《安全防范系統(tǒng)脆弱性評估》是2001年4月出版的《安全防范系統(tǒng)設(shè)計與評估》一書的延伸����!栋踩婪断到y(tǒng)設(shè)計與評估》一書介紹了安全防范系統(tǒng)的構(gòu)建過程和基本原則�,而《安全防范系統(tǒng)脆弱性評估》則闡述了該過程和原則在脆弱性評估中的應(yīng)用。與前書相同���,《安全防范系統(tǒng)脆弱性評估》的一個基本前提是以安全防范系統(tǒng)的整體系統(tǒng)效能為目標,而非僅僅羅列設(shè)備�����、人員和規(guī)章制度�。盡管現(xiàn)存許多探討脆弱性評估的實踐和書刊,但是仍然需要《安全防范系統(tǒng)脆弱性評估》這樣一本教材��。上述實踐和書刊中的多數(shù)都是基于合規(guī)為本的安全方法�,甚至對關(guān)鍵資產(chǎn)也是如此。由于需要向高管闡明安全對于業(yè)務(wù)的合理性��,從而限制了評估的目的性���。安全防范系統(tǒng)的根本目標是保護資產(chǎn)���。雖然大家都認為應(yīng)該在安全防范上進行投資�����,但是也必須表明防范系統(tǒng)的效能達到了這一投資的期望�。因為人員�����、規(guī)章制度或設(shè)備的簡單存在不一定能提供防護��。企業(yè)是可以做到在擁有有效安全的同時又能遵守規(guī)范和政策的����。
脆弱性評估意味著識別安全防范系統(tǒng)的漏洞,懷有惡意的人為威脅可能會利用這些漏洞���。采用檢查表核實現(xiàn)有安全防范措施(以合規(guī)為本)的評估����,與展現(xiàn)系統(tǒng)效能(以性能為本)的評估之間的區(qū)別非常顯著�。選擇哪種方法取決于資產(chǎn)損失的后果。每個單位�����,無論規(guī)模大小,都會有關(guān)鍵資產(chǎn)��。必須保護關(guān)鍵資產(chǎn)免遭侵害����,并且必須采用以性能為基礎(chǔ)的評估方法來確保有效的防護。低價值的資產(chǎn)不要求太多防護�����,以合規(guī)為本的方法在這些情況下更加合適���。自“9·11”恐怖襲擊事件后,我們在提高關(guān)鍵資產(chǎn)和其他重要資產(chǎn)的安全防范方面已取得了一些進步�����,但是還有很多工作要做���。
一些讀者可能會發(fā)現(xiàn)本書的某些部分���,尤其是分析部分�,例子中所使用的情節(jié)和假設(shè)過于簡單��。這一點是正確的��,但是由于脆弱性評估是一個非常容易受到外界影響的過程��,所以寧缺毋濫���。我們的目標是全面而非過于詳細的描述安全防范系統(tǒng)的一般脆弱性��。如果有讀者感到失望����,我們將非常遺憾���,因為�����,可公開使用的信息類型存在合理的限定(那些對安全防范系統(tǒng)負有責任和義務(wù)的管理者或許比其他讀者更容易理解這一點)�。
對di一本書不熟悉的讀者會發(fā)現(xiàn)���,在閱讀本書之前回顧一下評估過程非常有幫助��。盡管有些讀者可能仍不熟悉一些術(shù)語���,但該書的第一章����、第十四章和第十五章應(yīng)該足以提供大部分的背景知識����。本書的第一章概述了風險管理、脆弱性評估過程和系統(tǒng)工程在脆弱性評估中的應(yīng)用��。第二章闡述了安全防范系統(tǒng)的原理��,重復(fù)了“設(shè)計”一書第五章的內(nèi)容���,并特別增加了脆弱性評估一節(jié)。第三章包括項目管理����、團隊組建和項目啟動,用于幫助那些我們遇到過的很多人�����,他們需要這些安全防范項目方面的幫助,以及輔助制定脆弱性評估規(guī)劃���。