全新正版信息安全风险评估手册9787111699293机械工业出版社

出版说明
前言
章认识信息安全风险评估
1.1信息安全风险评估的基本概念
1.1.1风险评估介绍
1.1.2风险评估的基本注意事项
1.2信息安全风险评估相关标准
1.3信息安全标准化组织
1.3.1国际标准化组织介绍
1.3.2国外标准化组织介绍
1.3.3国内标准化组织介绍
1.4信息安全风险评估的发展与现状
1.4.1信息安全风险评估的发展
1.4.2信息安全风险评估的现状
思考题
第2章信息安全风险评估的主要内容
2.1信息安全风险评估工作概述
2.1.1风险评估的依据
2.1.2风险评估的原则
2.1.3风险评估的相关术语
2.2风险评估基础模型
2.2.1风险要素关系模型
2.2.2风险分析原理
2..风险评估方法
.信息系统生命周期各阶段的风险评估
..1规划阶段的信息安全风险评估
..2设计阶段的信息安全风险评估
..实施阶段的信息安全风险评估
..4运维阶段的信息安全风险评估
..5废弃阶段的信息安全风险评估
思考题
第3章信息安全风险评估实施流程
3.1风险评估准备工作
3.2资产识别
3.2.1资产分类
3.2.2资产赋值
3.3威胁识别
3.3.1威胁分类
3.3.2威胁赋值
3.4脆弱识
3.4.1脆弱识内容
3.4.2脆弱赋值
3.5确认已有安全措施
3.6风险分析
3.6.1风险计算原理
3.6.2风险结果判定
3.6.3风险处置计划
3.7风险评估记录
3.7.1风险评估文件记录的要求
3.7.2风险评估文件
3.8风险评估工作形式
3.8.1自评估
3.8.2检查评估
3.9风险计算方法
3.9.1矩阵法计算风险
3.9.2相乘法计算风险
思考题
第4章信息安全风险评估工具
4.1风险评估工具
4.1.1ASSET
4.1.2RiskWatch
4.1.3COBRA
4.1.4CRAMM
4.1.5CORA
4.2主机系统风险评估工具
4.2.1MBSA
4.2.2Metasploit渗透工具
4..雪豹自动化检测渗透工具
4.2.4摇光自动化渗透测试工具
4.3应用系统风险评估工具
4.3.1AppScan
4.3.2Web Vulnerability Scanner
4.4手机端安全评估辅工具
4.5风险评估辅工具
4.5.1资产调研表
4.5.2人员访谈调研表
4.5.3基线检查模板
4.5.4风险评估工作申请单
4.5.5项目计划及会议纪要
思考题
第5章信息安全风险评估案例
5.1概述
5.1.1评估内容
5.1.2评估依据
5.2安全现状分析
5.2.1系统介绍
5.2.2资产调查列表
5..网络现状
5.3安全风险评估的内容
5.3.1安全评估综合分析
5.3.2威胁评估
5.3.3网络设备安全评估
5.3.4主机人工安全评估
5.3.5应用安全评估
5.3.6网络架构安全评估
5.3.7无线网络安全评估
5.3.8工具扫描
5.3.9管理安全评估
5.4综合风险分析
5.4.1综合风险评估方法
5.4.2综合风险评估分析
5.5风险处置
5.5.1风险处置方式
5.5.2风险处置计划
思考题
第6章信息安全管理控制措施
6.1选择控制措施的方法
6.1.1信息安全起点
6.1.2关键的成功因素
6.1.3制定自己的指导方针
6.2选择控制措施的过程
6.3完善信息安全管理组织架构
6.4信息安全管理控制规范
思考题
第7章手机客户端安全检测
7.1APK文件安全检测技术
7.1.1安装包检验
7.1.2加密测试
7.1.3代码保护测试
7.1.4登录界面劫持测试
7.1.5日志打印测试
7.1.6信息测试
7.1.7登录过程测试
7.1.8密码加密测试
7.1.9检测有测试文件
7.1.10代码中含有测试信息
7.1.11加密方式测试
7.1.12APK完整校验
7.2APK文件安全保护建议
7.2.1Android原理
7.2.2APK文件保护步骤
思考题
第8章云计算信息安全风险评估
8.1云计算安全与传统安全的区别
8.2云计算信息安全检测的新特
8.2.1云计算抗DDoS的安全
8.2.2云计算多用户可信领域安全
8..云计算的安全新特
8.3云计算安全防护
8.3.1针对APT攻击防护
8.3.2针对恶意DDoS攻击防护
8.4智慧城市安全防护
8.4.1智慧城市的安全防护思路
8.4.2智慧城市的安全解决方案
思考题

