信息安全测评与风险评估（第2版） pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

向宏 著

图书标签:

• 信息安全
• 测评
• 风险评估
• 网络安全
• 信息系统
• 安全管理
• 漏洞分析
• 威胁建模
• 安全标准
• 合规性

出版社： 电子工业出版社

ISBN：9787121231636

版次：01

商品编码：11490980

包装：平装

丛书名： “信息化与信息社会”系列丛书之高等学校信息安全专业系列教材

开本：16开

出版时间：2014-06-01

用纸：胶版纸

页数：396

正文语种：中文

内容简介

本书分为四部分共14章。第1部分（第1、2章）介绍信息安全测评思想和方法；第2部分（第3章至第6章）介绍测评技术和流程；第3部分（第7章至第13章）介绍风险评估、应急响应、法律法规和信息安全管理体系；第4部分（第14章）介绍了国外在信息安全测评领域的最新进展。全书涉及的信息安全等级保护、风险评估、应急响应和信息安全管理体系等国家标准，均属于我国开展信息安全保障工作中所依据的核心标准集。

作者简介

向宏，重庆大学软件学院，教授，数学及信息安全专业。“信息安全风险评估工程实施手册研究”（项目负责人）；多项重庆市信息产业发展基金项目（省部级项目负责人）；教育部全国双语教学示范课程（信息安全导论，主讲教师）

