本书是一部关于信息系统安全风险评估理论、方法与应用的专著,也是作者长期从事信息安全科学研究及研究生教育工作的总结。
全书共13章。前两章在全面总结国内外先进信息系统安全风险评估理论方法的基础上,研究了信息系统安全风险的分布规律;第3章构建了系统的评估体系;第4章给出了信息系统安全风险评估数据处理方法;第5~11章提出了适用于信息系统安全风险评估全过程的一般方法和系列新方法;第12章通过分析生命周期各阶段的风险管理,挖掘信息系统的风险规律,提出了信息系统安全风险控制策略;第13章将理论应用于信息安全保密系统安全风险评估中,设计了信息系统安全风险评估的原型系统,为评估工作的系统化和智能化开展开拓了新技术途径。
本书能注重理论联系实际,有模型、有方法,有理论、有实践,有分析、有应用。适合于从事信息安全管理工作者、工程技术人员学习和参考,也适合高等院校信息与通信工程、计算机科学与技术、控制科学与工程、管理科学与工程等学科专业的教师、研究生及高年级本科生阅读与使用。
样章试读
目录
- 第1章 信息系统安全风险评估概述
1.1 信息系统安全风险评估的概念
1.2 信息系统安全风险评估的发展
1.2.1 系统安全性评估
1.2.2 信息安全评估标准
1.2.3 信息系统安全风险评估
1.3 本书结构
参考文献
第2章 信息系统安全风险评估原理
2.1 信息系统构成要素
2.1.1 客体
2.1.2 主体
2.1.3 运行环境
2.2 信息系统的安全风险及其分布
2.2.1 风险的定义
2.2.2 信息系统安全风险要素
2.2.3 信息系统安全风险分布
2.3 本章小结
参考文献
第3章 信息系统安全风险评估指标体系研究
3.1 信息系统安全风险评估准则
3.1.1 基于BS7799标准的信息系统安全风险评估准则
3.1.2 基于BS7799标准的分析
3.2 评估指标的选取原则与方法
3.2.1 评估指标的选取原则
3.2.2 评估指标的选取方法
3.3 信息系统安全风险评估指标体系构建
3.3.1 评估指标体系的层次结构模型
3.3.2 基于Delphi法的信息系统安全风险评估指标体系的初步建立
3.3.3 信息系统安全风险因素的系统分析
3.4 本章小结
参考文献
第4章 信息系统安全风险评估数据分析
4.1 信息系统安全风险评估数据采集
4.1.1 基于技术型安全风险评估工具的数据采集方法
4.1.2 基于风险评估辅助工具的数据采集方法
4.2 信息系统安全风险评估指标处理方法
4.2.1 定性指标的量化处理方法
4.2.2 定量指标的标准化处理方法
4.3 信息系统安全风险评估指标权重确定
4.3.1 指标权重的作用
4.3.2 指标权重确定的基本原则
4.3.3 指标权重的确定方法
4.4 本章小结
参考文献
第5章 信息系统安全风险评估基本方法
5.1 信息系统安全风险评估方法概述
5.1.1 手动评估与工具辅助评估
5.1.2 技术评估和整体评估
5.1.3 定性评估和定量评估
5.1.4 基于知识的评估和基于模型的评估
5.1.5 信息系统安全风险动态分析与评估方法
5.2 典型的风险评估方法
5.2.1 故障树分析法(FTA)
5.2.2 故障模式影响及危害分析法(FMECA)
5.2.3 危害及可操作性分析法(HazOp)
5.2.4 马尔科夫分析法(Markov)
5.2.5 事件树分析法(ETA)
5.2.6 原因—结果分析法(CCA)
5.2.7 风险模式影响及危害性分析法(RMECA)
5.2.8 风险评审技术(VERT)
5.2.9 概率风险评估(PRA)&动态概率风险评估(DPRA)
5.2.10 层次分析法(AHP)
5.3 各种风险评估方法比较
5.3.1 定性与定量评估方法的比较
5.3.2 几种常见评估方法的比较
5.3.3 几种定量评估方法的比较
5.3.4 几种综合评估方法的比较
5.4 面向多对象的网络化信息系统安全风险评估
5.4.1 网络化信息系统安全风险分析
5.4.2 基于广义权距离的信息系统安全风险评估方法
5.4.3 算例分析
5.5 本章小结
参考文献
第6章 基于粗糙集理论的信息系统安全风险评估
6.1 粗糙集基本理论
6.1.1 知识表达系统与决策表
6.1.2 不可分辨关系
6.1.3 近似与粗糙集
6.1.4 属性约简与核
6.1.5 知识的依赖性与重要度
6.2 基于粗糙集理论的信息系统安全风险评估指标约简
6.2.1 属性约简算法
6.2.2 算法的有效性与完备性证明
6.2.3 约简实例
6.3 基于属性重要度的信息系统安全风险指标权重确定
6.3.1 基于属性重要度指标权重计算方法
6.3.2 算例分析
6.4 本章小结
参考文献
