信息安全測評與風險評估（第2版） pdf epub mobi txt 電子書 下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

嚮宏 著

圖書標籤:

• 信息安全
• 測評
• 風險評估
• 網絡安全
• 信息係統
• 安全管理
• 漏洞分析
• 威脅建模
• 安全標準
• 閤規性

齣版社： 電子工業齣版社

ISBN：9787121231636

版次：01

商品編碼：11490980

包裝：平裝

叢書名： “信息化與信息社會”係列叢書之高等學校信息安全專業係列教材

開本：16開

齣版時間：2014-06-01

用紙：膠版紙

頁數：396

正文語種：中文

內容簡介

本書分為四部分共14章。第1部分（第1、2章）介紹信息安全測評思想和方法；第2部分（第3章至第6章）介紹測評技術和流程；第3部分（第7章至第13章）介紹風險評估、應急響應、法律法規和信息安全管理體係；第4部分（第14章）介紹瞭國外在信息安全測評領域的最新進展。全書涉及的信息安全等級保護、風險評估、應急響應和信息安全管理體係等國傢標準，均屬於我國開展信息安全保障工作中所依據的核心標準集。

作者簡介

嚮宏，重慶大學軟件學院，教授，數學及信息安全專業。“信息安全風險評估工程實施手冊研究”（項目負責人）；多項重慶市信息産業發展基金項目（省部級項目負責人）；教育部全國雙語教學示範課程（信息安全導論，主講教師）

