安全度量

內(nèi)容概要

本書譯自Andrew Jaquith編寫的《SECURITY METRICS》。本書全面細(xì)致地介紹了在現(xiàn)代企業(yè)的環(huán)境下，如何量化、分類及度量信息安全操作。作者結(jié)合自己為軟件、航空航天及金融服務(wù)等行業(yè)提供信息安全咨詢過程中所積累的經(jīng)驗，通過圖表、圖形和案例的形式，準(zhǔn)確而生動地說明了如何基于組織的特定需求來創(chuàng)建有效的度量、如何量化難以度量的安全事件、如何收集并分析所有的相關(guān)數(shù)據(jù)、如何確定企業(yè)的安全措施的效力，以及如何為高層管理者提供有用的消息。本書是企業(yè)定義、創(chuàng)建和利用安全度量的全面最佳指導(dǎo)，能夠有效地幫助企業(yè)建立度量信息安全效力的解決方案。  　本書題材新穎，內(nèi)容翔實，適合于從事信息安全相關(guān)的工程技術(shù)人員、企業(yè)管理人員閱讀，也可作為信息安全專業(yè)學(xué)生和科研人員的參考資料。作者簡介：    Andrew　Jaquith，美國安全解決方案與服務(wù)決策機(jī)構(gòu)(Yankee group's secu—rity solutions and services decisionservice)的項目經(jīng)理，他建議企業(yè)客戶管理安全資源，并區(qū)分優(yōu)先次序。他還幫助安全銷售商開發(fā)產(chǎn)品、服務(wù)和走向市場的策略，挖掘企業(yè)消費(fèi)者。他創(chuàng)辦的@stake有限公司，是一個安全顧問方面的先驅(qū)。在2004年并入了賽門鐵克公司(SynlantecCorporation)o他在應(yīng)用程序安全和度量方面的研究被收錄在CIO、CSO、信息周刊(Infomlation Week)、IEEE安全與保密(Security and Privacy)和經(jīng)濟(jì)學(xué)家(The Economist)等諸多刊物之中。

書籍目錄

第1章  緒論——擺脫無盡的困擾　1.1  風(fēng)險管理的混亂    　1.2  度量替代風(fēng)險管理    　1.3  本章小結(jié)    第2章  定義安全度量　2.1  安全度量業(yè)務(wù)驅(qū)動    　　2.1.1  數(shù)據(jù)共享的障礙    　2.2  安全度量建模    　　2.2.1  模型VS度量    　　2.2.2  質(zhì)量保證理論    　　2.2.3  公共衛(wèi)生術(shù)語和報告結(jié)構(gòu)    　　2.2.4  證券管理    　　2.2.5  加速失效測試    　　2.2.6  保險業(yè)    　2.3  怎樣才算好的度量    　　2.3.1 “度量”定義    　　2.3.2  一致的度量    　　2.3.3  易于采集    　　2.3.4  以數(shù)值或者百分比的形式表示    　　2.3.5  最少使用一個度量單元來表達(dá)    　　2.3.6  特定的前后關(guān)系    　2.4  怎樣才算不好的度量    　　2.4.1  不一致的度量    　　2.4.2  不能廉價地采集    　　2.4.3  不能用基數(shù)和度量單元來表達(dá)結(jié)果    　2.5  什么不是度量    　　2.5.1  安全分類的誤用    　　2.5.2  年損益預(yù)算    　2.6  本章小結(jié)    第3章  診斷問題和測量技術(shù)安全　3.1  使用度量來診斷問題：案例學(xué)習(xí)    　3.2  定義診斷度量    　3.3  安全和威脅邊界    　　3.3.1  電子郵件    　　3.3.2  反病毒和反惡意軟件    　　3.3.3  防火墻和網(wǎng)絡(luò)邊界    　　3.3.4  攻擊    　3.4  覆蓋和控制    　　3.4.1  反病毒和反間諜軟件    　　3.4.2  補(bǔ)丁管理    　　3.4.3  主機(jī)配置    　　3.4.4  脆弱性管理    　3.5  可用性和可靠性    　　3.5.1  正常運(yùn)行時間    　　3.5.2  系統(tǒng)恢復(fù)    　　3.5.3  變更控制    　3.6  應(yīng)用程序安全    　　3.6.1  黑匣子缺陷度量    　　3.6.2  定性過程度量和指標(biāo)    　　3.6.3  代碼安全度量    　3.7  本章小結(jié)    第4章  度量計劃效力　4.1  使用COBIT、ITIL和安全框架    　　4.1.1  框架    　　4.1.2  沒有作用的事情：資產(chǎn)估價    　4.2  計劃和組織    　　4.2.1  評估風(fēng)險    　　4.2.2  人力資源    　　4.2.3  管理投資    　4.3  獲得和實施    　　4.3.1  確定解決方案    　　4.3.2  安裝和鑒定解決方案    　　4.3.3  開發(fā)和維護(hù)步驟    　4.4  交付和支持    　　4.4.1  教育和培訓(xùn)用戶    　　4.4.2  確保系統(tǒng)安全    　　4.4.3  確定和分配費(fèi)用    　　4.4.4  管理數(shù)據(jù)    　　4.4.5  管理第三方服務(wù)    　4.5  監(jiān)視    　　4.5.1  監(jiān)視過程    　　4.5.2  監(jiān)視并評估內(nèi)部控制    　　4.5.3  確保制度合規(guī)    　4.6  本章小結(jié)    第5章  分析技術(shù)第6章  可視化第7章  自動度量計算第8章  設(shè)計安全記分卡

