出版說明
前言
第1章認識信息安全風險評估
1.1信息安全風險評估的基本概念
1.1.1風險評估介紹
1.1.2風險評估的基本注意事項
1.2信息安全風險評估相關標準
1.3信息安全標準化組織
1.3.1國際標準化組織介紹
1.3.2國外標準化組織介紹
1.3.3國內(nèi)標準化組織介紹
1.4信息安全風險評估的發(fā)展與現(xiàn)狀
1.4.1信息安全風險評估的發(fā)展
1.4.2信息安全風險評估的現(xiàn)狀
思考題
第2章信息安全風險評估的主要內(nèi)容
2.1信息安全風險評估工作概述
2.1.1風險評估的依據(jù)
2.1.2風險評估的原則
2.1.3風險評估的相關術語
2.2風險評估基礎模型
2.2.1風險要素關系模型
2.2.2風險分析原理
2.2.3風險評估方法
2.3信息系統(tǒng)生命周期各階段的風險評估
2.3.1規(guī)劃階段的信息安全風險評估
2.3.2設計階段的信息安全風險評估
2.3.3實施階段的信息安全風險評估
2.3.4運維階段的信息安全風險評估
2.3.5廢棄階段的信息安全風險評估
思考題
第3章信息安全風險評估實施流程
3.1風險評估準備工作
3.2資產(chǎn)識別
3.2.1資產(chǎn)分類
3.2.2資產(chǎn)賦值
3.3威脅識別
3.3.1威脅分類
3.3.2威脅賦值
3.4脆弱性識別
3.4.1脆弱性識別內(nèi)容
3.4.2脆弱性賦值
3.5確認已有安全措施
3.6風險分析
3.6.1風險計算原理
3.6.2風險結果判定
3.6.3風險處置計劃
3.7風險評估記錄
3.7.1風險評估文件記錄的要求
3.7.2風險評估文件
3.8風險評估工作形式
3.8.1自評估
3.8.2檢查評估
3.9風險計算方法
3.9.1矩陣法計算風險
3.9.2相乘法計算風險
思考題
第4章信息安全風險評估工具
4.1風險評估工具
4.1.1ASSET
4.1.2RiskWatch
4.1.3COBRA
4.1.4CRAMM
4.1.5CORA
4.2主機系統(tǒng)風險評估工具
4.2.1MBSA
4.2.2Metasploit滲透工具
4.2.3雪豹自動化檢測滲透工具
4.2.4搖光自動化滲透測試工具
4.3應用系統(tǒng)風險評估工具
4.3.1AppScan
4.3.2Web Vulnerability Scanner
4.4手機端安全評估輔助工具
4.5風險評估輔助工具
4.5.1資產(chǎn)調(diào)研表
4.5.2人員訪談調(diào)研表
4.5.3基線檢查模板
4.5.4風險評估工作申請單
4.5.5項目計劃及會議紀要
思考題
第5章信息安全風險評估案例
5.1概述
5.1.1評估內(nèi)容
5.1.2評估依據(jù)
5.2安全現(xiàn)狀分析
5.2.1系統(tǒng)介紹
5.2.2資產(chǎn)調(diào)查列表
5.2.3網(wǎng)絡現(xiàn)狀
5.3安全風險評估的內(nèi)容
5.3.1安全評估綜合分析
5.3.2威脅評估
5.3.3網(wǎng)絡設備安全評估
5.3.4主機人工安全評估
5.3.5應用安全評估
5.3.6網(wǎng)絡架構安全評估
5.3.7無線網(wǎng)絡安全評估
5.3.8工具掃描
5.3.9管理安全評估
5.4綜合風險分析
5.4.1綜合風險評估方法
5.4.2綜合風險評估分析
5.5風險處置
5.5.1風險處置方式
5.5.2風險處置計劃
思考題
第6章信息安全管理控制措施
6.1選擇控制措施的方法
6.1.1信息安全起點
6.1.2關鍵的成功因素
6.1.3制定自己的指導方針
6.2選擇控制措施的過程
6.3完善信息安全管理組織架構
6.4信息安全管理控制規(guī)范
思考題
第7章手機客戶端安全檢測
7.1APK文件安全檢測技術
7.1.1安裝包證書檢驗
7.1.2證書加密測試
7.1.3代碼保護測試
7.1.4登錄界面劫持測試
7.1.5日志打印測試
7.1.6敏感信息測試
7.1.7登錄過程測試
7.1.8密碼加密測試
7.1.9檢測是否有測試文件
7.1.10代碼中是否含有測試信息
7.1.11加密方式測試
7.1.12APK完整性校驗
7.2APK文件安全保護建議
7.2.1Android原理
7.2.2APK文件保護步驟
思考題
第8章云計算信息安全風險評估
8.1云計算安全與傳統(tǒng)安全的區(qū)別
8.2云計算信息安全檢測的新特性
8.2.1云計算抗DDoS的安全
8.2.2云計算多用戶可信領域安全
8.2.3云計算的其他安全新特性
8.3云計算安全防護
8.3.1針對APT攻擊防護
8.3.2針對惡意DDoS攻擊防護
8.4智慧城市安全防護
8.4.1智慧城市的安全防護思路
8.4.2智慧城市的安全解決方案
思考題