前言

近年来，随着互联网的普及与应用，政府部门、金融机构、企事业单位和商业组织等对信息系统的依赖程度日益加深，信息技术几乎渗透到了人们日常工作与生活的方方面面。置身高度开放的信息社会，计算机病毒、黑客入侵、信息失窃、物理故障……信息技术无处不在，安全事件时有发生，信息安全问题成为全社会共同关注的问题。据有关部门统计，所有的计算机安全事件中，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此，管理在解决信息安全问题中占重要作用，而管理的核心是信息安全风险评估。目前，“信息安全管理与风险评估”已纳入我国普通高校信息安全、信息管理与信息系统、计算机科学与技术等专业的课程体系中，为使相关专业学生全面了解、掌握信息安全管理与风险评估理论与实践知识，我们组织编写了本教材，其教学目标是通过本课程的学习，使学生了解信息安全管理、信息安全风险管理、信息安全风险评估的基本知识、相关标准或指南，能够使用风险评估工具进行风险评估，能够对实际的企业、网站或单位进行信息安全管理、信息安全风险评估。

全书共分为8章。第1章介绍信息与信息安全、信息安全管理、信息安全管理的目的，以及信息安全管理遵循的原则；第 2 章介绍国内外信息安全管理标准：BS 7799、ISO/IEC 13335、ISO/IEC 27001：2005、CC准则、GB/T 19715标准、GB/T 19716—2005；第3章介绍信息安全管理标准BS 7799实施中的问题及实施案例；第4章介绍信息安全风险管理概述及信息安全风险管理标准：AS/NZS 4360:1999、NIST SP800-30、The Security Risk Management Guide、GB/T 20269—2006；第5章介绍信息安全风险评估发展概况、信息安全风险评估的目的和意义、信息安全风险评估的原则、信息安全风险评估的概念、国内外信息安全管理标准：OCTAVE、SSE-CMM、GAO/AIMD-99-13、GB/T 20984—2007、信息安全风险评估方法，以及信息系统生命周期各阶段的风险评估；第6章介绍信息安全风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具、信息安全风险评估工具的发展方向和最新成果；第7章依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》，介绍信息安全风险评估的基本过程及各个阶段的主要任务；第8章依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和第7章信息安全风险评估的基本过程，以某信息系统为例详细介绍信息安全风险评估的实施过程。

在编写上，根据当前高校相关专业课程体系设置情况，结合学生学习特点，力求保持内容的系统性、先进性和实践性，力求理论与实践相结合。

1.系统性

以信息安全管理为主线，全面介绍信息安全管理、信息安全风险管理，重点介绍信息安全管理的关键环节——风险评估。

2.先进性

介绍目前国内外先进的、通用的信息安全管理、信息安全风险管理、信息安全风险评估的标准或指南。特别介绍了我国 2007.11 发布、实施的 GB/T20984—2007《信息安全技术 信息安全风险评估规范》，并以此为基础，介绍信息安全风险评估的概念和实施。

3.实践性

介绍目前国内外先进的、通用的信息安全风险评估工具和评估方法，特别介绍基于基线评估的MBSA的使用，结合实验使学生初步掌握简单信息安全风险评估；对系统基础平台风险评估工具，包括脆弱性扫描工具和渗透测试工具，介绍了各种流行工具的安装、特点及使用方法，并且将信息安全评估实例单独作为一章，结合信息安全评估的基本过程，详细介绍具体信息安全风险的评估过程、风险计算、风险分析。

4.注重实验环节

为在实验教学环节中培养学生的应用能力，加强实验环节，根据章节内容，适量安排实验内容，并且将实验与习题分开，独立编写。

本书的编写得到2008北京市属市管高校人才强教——中青年骨干教师项目资助。

本书由李颖编写第1章、郭荣华编写第2章、徐宁编写第3章、崇美英编写第4章、张泽虹编写第5、7章，赵冬梅编写第6、8 玥章，胡东风、刘少文、李 、王伍伶、董瑞卿、张军鹏、张磊参加了本书的编写工作， 全书由张泽虹、赵冬梅统稿。

为了便于读者学习，本书还免费提供了电子教案，读者可到“华信教育资源网（http://www.hxedu.com.cn）”下载。

由于编者水平所限，书中难免有疏漏和欠缺之处，敬请广大读者提出宝贵意见。

编著者

2009年2月