●第1部分 信息安全風險管理的基礎
第1章信息安全風險產生003
1.1 信息安全風險含義 / 003
1.2 信息安全風險構成 / 005
1.2.1 基本要素 / 005
1.2.2 要素關繫 / 006
1.3 信息安全風險決定因素 / 007
1.3.1 外部安全威脅 / 007
1.3.2 內部的脆弱性 / 009
第2章信息安全風險管理的內容013
2.1 信息安全風險管理定義 / 013
2.2 信息安全風險管理流程 / 014
2.3 信息安全風險管理對像 / 015
2.3.1 物理和環境 / 015
2.3.2 網絡和通信 / 016
2.3.3 設備和計算 / 016
2.3.4 應用和數據 / 016
2.3.5 人員和管理 / 017
2.4 信息安全風險處置 / 018
2.4.1 風險處置總體描述 / 018
2.4.2 風險處置準備 / 021
2.4.3 風險處置方案制定 / 022
2.4.4 風險處置方案實施 / 024
2.4.5 風險處置效果評價 / 024
第3章信息安全風險的識別與分析027
3.1 信息安全檢查 / 027
3.1.1 工作流程 / 027
3.1.2 工作內容 / 027
3.1.3 工作組織 / 029
3.1.4 檢查對像選取 / 029
3.1.5 檢查工作實施 / 030
3.2 信息安全風險評估 / 033
3.2.1 工作流程及框架 / 034
3.2.2 工作內容 / 037
3.2.3 確定評估對像 / 037
3.2.4 評估工作實施 / 039
3.2.5 風險分析及風險處置 / 045
3.3 信息繫統安全等級保護測評 / 047
3.3.1 工作流程 / 047
3.3.2 定級要素及流程 / 047
3.3.3 測評原則及內容 / 048
3.3.4 測評對像 / 049
3.3.5 測評實施 / 050
3.3.6 結果判定 / 052
第4章信息安全風險的控制053
4.1 信息安全風險控制的概念 / 053
4.2 信息安全風險處置流程與方法 / 055
4.3 信息安全風險評估有效性檢驗 / 057
第5章信息安全風險管理的合規性要求061
5.1 信息安全風險管理標準規範 / 061
5.1.1 信息安全風險管理國際標準 / 061
5.1.2 信息安全風險管理國內標準 / 068
5.1.3 國內外風險管理標準關繫 / 069
5.2 信息繫統生命周期的風險管理 / 070
5.2.1 信息繫統生命周期的風險評估 / 070
5.2.2 信息繫統生命周期的風險管理 / 074
第2部分 信息安全風險管理的發展變化
第6章新形勢下信息安全風險的變化081
6.1 網絡安全形勢變化 / 081
6.2 信息安全要素變化 / 084
6.3 外部威脅變化 / 084
6.4 內在脆弱性變化 / 086
6.5 安全風險的變化 / 087
第7章新技術應用環境產生的信息安全風險089
7.1 虛擬化技術平臺安全風險 / 089
7.1.1 大數據平臺的安全風險 / 089
7.1.2 雲計算平臺的安全風險 / 092
7.2 移動互聯網安全風險 / 102
7.2.1 移動互聯網安全威脅 / 102
7.2.2 移動互聯網脆弱性 / 105
7.3 工業控制繫統安全風險 / 108
7.3.1 工業控制繫統安全威脅 / 108
7.3.2 工業控制繫統脆弱性 / 110
7.4 信息安全保障能力的不足 / 112
第8章新形勢下信息安全風險識別與分析方法的優化115
8.1 現行方法存在的局限性 / 115
8.2 現行方法融合的必要性 / 117
8.3 現行方法融合的基本思路 / 119
8.4 現行方法融合的主要內容 / 121
8.4.1 檢測目標統一定義 / 121
8.4.2 信息資產統一定義 / 122
8.4.3 外部威脅統一定義 / 122
8.4.4 內在脆弱性統一定義 / 123
8.4.5 風險分析統一定義 / 125
8.5 新型風險識別與分析方法的提出 / 128
8.6 新型風險識別與分析方法的優化 / 128
8.6.1 工作原理的優化 / 128
8.6.2 工作流程的優化 / 129
8.6.3 工作內容的優化 / 132
第9章新形勢下信息安全風險控制的方法優化135
9.1 關鍵信息基礎設施安全保護 / 135
9.1.1 明確關鍵信息基礎設施保護對像 / 135
9.1.2 我國關鍵信息基礎設施面臨的威脅 / 136
9.1.3 制定關鍵信息基礎設施安全保護標準規範 / 137
9.1.4 網絡安全等級保護與關鍵信息基礎設施保護 / 138
9.2 網絡安全態勢感知 / 138
9.2.1 網絡安全態勢感知概念 / 138
9.2.2 網絡安全態勢感知的內容 / 139
9.2.3 網絡安全態勢感知的方式優化 / 140
9.3 虛擬化應用安全保護 / 141
9.4 威脅情報分析 / 141
9.5 構建縱深網絡安全防御體繫 / 144
9.6 新技術應用環境下的信息安全風險控制 / 146
9.6.1 虛擬化平臺風險控制 / 146
9.6.2 物聯網風險控制 / 147
9.6.3 移動互聯網風險控制 / 148
9.6.4 工業控制繫統風險控制 / 149
第10章新形勢下信息安全風險管理合規性要求的發展151
10.1 新形勢下信息安全風險管理標準體繫 / 151
10.2 網絡安全法 / 153
10.2.1 網絡安全法立法的背景 / 153
10.2.2 網絡安全法的基本內容 / 154
