内容简介
《信息安全测评与风险评估》包含了大量的实验案例。我们在进行实验设计的时候,已经充分考虑到《信息安全测评与风险评估》读者的实验条件和动手练习的可能性,因此我们强烈建议阅读《信息安全测评与风险评估》的读者在可能的情况下“重现”(reproduce)书中案例分析的实验,这是学习测评技术和方法的途径。在此基础上,我们在每一章结束后都以“观感”的形式给出一些补充练习,供读者思考。此外,我们也希望读者能够不受《信息安全测评与风险评估》实验方案设计思路的束缚,举一反三,创新出更好、更贴切的实验方案。我们也真诚地欢迎读者指出《信息安全测评与风险评估》可能存在的谬误之处。 《信息安全测评与风险评估》的三位作者分别来自高校和国内知名安全企业。我们希望能够用这种方式来真正体现我国高等教育“产、学、研”的结合。在《信息安全测评与风险评估》的编写过程中得到了重庆大学有关师生、重庆市信息安全技术中心和北京数字证书有限责任公司员工的大力支持。作者们愿借此机会向他们表示衷心的感谢,没有他们的鼎力支持和批评指正,我们是不可能完成这个艰巨的任务的。
目录
第1章 信息安全测评思想
序幕:何危?
要点:本章结束之后,读者应当了解和掌握
1.1 信息安全测评的科学精神
1.2 信息安全测评的科学方法
1.3 信息安全测评的贯标思想
1.4 信息安全标准化组织
1.4.1 标准化组织
1.4.2 国外标准化组织
1.4.3 国内标准化组织
1.5 本章小结
尾声:三位旅行者
观感
第2章 信息安全测评方法
序幕:培根的《新工具》
要点:本章结束之后,读者应当了解和掌握
2.1 为何测评
2.1.1 信息系统安全等级保护标准与TCSEC
2.1.2 中国的计算机安全等级保护标准
2.1.3 安全域
2.2 何时测评
2.3 测评什么
2.3.1 外网测评特点
2.3.2 内网测评特点
2.4 谁来测评
2.5 如何准备测评
2.6 怎样测评
2.6.1 测评案例——“天网”工程
2.6.2 启动“天网”测评
2.7 本章小结
尾声:比《新工具》更新的是什么?
观感
第3章 数据安全测评技术
序幕:谜已解,史可鉴
要点:本章结束之后,读者应当了解和掌握
3.1 数据安全测评的诸方面
3.2 数据安全测评的实施
3.2.1 数据安全访谈调研
3.2.2 数据安全现场检查
3.2.3 数据安全测试
3.3 本章小结
尾声:窃之犹在!
观感
第4章 主机安全测评技术
序幕:
第一代黑客
要点:本章结束之后,读者应当了解和掌握
4.1 主机安全测评的诸方面
4.2 主机安全测评的实施
4.2.1 主机安全访谈调研
4.2.2 主机安全现场检查
4.2.3 主机安全测试
4.3 本章小结
尾声:可信赖的主体
观感
第5章 网络安全测评技术
序幕:围棋的智慧
要点:本章结束之后,读者应当了解和掌握
5.1 网络安全测评的诸方面
5.2 网络安全测评的实施
5.2.1 网络安全访谈调研
5.2.2 网络安全现场检查
5.2.3 网络安全测试
5.3 本章小结
尾声:墙、门、界
观感
第6章 应用安全测评技术
序幕:“机器会思考吗?”
要点:本章结束之后,读者应当了解和掌握
6.1 应用安全测评的诸方面
6.2 应用安全测评的实施
6.2.1 应用安全访谈调研
6.2.2 应用安全现场检查
6.2.3 应用安全测试
6.3 本章小结
尾声:”的机器
观感
第7章 资产识别
序幕:伦敦大火启示录
要点:本章结束之后,读者应当了解和掌握
7.1 风险概述
7.2 资产识别的诸方面
7.2.1 资产分类
7.2.2 资产赋值
7.3 资产识别案例分析
7.3.1 模拟案例背景简介
7.3.2 资产分类
7.3.3 资产赋值
7.3.4 资产识别输出报告
7.4 本章小结
尾声:我们究竟拥有什么?
观感
第8章 威胁识别
序幕:威胁在哪里?
要点:本章结束之后,读者应当了解和掌握
8.1 威胁概述
8.2 威胁识别的诸方面
8.2.1 威胁分类——植树和剪枝
8.2.2 威胁赋值——统计
8.3 威胁识别案例分析
8.3.1 “数字兰曦”威胁识别
8.3.2 威胁识别输出报告
8.4 本章小结
尾声:在鹰隼盘旋的天空下
观感
第9章 脆弱性识别
序幕:永恒的阿基里斯之踵
要点:本章结束之后,读者应当了解和掌握
9.1 脆弱性概述
9.2 脆弱性识别的诸方面
9.2.1 脆弱性发现
9.2.2 脆弱性分类
9.2.3 脆弱性验证
9.2.4 脆弱性赋值
9.3 脆弱性识别案例分析
9.3.1 信息环境脆弱性识别
9.3.2 公用信息载体脆弱性识别
9.3.3 脆弱性仿真验证
9.3.4 脆弱性识别输出报告
9.4
摘要与插图
第1章 信息安全测评思想1.1 信息安全测评的科学精神
如果有读者认为信息安全测评就是从事神秘的“hacker”工作,对此我们不敢苟同。我们认为信息安全测评先是探索真理、发现真相的科学。因此,与其他自然科学一样,信息安全测评也遵循着一般的客观规律。要掌握好信息安全测评的理论、方法和技术,先应该明确一名安全测评工程师应该具备什么样的科学精神和素养?这是从事信息安全测评工作的前提和基础。有了这些科学精神,再加上训练有素的工作作风和您偏爱的某种hacker气质,也许就是作者心目中的安全测评工程师了。
那么,先要具备什么样的科学精神呢?我们认为,“怀疑、批判、创新、求实、协作”是一名科学工作者必须具备的科学素养,同样也是指导我们进行信息系统安全测评的基本精神和思想。
这种科学精神源自于五百多年前的文艺复兴及其后来的启蒙运动(Enlightenment)。从16世纪开始,欧洲一批批进步的宗教人士、哲学家、科学家和艺术家们前赴后继,对上帝存在的合理性提出质疑,对中世纪欧洲宗教法庭的发起挑战,终于“将科学从神学婢女的地位中解放出来。”1919年发生在中国的“五四”运动,请来的“德先生、赛先生”(民主、科学),则是这场伟大的启蒙运动在古老东方的美妙回声,并持续影响着一代代中国人。尽管这场人类历轰轰烈烈的思想解放运动不属于本书撰写的范畴,但请读者记住,包括信息安全学科在内的各门自然科学的发展深受其影响。而作为一门新兴的IT学科分支,信息安全测评也必将从前辈们的思想源泉中源源不断地吸取营养。
