第1章 信息安全風險評估的基本概念 1
1.1 信息安全 1
1.1.1 信息安全技術(shù) 1
1.1.2 信息安全管理 2
1.2 信息安全風險評估的概念 4
1.2.1 信息安全風險的相關(guān)概念 4
1.2.2 信息安全風險的基本要素 4
1.3 信息安全風險管理體系 7
1.3.1 ISMS的范圍 8
1.3.2 信息安全管理體系的作用 8
1.3.3 PDCA原則 9
1.3.4 ISMS的PDCA 10
1.3.5 ISMS建設(shè)整體思路 11
1.4 信息安全風險評估現(xiàn)狀 15
1.4.1 國內(nèi)現(xiàn)狀 15
1.4.2 國外現(xiàn)狀 16
第2章 信息安全風險評估的流程與分析方法
18
2.1 信息安全風險評估的分類 18
2.1.1 基本風險評估 18
2.1.2 詳細風險評估 19
2.1.3 聯(lián)合風險評估 19
2.2 信息安全風險評估的四個階段 19
2.2.1 評估準備階段 19
2.2.2 評估識別階段 20
2.2.3 風險評價階段 22
2.2.4 風險處理階段 22
2.3 信息安全風險分析方法 23
2.4 信息安全風險分析流程 24
2.4.1 資產(chǎn)識別 25
2.4.2 威脅識別 26
2.4.3 脆弱性識別 26
2.4.4 已有安全措施確定 27
2.4.5 風險分析 27
2.4.6 風險處置 30
第3章 信息風險相關(guān)技術(shù)標準和工具 31
3.1 信息風險相關(guān)技術(shù)標準 31
3.1.1 BS 7799/ISO 17799/ISO 27002 31
3.1.2 ISO/IEC TR 13335 32
3.1.3 OCTAVE 2.0 34
3.1.4 CC/ISO 15408/GB/T 18336 35
3.1.5 等級保護 36
3.2 信息安全風險評估工具 38
3.2.1 風險評估與管理工具 38
3.2.2 系統(tǒng)基礎(chǔ)平臺風險評估工具 51
3.2.3 風險評估輔助工具 52
第4章 基于層次分析法的信息安全風險評估 54
4.1 層次分析法 54
4.1.1 AHP概述 54
4.1.2 AHP流程 54
4.1.3 算例 55
4.2 基于層次分析法的信息安全風險評估模型案例 57
4.2.1 CUMT校園無線局域網(wǎng)安全分析 58
4.2.2 構(gòu)造判斷矩陣并賦值 58
4.2.3 層次單排序（計算權(quán)向量）與檢驗 60
4.2.4 計算一致性檢驗值和最大特征值λmax 61
4.2.5 權(quán)值整合比較 62
4.2.6 案例實現(xiàn) 63
4.2.7 結(jié)論 64
4.3 代碼 65
4.3.1 C 實現(xiàn)計算一致性檢驗值和最大特征值λmax代碼 65
4.3.2 C 實現(xiàn)計算總排序代碼 69
第5章 基于網(wǎng)絡(luò)層次分析法的信息安全風險分析研究 71
5.1 網(wǎng)絡(luò)層次分析法 71
5.1.1 ANP與AHP的特征比較 71
5.1.2 網(wǎng)絡(luò)層次分析法的網(wǎng)絡(luò)層次結(jié)構(gòu) 72
5.1.3 優(yōu)勢度 72
5.1.4 一致性 73
5.1.5 超矩陣 73
5.1.6 網(wǎng)絡(luò)層次分析法的運用步驟 75
5.2 基于網(wǎng)絡(luò)層次分析法的信息安全風險分析 75
5.2.1 控制層 76
5.2.2 網(wǎng)絡(luò)層 76
5.2.3 整體網(wǎng)絡(luò)結(jié)構(gòu) 77
5.3 基于ANP的某保密系統(tǒng)風險分析 79
5.3.1 某保密系統(tǒng)概況 79
5.3.2 威脅、脆弱性、安全措施識別 80
