安全度量:量化、分析与确定企业信息安全效能
点击看大图基本信息
编辑推荐
量化、分类和度量企业IT安全业务的权威指南...
内容简介回到顶部↑
本书译自andrew jaquith编写的《security metrics》。本书全面细致地介绍了在现代企业的环境下,如何量化、分类及度量信息安全操作。作者结合自己为软件、航空航天及金融服务等行业提供信息安全咨询过程中所积累的经验,通过图表、图形和案例的形式,准确而生动地说明了如何基于组织的特定需求来创建有效的度量、如何量化难以度量的安全事件、如何收集并分析所有的相关数据、如何确定企业的安全措施的效力,以及如何为高层管理者提供有用的消息。本书是企业定义、创建和利用安全度量的全面最佳指导,能够有效地帮助企业建立度量信息安全效力的解决方案。
本书题材新颖,内容翔实,适合于从事信息安全相关的工程技术人员、企业管理人员阅读,也可作为信息安全专业学生和科研人员的参考资料。
作者简介:
andrewjaquith,美国安全解决方案与服务决策机构(yankee group's secu—rity solutions and services decisionservice)的项目经理,他建议企业客户管理安全资源,并区分优先次序。他还帮助安全销售商开发产品、服务和走向市场的策略,挖掘企业消费者。他创办的@stake有限公司,是一个安全顾问方面的先驱。在2004年并入了赛门铁克公司(synlanteccorporation)o他在应用程序安全和度量方面的研究被收录在cio、cso、信息周刊(infomlation week)、ieee安全与保密(security and privacy)和经济学家(the economist)等诸多刊物之中。
本书题材新颖,内容翔实,适合于从事信息安全相关的工程技术人员、企业管理人员阅读,也可作为信息安全专业学生和科研人员的参考资料。
作者简介:
andrewjaquith,美国安全解决方案与服务决策机构(yankee group's secu—rity solutions and services decisionservice)的项目经理,他建议企业客户管理安全资源,并区分优先次序。他还帮助安全销售商开发产品、服务和走向市场的策略,挖掘企业消费者。他创办的@stake有限公司,是一个安全顾问方面的先驱。在2004年并入了赛门铁克公司(synlanteccorporation)o他在应用程序安全和度量方面的研究被收录在cio、cso、信息周刊(infomlation week)、ieee安全与保密(security and privacy)和经济学家(the economist)等诸多刊物之中。
作译者回到顶部↑
本书提供作译者介绍
Andrew Jaquith,美国安全解决方案与服务决策机构(Yankee group's security solutions and Services decisionservice)的项目经理,他建议企业客户管理安全资源,并区分优先次序。他还帮助安全销售商开发产品、服务和走向市场的策略,挖掘企业消费者。他创办的@stake有限公司,是一个安全顾问方面的先驱,在2004年并入了赛门铁克公司(SymantecCorporation)o他在应用程序安全和度量方面的研究被收录在CIO、CSO、信息周刊(Information Week)、IEEE安全与保密(Security and Privacy)和经济学家(The Eco.. << 查看详细
目录回到顶部↑
第1章 绪论——摆脱无尽的困扰
1.1 风险管理的混乱
1.2 度量替代风险管理
1.3 本章小结
第2章 定义安全度量
2.1 安全度量业务驱动
2.1.1 数据共享的障碍
2.2 安全度量建模
2.2.1 模型vs度量
2.2.2 质量保证理论
2.2.3 公共卫生术语和报告结构
2.2.4 证券管理
2.2.5 加速失效测试
2.2.6 保险业
2.3 怎样才算好的度量
2.3.1 “度量”定义
2.3.2 一致的度量
2.3.3 易于采集
2.3.4 以数值或者百分比的形式表示
2.3.5 最少使用一个度量单元来表达
1.1 风险管理的混乱
1.2 度量替代风险管理
1.3 本章小结
第2章 定义安全度量
2.1 安全度量业务驱动
2.1.1 数据共享的障碍
2.2 安全度量建模
2.2.1 模型vs度量
2.2.2 质量保证理论
2.2.3 公共卫生术语和报告结构
2.2.4 证券管理
2.2.5 加速失效测试
2.2.6 保险业
2.3 怎样才算好的度量
2.3.1 “度量”定义
2.3.2 一致的度量
2.3.3 易于采集
2.3.4 以数值或者百分比的形式表示
2.3.5 最少使用一个度量单元来表达
【插图】
评论交流
共有3人开贴评论 3人参与评论 3人参与打分 查看
评价等级:
发表于:2008-5-14 8:55:00
1 Andy是一位非常资深的安全顾问、企业管理者,他的文笔和见解也引人入胜。这本书很好的分享了他的行业阅历、安全专业顾问经验、呈现技巧、企业管理经验等。但是,坦白说,中文版的翻译不好!其中的专业术语和遣词造句都不够好。不能不说是个遗憾。
