摘要
ABSTRACT
1 绪论
1.1 研究背景
1.2 国内外研究现状及相关标准
1.2.1 信息安全风险评估相关国外标准
1.2.2 信息安全风险评估相关国家标准
1.2.3 风险评估常用方法及其不足
1.3 本文研究内容简介
1.4 本文组织结构
2 相关背景知识
2.1 引言
2.2 风险评估概述
2.2.1 风险评估的目的与意义
2.2.2 风险计算模型
2.2.3 风险实施流程
2.3 风险评估的实施
2.3.1 风险评估的准备
2.3.2 资产识别
2.3.3 威胁识别
2.3.4 脆弱性识别
2.3.5 已有安全措施的确认
2.3.6 风险识别
2.4 漏洞概述
2.4.1 漏洞的定义
2.4.2 漏洞形成的原因
2.4.3 通用漏洞评价体系(CVSS)
2.5 本章小结
3 漏洞分析与评估方法改进
3.1 引言
3.2 风险评估与漏洞分析的关系
3.2.1 风险计算的方法
3.2.2 “脆弱性严重程度”与漏洞分析
3.2.3 “威胁出现的频率”的度量与漏洞分析
3.3 风险评估流程的改进
3.4 漏洞分析流程总结
3.5 本章小结
4 漏洞验证仿真平台的设计与实现
4.1 引言
4.2 需求分析
4.3 总体设计
4.3.1 设计原则
4.3.2 总体框架
4.4 具体实现
4.4.1 实现思路
4.4.2 实现细节
4.5 本章小结
5 漏洞验证仿真试验
5.1 引言
5.2 仿真试验
5.2.1 试验一“Microsoft Windows DCOM RPC 接口长主机名远程缓冲区溢出漏洞”
5.2.2 试验二“snmp 弱口令漏洞”
5.2.3 试验三“Windows MSDTC COM+缓冲区溢出漏洞”
5.3 本章小结
6 总结与展望
6.1 全文总结
6.2 进一步工作与展望
致谢
参考文献
附录