登入帳戶  | 訂單查詢  | 購物車/收銀台( 0 ) | 在線留言板  | 付款方式  | 運費計算  | 聯絡我們  | 幫助中心 |  加入書簽
會員登入 新用戶登記
HOME新書上架暢銷書架好書推介特價區會員書架精選月讀2023年度TOP分類瀏覽雜誌 臺灣用戶
品種:超過100萬種各類書籍/音像和精品,正品正價,放心網購,悭钱省心 服務:香港台灣澳門海外 送貨:速遞郵局服務站

新書上架簡體書 繁體書
暢銷書架簡體書 繁體書
好書推介簡體書 繁體書

三月出版:大陸書 台灣書
二月出版:大陸書 台灣書
一月出版:大陸書 台灣書
12月出版:大陸書 台灣書
11月出版:大陸書 台灣書
十月出版:大陸書 台灣書
九月出版:大陸書 台灣書
八月出版:大陸書 台灣書
七月出版:大陸書 台灣書
六月出版:大陸書 台灣書
五月出版:大陸書 台灣書
四月出版:大陸書 台灣書
三月出版:大陸書 台灣書
二月出版:大陸書 台灣書
一月出版:大陸書 台灣書

『簡體書』信息安全风险管理从基础到实践

書城自編碼: 3498084
分類:簡體書→大陸圖書→計算機/網絡信息安全
作者: 李智勇,张鹏宇,周悦,李伟旗 等 编著
國際書號(ISBN): 9787122358455
出版社: 化学工业出版社
出版日期: 2020-06-01

頁數/字數: /
書度/開本: 16开 釘裝: 平装

售價:HK$ 91.1

我要買

 

** 我創建的書架 **
未登入.

新書推薦:
缺席者的历史:以色列十个遗失的部落
《 缺席者的历史:以色列十个遗失的部落 》
售價:HK$ 93.6
晚清洋务运动始末
《 晚清洋务运动始末 》
售價:HK$ 95.8
美索不达米亚神话
《 美索不达米亚神话 》
售價:HK$ 83.8
别害怕吵架:教孩子在冲突中学会正向沟通
《 别害怕吵架:教孩子在冲突中学会正向沟通 》
售價:HK$ 58.8
这个甜甜圈不能卖:奇思妙想爆笑绘本(全2册)
《 这个甜甜圈不能卖:奇思妙想爆笑绘本(全2册) 》
售價:HK$ 95.8
生活中的民法典实用全书:应知应懂的法律常识
《 生活中的民法典实用全书:应知应懂的法律常识 》
售價:HK$ 106.8
饲渊
《 饲渊 》
售價:HK$ 47.8
现金为王:把利润留下来,把成本降下去
《 现金为王:把利润留下来,把成本降下去 》
售價:HK$ 82.8