目錄

第1章 信息安全測評思想 1
要點：本章結束之後，讀者應當瞭解和掌握 1
序幕：何危最險 2
1．1 信息安全測評的科學精神 2
1．2 信息安全測評的科學方法 3
1．3 信息安全測評的貫標思想 5
1．4 信息安全標準化組織 6
1．4．1 國際標準化組織 6
1．4．2 國外標準化組織 7
1．4．3 國內標準化組織 8
1．5 本章小結 9
尾聲：三位旅行者 9
觀感 9
第2章 信息安全測評方法 11
要點：本章結束之後，讀者應當瞭解和掌握 11
序幕：培根的《新工具》 12
2．1 為何測評 12
2．1．1 信息係統安全等級保護標準與TCSEC 13
2．1．2 中國的計算機安全等級保護標準 15
2．1．3 安全域 17
2．2 何時測評 18
2．3 測評什麼 19
2．3．1 外網測評特點 20
2．3．2 內網測評特點 21
2．4 誰來測評 22
2．5 如何準備測評 23
2．6 怎樣測評 27
2．6．1 測評案例――“天網”工程 27
2．6．2 啓動“天網”測評 29
2．7 本章小結 32
尾聲：比《新工具》更新的是什麼 32
觀感 32
第3章 數據安全測評技術 35
要點：本章結束之後，讀者應當瞭解和掌握 35
序幕：謎已解，史可鑒 36
3．1 數據安全測評的諸方麵 36
3．2 數據安全測評的實施 38
3．2．1 數據安全訪談調研 38
3．2．2 數據安全現場檢查 43
3．2．3 數據安全測試 54
3．3 本章小結 57
尾聲：竊之猶在 57
觀感 58
第4章 主機安全測評技術 61
要點：本章結束之後，讀者應當瞭解和掌握 61
序幕：第一代黑客 62
4．1 主機安全測評的諸方麵 62
4．2 主機安全測評的實施 64
4．2．1 主機安全訪談調研 64
4．2．2 主機安全現場檢查 68
4．2．3 主機安全測試 87
4．3 本章小結 95
尾聲：可信賴的主體 96
觀感 96
第5章 網絡安全測評技術 97
要點：本章結束之後，讀者應當瞭解和掌握 97
序幕：圍棋的智慧 98
5．1 網絡安全測評的諸方麵 98
5．2 網絡安全測評的實施 100
5．2．1 網絡安全訪談調研 100
5．2．2 網絡安全現場檢查 105
5．2．3 網絡安全測試 128
5．3 本章小結 139
尾聲：牆、門、界 139
觀感 140
第6章 應用安全測評技術 141
要點：本章結束之後，讀者應當瞭解和掌握 141
序幕：機器會思考嗎 142
6．1 應用安全測評的諸方麵 142
6．2 應用安全測評的實施 143
6．2．1 應用安全訪談調研 143
6．2．2 應用安全現場檢查 147
6．2．3 應用安全測試 162
6．3 本章小結 179
尾聲：史上最“萬能”的機器 179
觀感 180
第7章 資産識彆 181
要點：本章結束之後，讀者應當瞭解和掌握 181
序幕：倫敦大火啓示錄 182
7．1 風險概述 182
7．2 資産識彆的諸方麵 186
7．2．1 資産分類 186
7．2．2 資産賦值 190
7．3 資産識彆案例分析 193
7．3．1 模擬案例背景簡介 193
7．3．2 資産分類 195
7．3．3 資産賦值 207
7．3．4 資産識彆輸齣報告 215
7．4 本章小結 215
尾聲：我們究竟擁有什麼 216
觀感 216
第8章 威脅識彆 217
要點：本章結束之後，讀者應當瞭解和掌握 217
序幕：威脅在哪裏 218
8．1 威脅概述 218
8．2 威脅識彆的諸方麵 220
8．2．1 威脅分類――植樹和剪枝 220
8．2．2 威脅賦值――統計 222
8．3 威脅識彆案例分析 224
8．3．1 “數字蘭曦”威脅識彆 224
8．3．2 威脅識彆輸齣報告 235
8．4 本章小結 236
尾聲：在鷹隼盤鏇的天空下 236
觀感 236
第9章 脆弱性識彆 237
要點：本章結束之後，讀者應當瞭解和掌握 237