編輯推薦

　　《安全度量：量化、分析與確定企業(yè)信息安全效能》題材新穎，內(nèi)容翔實，適合于從事信息安全相關(guān)的工程技術(shù)人員、企業(yè)管理人員閱讀，也可作為信息安全專業(yè)學(xué)生和科研人員的參考資料?！　　癓ord Kelvirl有—句名言‘你不能改進(jìn)你不能測量的東西’。計算機(jī)安全一直信守著這個令人遺憾的說法。為欺騙、恐嚇留下了太多的空間。Andy的書補(bǔ)救了這個問題，他非常清楚地告訴我們度量是必要的，也是可能的?，F(xiàn)在購買這本權(quán)威的書，有助于終止有關(guān)安全方面的許多廢話?！薄　×炕?、分類和度量企業(yè)IT安全業(yè)務(wù)的權(quán)威指南　　《安全度量：量化、分析與確定企業(yè)信息安全效能》是企業(yè)定義、創(chuàng)建和利用安全度量的全面最佳指導(dǎo)?！　⊥ㄟ^圖表、圖形、學(xué)習(xí)案例和示例。美國安全專家AndFew　　Jaqu．fh準(zhǔn)確地說明了如何基于組織的特定需求來創(chuàng)建有效的度量。你會學(xué)習(xí)到如何量化難以度量的安全事件、如何收集分析所有相關(guān)的數(shù)據(jù)、如何識別優(yōu)缺點、如何設(shè)置有成效的優(yōu)先次序，以及如何為高層管理提供有用的消息。　　《安全度量：量化、分析與確定企業(yè)信息安全效能》成功地在管理者的定量觀點與安全專家所采用的具體方法之間架設(shè)了橋梁。它帶來了包含新度量的專家解決方案，這些方案都是來自Jaquith在軟件、航空航天和金融服務(wù)行業(yè)等領(lǐng)域的咨詢工作經(jīng)驗。你將會學(xué)會如何：　　用提高安全的系統(tǒng)方法替代沒完沒了的危機(jī)響應(yīng)　　區(qū)分“好”與“不好”的度量方法　　度量覆蓋與控制、脆弱性管理、口令強(qiáng)度、補(bǔ)丁潛伏期、評分基準(zhǔn)和業(yè)務(wù)調(diào)整風(fēng)險　　組織、聚合和分析數(shù)據(jù)以得出關(guān)鍵含義　　通過可視化技術(shù)更清晰地了解和傳達(dá)安全問題　　從防火墻與防病毒軟件日志、第三方審計報告和其他資源捕獲有價值的數(shù)據(jù)　　實施平衡記分卡，簡捷全面地表現(xiàn)組織的安全效力　　無論你是工程師，還是負(fù)責(zé)安全并向管理者提供建議的顧問，還是需要更多信息幫助決策的執(zhí)行者?！栋踩攘浚毫炕⒎治雠c確定企業(yè)信息安全效能》正是你苦苦找尋的資源。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    安全度量 PDF格式下載

---