 
編輯推薦:
本书以信息安全风险为切入点,站在信息安全风险管理的角度来阐述在网络安全新时代网络与信息系统信息安全保障的相关内容,重点提出了信息安全风险识别与分析的主要方法,明确了信息安全风险控制的主要措施。 本书的核心思想是任何网络与信息系统(虚拟边界或现实边界)的安全风险都是客观存在的,信息安全风险一定是由外部的安全威胁等因素对网络与信息系统自身存在的脆弱性进行有效的作用而产生的,任何安全保障措施都是为了减少自身的脆弱性而更加有效地抵御外部的威胁。本书理论联系实际,其中第 一部分注重理论分析,使读者能够明确信息安全风险是如何产生的,该如何进行有效的风险管理;第二部分基于新的标准、技术以及应用环境,对信息安全风险管理提出新的思路、方法,为更好的实施网络安全防护及关键信息基础设施保护打下牢固的基础;第三部分注重实践展示,通过现实案例与操作使读者能够掌握信息安全风险识别分析与信息安全风险控制的流程、方法等。
內容簡介:
本书以信息安全风险为切入点,站在信息安全风险管理的角度阐述网络安全新时代下网络与信息系统安全保障的相关内容,重点提出了信息安全风险识别与分析的方法,明确了信息安全风险控制措施。全书共分为3个部分:第1部分讲述了信息安全风险管理的基础,明确了信息安全风险定义及构成要素,描述了信息安全风险管理内容及对象,提出了信息安全风险识别分析和信息安全风险处置的基本方法,突出了信息安全风险管理的标准、规范以及信息系统生命周期风险管理的内容;第2部分讲述了信息安全风险管理的发展,分析了信息安全风险形势变化,对信息安全风险产生因素的变化进行描述,对信息安全风险识别与分析的方法进行优化,对信息安全风险控制方法进行优化,对新形势下信息安全风险管理合规性要求的发展进行描述;第3部分重点讲述了信息安全风险管理的实践工作,介绍了风险识别与分析方法有机融合的创新点,对信息安全风险控制的技术措施进行了叙述,列举了风险分析与识别方法以及风险控制方法在税务行业的良好实践,在新型技术应用场景中对信息安全风险识别与分析方法进行了展望。 本书内容实用性强,理论与实践紧密结合,语言通俗易懂,非常适合信息安全技术人员、计算机网络工程师等自学使用,也可用作高等院校相关专业的教材及参考书。
目錄
第1部分 信息安全风险管理的基础第1章信息安全风险产生0031.1 信息安全风险含义 0031.2 信息安全风险构成 0051.2.1 基本要素 0051.2.2 要素关系 0061.3 信息安全风险决定因素 0071.3.1 外部安全威胁 0071.3.2 内部的脆弱性 009第2章信息安全风险管理的内容0132.1 信息安全风险管理定义 0132.2 信息安全风险管理流程 0142.3 信息安全风险管理对象 0152.3.1 物理和环境 0152.3.2 网络和通信 0162.3.3 设备和计算 0162.3.4 应用和数据 0162.3.5 人员和管理 0172.4 信息安全风险处置 0182.4.1 风险处置总体描述 0182.4.2 风险处置准备 0212.4.3 风险处置方案制定 0222.4.4 风险处置方案实施 0242.4.5 风险处置效果评价 024第3章信息安全风险的识别与分析0273.1 信息安全检查 0273.1.1 工作流程 0273.1.2 工作内容 0273.1.3 工作组织 0293.1.4 检查对象选取 0293.1.5 检查工作实施 0303.2 信息安全风险评估 0333.2.1 工作流程及框架 0343.2.2 工作内容 0373.2.3 确定评估对象 0373.2.4 评估工作实施 0393.2.5 风险分析及风险处置 0453.3 信息系统安全等级保护测评 0473.3.1 工作流程 0473.3.2 定级要素及流程 0473.3.3 测评原则及内容 0483.3.4 测评对象 0493.3.5 测评实施 0503.3.6 结果判定 052第4章信息安全风险的控制0534.1 信息安全风险控制的概念 0534.2 信息安全风险处置流程与方法 0554.3 信息安全风险评估有效性检验 057第5章信息安全风险管理的合规性要求0615.1 信息安全风险管理标准规范 0615.1.1 信息安全风险管理国际标准 