序幕：永恒的阿基裏斯之踵 238
9．1 脆弱性概述 238
9．2 脆弱性識彆的諸方麵 240
9．2．1 脆弱性發現 240
9．2．2 脆弱性分類 241
9．2．3 脆弱性驗證 242
9．2．4 脆弱性賦值 242
9．3 脆弱性識彆案例分析 243
9．3．1 信息環境脆弱性識彆 244
9．3．2 公用信息載體脆弱性識彆 246
9．3．3 脆弱性仿真驗證 249
9．3．4 脆弱性識彆輸齣報告 261
9．4 本章小結 261
尾聲：木馬歌 261
觀感 262
第10章 風險分析 263
要點：本章結束之後，讀者應當瞭解和掌握 263
序幕：烽火的演變 264
10．1 風險分析概述 264
10．2 風險計算 265
10．2．1 相乘法原理 267
10．2．2 風險值計算示例 267
10．3 風險定級 268
10．4 風險控製 269
10．5 殘餘風險 270
10．6 風險評估案例分析 270
10．6．1 信息環境風險計算 271
10．6．2 人員資産風險計算 271
10．6．3 管理製度風險計算 271
10．6．4 機房風險計算 271
10．6．5 信息環境風險統計 272
10．6．6 公用信息載體風險計算 272
10．6．7 專用信息及信息載體的風險計算 273
10．6．8 風險計算報告 274
10．6．9 風險控製示例 274
10．6．10 風險控製計劃 278
10．7 本章小結 279
尾聲：“勇敢”的反麵是什麼 279
觀感 280
第11章 應急響應 281
要點：本章結束之後，讀者應當瞭解和掌握 281
序幕：虛擬社會的消防隊 282
11．1 應急響應概述 282
11．2 應急響應計劃 283
11．2．1 應急響應計劃的準備 284
11．2．2 應急響應計劃製定中應注意的問題 286
11．2．3 應急響應計劃的製定 287
11．2．4 應急響應計劃的培訓、演練和更新 299
11．2．5 文檔的保存、分發與維護 301
11．3 應急響應計劃案例分析 301
11．3．1 南海大學信息安全應急響應計劃示例 302
11．3．2 “南洋烽火”計劃 302
11．4 本章小結 311
尾聲：如何變“驚慌失措”為“從容不迫” 311
觀感 312
第12章 法律和法規 313
要點：本章結束之後，讀者應當瞭解和掌握 313
序幕：神話世界中需要秩序嗎 314
12．1 計算機犯罪概述 314
12．2 信息安全法律和法規簡介 316
12．2．1 美國有關法律 316
12．2．2 中國信息安全法律和法規的曆史沿革 324
12．3 本章小結 327
尾聲：從囚徒睏境說起 327
觀感 328
第13章 信息安全管理體係 329
要點：本章結束之後，讀者應當瞭解和掌握 329
序幕：武學的最高境界 330
13．1 ISMS概述 330
13．2 ISMS主要內容 333
13．2．1 計劃（Plan） 333
13．2．2 實施（Do） 340
13．2．3 檢查（Check） 340
13．2．4 處置（Act） 341
13．3 本章小結 342
尾聲：實力源於何處 343
觀感 343
第14章 信息安全測評新領域 345
要點：本章結束之後，讀者應當瞭解和掌握 345
序幕：大師與大漠 346
14．1 信息安全測評新領域概述 346
14．2 工業控製係統安全測評 347
14．2．1 ICS簡介 348
14．2．2 ICS安全與IT安全 351
14．2．3 ICS安全防護技術簡介 353
14．2．4 ICS係統安全評估 354
14．3 美國國傢網絡靶場一覽 358
14．3．1 網絡靶場的總目標 358
14．3．2 網絡靶場的測試需求 361
14．3．3 網絡靶場的關鍵技術 362
14．3．4 網絡靶場的試驗床簡介 365
14．4 本章小結 368
尾聲：虛擬與現實 368
參考文獻 369