郭鑫：中国安全在线创始人，清华大学、人民大学特聘信息安全讲师，参与、主持编写多个安全标准，著有《防黑档案》《企业网络安全致胜宝典》《信息安全等级保护测评与整改指导手册》等书籍。

语攻防是网络安全永恒的两面，安全看重的是全局，而非单点。本书参照靠前相关标准，通过风险评估理论突出了网络安全整体把控，内容详尽且深入浅出。无论是对希望从事网络安全行业的人员，还是长期从事网络安全的专业人士，此书都大有裨益。——信息安全等级保护评估中心副主任张宇翔这本书在原有风险评估基础上，又加入了移动安全评估、云平台安全评估两个热点行业，紧跟信息安全发展趋势，值得一读！——信息产业信息安全测评中心常务副主任霍珊珊目前国内的企业进行信息安全建设时，大多是进行单点建设，但安全是一个整体的过程，需要进行全局考虑。此书基于风险评估靠前标准，对企业进行通盘安全评估，是一本难得的好书！——中国信息安全认中心体系与服务认部副主任翟亚红信息安全风险恒久存在，并不会因为信息技术的不断发展而消失。在云计算、物联网、移动互联网等技术日新月异的今天，更应该关注风险评估技术的发展，切实保障信息安全。此书详细解读了风险评估的全过程，值得所有对信息安全有兴趣的读者一读。——中国信息安全测评中心资质评估处副处长王琰

本书首先介绍了信息安全风险评估的基础知识，然后介绍了信息安全风险评估的主要内容、实施流程、评估工具、评估案例、信息安全管理控制措施、手机客户端安全检测、云计算信息安全风险评估和智慧城市安全解决方案等内容。
本书主要面向和地方部门、大型企事业单位的信息安全管理人员，以及信息安全专业人员，可作为信息安全风险评估、风险管理、ISMS(ISO/IEC27001)认的培训教材和学参书。

随着信息技术的快展，网络空间逐渐成为人类生活中一个不可或缺的新场域，并深入到了社会生活的方方面面，由此带来的网络空间安全问题也越来越受到重视。网络空间安全不仅关系到个体信息和资产安全，更关系到安全和社会稳定。一旦网络系统出现安全问题，那么将会造成难以估量的损失。从辩角度来看，安全和发展是一体之两翼、驱动之双轮，安全是发展的前提，发展是安全的保障，安全和发展要同步推进，没有网络空间安全就没有安全。为了维护我国网络空间的主权和利益，加快网络空间安全生态建设，促进网络空间安全技术发展，机械工业出版社邀请、、中国网络空间研究院、浙江大学、上海交通大学、华为及腾讯等全国网络空间安全领域具有雄厚技术力量的科研院所、高等院校、企*单位的相关专家，成立了阵容强大的专家委员会，共同策划了这套“网络空间安全技术丛书”（以下简称“丛书”）。本套丛书力求做到规划清晰、定位准确、内容精良、技术驱动，全面覆盖网络空间安全体系涉及的关键技术，包括网络空间安、络安全、系统安全、应用安全、业务安全和密码学等，以技术应用讲解为主，理论知识讲解为辅，做到“理实”结合。与此同时，我们将持续关注网络空间安全前沿技术和*新成果，不断更新和拓展丛书选题，力争使该丛书够时反映网络空间安全领域的新方向、新发展、新技术和新应用，以提升我国网络空间的防护能力，力我国实现网络强国的总体目标。由于网络空间安全技术日新月异，而且涉及的领域很好广泛，本套丛书在选题遴选及优化和书稿创作及编审过程中难免存在疏漏和不足，诚恳希望各位读者提出宝贵意见，以利于丛书的不断精进。