第7章 基于模糊理论的信息系统安全风险评估方法
7.1 基于模糊综合评价的信息系统安全风险评估
7.1.1 一级系统模糊综合评价
7.1.2 二级系统模糊综合评价
7.1.3 带置信因子的系统模糊综合评价
7.1.4 基于改进模糊综合评价方法的信息系统安全风险评估
7.1.5 实例分析
7.2 基于模糊群决策的信息系统安全风险评估
7.2.1 信息系统安全风险分析模型
7.2.2 安全风险指标分析与处理
7.2.3 信息系统安全风险综合评估
7.2.4 实例分析
7.3 基于模糊集与熵权理论的信息系统安全风险评估
7.3.1 模糊集合与隶属度矩阵
7.3.2 信息系统安全风险因素权重确定的熵权系数法
7.3.3 信息系统安全风险等级确定
7.3.4 实例分析
7.4 后两种基于模糊理论评估模型的比较分析
7.4.1 定义选择与初值获取方面
7.4.2 数据运算与结果处理方面
7.4.3 评判集权重的引入与计算方面
7.5 本章小结
参考文献
第8章 基于灰色理论的信息系统安全风险评估方法
8.1 灰色系统基本理论
8.1.1 基本概念
8.1.2 灰数的白化与白化权函数
8.1.3 灰色关联度
8.1.4 灰色聚类原理
8.2 灰色决策及评价
8.2.1 灰色统计决策
8.2.2 灰色聚类决策
8.2.3 基于三角白化权函数的灰色聚类评估
8.2.4 实例分析
8.3 基于灰色白化权和模糊数学(DHGF)的综合评估
8.3.1 DHGF算法分析
8.3.2 实例分析
8.4 本章小结
参考文献
第9章 基于神经网络理论的信息系统安全风险评估方法
9.1 神经网络概述
9.1.1 神经网络
9.1.2 模糊神经网络
9.2 基于模糊理论与神经网络浅层结合的安全风险评估
9.2.1 模糊-组合神经网络安全风险评估模型构建
9.2.2 实例分析
9.3 基于模糊理论与神经网络深层结合的安全风险评估
9.3.1 多重结构模糊神经网络信息系统安全风险评估模型构建
9.3.2 基于MFNN的信息系统安全风险评估
9.3.3 两类模糊神经网络评估方法的比较分析
9.4 本章小结
参考文献
第10章 基于贝叶斯网络的信息系统安全风险评估方法
10.1 贝叶斯网络理论
10.1.1 贝叶斯网络理论的数学基础
10.1.2 贝叶斯网络及其构造
10.1.3 贝叶斯网络推理算法
10.1.4 贝叶斯网络学习
10.2 基于贝叶斯网络的信息系统安全风险态势评估
10.2.1 信息系统安全风险态势评估过程
10.2.2 信息系统安全风险评估实施步骤
10.2.3 基于改进AHP/BN的信息系统安全风险态势评估方法
10.2.4 实例分析
10.3 贝叶斯网络推理在信息系统安全性评估中的应用
10.3.1 信息系统安全性分析
10.3.2 贝叶斯网络推理算法
10.3.3 一类特殊贝叶斯网络的线性推理
10.3.4 实例分析
10.4 本章小结
参考文献
第11章 基于证据理论的信息系统安全风险评估方法
11.1 D-S证据理论
11.1.1 DST的基本概念
11.1.2 证据合成规则
11.1.3 证据的折扣
11.1.4 DST的决策规则
11.2 基于D-S证据推理的信息系统安全风险评估
11.2.1 D-S证据推理
11.2.2 信息系统安全风险评估模型
11.2.3 基于DST-AHP的信息系统安全风险评估方法
11.3 实例分析
11.4 本章小结
参考文献
第12章 信息系统安全风险管理
12.1 风险管理概述
12.1.1 基本概念
12.1.2 目的和意义
12.1.3 范围和对象
12.1.4 角色和责任
12.1.5 内容和过程
12.2 信息系统生命周期各阶段的风险管理
12.2.1 与信息系统生命周期和信息系统安全目标的关系
12.2.2 规划阶段的信息安全风险管理
12.2.3 设计阶段的信息安全风险管理
12.2.4 实施阶段的信息安全风险管理
12.2.5 运维阶段的信息安全风险管理
12.2.6 废弃阶段的信息安全风险管理
12.3 信息系统安全风险控制策略
12.3.1 物理安全策略
12.3.2 软件安全策略
12.3.3 管理安全策略
12.4 本章小结
参考文献
第13章 信息系统安全风险评估应用
13.1 信息安全保密系统安全风险评估实例
13.1.1 信息安全保密系统概述
13.1.2 信息安全保密系统安全风险综合评估
13.2 安全风险评估系统设计
13.2.1 需求分析与系统工具选择
13.2.2 安全风险评估系统的结构设计
13.2.3 安全风险评估系统的详细设计
13.2.4 安全风险评估系统的实现步骤
13.3 本章小结
参考文献
京公网安备 11010102004214号