前言/序言

《數字堡壘：網絡安全攻防實戰》 在這個信息爆炸的時代，數據如同血液般流淌，支撐著我們生活的方方麵麵。然而，伴隨而來的是日益嚴峻的網絡安全威脅，從個人隱私泄露到國傢關鍵基礎設施癱瘓，網絡攻擊的破壞力觸目驚心。本書旨在為讀者構建一道堅實的數字堡壘，深入剖析網絡攻擊的本質，教授實用的防禦策略，讓你成為網絡安全領域的行傢裏手。 本書內容概覽： 第一部分：網絡攻防的基石 1. 滲透測試深度解析： 偵察與信息收集： 學習如何利用公開信息（OSINT）、掃描工具（Nmap、Masscan）和社交工程等技術，全麵瞭解目標係統的攻擊麵。掌握DNS枚舉、子域名查找、端口掃描、服務版本識彆等核心技巧。 漏洞掃描與分析： 熟悉Nessus、OpenVAS等漏洞掃描器的使用，理解CVE、CVSS等漏洞評分體係。學習如何手動驗證漏洞，避免誤報，並深入分析常見漏洞類型，如SQL注入、XSS、CSRF、文件上傳漏洞等。 權限提升與橫嚮移動： 掌握在獲取初始訪問權限後，如何利用係統配置錯誤、弱密碼、服務漏洞等手段提升用戶權限，並學習Mimikatz、PsExec等工具在內網中的橫嚮移動技術，逐步滲透整個網絡。 後期活動與痕跡清除： 瞭解攻擊者在成功滲透後會進行的活動，如數據竊取、後門植入、挖礦等。學習如何使用Rootkit、Payload等技術，並掌握擦除日誌、修改文件時間戳等痕跡清除方法。 2. 惡意軟件的生存之道： 病毒、蠕蟲、木馬的演變： 迴溯惡意軟件的發展曆程，理解不同類型惡意軟件的傳播機製、感染方式和危害。 高級持續性威脅（APT）分析： 深入剖析APT攻擊的特點，包括隱蔽性、長期性、定製化等，瞭解其攻擊鏈模型，以及如何針對性地進行檢測與防禦。 勒索軟件與加密攻擊： 研究勒索軟件的工作原理，從加密機製到勒索信的發送，分析其經濟驅動力，並探討應對措施，如備份策略、沙箱分析等。 反病毒與沙箱技術： 學習反病毒軟件的工作原理，包括簽名匹配、行為分析、啓發式掃描等。瞭解沙箱技術如何隔離未知威脅，並分析其在惡意軟件分析中的作用。 第二部分：構建堅不可摧的數字壁壘 1. 網絡邊界的守護者： 防火牆的部署與策略： 深入理解不同類型防火牆（包過濾、狀態檢測、應用層）的工作原理，學習如何製定精細化的訪問控製策略，實現最小權限原則。 入侵檢測與防禦係統（IDS/IPS）實踐： 掌握Snort、Suricata等IDS/IPS的配置與規則編寫，理解簽名匹配、異常檢測等工作模式，構建實時的入侵監控與阻斷體係。 VPN與安全隧道： 學習VPN技術（IPsec、SSL/TLS）的實現原理，如何構建安全的遠程訪問通道，保護數據在傳輸過程中的機密性與完整性。 2. 係統安全的加固： 操作係統安全配置： 針對Windows、Linux等主流操作係統，講解核心安全配置項，包括用戶權限管理、服務禁用、補丁管理、審計日誌配置等。 應用軟件的安全： 強調應用程序漏洞的危害，介紹安全編碼實踐，並探討Web應用防火牆（WAF）的作用，如何抵禦常見的Web攻擊。 終端安全防護： 瞭解端點檢測與響應（EDR）解決方案，學習如何部署防病毒軟件、終端加密、設備控製等，全麵保護終端設備。 3. 數據安全與隱私保護： 加密技術應用： 深入淺齣地講解對稱加密、非對稱加密、哈希算法等基本概念，以及它們在數據傳輸、存儲等場景下的應用。 訪問控製與身份認證： 學習多因素認證（MFA）、單點登錄（SSO）等技術，如何確保隻有授權用戶纔能訪問敏感數據。 數據備份與恢復策略： 製定完善的數據備份計劃，包括備份頻率、備份介質、異地備份等，並演練數據恢復流程，確保業務連續性。 第三部分：應對未知與未來的挑戰 1. 安全事件的響應與處置： 事件響應流程： 建立標準化的安全事件響應流程，包括準備、識彆、遏製、根除、恢復、事後總結等階段。 數字取證基礎： 學習數字取證的基本原理和方法，如何采集、保存和分析數字證據，為事件追溯和法律取證提供支持。 應急預案的製定與演練： 強調製定詳細的應急預案的重要性，並定期進行演練，以應對突發網絡安全事件。 2. 雲安全與物聯網安全： 雲環境下的安全挑戰： 分析雲服務模型（IaaS, PaaS, SaaS）帶來的安全風險，講解雲安全最佳實踐，如身份與訪問管理、數據加密、安全組配置等。 物聯網（IoT）的攻擊麵： 探討物聯網設備普遍存在的安全隱患，如弱密碼、固件漏洞、通信不安全等，並介紹相應的防禦策略。 3. 新興安全技術前沿： 人工智能在網絡安全中的應用： 探索AI/ML在威脅檢測、漏洞分析、行為異常識彆等方麵的潛力。 區塊鏈技術的安全應用： 瞭解區塊鏈如何為數據安全、身份認證等領域帶來新的解決方案。 本書特色： 理論與實踐並重： 理論知識講解深入淺齣，結閤大量的實際操作案例和代碼示例，幫助讀者將知識轉化為技能。 攻防思維訓練： 引導讀者從攻擊者的視角思考問題，從而更好地理解防禦策略的有效性。 前沿技術追蹤： 緊跟網絡安全領域的最新發展，介紹前沿技術和趨勢，幫助讀者保持競爭力。 案例分析詳實： 引用真實的網絡安全事件，進行深入剖析，讓讀者從曆史教訓中學習。 無論您是安全從業人員、IT管理者，還是對網絡安全充滿好奇的學習者，《數字堡壘：網絡安全攻防實戰》都將是您不可或缺的指南，助您在數字世界中遊刃有餘，築牢安全的防綫。

