信息安全管理与风险评估

第1章信息安全风险评估的基本概念1
1.1信息安全1
1.1.1信息安全技术1
1.1.2信息安全管理2
1.2信息安全风险评估的概念4
1.2.1信息安全风险的相关概念4
1.2.2信息安全风险的基本要素4
1.3信息安全风险管理体系7
1.3.1ISMS的范围8
1.3.2信息安全管理体系的作用8
1.3.3PDCA原则9
1.3.4ISMS的PDCA10
1.3.5ISMS建设整体思路11
1.4信息安全风险评估现状15
1.4.1国内现状15
1.4.2国外现状16
第2章信息安全风险评估的流程与分析方法18
2.1信息安全风险评估的分类18
2.1.1基本风险评估18
2.1.2详细风险评估19
2.1.3联合风险评估19
2.2信息安全风险评估的四个阶段19
2.2.1评估准备阶段19
2.2.2评估识别阶段20
2.2.3风险评价阶段22
2.2.4风险处理阶段22
2.3信息安全风险分析方法23
2.4信息安全风险分析流程24
2.4.1资产识别25
2.4.2威胁识别26
2.4.3脆弱性识别26
2.4.4已有安全措施确定27
2.4.5风险分析27
2.4.6风险处置30
第3章信息风险相关技术标准和工具31
3.1信息风险相关技术标准31
3.1.1BS7799/ISO17799/ISO2700231
3.1.2ISO/IECTR1333532
3.1.3OCTAVE2.034
3.1.4CC/ISO15408/GB/T1833635
3.1.5等级保护36
3.2信息安全风险评估工具38
3.2.1风险评估与管理工具38
3.2.2系统基础平台风险评估工具51
3.2.3风险评估辅助工具52
第4章基于层次分析法的信息安全风险评估54
4.1层次分析法54
4.1.1AHP概述54
4.1.2AHP流程54
4.1.3算例55
4.2基于层次分析法的信息安全风险评估模型案例57
4.2.1CUMT校园无线局域网安全分析58
4.2.2构造判断矩阵并赋值58
4.2.3层次单排序（计算权向量）与检验60
4.2.4计算一致性检验值和优选特征值λmax61
4.2.5权值整合比较62
4.2.6案例实现63
4.2.7结论64
4.3代码65
4.3.1C实现计算一致性检验值和优选特征值λmax代码65
4.3.2C实现计算总排序代码69
第5章基于网络层次分析法的信息安全风险分析研究71
5.1网络层次分析法71
5.1.1ANP与AHP的特征比较71
5.1.2网络层次分析法的网络层次结构72
5.1.3优势度72
5.1.4一致性73
5.1.5超矩阵73
5.1.6网络层次分析法的运用步骤75
5.2基于网络层次分析法的信息安全风险分析75
5.2.1控制层76
5.2.2网络层76
5.2.3整体网络结构77
5.3基于ANP的某保密系统风险分析79
5.3.1某保密系统概况79
5.3.2威胁、脆弱性、安全措施识别80
5.3.3构建网络层次分析法模型81
5.3.4建立两两比较的判断矩阵83
5.3.5计算超矩阵92
5.3.6风险分析96
第6章基于风险因子的信息安全风险评估模型98
6.1风险因子概述98
6.2基于风险因子的信息安全评估方法计算98
6.2.1风险度及因子的基本要素98
6.2.2熵系数法100
6.3基于风险因子的信息安全评估模型构建102
6.4综合风险因子评估案例107
6.4.1资产的识别与赋值107
6.4.2资产依赖与调整108
6.4.3脆弱性识别与赋值109
6.4.4脆弱性依赖识别与调整109
6.4.5威胁评估109
6.4.6风险因子的提取与计算110
6.4.7综合风险因子的计算110
6.5系统风险评估案例111
6.5.1资产评估111
6.5.2脆弱性评估112
6.5.3威胁评估114
6.5.4风险因子的提取与计算115
6.5.5风险度的隶属矩阵116
6.5.6风险因子的权重116
6.5.7系统风险值的计算117
6.5.8代码实现（Matlab）118
6.5.9代码实现（Java）120
第7章基于三角模糊数信息安全风险评估模型128
7.1模糊数及其相关运算128
7.1.1模糊数的产生128
7.1.2模糊数的应用128
7.1.3相关运算130
7.2三角模糊数及其相关性质130
7.2.1三角模糊数定义130
7.2.2三角模糊数的算术运算131
7.3基于三角模糊数的信息安全风险评估模型构建131
7.3.1集结专家权重131
7.3.2语言评价值转成三角模糊数133
7.3.3集结矩阵并规范化风险矩阵134
7.3.4计算风险值并排序134
7.4案例实现135
7.5模型构建137
7.5.1Matlab介绍137
7.5.2Matlab建模138
7.6代码实现140
7.6.1计算可能性矩阵140
7.6.2计算损失矩阵142
7.6.3计算风险矩阵144
7.6.4计算风险值145
7.6.5风险评价147
第8章基于灰关联分析方法的风险评估148
8.1方法简介148
8.1.1灰色系统简介148
8.1.2方法适用范围148
8.1.3方法的运用149
8.1.4关联度计算实例150
8.2DS证据理论分析方法151
8.2.1方法背景151
8.2.2适用范围151
8.2.3基本概念151
8.2.4组合规则152
8.2.5计算步骤152
8.2.6优缺点153
8.2.7实践案例——Zadeh悖论153
8.3案例分析154
8.3.1建立风险评估模型154
8.3.2收集信息系统的数据154
8.3.3风险评估155
8.3.4风险评估代码实现流程图156
8.4代码实现157
8.4.1Java代码157
8.4.2运行结果161
8.4.3C代码162
8.4.4运行结果164
8.5结论164
参考文献165

本书通过对信息安全风险评估领域的研究，在汲取靠前外研究成果的基础上，总结信息安全风险评估的发展趋势与研究要点，对常用风险评估方法进行分析，提出几种改进的信息安全风险评估方法，详细介绍了所提出的改进评估方法的评估流程与特点，并通过评估实例与代码实现，加深读者对所介绍的评估方法的认识。本书可供信息安全专业及相关专业本科生、技术人员、研究人员参考，方便此类人员抓住风险评估的要点，掌握风险评估方法与使用步骤，为进一步的风险评估研究与使用打下坚实的基础。

定价：为出版社全国统一定价；

文轩价：为商品的销售价，是您最终决定是否购买商品的依据；受系统缓存影响，最终价格以商品放入购物车后显示的价格为准；

新广告法规定所有页面信息中不得出现绝对化用词和功能性用词。

本店非常支持新广告法，但为了不影响消费者正常购买，页面明显区域本店已在排查修改，对于不明显区域也将会逐步排查并修改，我们此郑重声明：本店所有页面上的绝对化用词与功能性用词在此声明全部失效，不作为赔付理由。涉及“教育部声明”中的商品，均不代表教育部指定、推荐的具体版本，仅代表该商品的内容为指定、推荐书目。因极限用词引起的任何形式的商品赔付，本店不接收且不妥协。希望消费者理解并欢迎联系客服帮助完善，也请职业打假人士高抬贵手。