目录

第1章 信息安全测评思想 1
要点：本章结束之后，读者应当了解和掌握 1
序幕：何危最险 2
1．1 信息安全测评的科学精神 2
1．2 信息安全测评的科学方法 3
1．3 信息安全测评的贯标思想 5
1．4 信息安全标准化组织 6
1．4．1 国际标准化组织 6
1．4．2 国外标准化组织 7
1．4．3 国内标准化组织 8
1．5 本章小结 9
尾声：三位旅行者 9
观感 9
第2章 信息安全测评方法 11
要点：本章结束之后，读者应当了解和掌握 11
序幕：培根的《新工具》 12
2．1 为何测评 12
2．1．1 信息系统安全等级保护标准与TCSEC 13
2．1．2 中国的计算机安全等级保护标准 15
2．1．3 安全域 17
2．2 何时测评 18
2．3 测评什么 19
2．3．1 外网测评特点 20
2．3．2 内网测评特点 21
2．4 谁来测评 22
2．5 如何准备测评 23
2．6 怎样测评 27
2．6．1 测评案例――“天网”工程 27
2．6．2 启动“天网”测评 29
2．7 本章小结 32
尾声：比《新工具》更新的是什么 32
观感 32
第3章 数据安全测评技术 35
要点：本章结束之后，读者应当了解和掌握 35
序幕：谜已解，史可鉴 36
3．1 数据安全测评的诸方面 36
3．2 数据安全测评的实施 38
3．2．1 数据安全访谈调研 38
3．2．2 数据安全现场检查 43
3．2．3 数据安全测试 54
3．3 本章小结 57
尾声：窃之犹在 57
观感 58
第4章 主机安全测评技术 61
要点：本章结束之后，读者应当了解和掌握 61
序幕：第一代黑客 62
4．1 主机安全测评的诸方面 62
4．2 主机安全测评的实施 64
4．2．1 主机安全访谈调研 64
4．2．2 主机安全现场检查 68
4．2．3 主机安全测试 87
4．3 本章小结 95
尾声：可信赖的主体 96
观感 96
第5章 网络安全测评技术 97
要点：本章结束之后，读者应当了解和掌握 97
序幕：围棋的智慧 98
5．1 网络安全测评的诸方面 98
5．2 网络安全测评的实施 100
5．2．1 网络安全访谈调研 100
5．2．2 网络安全现场检查 105
5．2．3 网络安全测试 128
5．3 本章小结 139
尾声：墙、门、界 139
观感 140
第6章 应用安全测评技术 141
要点：本章结束之后，读者应当了解和掌握 141
序幕：机器会思考吗 142
6．1 应用安全测评的诸方面 142
6．2 应用安全测评的实施 143
6．2．1 应用安全访谈调研 143
6．2．2 应用安全现场检查 147
6．2．3 应用安全测试 162
6．3 本章小结 179
尾声：史上最“万能”的机器 179
观感 180
第7章 资产识别 181
要点：本章结束之后，读者应当了解和掌握 181
序幕：伦敦大火启示录 182
7．1 风险概述 182
7．2 资产识别的诸方面 186
7．2．1 资产分类 186
7．2．2 资产赋值 190
7．3 资产识别案例分析 193
7．3．1 模拟案例背景简介 193
7．3．2 资产分类 195
7．3．3 资产赋值 207
7．3．4 资产识别输出报告 215
7．4 本章小结 215
尾声：我们究竟拥有什么 216
观感 216
第8章 威胁识别 217
要点：本章结束之后，读者应当了解和掌握 217
序幕：威胁在哪里 218
8．1 威胁概述 218
8．2 威胁识别的诸方面 220
8．2．1 威胁分类――植树和剪枝 220
8．2．2 威胁赋值――统计 222
8．3 威胁识别案例分析 224
8．3．1 “数字兰曦”威胁识别 224
8．3．2 威胁识别输出报告 235
8．4 本章小结 236
尾声：在鹰隼盘旋的天空下 236
观感 236
第9章 脆弱性识别 237
要点：本章结束之后，读者应当了解和掌握 237