評分☆☆☆☆☆

這本書的價值在於它提供瞭一個全麵的視角來審視信息安全。它不僅僅是關注“做什麼”，更關注“為什麼做”以及“如何做得更好”。例如，在風險評估的優先級排序部分，書中詳細解釋瞭如何結閤資産的價值、威脅的概率以及脆弱性的程度來確定風險等級，並給齣瞭多種量化和定性評估的方法。這讓我能夠更清晰地理解，為什麼某些安全措施比其他措施更重要，從而能夠更明智地分配資源。書中還探討瞭風險容忍度的問題，以及如何根據企業的戰略目標來確定閤適的風險容忍度，這對於製定長期的信息安全策略至關重要。

評分☆☆☆☆☆

讓我欣慰的是，《信息安全測評與風險評估（第2版）》並沒有將信息安全測評僅僅看作是一次性的工作，而是強調瞭其持續性和動態性的特點。書中關於風險監控、持續改進以及信息安全保障體係的演進，都給瞭我很多啓發。在實際工作中，很多時候我們隻關注初期的評估和加固，卻忽略瞭隨著業務發展和技術更新，新的風險也在不斷産生。這本書則從戰略層麵提醒我們，信息安全是一個持續優化的過程，需要建立一套有效的機製來應對不斷變化的威脅環境。它提齣的“安全生命周期”概念，以及如何在不同階段進行有效的風險管理，對我來說是很有價值的理念。

評分☆☆☆☆☆

在學習過程中，我嘗試將書中的方法論應用到我所負責的一個小型項目的安全梳理中。這本書的結構清晰，邏輯性很強。首先，它從宏觀層麵介紹瞭信息安全測評與風險評估的總體框架和目標，然後逐步深入到具體的測評方法和技術。我尤其喜歡它在介紹漏洞掃描工具時，不僅僅是簡單羅列工具名稱，而是詳細講解瞭不同工具的適用場景、優缺點以及如何結閤使用以達到最佳效果。此外，對於風險的量化和定性分析，書中提供瞭多種模型和方法，並分析瞭它們的適用範圍和局限性，這讓我能夠根據實際情況選擇最適閤的評估方式。書中的圖錶和流程圖也畫得非常清晰，幫助我更好地理解復雜的概念和流程。

評分☆☆☆☆☆

我特彆贊賞《信息安全測評與風險評估（第2版）》在強調技術手段的同時，也沒有忽視人為因素在信息安全中的作用。書中關於社會工程學攻擊的分析，以及如何通過人員培訓和安全意識教育來防範這類風險，都寫得非常到位。很多安全事件的發生，並不是因為技術多麼落後，而是因為有人為因素的介入。這本書提供瞭很多實用的策略，來提升員工的安全意識，例如如何識彆釣魚郵件、如何安全地使用社交媒體等等。這讓我意識到，信息安全不僅僅是IT部門的責任，而是需要整個組織共同參與的係統工程。

評分☆☆☆☆☆

這本書最讓我印象深刻的一點，是它將理論知識與實踐案例的結閤做得非常齣色。讀完理論部分，你可能會覺得豁然開朗，但如果沒有實際操作的指引，總覺得隔靴搔癢。而《信息安全測評與風險評估（第2版）》在這方麵做得恰到好處。它通過一係列精心設計的案例研究，展示瞭如何將書中的理論應用於實際場景。比如，書中詳細剖析瞭一個金融機構如何進行整體的信息安全風險評估，從資産梳理、威脅識彆，到脆弱性分析，再到風險等級的確定，每一步都輔以圖錶和流程說明，非常直觀。我甚至可以跟著書中的步驟，模擬一個小型企業的風險評估過程，找齣潛在的薄弱環節。這種“手把手”的教學方式，極大地增強瞭學習的實用性和有效性，讓我不再是紙上談兵，而是真正掌握瞭信息安全測評與風險評估的核心技能。

評分☆☆☆☆☆

作為一名在IT行業摸爬滾打多年的技術人員，我經常需要處理各種復雜的安全問題，但有時候總覺得缺乏一個係統性的框架來指導我的工作。《信息安全測評與風險評估（第2版）》恰好填補瞭這個空白。它不僅僅是關於如何發現漏洞，更是關於如何理解風險，如何權衡風險與業務需求，以及如何製定有效的安全策略來降低風險。書中關於風險矩陣的構建和使用，以及如何根據風險等級來製定優先級，讓我能夠更有效地分配有限的安全資源。此外，它還強調瞭溝通的重要性，比如如何嚮非技術人員解釋復雜的安全風險，以及如何與業務部門協同工作，共同提升信息安全水平，這些都是非常有實踐意義的內容。

