

14.3 美國國家網路靶場一覽 358

14.3.1 網路靶場的總目標 358

14.3.2 網路靶場的測試需求 361

14.3.3 網路靶場的關鍵技術 362

14.3.4 網路靶場的試驗床簡介 365

14.4 本章小結 368

尾聲：虛擬與現實 368

參考文獻 369