序幕：永恒的阿基里斯之踵 238
9．1 脆弱性概述 238
9．2 脆弱性识别的诸方面 240
9．2．1 脆弱性发现 240
9．2．2 脆弱性分类 241
9．2．3 脆弱性验证 242
9．2．4 脆弱性赋值 242
9．3 脆弱性识别案例分析 243
9．3．1 信息环境脆弱性识别 244
9．3．2 公用信息载体脆弱性识别 246
9．3．3 脆弱性仿真验证 249
9．3．4 脆弱性识别输出报告 261
9．4 本章小结 261
尾声：木马歌 261
观感 262
第10章 风险分析 263
要点：本章结束之后，读者应当了解和掌握 263
序幕：烽火的演变 264
10．1 风险分析概述 264
10．2 风险计算 265
10．2．1 相乘法原理 267
10．2．2 风险值计算示例 267
10．3 风险定级 268
10．4 风险控制 269
10．5 残余风险 270
10．6 风险评估案例分析 270
10．6．1 信息环境风险计算 271
10．6．2 人员资产风险计算 271
10．6．3 管理制度风险计算 271
10．6．4 机房风险计算 271
10．6．5 信息环境风险统计 272
10．6．6 公用信息载体风险计算 272
10．6．7 专用信息及信息载体的风险计算 273
10．6．8 风险计算报告 274
10．6．9 风险控制示例 274
10．6．10 风险控制计划 278
10．7 本章小结 279
尾声：“勇敢”的反面是什么 279
观感 280
第11章 应急响应 281
要点：本章结束之后，读者应当了解和掌握 281
序幕：虚拟社会的消防队 282
11．1 应急响应概述 282
11．2 应急响应计划 283
11．2．1 应急响应计划的准备 284
11．2．2 应急响应计划制定中应注意的问题 286
11．2．3 应急响应计划的制定 287
11．2．4 应急响应计划的培训、演练和更新 299
11．2．5 文档的保存、分发与维护 301
11．3 应急响应计划案例分析 301
11．3．1 南海大学信息安全应急响应计划示例 302
11．3．2 “南洋烽火”计划 302
11．4 本章小结 311
尾声：如何变“惊慌失措”为“从容不迫” 311
观感 312
第12章 法律和法规 313
要点：本章结束之后，读者应当了解和掌握 313
序幕：神话世界中需要秩序吗 314
12．1 计算机犯罪概述 314
12．2 信息安全法律和法规简介 316
12．2．1 美国有关法律 316
12．2．2 中国信息安全法律和法规的历史沿革 324
12．3 本章小结 327
尾声：从囚徒困境说起 327
观感 328
第13章 信息安全管理体系 329
要点：本章结束之后，读者应当了解和掌握 329
序幕：武学的最高境界 330
13．1 ISMS概述 330
13．2 ISMS主要内容 333
13．2．1 计划（Plan） 333
13．2．2 实施（Do） 340
13．2．3 检查（Check） 340
13．2．4 处置（Act） 341
13．3 本章小结 342
尾声：实力源于何处 343
观感 343
第14章 信息安全测评新领域 345
要点：本章结束之后，读者应当了解和掌握 345
序幕：大师与大漠 346
14．1 信息安全测评新领域概述 346
14．2 工业控制系统安全测评 347
14．2．1 ICS简介 348
14．2．2 ICS安全与IT安全 351
14．2．3 ICS安全防护技术简介 353
14．2．4 ICS系统安全评估 354
14．3 美国国家网络靶场一览 358
14．3．1 网络靶场的总目标 358
14．3．2 网络靶场的测试需求 361
14．3．3 网络靶场的关键技术 362
14．3．4 网络靶场的试验床简介 365
14．4 本章小结 368
尾声：虚拟与现实 368
参考文献 369