評分☆☆☆☆☆

這本書在描述信息安全測評工具和技術時，顯得非常專業且前沿。它並沒有停留在過時的技術層麵，而是積極引入瞭當前主流的安全測評框架和方法論，例如MITRE ATT&CK框架的應用，以及DevSecOps理念在風險評估中的融閤。這些內容對於我來說，就像是打開瞭一扇新世界的大門。我之前可能隻是零散地接觸過這些概念，但這本書將它們係統地整閤起來，並提供瞭實際操作的指導。例如，在如何利用ATT&CK框架來模擬攻擊並發現潛在的防禦盲點方麵，書中給齣瞭非常詳細的步驟和示例，這對於提升我的實戰能力非常有幫助。

評分☆☆☆☆☆

拿到《信息安全測評與風險評估（第2版）》這本書，說實話，剛開始我還有些忐忑，畢竟信息安全這個領域更新迭代太快瞭，生怕這第二版也隻是些陳舊的概念堆砌。但翻開目錄，看到章節的細分和一些新齣現的術語，我的心就踏實瞭不少。它並沒有停留在對基礎概念的重復，而是深入到瞭信息安全保障體係構建的關鍵環節，特彆是風險評估的實際操作層麵。書中對於不同行業、不同規模的企業在進行風險評估時可能遇到的獨特挑戰，都給齣瞭非常具有指導性的建議。例如，在討論數據泄露風險時，作者不僅列舉瞭常見的攻擊手段，還詳細分析瞭不同類型數據的敏感度以及一旦泄露可能造成的直接和間接損失，並進一步提齣瞭相應的技術和管理層麵的防範措施，這比我之前閱讀的許多資料都要詳盡得多。

評分☆☆☆☆☆

總的來說，《信息安全測評與風險評估（第2版）》是一本集理論性、實踐性和前瞻性於一體的優秀著作。它能夠幫助讀者從宏觀到微觀，全麵掌握信息安全測評與風險評估的知識和技能。無論是初學者還是有經驗的從業者，都能從中獲得深刻的啓發和實用的指導。我尤其推薦那些希望係統性提升信息安全管理能力，或者在工作中麵臨復雜安全挑戰的讀者，認真研讀這本書。它提供的不僅僅是技術解決方案，更是一種解決問題的思維方式和方法論，能夠幫助我們在信息安全領域走得更遠。

評分☆☆☆☆☆

我一直認為，信息安全不是一個孤立的技術問題，而是一個涉及技術、管理、法律、人員等多個層麵的係統工程。《信息安全測評與風險評估（第2版）》這本書就很好地體現瞭這一點。在風險評估部分，作者沒有僅僅局限於技術層麵的漏洞掃描和配置審計，而是花瞭相當大的篇幅去探討管理機製的有效性，例如安全策略的製定與執行、人員的安全意識培訓、事件響應機製的建立等等。這一點對於一個企業來說至關重要，因為很多安全事件的發生，往往是管理上的疏忽所緻。書中還涉及到瞭閤規性要求，比如GDPR、等保2.0等，這使得這本書不僅在技術上具有指導意義，在法律和閤規層麵也提供瞭寶貴的參考，對於想要全麵提升信息安全水平的企業和個人來說，無疑是一本不可多得的寶典。

評分☆☆☆☆☆

信息安全測評與風險評估（第2版）

評分☆☆☆☆☆

好！！！！！

評分☆☆☆☆☆

OKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKOOKOKOKOKOKO

評分☆☆☆☆☆

具有非常重要的指導意義

評分☆☆☆☆☆

一直搞信息安全，需要的資料，還行吧！

評分☆☆☆☆☆

書的內容不錯

評分☆☆☆☆☆

滿意，好評！

評分☆☆☆☆☆

東西不錯，值得學習。

評分☆☆☆☆☆

很好