第1章 信息安全風險評估的基本概念 1
1.1 信息安全 1
1.1.1 信息安全技術 1
1.1.2 信息安全管理 2
1.2 信息安全風險評估的概念 4
1.2.1 信息安全風險的相關概念 4
1.2.2 信息安全風險的基本要素 4
1.3 信息安全風險管理體系 7
1.3.1 ISMS的范圍 8
1.3.2 信息安全管理體系的作用 8
1.3.3 PDCA原則 9
1.3.4 ISMS的PDCA 10
1.3.5 ISMS建設整體思路 11
1.4 信息安全風險評估現狀 15
1.4.1 國內現狀 15
1.4.2 國外現狀 16
第2章 信息安全風險評估的流程與分析方法
18
2.1 信息安全風險評估的分類 18
2.1.1 基本風險評估 18
2.1.2 詳細風險評估 19
2.1.3 聯合風險評估 19
2.2 信息安全風險評估的四個階段 19
2.2.1 評估準備階段 19
2.2.2 評估識別階段 20
2.2.3 風險評價階段 22
2.2.4 風險處理階段 22
2.3 信息安全風險分析方法 23
2.4 信息安全風險分析流程 24
2.4.1 資產識別 25
2.4.2 威脅識別 26
2.4.3 脆弱性識別 26
2.4.4 已有安全措施確定 27
2.4.5 風險分析 27
2.4.6 風險處置 30
第3章 信息風險相關技術標準和工具 31
3.1 信息風險相關技術標準 31
3.1.1 BS 7799/ISO 17799/ISO 27002 31
3.1.2 ISO/IEC TR 13335 32
3.1.3 OCTAVE 2.0 34
3.1.4 CC/ISO 15408/GB/T 18336 35
3.1.5 等級保護 36
3.2 信息安全風險評估工具 38
3.2.1 風險評估與管理工具 38
3.2.2 系統(tǒng)基礎平臺風險評估工具 51
3.2.3 風險評估輔助工具 52
第4章 基于層次分析法的信息安全風險評估 54
4.1 層次分析法 54
4.1.1 AHP概述 54
4.1.2 AHP流程 54
4.1.3 算例 55
4.2 基于層次分析法的信息安全風險評估模型案例 57
4.2.1 CUMT校園無線局域網安全分析 58
4.2.2 構造判斷矩陣并賦值 58
4.2.3 層次單排序（計算權向量）與檢驗 60
4.2.4 計算一致性檢驗值和特征值λmax 61
4.2.5 權值整合比較 62
4.2.6 案例實現 63
4.2.7 結論 64
4.3 代碼 65
4.3.1 C 實現計算一致性檢驗值和特征值λmax代碼 65
4.3.2 C 實現計算總排序代碼 69
第5章 基于網絡層次分析法的信息安全風險分析研究 71
5.1 網絡層次分析法 71
5.1.1 ANP與AHP的特征比較 71
5.1.2 網絡層次分析法的網絡層次結構 72
5.1.3 優(yōu)勢度 72
5.1.4 一致性 73
5.1.5 超矩陣 73
5.1.6 網絡層次分析法的運用步驟 75
5.2 基于網絡層次分析法的信息安全風險分析 75
5.2.1 控制層 76
5.2.2 網絡層 76
5.2.3 整體網絡結構 77
5.3 基于ANP的某保密系統(tǒng)風險分析 79
5.3.1 某保密系統(tǒng)概況 79
5.3.2 威脅、脆弱性、安全措施識別 80
5.3.3 構建網絡層次分析法模型 81
5.3.4 建立兩兩比較的判斷矩陣 83
5.3.5 計算超矩陣 92
5.3.6 風險分析 96
第6章 基于風險因子的信息安全風險評估模型 98
6.1 風險因子概述 98
6.2 基于風險因子的信息安全評估方法計算 98
6.2.1 風險度及因子的基本要素 98
6.2.2 熵系數法 100
6.3 基于風險因子的信息安全評估模型構建 102
6.4 綜合風險因子評估案例 107
6.4.1 資產的識別與賦值 107
6.4.2 資產依賴與調整 108
6.4.3 脆弱性識別與賦值 109
6.4.4 脆弱性依賴識別與調整 109
6.4.5 威脅評估 109
6.4.6 風險因子的提取與計算 110
6.4.7 綜合風險因子的計算 110
6.5 系統(tǒng)風險評估案例 111
6.5.1 資產評估 111
6.5.2 脆弱性評估 112
6.5.3 威脅評估 114
6.5.4 風險因子的提取與計算 115
6.5.5 風險度的隸屬矩陣 116
6.5.6 風險因子的權重 116
6.5.7 系統(tǒng)風險值的計算 117
6.5.8 代碼實現（Matlab） 118
6.5.9 代碼實現（Java） 120
第7章 基于三角模糊數信息安全風險評估模型 128
7.1 模糊數及其相關運算 128
7.1.1 模糊數的產生 128
7.1.2 模糊數的應用 128
7.1.3 相關運算 130
7.2 三角模糊數及其相關性質 130
7.2.1 三角模糊數定義 130
7.2.2 三角模糊數的算術運算 131
7.3 基于三角模糊數的信息安全風險評估模型構建 131
7.3.1 集結專家權重 131
7.3.2 語言評價值轉成三角模糊數 133
7.3.3 集結矩陣并規(guī)范化風險矩陣 134
7.3.4 計算風險值并排序 134
7.4 案例實現 135
7.5 模型構建 137
7.5.1 Matlab介紹 137
7.5.2 Matlab建模 138
7.6 代碼實現 140
7.6.1 計算可能性矩陣 140
7.6.2 計算損失矩陣 142
7.6.3 計算風險矩陣 144
7.6.4 計算風險值 145
7.6.5 風險評價 147
第8章 基于灰關聯分析方法的風險評估 148
8.1 方法簡介 148
8.1.1 灰色系統(tǒng)簡介 148
8.1.2 方法適用范圍 148
8.1.3 方法的運用 149
8.1.4 關聯度計算實例 150
8.2 DS證據理論分析方法 151
8.2.1 方法背景 151
8.2.2 適用范圍 151
8.2.3 基本概念 151
8.2.4 組合規(guī)則 152
8.2.5 計算步驟 152
8.2.6 優(yōu)缺點 153
8.2.7 實踐案例——Zadeh悖論 153
8.3 案例分析 154
8.3.1 建立風險評估模型 154
8.3.2 收集信息系統(tǒng)的數據 154
8.3.3 風險評估 155
8.3.4 風險評估代碼實現流程圖 156
8.4 代碼實現 157
8.4.1 Java代碼 157
8.4.2 運行結果 161
8.4.3 C 代碼 162
8.4.4 運行結果 164
8.5 結論 164
參考文獻 165