5.3.3 構(gòu)建網(wǎng)絡(luò)層次分析法模型 81
5.3.4 建立兩兩比較的判斷矩陣 83
5.3.5 計算超矩陣 92
5.3.6 風險分析 96
第6章 基于風險因子的信息安全風險評估模型 98
6.1 風險因子概述 98
6.2 基于風險因子的信息安全評估方法計算 98
6.2.1 風險度及因子的基本要素 98
6.2.2 熵系數(shù)法 100
6.3 基于風險因子的信息安全評估模型構(gòu)建 102
6.4 綜合風險因子評估案例 107
6.4.1 資產(chǎn)的識別與賦值 107
6.4.2 資產(chǎn)依賴與調(diào)整 108
6.4.3 脆弱性識別與賦值 109
6.4.4 脆弱性依賴識別與調(diào)整 109
6.4.5 威脅評估 109
6.4.6 風險因子的提取與計算 110
6.4.7 綜合風險因子的計算 110
6.5 系統(tǒng)風險評估案例 111
6.5.1 資產(chǎn)評估 111
6.5.2 脆弱性評估 112
6.5.3 威脅評估 114
6.5.4 風險因子的提取與計算 115
6.5.5 風險度的隸屬矩陣 116
6.5.6 風險因子的權(quán)重 116
6.5.7 系統(tǒng)風險值的計算 117
6.5.8 代碼實現(xiàn)（Matlab） 118
6.5.9 代碼實現(xiàn)（Java） 120
第7章 基于三角模糊數(shù)信息安全風險評估模型 128
7.1 模糊數(shù)及其相關(guān)運算 128
7.1.1 模糊數(shù)的產(chǎn)生 128
7.1.2 模糊數(shù)的應(yīng)用 128
7.1.3 相關(guān)運算 130
7.2 三角模糊數(shù)及其相關(guān)性質(zhì) 130
7.2.1 三角模糊數(shù)定義 130
7.2.2 三角模糊數(shù)的算術(shù)運算 131
7.3 基于三角模糊數(shù)的信息安全風險評估模型構(gòu)建 131
7.3.1 集結(jié)專家權(quán)重 131
7.3.2 語言評價值轉(zhuǎn)成三角模糊數(shù) 133
7.3.3 集結(jié)矩陣并規(guī)范化風險矩陣 134
7.3.4 計算風險值并排序 134
7.4 案例實現(xiàn) 135
7.5 模型構(gòu)建 137
7.5.1 Matlab介紹 137
7.5.2 Matlab建模 138
7.6 代碼實現(xiàn) 140
7.6.1 計算可能性矩陣 140
7.6.2 計算損失矩陣 142
7.6.3 計算風險矩陣 144
7.6.4 計算風險值 145
7.6.5 風險評價 147
第8章 基于灰關(guān)聯(lián)分析方法的風險評估 148
8.1 方法簡介 148
8.1.1 灰色系統(tǒng)簡介 148
8.1.2 方法適用范圍 148
8.1.3 方法的運用 149
8.1.4 關(guān)聯(lián)度計算實例 150
8.2 D�睸證據(jù)理論分析方法 151
8.2.1 方法背景 151
8.2.2 適用范圍 151
8.2.3 基本概念 151
8.2.4 組合規(guī)則 152
8.2.5 計算步驟 152
8.2.6 優(yōu)缺點 153
8.2.7 實踐案例Zadeh悖論 153
8.3 案例分析 154
8.3.1 建立風險評估模型 154
8.3.2 收集信息系統(tǒng)的數(shù)據(jù) 154
8.3.3 風險評估 155
8.3.4 風險評估代碼實現(xiàn)流程圖 156
8.4 代碼實現(xiàn) 157
8.4.1 Java代碼 157
8.4.2 運行結(jié)果 161
8.4.3 C 代碼 162
8.4.4 運行結(jié)果 164
8.5 結(jié)論 164
參考文獻 165