0615.1.2 信息安全风险管理国内标准 0685.1.3 国内外风险管理标准关系 0695.2 信息系统生命周期的风险管理 0705.2.1 信息系统生命周期的风险评估 0705.2.2 信息系统生命周期的风险管理 074第2部分 信息安全风险管理的发展变化第6章新形势下信息安全风险的变化0816.1 网络安全形势变化 0816.2 信息安全要素变化 0846.3 外部威胁变化 0846.4 内在脆弱性变化 0866.5 安全风险的变化 087第7章新技术应用环境产生的信息安全风险0897.1 虚拟化技术平台安全风险 0897.1.1 大数据平台的安全风险 0897.1.2 云计算平台的安全风险 0927.2 移动互联网安全风险 1027.2.1 移动互联网安全威胁 1027.2.2 移动互联网脆弱性 1057.3 工业控制系统安全风险 1087.3.1 工业控制系统安全威胁 1087.3.2 工业控制系统脆弱性 1107.4 信息安全保障能力的不足 112第8章新形势下信息安全风险识别与分析方法的优化1158.1 现行方法存在的局限性 1158.2 现行方法融合的必要性 1178.3 现行方法融合的基本思路 1198.4 现行方法融合的主要内容 1218.4.1 检测目标统一定义 1218.4.2 信息资产统一定义 1228.4.3 外部威胁统一定义 1228.4.4 内在脆弱性统一定义 1238.4.5 风险分析统一定义 1258.5 新型风险识别与分析方法的提出 1288.6 新型风险识别与分析方法的优化 1288.6.1 工作原理的优化 1288.6.2 工作流程的优化 1298.6.3 工作内容的优化 132第9章新形势下信息安全风险控制的方法优化1359.1 关键信息基础设施安全保护 1359.1.1 明确关键信息基础设施保护对象 1359.1.2 我国关键信息基础设施面临的威胁 1369.1.3 制定关键信息基础设施安全保护标准规范 1379.1.4 网络安全等级保护与关键信息基础设施保护 1389.2 网络安全态势感知 1389.2.1 网络安全态势感知概念 1389.2.2 网络安全态势感知的内容 1399.2.3 网络安全态势感知的方式优化 1409.3 虚拟化应用安全保护 1419.4 威胁情报分析 1419.5 构建纵深网络安全防御体系 1449.6 新技术应用环境下的信息安全风险控制 1469.6.1 虚拟化平台风险控制 1469.6.2 物联网风险控制 1479.6.3 移动互联网风险控制 1489.6.4 工业控制系统风险控制 149第10章新形势下信息安全风险管理合规性要求的发展15110.1 新形势下信息安全风险管理标准体系 15110.2 网络安全法 15310.2.1 网络安全法立法的背景 15310.2.2 网络安全法的基本内容 15410.2.3 网络安全法的作用及意义 15510.3 关键信息基础设施安全保护条例 15510.3.1 安全保护条例主要内容 15510.3.2 安全保护条例的局限性 15710.3.3 安全保护条例与网络安全等级保护关系 15810.4 网络安全等级保护相关标准 15810.4.1 现有等级保护政策和标准体系 15810.4.2 网络安全等级保护制度2.0 15910.5 网络产品和服务安全审查办法 16210.5.1 安全审查办法主要内容 16210.5.2 安全审查办法出台后的影响 16310.5.3 安全审查办法意义及作用 163第3部分 信息安全风险管理的实践第11章风险识别与分析方法融合——信息安全风险测评16711.1 基本原理 16711.2 流程方法 16811.2.1 工作流程 16811.2.2 工作方法 17711.3 实施组织 17811.4 对象确定 17911.5 准备阶段工作 18311.6 实施阶段工作 18411.6.1 现场培训 18411.6.2 资产识别 18511.6.3 威胁识别 18611.6.4 技术安全检测 18811.6.5 管理安全检测 19111.6.6 渗透测试 19311.6.7 已有安全措施分析 19611.6.8 脆弱性分析与赋值 19611.6.9 