10.2.3 網絡安全法的作用及意義 / 155
10.3 關鍵信息基礎設施安全保護條例 / 155
10.3.1 安全保護條例主要內容 / 155
10.3.2 安全保護條例的局限性 / 157
10.3.3 安全保護條例與網絡安全等級保護關繫 / 158
10.4 網絡安全等級保護相關標準 / 158
10.4.1 現有等級保護政策和標準體繫 / 158
10.4.2 網絡安全等級保護制度2.0 / 159
10.5 網絡產品和服務安全審查辦法 / 162
10.5.1 安全審查辦法主要內容 / 162
10.5.2 安全審查辦法出臺後的影響 / 163
10.5.3 安全審查辦法意義及作用 / 163
第3部分 信息安全風險管理的實踐
第11章風險識別與分析方法融合——信息安全風險測評167
11.1 基本原理 / 167
11.2 流程方法 / 168
11.2.1 工作流程 / 168
11.2.2 工作方法 / 177
11.3 實施組織 / 178
11.4 對像確定 / 179
11.5 準備階段工作 / 183
11.6 實施階段工作 / 184
11.6.1 現場培訓 / 184
11.6.2 資產識別 / 185
11.6.3 威脅識別 / 186
11.6.4 技術安全檢測 / 188
11.6.5 管理安全檢測 / 191
11.6.6 滲透測試 / 193
11.6.7 已有安全措施分析 / 196
11.6.8 脆弱性分析與賦值 / 196
11.6.9 現場工作小結 / 196
11.7 總結階段工作 / 197
11.7.1 數據整理 / 197
11.7.2 綜合分析 / 199
11.7.3 報告編制 / 200
第12章信息安全風險控制方法——安全基線配置203
12.1 明確安全基線配置作業需求 / 203
12.2 建立安全基線配置管理規範 / 204
12.3 制定安全基線配置模板 / 205
12.4 現場基線配置檢查確認 / 208
12.4.1 技術基線檢查 / 209
12.4.2 管理基線審核 / 212
12.5 基於安全基線要求的整改加固 / 213
12.6 安全基線配置模板的修訂 / 215
第13章信息安全風險控制方法——服務器信息安全加固217
13.1 信息安全加固的目的及意義 / 217
13.1.1 精準實施信息安全風險控制 / 217
13.1.2 緊密結合等級保護整改建設 / 218
13.1.3 嚴格依據等級保護測評結果 / 218
13.1.4 有效提高等級保護測評符合率 / 218
13.2 信息安全加固的重點及難點 / 220
13.2.1 安全加固可行性分析 / 220
13.2.2 安全加固工作重點 / 221
13.2.3 安全加固工作難點 / 222
13.3 信息安全加固原則及範圍 / 223
13.3.1 安全加固的原則 / 223
13.3.2 安全加固的範圍 / 223
13.4 信息安全加固流程及組織 / 224
13.4.1 安全加固流程與方法 / 224
13.4.2 安全加固的組織 / 226
13.5 信息安全加固實施內容 / 229
13.5.1 準備階段內容 / 229
13.5.2 實施階段內容 / 231
13.5.3 分析總結階段內容 / 238
13.5.4 操作實例 / 239
第14章信息安全風險管理的良好實踐241
14.1 稅務繫統信息安全風險測評實踐工作 / 241
14.2 稅務繫統信息安全基線配置實踐工作 / 243
14.2.1 計劃準備環節 / 243
14.2.2 現場實施環節 / 243
14.2.3 成果輸出環節 / 244
14.3 稅務繫統服務器信息安全加固實踐工作 / 244
第15章風險識別與分析方法在新技術環境中的應用247
15.1 移動互聯網環境的風險測評 / 247
15.1.1 移動智能終端安全風險測評 / 247
15.1.2 移動傳輸網絡安全風險測評 / 248
15.1.3 移動應用安全風險測評 / 249
15.2 虛擬化環境的風險測評 / 250
15.2.1 虛擬化環境安全風險分析 / 250
15.2.2 虛擬化環境安全風險測評 / 251
15.3 工業控制繫統的風險測評 / 252
15.3.1 工業控制繫統測評原則 / 252
15.3.2 工業控制繫統測評流程 / 253
15.3.3 工業控制繫統測評工具 / 254
附錄257
附錄1 信息安全風險測評表單 / 257
附錄2 網絡與信息繫統安全基線配置表單 / 267
附錄3 服務器信息安全加固表單 / 274
參考文獻 / 280

本書以信息安全風險為切入點，站在信息安全風險管理的角度闡述網絡安全新時代下網絡與信息繫統安全保障的相關內容，重點提出了信息安全風險識別與分析的方法，明確了信息安全風險控制措施。全書共分為3個部分：第1部分講述了信息安全風險管理的基礎，明確了信息安全風險定義及構成要素，描述了信息安全風險管理內容及對像，提出了信息安全風險識別分析和信息安全風險處置的基本方法，突出了信息安全風險管理的標準、規範以及信息繫統生命周期風險管理的內容；第2部分講述了信息安全風險管理的發展，分析了信息安全風險形勢變化，對信息安全風險產生因素的變化進行描述，對信息安全風險識別與分析的方法進行優化，對信息安全風險控制方法進行優化，對新形勢下信息安全風險管理合規性要求的發展進行描述；第3部分重點講述了信息安全風險管理的實踐工作，介紹了風險識別與分析方法有機融合的創新點，對信息安全風險控制的技術措施進行了敘述，列舉了風險分析與等