對于不熟悉評估過程輸入的人們����,第四章回顧了防護目標�,但是di一本書描述得更全面。第五章到第十章是脆弱性評估的核心內(nèi)容�����,闡述了評估安全防范系統(tǒng)各組成部分(包括人員��、規(guī)章制度和設(shè)備)的效能���,以及采集各子系統(tǒng)的數(shù)據(jù)�。第十一章對所有的數(shù)據(jù)進行分析���,第十二章討論了撰寫評估報告的技術(shù)和脆弱性評估結(jié)果的使用����。
第1章 脆弱性評估緒論
1風險管理與脆弱性評估
2脆弱性評估過程綜述
3評估報告撰寫及脆弱性評估應(yīng)用
4系統(tǒng)工程與脆弱性評估
5總結(jié)
參考文獻
第2章 安全防范系統(tǒng)的原則和概念
1安全防范系統(tǒng)概述
2安全防范系統(tǒng)設(shè)計
3安全防范系統(tǒng)功能
4安全防范系統(tǒng)功能間的關(guān)系
5有效的安全防范系統(tǒng)的特點
6設(shè)計和評估標準
7其他設(shè)計元素
8小結(jié)
參考文獻
第3章 開始實施
1項目管理
2組建脆弱性評估團隊
3項目團隊與客戶的啟動會
4小結(jié)
參考文獻
第4章 脆弱性評估過程的輸入——確定防護目標
1定義威脅
2資產(chǎn)識別
3場所特征
4小結(jié)
參考文獻
第5章 數(shù)據(jù)采集——入侵探測子系統(tǒng)
1探測器概述
2室外入侵探測器技術(shù)和評估
3其他室外入侵探測技術(shù)
4室外入侵探測評估綜述
5室內(nèi)入侵探測器技術(shù)和評估
6其他探測技術(shù)
7室內(nèi)入侵探測器評估概述
8小結(jié)
參考文獻
第6章 數(shù)據(jù)采集——報警復(fù)核子系統(tǒng)
1報警復(fù)核概述
2復(fù)核與監(jiān)控
3視頻復(fù)核性能指標
4效能估算
5小結(jié)
參考文獻
第7章 數(shù)據(jù)采集——入口控制子系統(tǒng)
1入口控制子系統(tǒng)概述
2人員控制
3車輛控制
4子系統(tǒng)集成問題
5效能估算
6小結(jié)
參考文獻
第8章 數(shù)據(jù)采集——報警通信和顯示子系統(tǒng)
1報警通信和顯示子系統(tǒng)概述
2通信
3信息處理
4控制與顯示
5離線系統(tǒng)
6評估技術(shù)
7效能估算
8小結(jié)
參考文獻
第9章 數(shù)據(jù)采集——延遲子系統(tǒng)
1延遲概述
2周界屏障
3其他屏障
4可消耗材料和可部署屏障
5通用延遲子系統(tǒng)評估指標
6效能估算
7小結(jié)
參考文獻
第10章 數(shù)據(jù)采集——響應(yīng)子系統(tǒng)
1響應(yīng)概述
2延遲響應(yīng)
3即時響應(yīng)
4響應(yīng)通信
5運營問題
6效能估算
7小結(jié)
參考文獻
第11章 數(shù)據(jù)分析
1數(shù)據(jù)分析概述
2數(shù)據(jù)分析過程
3定性分析
4定量分析
5小結(jié)
第12章 提交報告和利用結(jié)果
1概述
2報告結(jié)果
3應(yīng)用脆弱性評估
4項目收尾
5小結(jié)
附錄A 項目管理表格和模板
附錄B 初始簡報模板
附錄C 威脅和設(shè)施工作表
附錄D 數(shù)據(jù)采集表
附錄E 報警通信與顯示子系統(tǒng)標準
附錄F 典型延遲
附錄G 結(jié)果簡報模板
書單推薦
