本书在信息安全风险管理基础上，结合网络空间特点，重点阐述信息安全风险管理活动中风险控制的理论、技术与方法，主要包括风险控制设计方法、信息安全防护体系设计、标准法规与管理要求、信息安全工程实施等内容。旨在普及信息安全的基本应用，让信息安全人员与管理者从本质上理解信息安全，掌握信息安全防护体系设计与方法。

前言 习近平总书记指出 没有网络安全就没有国家安全，网络空间已成为意识形态斗争的主战场、主阵地、最前沿。党和国家高度重视网络安全，将其置于国家安全的关键位置。随着关键信息基础设施建设、网络强国战略实施以及数字化转型推进，网络空间安全成为国家重要安全领域。 网络空间安全是动态、复杂、开放的系统工程，涉及面广、风险多、挑战大。国家对网络安全风险分析、管理与控制高度重视，涵盖信息、网络、基础设施等领域，安全风险评估、分级、防护、监测、处置与控制成为核心任务。本书围绕风险控制理论，结合网络空间安全风险分析、评估、控制、防护、监测等内容，系统阐述风险控制的理论、技术与实践，助力读者掌握网络安全风险控制体系建设与应用。 全书共 9 章，内容涵盖网络空间安全管理基础、风险分析、评估体系、控制方法、防护体系、监测设计、管理工具、测评实践等，系统介绍网络安全风险识别、分析、评估、控制、防护、监测的理论与技术，兼顾理论与实践，适合网络安全专业人员、管理者及学习者参考。 网络空间安全风险控制理论与实践 本书以网络空间安全风险控制理论为基础，结合网络空间安全风险分析、评估、控制、防护与监测实践，系统阐述网络安全风险控制的理论、技术与方法，主要包括信息安全风险分析方法、信息安全风险评估体系设计、信息安全风险控制方法、信息安全防护体系设计、信息安全风险监测设计、信息安全管理工具使用、信息安全测评实践等内容。旨在普及网络安全风险控制应用，让信息安全人员与管理者从本质上理解信息安全，掌握信息安全风险控制、防护体系设计与方法。 第 1 章介绍信息安全风险管理内涵、原则、技术、方法及风险分析基础；第 2 章阐述信息安全风险分析思路、方法、过程及个人与单位风险分析；第 3 章重点讲解信息安全风险评估规范、方法、指标体系及风险计算；第 4 章阐述风险控制基本思想、策略、方法及工业控制系统风险控制方案；第 5 章介绍信息安全防护体系设计原则、技术、方法及风险监测平台建设；第 6 章阐述信息安全防护体系设计思想、原则、结构、接口、技术及监测体系设计；第 7 章介绍信息安全管理工具使用、风险分析、分级、处置、报告及体系建设；第 8 章讲解信息安全测评依据、工具、方法、流程及风险控制与防护体系设计；第 9 章介绍信息安全测评新进展、技术、场景及应用案例。 本书作者包括陈兴蜀、杜跃进、李建华、吴世忠、姚婷、王文贤、刘嘉勇、秦宇、张红旗、苏理云、李涛、张登银、赵波、李敏、陈真勇、谢朝阳、王勇军、陈龙、陈驰、王鹏、李红、陈曦、张勇、张翔、李娟、刘敏、周伟、王磊、李丽、陈静、赵静、孙静、李静、王静、张静、刘静、陈静、李静、王静、张静、刘静等。 2024 年 8 月

