本书以信息系统的安全风险评估与控制、安全防御策略选取与实施等问题为研究主线，重点研究了基于信息攻防博弈的安全威胁评估、基于博弈模型和风险矩阵的漏洞危害评估、信息资产评估指标构建和优化、信息系统安全风险要素分布特征获取与分析、信息系统安全防御决策等内容。本书可供网络空间安全、信息安全等领域科研人员使用，也可供相关专业研究生参考。

章绪论
1.1引言
1.2信息系统
1.3信息系统安全风险
1.3.1信息系统安全的基本属性
1.3.2风险的概念和含义
1.3.3信息系统安全风险
1.4信息系统安全风险评估概述
1.4.1信息系统安全风险评估的相关概念
1.4.2信息系统安全风险评估的目的和意义
1.4.3信息系统安全风险评估的原则
1.5信息系统安全风险评估发展现状
1.5.1信息系统安全风险评估规范和原理
1.5.2威胁评估
1.5.3脆弱性评估
1.5.4资产评估
1.5.5安全风险综合评估
1.6安全风险评估的不足与面临的挑战
1.6.1评估理论中存在的不足
1.6.2评估实践中面临的挑战
1.7信息系统安全防御决策
参考文献
第2章信息系统安全风险评估理论与实践
2.1风险评估原理
2.1.1风险综合评估思想
2.1.2风险评估基础理论
2.1.3风险要素评估的主要内容
2.2风险评估模式
2.2.1技术评估和整体评估
2.2.2定性评估和定量评估
2.2.3静态评估和动态评估
2.2.4基于知识的评估和基于模型的评估
2.3风险评估实践分析
2.3.1选择风险评估工具的基本原则
2.3.2管理型风险评估工具
2.3.3技术型风险评估工具
2.3.4风险评估辅助工具
参考文献
第3章信息攻防博弈建模
3.1引言
3.2博弈论的发展历程
3.3博弈论基础
3.3.1博弈论基本概念
3.3.2博弈的结构
3.3.3博弈均衡
3.4信息安全与攻防博弈
3.4.1信息安全与攻防博弈的关系
3.4.2信息攻防博弈的特点
3.4.3信息攻防博弈的模型结构
3.4.4信息攻防博弈的研究进展及应用
3.5攻防行为建模与策略提取
3.5.1攻击树方法
3.5.2攻击图方法
3.5.3基于安全状态约简的攻防图方法
3.5.4应用实例
参考文献
第4章基于信息攻防博弈的安全威胁评估
4.1引言
4.2安全威胁评估分类
4.2.1静态安全威胁评估
4.2.2动态安全威胁评估
4.2.3当前威胁评估技术的不足
4.3基于不完全信息攻防博弈模型的静态威胁评估技术
4.3.1信息攻防博弈问题描述
4.3.2不完全信息静态攻防博弈模型
4.3.3攻防策略收益量化与计算
4.3.4静态贝叶斯均衡分析
4.3.5静态安全威胁评估算法
4.3.6评估实例
4.4基于攻防信号博弈模型的动态威胁评估技术
4.4.1攻防信号博弈模型
4.4.2攻防策略收益量化与计算
4.4.3精炼贝叶斯均衡求解
4.4.4动态安全威胁评估算法
4.4.5评估实例
参考文献
第5章基于博弈模型和风险矩阵的漏洞危害评估
5.1引言
5.2信息系统脆弱性分析
5.3漏洞危害评估技术分析
5.4基于漏洞博弈模型的漏洞本体危害评估
5.4.1漏洞攻防博弈模型
5.4.2攻防策略收益量化与计算
5.4.3均衡分析和漏洞本体危害计算
5.5基于综合风险矩阵的漏洞关联危害评估
5.5.1风险矩阵定义
5.5.2风险矩阵算子
5.5.3漏洞关联危害计算
5.6漏洞综合危害及其评估
5.6.1漏洞综合危害度量
5.6.2漏洞综合危害评估算法
5.6.3评估应用实例
参考文献
第6章信息资产评估指标构建与动态优化
6.1资产评估的内容
6.2资产评估指标体系结构设计
6.2.1资产评估指标体系构建原则
6.2.2网状指标体系结构模型
6.2.3树状指标体系结构模型
6.2.4层次网指标体系结构模型
6.2.5一种信息系统资产评估指标体系结构
6.3基于多轮咨询反馈的评估指标构建方法
6.3.1专家评价意见获取
6.3.2指标构建过程
6.3.3基于多维空间距离的评价数据偏离度计算
6.3.4基于信息熵的指标重要度计算
6.3.5指标权重分配
6.3.6实例分析
6.4基于灰关联分析的评估指标和权重优化技术
6.4.1指标和权重优化技术简介
6.4.2评估数据处理
6.4.3条件指标重要度与影响度
6.4.4指标与权重优化
6.4.5数值实验与分析
参考文献
……
第7章信息系统安全风险要素分布特征获取与分析
第8章信息系统安全防御决策
附录1信息安全标准化组织
附录2国外信息安全管理标准
附录3我国信息安全管理标准
附录4国外信息安全风险评估标准
附录5我国信息安全风险评估标准GB／T 20984—2007