现场工作小结 19611.7 总结阶段工作 19711.7.1 数据整理 19711.7.2 综合分析 19911.7.3 报告编制 200第12章信息安全风险控制方法——安全基线配置20312.1 明确安全基线配置作业需求 20312.2 建立安全基线配置管理规范 20412.3 制定安全基线配置模板 20512.4 现场基线配置检查确认 20812.4.1 技术基线检查 20912.4.2 管理基线审核 21212.5 基于安全基线要求的整改加固 21312.6 安全基线配置模板的修订 215第13章信息安全风险控制方法——服务器信息安全加固21713.1 信息安全加固的目的及意义 21713.1.1 精准实施信息安全风险控制 21713.1.2 紧密结合等级保护整改建设 21813.1.3 严格依据等级保护测评结果 21813.1.4 有效提高等级保护测评符合率 21813.2 信息安全加固的重点及难点 22013.2.1 安全加固可行性分析 22013.2.2 安全加固工作重点 22113.2.3 安全加固工作难点 22213.3 信息安全加固原则及范围 22313.3.1 安全加固的原则 22313.3.2 安全加固的范围 22313.4 信息安全加固流程及组织 22413.4.1 安全加固流程与方法 22413.4.2 安全加固的组织 22613.5 信息安全加固实施内容 22913.5.1 准备阶段内容 22913.5.2 实施阶段内容 23113.5.3 分析总结阶段内容 23813.5.4 操作实例 239第14章信息安全风险管理的良好实践24114.1 税务系统信息安全风险测评实践工作 24114.2 税务系统信息安全基线配置实践工作 24314.2.1 计划准备环节 24314.2.2 现场实施环节 24314.2.3 成果输出环节 24414.3 税务系统服务器信息安全加固实践工作 244第15章风险识别与分析方法在新技术环境中的应用24715.1 移动互联网环境的风险测评 24715.1.1 移动智能终端安全风险测评 24715.1.2 移动传输网络安全风险测评 24815.1.3 移动应用安全风险测评 24915.2 虚拟化环境的风险测评 25015.2.1 虚拟化环境安全风险分析 25015.2.2 虚拟化环境安全风险测评 25115.3 工业控制系统的风险测评 25215.3.1 工业控制系统测评原则 25215.3.2 工业控制系统测评流程 25315.3.3 工业控制系统测评工具 254附录257附录1 信息安全风险测评表单 257附录2 网络与信息系统安全基线配置表单 267附录3 服务器信息安全加固表单 274参考文献 280
內容試閱
近年来,随着网络安全威胁的日益常态化、复杂化和高级化,世界各国都在不断加大对网络空间的部署,尤其是“斯诺登事件”的发生,更使得各国加快了网络安全军事力量建设的步伐。随着信息技术和网络的快速发展,国家安全的边界已经超越地理空间的限制,拓展到信息网络,网络安全成为事关国家安全的重要问题。当前世界主要国家进入网络空间战略集中部署期,国际互联网治理领域出现改革契机,同时网络安全威胁的范围和内容不断扩大和演化,网络安全形势与挑战日益严峻复杂。新的技术不断涌现,下一代互联网(IPv6)、物联网、三网融合、虚拟化、云计算、大数据等新兴技术在迅猛发展,并且得到越来越多的应用。信息技术带给人类巨大进步的同时,网络与信息系统安全问题所产生的损失、影响也不断加剧,并逐渐成为关系国家安全的重大战略问题,信息系统的安全问题越来越受到人们的普遍关注。信息安全也不单是最初的防毒查毒那么简单的问题,信息安全的中心问题是要保障信息的合法持有和使用者能够在任何需要该信息时获得保密的、没有被非法更改过的“原装的”信息。即通常所说的保密性(confidentiality)、完整性(integrity)和可用性(availability),简称CIA。然而最近,全球权威的信息技术研究与咨询顾问公司Gartner在其最新的研究报告中提出了信息安全的CIA(S)[Safety]模型,打破了传统的三要素,将人员和环境安全加入了其中,即Safety People and Safety Environments。