目录

第 1 章 绪论

1.1 网络空间安全概述

1.2 网络空间安全风险概述

1.3 网络空间安全技术概述

1.4 信息安全风险控制相关概念

1.5 信息安全风险控制相关标准

1.6 信息安全风险控制体系

1.7 信息安全风险控制制度概述

1.8 信息安全风险控制体系技术概述

1.9 小结

第 2 章 信息安全风险分析基本方法

2.1 安全风险识别过程

2.2 资产识别

2.3 威胁识别

2.4 脆弱性识别

2.5 资产、威胁与脆弱性之间的关系

2.6 安全风险分析机制的概述

2.7 信息安全风险分析的输出结果

2.8 安全风险分析工具概述

2.9 小结

第 3 章 信息安全风险评估体系设计

3.1 风险评估标准规范体系设计

3.2 常用风险评估方法体系设计

3.3 定性分析方法风险评估

3.4 定量分析方法风险评估

3.5 模糊分析方法

3.6 层次分析法和模糊层次分析法

3.7 聚类分析法

3.8 基于专家经验的评估方法

3.9 基于定性与定量相结合的评估方法

3.10 基于业务影响分析的评估方法

3.11 基于业务连续性的评估方法

3.12 基于业务连续性管理的评估方法

3.13 DRSM 风险模型和风险评估的设计方法

3.14 信息安全风险评估检查清单

3.15 基于攻击树的 CSV 评估方法

3.16 基于 HAFPA 的关联模型

3.17 实例分析与评估设计

3.18 基于模糊聚类的评估方法

3.19 基于 K-Means 和混合彩色直方图的方法

第 4 章 风险控制技术基本过程

4.1 风险控制基本过程

4.2 风险控制方法概述

4.3 Stride 风险控制模型

4.4 基于攻击图的风险控制方法

4.5 基于攻击图的风险控制方法实例

4.6 基于本体的风险控制方法

4.7 风险控制本体关联系统

4.8 风险控制本体统一设计

4.9 产品研发阶段的风险控制方法

4.10 风险控制分析

第 5 章 信息安全风险控制模式设计

5.1 信息安全风险控制设计原则

5.2 基于 DRP 的风险控制模式

5.3 PDRR

5.4 PDR

5.5 APPDRR

5.6 P2DRR

5.7 P2DR

5.8 国内外网络安全防护体系概述

5.9 主动动态安全风险控制模型

5.10 基于 ADRPPDRMM 的风险控制系统模型

5.11 自适应风险控制模型

5.12 PDRR 模型功能结构设计

5.13 基于测试过程的信息安全风险控制模型

5.14 网络安全系统结构的设计与风险控制

5.15 基于动态联动的安全风险控制模型

5.16 几类重要的动态联动模型设计

5.17 几类安全风险控制模型应用

第 6 章 信息安全防护体系设计与结构

6.1 安全防护体系设计与原则概述

6.2 安全防护体系设计

6.3 安全防护体系之间的交互关系

6.4 安全技术基本体系设计

6.5 安全防护体系规划设计

6.6 安全防护体系结构图

6.7 安全防护体系结构图

6.8 安全防护体系在安全体系中的应用

6.9 安全风险控制体系设计

6.10 安全体系设计评估

6.11 简单测试环境下防护体系设计

6.12 信息安全防护体系设计概述

第 7 章 信息安全管理体系设计

7.1 安全风险控制管理体系设计

7.2 软件设计概述

7.3 软件组成概述

7.4 安全风险控制与功能设计

7.5 产品管理单元功能设计

7.6 漏洞管理单元功能设计

7.7 风险分析与管理单元设计

7.8 系统管理单元功能设计

7.9 数据备份与恢复设计

7.10 信息安全策略管理

7.11 安全评估分析与报表系统设计

7.12 系统远程访问功能设计

7.13 外部资源访问与安全分析功能设计

7.14 扫描插件管理功能设计

7.15 深度扫描插件与自动化功能设计

7.16 风险评估功能设计

第 8 章 信息安全风险控制实际应用

8.1 信息安全风险控制概述

8.2 安全风险分析概述

8.3 资产识别

8.4 威胁识别

8.5 脆弱性识别

8.6 安全测试

8.7 安全风险控制概述

第 9 章 信息安全测评、风险控制新发展

9.1 信息安全测评概述

9.2 大数据安全测评

9.3 人工智能安全测评平台

9.4 国内外网络安全测评发展

9.5 网络空间安全测评发展

参考文献