信息安全专著

信息安全论文

 

信息安全风险评估

全书共分为9章,第1~第2章主要介绍了风险评估相关的概念、风险评估在信息安全管理中的作用,以及风险评估要素之间的关系等基础知识;第3章~第9章,编者对BS7799、ISO/IEC TR13335、GAO/AIMD-99-139、NIST SP 800-30、OCTAVE、 SSE-CMM、AS/NZS 4360等风险评估标准/指南的发展、要素和流程以及规定的风险评估步骤作了详细地阐述。

本书的目的在于将国际国内在信息安全风险评估领域已有的良好经验以通俗易懂的方式集中介绍给国内信息安全从业人员,可为实施风险评估的组织和相关技术、管理人员提供指导和帮助。

前 言

随着社会信息化水平提高,信息安全问题日益突出,目前尚没有专业的信息安全事件具体损失的权威调查,但是仅从计算机病毒、黑客入侵、垃圾邮件、商业秘密失窃等事件的调查和报道中,我们不难看出信息安全建设的迫切性。我国尚处在市场经济初级阶段,工业化水平还不发达,信息安全核心技术和关键产品主要依赖于进口,这使信息化进程中的信息安全问题显得尤为重要,已成为关系国家安全的重大战略问题。当然从全球发展的眼光来看,信息安全对任何一个国家和组织来看都是一个新课题,处在探索阶段,尚未形成相对独立完整的学科体系。坚持以安全保发展,发展中求安全,实现可持续的发展,这应该是我国当前信息安全建设的总指导思想。

大量调查表明,我国目前处在信息安全管理水平低下和意识薄弱共存的局面,导致这种现象的原因很多,例如信息化水平不高、法律法规滞后、人才紧缺、核心技术落后等,但最直接的原因是大多数的组织还不知道所面临的信息安全风险是什么。信息安全风险来自何方?有多大?需要多少投入来控制风险?所采取的信息安全控制措施是否有效?即没有风险评估的概念和方法。信息安全风险评估的目的就是识别信息安全风险并对其进行分析和大小判断的过程,其结果可以指导信息安全方针的制定、控制目标和控制方式的选择决策以及控制效果的评估。这可以使信息安全管理有的放矢,确保控制费用与信息安全风险之间的平衡。

国际标准化组织、各国标准化组织和众多信息安全管理知名机构对信息安全风险评估进行了大量有益的探索,这些研究或以国家安全组织的有益尝试为背景,或以国际知名公司的成功经验为蓝本,博采众长,历经多年发展积累而成。本书的目的在于将这些已有的良好经验以通俗易懂的方式集中介绍给国内信息安全从业人员。在介绍过程中力求忠于原文,稍有作者个人意见。其中包括风险评估的发展、概念、原理、方法和相关知识以及目前比较盛行的风险评估标准和指南,希望能够为实施风险评估的组织和相关负责、参与人员提供指导和帮助。

全书共分为9章:其中第1章主要介绍了风险评估的定义、风险评估在信息安全管理中的作用,以及近几年来风险评估的发展;第2章编者根据风险评估咨询的实际经验,详细介绍了风险评估相关的概念,并通过图例的方式阐明了风险评估要素之间的关系;第3章~第9章编者通过跟踪、研发目前世界范围内被普遍采用的风险评估标准/指南,对BS7799、ISO/IEC TR 13335、GAO/AIMD-99-139、NIST SP 800-30、OCTAVE、SSE-CMM、AS/NZS4360等风险评估标准/指南的发展、要素和流程以及规定的风险评估步骤分别予以详细介绍。

对信息安全领域的知识与理论的探索是永无止境的,编者愿与广大读者一起,研究本书中不足的地方,共同进步。

目  录

第1章  风险评估概述

1.1  风险评估的概念

1.2  风险评估的必要性

1.3  风险评估的历史与现状

第2章  信息安全风险评估原理

2.1 概述

2.2 风险评估相关定义

2.3 风险要素关系模型

第3章  BS7799与ISO/IEC TR 13335

3.1 BS7799与ISO/IEC TR 13335简介

3.2 ISO/IEC TR 13335提供的风险评估方法详述

第4章  GAO/AIMD-99-139风险评估指南

4.1 GAO/AIMD-99-139简介

4.2 风险评估要素

4.3 案例

第5章  NIST SP 800-30 IT系统风险管理指南

5.1 NIST SP 800-30简介

5.2 NIST SP 800-30中的风险评估过程介绍

5.3 风险评估过程

5.4 本章小结

第6章  OCTAVE方法

6.1 OCTAVE简介

6.2 原则、属性和输出

6.3 结构

6.4 实施步骤

6.5 本章小结

第7章  系统安全工程能力成熟模型SSE-CMM

7.1 SSE-CMM简介

7.2 CMM简介

7.3 SSE-CMM模型体系结构

7.4 安全基本实施

第8章  AS/NZS 4360风险管理指南

8.1 AS/NZS 4360简介

8.2 风险管理过程

8.3 AS/NZS 4360在信息安全风险管理中的应用

第9章  其他风险评估标准/指南

9.1 可信计算机系统评估准则(TCSEC)

9.2 信息技术安全标准(ITSEC)

9.3 可信计算机产品评估准则(CTCPEC)

9.4 美国信息技术安全联邦准则(FC)

9.5 通用准则(CC)

9.6 信息技术安全性评估准则(GB/T 18336)

9.7 风险价值法(VAR)

附录 NIST SP 800-30 风险评估报告要点示例

参考文献