2 这本书更适合于在信息安全这个领域工作了有相当长的时间的读者,他有相当多的专业技术知识、运行管理经验等,并且对ISO17799 /27000 /CoBit /ITIL等也已经有不错的积累。这样才会更好的理解和吸收Andy的这些观点。从另外一个角度讲,也只有比较资深的顾问、管理经理才更有机会用到这些知识。呵呵,一般来说,刚入门的顾问或普通工程师不是很有机会参与制定这些安全度量指标的开发。
Replaceing security FUD3 Andy在“安全度量”这本书中对基于ISO17799的度量指标系统和ALE的概念提出了质疑。他认为ISO17799更倾向于从审计者的角度来看问题,而不是从运行管理者的角度来做。这就使得它大部分都是对输出结果的要求描述,而对如何实现避而不谈,或者说不关心。虽然这一点已经在ISO27001 的后续发展计划中了,Andy还是认为管理者应该重新考虑建议适合自己的一套度量指标体系,而不要直接引用ISO17799/27001。另外,Andy 还讽刺了很多安全顾问公司使用的循环模型:评估-报告-划分优先级-修复-评估,Andy认为这样的模型只能是迫使安全管理人员不停地处于被动的自我否定之中。(这样的观点甚至也间接地讽刺了PDCA)。
对于ALE的概念,虽然ALE的概念到处都是,即使著名专家Bruce也在推介,Andy提出了比较严厉的批评。
4 “安全度量”这本书中尝试建立不同于ISO17799的指标体系。他将重要的安全运行管理分为四个大的子领域:边界防御、覆盖和控制、可用性和可靠性,以及应用安全。就如同Andy自己也讲到的,这里不是基于某种模型的,而是更多的基于经验。所以在这里的四个子领域中并不容易找到相互之间什么直接的联系或者完备性的证明。与此对比,我在之前使用的四个子领域分别是:保护边界、保护桌面、保护核心资产(服务器和应用)、符合性和审计。
5 “安全度量”这本书借用了CoBIT的四过程:PO-AI-DS-ME,来建立安全计划(或者生命周期)的度量指标。
6 本书第六章 - 可视化,是不错的参考,不管是入门的、还是已经比较资深的顾问,对于很多安全运行管理工程师经理也是非常好的参考。我见过很多顾问或工程师拿出来的报告或演讲材料真的是充满了滥用的色彩、线条和图片,而使的重要的“信息”完全被淹没了,最重要的“逻辑”消失了。不少情况下,本来工作做的还是不错的,这样一来,结果不好,非常可惜! <更多评论,参见http://sbin.cn/blog>
2 这本书更适合于在信息安全这个领域工作了有相当长的时间的读者,他有相当多的专业技术知识、运行管理经验等,并且对ISO17799 /27000 /CoBit /ITIL等也已经有不错的积累。这样才会更好的理解和吸收Andy的这些观点。从另外一个角度讲,也只有比较资深的顾问、管理经理才更有机会用到这些知识。呵呵,一般来说,刚入门的顾问或普通工程师不是很有机会参与制定这些安全度量指标的开发。
Replaceing security FUD3 Andy在“安全度量”这本书中对基于ISO17799的度量指标系统和ALE的概念提出了质疑。他认为ISO17799更倾向于从审计者的角度来看问题,而不是从运行管理者的角度来做。这就使得它大部分都是对输出结果的要求描述,而对如何实现避而不谈,或者说不关心。虽然这一点已经在ISO27001 的后续发展计划中了,Andy还是认为管理者应该重新考虑建议适合自己的一套度量指标体系,而不要直接引用ISO17799/27001。另外,Andy 还讽刺了很多安全顾问公司使用的循环模型:评估-报告-划分优先级-修复-评估,Andy认为这样的模型只能是迫使安全管理人员不停地处于被动的自我否定之中。(这样的观点甚至也间接地讽刺了PDCA)。
对于ALE的概念,虽然ALE的概念到处都是,即使著名专家Bruce也在推介,Andy提出了比较严厉的批评。
4 “安全度量”这本书中尝试建立不同于ISO17799的指标体系。他将重要的安全运行管理分为四个大的子领域:边界防御、覆盖和控制、可用性和可靠性,以及应用安全。就如同Andy自己也讲到的,这里不是基于某种模型的,而是更多的基于经验。所以在这里的四个子领域中并不容易找到相互之间什么直接的联系或者完备性的证明。与此对比,我在之前使用的四个子领域分别是:保护边界、保护桌面、保护核心资产(服务器和应用)、符合性和审计。
5 “安全度量”这本书借用了CoBIT的四过程:PO-AI-DS-ME,来建立安全计划(或者生命周期)的度量指标。
6 本书第六章 - 可视化,是不错的参考,不管是入门的、还是已经比较资深的顾问,对于很多安全运行管理工程师经理也是非常好的参考。我见过很多顾问或工程师拿出来的报告或演讲材料真的是充满了滥用的色彩、线条和图片,而使的重要的“信息”完全被淹没了,最重要的“逻辑”消失了。不少情况下,本来工作做的还是不错的,这样一来,结果不好,非常可惜! <更多评论,参见http://sbin.cn/blog>
加载中...| 我要写评论 |
| 查看所有评论交流(共3条) |