信息安全问题不是单凭技术就可以彻底解决的,它的解决涉及政策法规、管理、标准、技术等方方面面,系统安全问题的解决要站在系统工程的角度来考虑全方位的安全。在这项系统工程中,网络与信息系统安全评测作为检验和评价网络与信息系统安全保护水平的重要方法占有重要的地位,它是信息安全的基础和前提。随着网络与信息系统规模和复杂性的不断增大,攻击技术和手段不断翻新,网络与信息系统面临的威胁因素越来越多,安全风险防范的难度和复杂性也越来越大。由于资源和能力的限制,不可能消除网络与信息系统中的每一个脆弱点,也不可能防御所有的攻击行为。在信息安全领域,风险控制意味着在成本与效益之间进行权衡,并最终制订相应的安全防御策略,从而有效降低安全风险。以往的信息安全攻防未考虑成本,使得做出的攻防决策并不一定是最优决策。如何在信息安全风险控制和投入之间寻求一种均衡,充分考虑攻防成本有效性问题,利用有限的资源做出最合理的决策,做到“适度安全”,这就给信息安全风险管理工作带来了巨大挑战。准确掌握网络与信息系统的安全风险状况,找出风险最大的环节予以防范,避免大规模安全事件的发生,都需要通过信息安全检查、风险评估和等级保护测评等信息安全风险识别与分析方法来实现,信息安全风险识别与分析在信息安全风险管理中占有重要的地位,发挥了关键作用。本书以信息安全风险为切入点,站在信息安全风险管理的角度来阐述在网络安全新时代中网络与信息系统安全保障的相关内容,重点提出了信息安全风险识别与分析的方法,明确了信息安全风险控制措施。本书的核心思想是任何网络与信息系统(虚拟边界或现实边界)的安全风险都是客观存在的,信息安全风险一定是由外部的安全威胁等因素对网络与信息系统自身存在的脆弱性进行有效的作用而产生的,任何安全保障措施都是为了减少自身的脆弱性而更加有效地抵御外部的威胁。本书正是以这个核心思想为指导,从3个部分展开进行阐述的。本书采用了理论与实践相结合的编写原则,其中第1部分注重理论分析,使读者能够明确信息安全风险是如何产生的,该如何进行有效的风险管理;第2部分基于新的网络安全形势、标准、技术以及应用环境,对信息安全风险管理提出新的思路、方法,为更好地实施网络安全防护及关键信息基础设施保护打下牢固的基础;第3部分注重实践展示,通过现实案例与操作使读者能够较好掌握信息安全风险识别与分析的方法以及信息安全风险控制的流程、方法等。 本书的最大亮点是,提出的理论来自大量实践经验的积累和升华,同时理论又可以指导实际的信息安全风险识别与分析以及风险控制工作。本书的创新点是将现行的信息安全风险识别与分析的方法即等级保护测评、信息安全风险评估和信息安全检查进行有机的融合,可实现一次现场检测、一次数据分析,产生三个层面的检测结果,为下一步进行风险控制提供有力的依据,在第3部分中详细讲述了具体的操作方法和流程。针对新的网络安全形势,按照新出台的网络安全法律法规和标准制度,基于新型的应用场景,本书提出的信息安全风险识别与分析方法和风险控制措施也在逐步完善与发展。本书由李智勇、张鹏宇、周悦、李伟旗、王坤提出编写框架、编写思路。其中第1部分(第1章~第5章)由周悦、张鹏宇、邢天柱、蔡忱、张文义、周向明编写;第2部分(第6章~第10章)由张鹏宇、李智勇、李伟旗、邢天柱、蔡忱、王洁编写;第3部分(第11章~第15章)由李智勇、李伟旗、张鹏宇、王洪南、明旭、董庆炳编写。全书由李智勇、张鹏宇、周悦、李伟旗、王坤、邢天柱、蔡忱进行统稿和校对,此外郭欢、郑铁峰、陈磊、邹晔明也参与了本书资料整理等工作。本书在编写的过程中得到了北京软件产品质量检测检验中心(国家应用软件产品质量检测检验中心)和北京中科网威信息技术有限公司的大力支持和帮助,在此一并表示感谢。由于编者水平有限,书中难免存在不妥之处,恳请各位读者批评指正。编著者

 

 

書城介紹  | 合作申請 | 索要書目  | 新手入門 | 聯絡方式  | 幫助中心 | 找書說明  | 送貨方式 | 付款方式 香港用户  | 台灣用户 | 大陸用户 | 海外用户
megBook.com.hk
Copyright © 2013 - 2024 (香港)大書城有限公司  All Rights Reserved.