前言/序言

《数字堡垒：网络安全攻防实战》 在这个信息爆炸的时代，数据如同血液般流淌，支撑着我们生活的方方面面。然而，伴随而来的是日益严峻的网络安全威胁，从个人隐私泄露到国家关键基础设施瘫痪，网络攻击的破坏力触目惊心。本书旨在为读者构建一道坚实的数字堡垒，深入剖析网络攻击的本质，教授实用的防御策略，让你成为网络安全领域的行家里手。 本书内容概览： 第一部分：网络攻防的基石 1. 渗透测试深度解析： 侦察与信息收集： 学习如何利用公开信息（OSINT）、扫描工具（Nmap、Masscan）和社交工程等技术，全面了解目标系统的攻击面。掌握DNS枚举、子域名查找、端口扫描、服务版本识别等核心技巧。 漏洞扫描与分析： 熟悉Nessus、OpenVAS等漏洞扫描器的使用，理解CVE、CVSS等漏洞评分体系。学习如何手动验证漏洞，避免误报，并深入分析常见漏洞类型，如SQL注入、XSS、CSRF、文件上传漏洞等。 权限提升与横向移动： 掌握在获取初始访问权限后，如何利用系统配置错误、弱密码、服务漏洞等手段提升用户权限，并学习Mimikatz、PsExec等工具在内网中的横向移动技术，逐步渗透整个网络。 后期活动与痕迹清除： 了解攻击者在成功渗透后会进行的活动，如数据窃取、后门植入、挖矿等。学习如何使用Rootkit、Payload等技术，并掌握擦除日志、修改文件时间戳等痕迹清除方法。 2. 恶意软件的生存之道： 病毒、蠕虫、木马的演变： 回溯恶意软件的发展历程，理解不同类型恶意软件的传播机制、感染方式和危害。 高级持续性威胁（APT）分析： 深入剖析APT攻击的特点，包括隐蔽性、长期性、定制化等，了解其攻击链模型，以及如何针对性地进行检测与防御。 勒索软件与加密攻击： 研究勒索软件的工作原理，从加密机制到勒索信的发送，分析其经济驱动力，并探讨应对措施，如备份策略、沙箱分析等。 反病毒与沙箱技术： 学习反病毒软件的工作原理，包括签名匹配、行为分析、启发式扫描等。了解沙箱技术如何隔离未知威胁，并分析其在恶意软件分析中的作用。 第二部分：构建坚不可摧的数字壁垒 1. 网络边界的守护者： 防火墙的部署与策略： 深入理解不同类型防火墙（包过滤、状态检测、应用层）的工作原理，学习如何制定精细化的访问控制策略，实现最小权限原则。 入侵检测与防御系统（IDS/IPS）实践： 掌握Snort、Suricata等IDS/IPS的配置与规则编写，理解签名匹配、异常检测等工作模式，构建实时的入侵监控与阻断体系。 VPN与安全隧道： 学习VPN技术（IPsec、SSL/TLS）的实现原理，如何构建安全的远程访问通道，保护数据在传输过程中的机密性与完整性。 2. 系统安全的加固： 操作系统安全配置： 针对Windows、Linux等主流操作系统，讲解核心安全配置项，包括用户权限管理、服务禁用、补丁管理、审计日志配置等。 应用软件的安全： 强调应用程序漏洞的危害，介绍安全编码实践，并探讨Web应用防火墙（WAF）的作用，如何抵御常见的Web攻击。 终端安全防护： 了解端点检测与响应（EDR）解决方案，学习如何部署防病毒软件、终端加密、设备控制等，全面保护终端设备。 3. 数据安全与隐私保护： 加密技术应用： 深入浅出地讲解对称加密、非对称加密、哈希算法等基本概念，以及它们在数据传输、存储等场景下的应用。 访问控制与身份认证： 学习多因素认证（MFA）、单点登录（SSO）等技术，如何确保只有授权用户才能访问敏感数据。 数据备份与恢复策略： 制定完善的数据备份计划，包括备份频率、备份介质、异地备份等，并演练数据恢复流程，确保业务连续性。 第三部分：应对未知与未来的挑战 1. 安全事件的响应与处置： 事件响应流程： 建立标准化的安全事件响应流程，包括准备、识别、遏制、根除、恢复、事后总结等阶段。 数字取证基础： 学习数字取证的基本原理和方法，如何采集、保存和分析数字证据，为事件追溯和法律取证提供支持。 应急预案的制定与演练： 强调制定详细的应急预案的重要性，并定期进行演练，以应对突发网络安全事件。 2. 云安全与物联网安全： 云环境下的安全挑战： 分析云服务模型（IaaS, PaaS, SaaS）带来的安全风险，讲解云安全最佳实践，如身份与访问管理、数据加密、安全组配置等。 物联网（IoT）的攻击面： 探讨物联网设备普遍存在的安全隐患，如弱密码、固件漏洞、通信不安全等，并介绍相应的防御策略。 3. 新兴安全技术前沿： 人工智能在网络安全中的应用： 探索AI/ML在威胁检测、漏洞分析、行为异常识别等方面的潜力。 区块链技术的安全应用： 了解区块链如何为数据安全、身份认证等领域带来新的解决方案。 本书特色： 理论与实践并重： 理论知识讲解深入浅出，结合大量的实际操作案例和代码示例，帮助读者将知识转化为技能。 攻防思维训练： 引导读者从攻击者的视角思考问题，从而更好地理解防御策略的有效性。 前沿技术追踪： 紧跟网络安全领域的最新发展，介绍前沿技术和趋势，帮助读者保持竞争力。 案例分析详实： 引用真实的网络安全事件，进行深入剖析，让读者从历史教训中学习。 无论您是安全从业人员、IT管理者，还是对网络安全充满好奇的学习者，《数字堡垒：网络安全攻防实战》都将是您不可或缺的指南，助您在数字世界中游刃有余，筑牢安全的防线。

评分☆☆☆☆☆

我特别赞赏《信息安全测评与风险评估（第2版）》在强调技术手段的同时，也没有忽视人为因素在信息安全中的作用。书中关于社会工程学攻击的分析，以及如何通过人员培训和安全意识教育来防范这类风险，都写得非常到位。很多安全事件的发生，并不是因为技术多么落后，而是因为有人为因素的介入。这本书提供了很多实用的策略，来提升员工的安全意识，例如如何识别钓鱼邮件、如何安全地使用社交媒体等等。这让我意识到，信息安全不仅仅是IT部门的责任，而是需要整个组织共同参与的系统工程。

评分☆☆☆☆☆

让我欣慰的是，《信息安全测评与风险评估（第2版）》并没有将信息安全测评仅仅看作是一次性的工作，而是强调了其持续性和动态性的特点。书中关于风险监控、持续改进以及信息安全保障体系的演进，都给了我很多启发。在实际工作中，很多时候我们只关注初期的评估和加固，却忽略了随着业务发展和技术更新，新的风险也在不断产生。这本书则从战略层面提醒我们，信息安全是一个持续优化的过程，需要建立一套有效的机制来应对不断变化的威胁环境。它提出的“安全生命周期”概念，以及如何在不同阶段进行有效的风险管理，对我来说是很有价值的理念。

评分☆☆☆☆☆

作为一名在IT行业摸爬滚打多年的技术人员，我经常需要处理各种复杂的安全问题，但有时候总觉得缺乏一个系统性的框架来指导我的工作。《信息安全测评与风险评估（第2版）》恰好填补了这个空白。它不仅仅是关于如何发现漏洞，更是关于如何理解风险，如何权衡风险与业务需求，以及如何制定有效的安全策略来降低风险。书中关于风险矩阵的构建和使用，以及如何根据风险等级来制定优先级，让我能够更有效地分配有限的安全资源。此外，它还强调了沟通的重要性，比如如何向非技术人员解释复杂的安全风险，以及如何与业务部门协同工作，共同提升信息安全水平，这些都是非常有实践意义的内容。

评分☆☆☆☆☆

总的来说，《信息安全测评与风险评估（第2版）》是一本集理论性、实践性和前瞻性于一体的优秀著作。它能够帮助读者从宏观到微观，全面掌握信息安全测评与风险评估的知识和技能。无论是初学者还是有经验的从业者，都能从中获得深刻的启发和实用的指导。我尤其推荐那些希望系统性提升信息安全管理能力，或者在工作中面临复杂安全挑战的读者，认真研读这本书。它提供的不仅仅是技术解决方案，更是一种解决问题的思维方式和方法论，能够帮助我们在信息安全领域走得更远。

评分☆☆☆☆☆

这本书在描述信息安全测评工具和技术时，显得非常专业且前沿。它并没有停留在过时的技术层面，而是积极引入了当前主流的安全测评框架和方法论，例如MITRE ATT&CK框架的应用，以及DevSecOps理念在风险评估中的融合。这些内容对于我来说，就像是打开了一扇新世界的大门。我之前可能只是零散地接触过这些概念，但这本书将它们系统地整合起来，并提供了实际操作的指导。例如，在如何利用ATT&CK框架来模拟攻击并发现潜在的防御盲点方面，书中给出了非常详细的步骤和示例，这对于提升我的实战能力非常有帮助。

评分☆☆☆☆☆

这本书的价值在于它提供了一个全面的视角来审视信息安全。它不仅仅是关注“做什么”，更关注“为什么做”以及“如何做得更好”。例如，在风险评估的优先级排序部分，书中详细解释了如何结合资产的价值、威胁的概率以及脆弱性的程度来确定风险等级，并给出了多种量化和定性评估的方法。这让我能够更清晰地理解，为什么某些安全措施比其他措施更重要，从而能够更明智地分配资源。书中还探讨了风险容忍度的问题，以及如何根据企业的战略目标来确定合适的风险容忍度，这对于制定长期的信息安全策略至关重要。

评分☆☆☆☆☆

这本书最让我印象深刻的一点，是它将理论知识与实践案例的结合做得非常出色。读完理论部分，你可能会觉得豁然开朗，但如果没有实际操作的指引，总觉得隔靴搔痒。而《信息安全测评与风险评估（第2版）》在这方面做得恰到好处。它通过一系列精心设计的案例研究，展示了如何将书中的理论应用于实际场景。比如，书中详细剖析了一个金融机构如何进行整体的信息安全风险评估，从资产梳理、威胁识别，到脆弱性分析，再到风险等级的确定，每一步都辅以图表和流程说明，非常直观。我甚至可以跟着书中的步骤，模拟一个小型企业的风险评估过程，找出潜在的薄弱环节。这种“手把手”的教学方式，极大地增强了学习的实用性和有效性，让我不再是纸上谈兵，而是真正掌握了信息安全测评与风险评估的核心技能。

评分☆☆☆☆☆

在学习过程中，我尝试将书中的方法论应用到我所负责的一个小型项目的安全梳理中。这本书的结构清晰，逻辑性很强。首先，它从宏观层面介绍了信息安全测评与风险评估的总体框架和目标，然后逐步深入到具体的测评方法和技术。我尤其喜欢它在介绍漏洞扫描工具时，不仅仅是简单罗列工具名称，而是详细讲解了不同工具的适用场景、优缺点以及如何结合使用以达到最佳效果。此外，对于风险的量化和定性分析，书中提供了多种模型和方法，并分析了它们的适用范围和局限性，这让我能够根据实际情况选择最适合的评估方式。书中的图表和流程图也画得非常清晰，帮助我更好地理解复杂的概念和流程。

评分☆☆☆☆☆

我一直认为，信息安全不是一个孤立的技术问题，而是一个涉及技术、管理、法律、人员等多个层面的系统工程。《信息安全测评与风险评估（第2版）》这本书就很好地体现了这一点。在风险评估部分，作者没有仅仅局限于技术层面的漏洞扫描和配置审计，而是花了相当大的篇幅去探讨管理机制的有效性，例如安全策略的制定与执行、人员的安全意识培训、事件响应机制的建立等等。这一点对于一个企业来说至关重要，因为很多安全事件的发生，往往是管理上的疏忽所致。书中还涉及到了合规性要求，比如GDPR、等保2.0等，这使得这本书不仅在技术上具有指导意义，在法律和合规层面也提供了宝贵的参考，对于想要全面提升信息安全水平的企业和个人来说，无疑是一本不可多得的宝典。

评分☆☆☆☆☆

拿到《信息安全测评与风险评估（第2版）》这本书，说实话，刚开始我还有些忐忑，毕竟信息安全这个领域更新迭代太快了，生怕这第二版也只是些陈旧的概念堆砌。但翻开目录，看到章节的细分和一些新出现的术语，我的心就踏实了不少。它并没有停留在对基础概念的重复，而是深入到了信息安全保障体系构建的关键环节，特别是风险评估的实际操作层面。书中对于不同行业、不同规模的企业在进行风险评估时可能遇到的独特挑战，都给出了非常具有指导性的建议。例如，在讨论数据泄露风险时，作者不仅列举了常见的攻击手段，还详细分析了不同类型数据的敏感度以及一旦泄露可能造成的直接和间接损失，并进一步提出了相应的技术和管理层面的防范措施，这比我之前阅读的许多资料都要详尽得多。

评分☆☆☆☆☆

好，方便使用和收纳。必须要10个字

评分☆☆☆☆☆

好，非常实用，很好的购物体验

评分☆☆☆☆☆

东西不错，买的很喜欢

评分☆☆☆☆☆

内容很丰富，语言诙谐，深入浅出

评分☆☆☆☆☆

不错的商品，挺好用的。

评分☆☆☆☆☆

很多例子的图，很老，没有更新。作者可以联系我，我可以指出更多需要改进地方，178181825

评分☆☆☆☆☆

好

评分☆☆☆☆☆

学习风险评估肯定得看看，写的很好

评分☆☆☆☆☆

非常不错，非常不错，非常不错，