信息安全等級(jí)保護(hù)技術(shù)基礎(chǔ)培訓(xùn)教程

前言

信息及信息系統(tǒng)的安全，大的方面可以直接影響一個(gè)國(guó)家政治、國(guó)防安全、經(jīng)濟(jì)建設(shè)、社會(huì)秩序的穩(wěn)定和社會(huì)公共利益，小的方面可以影響一個(gè)組織自身的生存與發(fā)展。這已經(jīng)是一個(gè)不爭(zhēng)的事實(shí)。各個(gè)國(guó)家如果沒(méi)有給予足夠的重視，后果將是極為可怕的。在我國(guó)，1994年就出臺(tái)了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，將信息與信息系統(tǒng)保護(hù)納入到了法制的軌道。后來(lái)又在《刑法》中加入了打擊針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪和利用計(jì)算機(jī)信息系統(tǒng)的犯罪的內(nèi)容（《刑法》285,286,287條），在新近出臺(tái)的治安處罰法中也加入了相關(guān)的內(nèi)容。除了打擊針對(duì)信息系統(tǒng)的犯罪外，更重要的是對(duì)于信息和信息系統(tǒng)進(jìn)行適度的保護(hù)。所謂適度保護(hù)就是要根據(jù)信息及信息系統(tǒng)的重要程度，給予相適應(yīng)的保護(hù)。我國(guó)推行的信息安全等級(jí)保護(hù)制度，就體現(xiàn)了適度保護(hù)這一原則。黨的十六屆四中全會(huì)針對(duì)傳統(tǒng)安全威脅和非傳統(tǒng)安全威脅的因素相互交織的新情況，提出了要增強(qiáng)國(guó)家安全意識(shí)，完善國(guó)家安全戰(zhàn)略的要求。應(yīng)該說(shuō)，我國(guó)黨和政府的領(lǐng)導(dǎo)及專(zhuān)家、學(xué)者在這一問(wèn)題上的認(rèn)識(shí)是一致的。早在1994年出臺(tái)的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中就明確地提出了，在我國(guó)要實(shí)行信息安全等級(jí)保護(hù)制度。1999年出臺(tái)了第一個(gè)關(guān)于信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》（GB17859－1999）。2003年中辦27號(hào)文中強(qiáng)調(diào)了要加強(qiáng)對(duì)信息與信息系統(tǒng)的保護(hù)，落實(shí)信息安全等級(jí)保護(hù)制度，明確提出了建設(shè)信息保障體系的要求。2004年，公安部、國(guó)家保密局、國(guó)務(wù)院密碼委和原國(guó)務(wù)院信息化辦公室聯(lián)合下發(fā)了《信息安全等級(jí)保護(hù)實(shí)施意見(jiàn)》（公通字［2004］第66號(hào)，俗稱(chēng)66號(hào)文），標(biāo)志著在我國(guó)信息安全等級(jí)保護(hù)工作的正式啟動(dòng)。2007年四部局辦共同下發(fā)的《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］第43號(hào)，俗稱(chēng)43號(hào)文）將信息安全等級(jí)保護(hù)工作納入到了法制化的軌道。

內(nèi)容概要

本書(shū)是信息安全等級(jí)保護(hù)基礎(chǔ)知識(shí)的介紹，使讀者能清楚地了解信息保障體系建設(shè)的基本思想和基本方法。    本書(shū)分四個(gè)部分共11章，第一部分共三章是對(duì)信息保障基本概念的介紹，第1章概述，主要介紹信息保障的發(fā)展過(guò)程和信息保障體系的整體框架；第2章介紹信息系統(tǒng)中安全體系的核心——可信計(jì)算基（TCB）或者稱(chēng)之為安全子系統(tǒng)；第3章是現(xiàn)行信息安全保護(hù)技術(shù)的介紹。第二部分共六章，分層次介紹信息保障的基本思想和方法。第4章介紹信息系統(tǒng)保護(hù)的一般過(guò)程與基本方法，第5章介紹網(wǎng)絡(luò)保護(hù)的基本思想和方法，第6章介紹計(jì)算機(jī)環(huán)境保護(hù)的思想和方法（操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序和數(shù)據(jù)），第7章至第9章介紹信息系統(tǒng)連續(xù)性運(yùn)行（運(yùn)行安全）保護(hù)的思想與方法：第7章介紹風(fēng)險(xiǎn)評(píng)估、第8章介紹應(yīng)急響應(yīng)、第9章介紹信息系統(tǒng)安全運(yùn)行體系。第三部分僅第10章一章，介紹信息安全管理的基本思想與方法。第四部分也僅第11章一章，介紹信息安全工程的思想與方法。    本書(shū)適合于所有關(guān)心信息安全系統(tǒng)安全管理的讀者閱讀，使之能夠建立起信息保障完整體系的思想。

書(shū)籍目錄

第一部分  信息保障基本概念介紹　第1章  信息系統(tǒng)安全保障概述　  1.1  信息系統(tǒng)安全概述　    1.1.1  信息及信息系統(tǒng)及安全的定義　    1.1.2  信息安全保障的基本概念　  1.2  信息安全保障體系的構(gòu)成　    1.2.1  國(guó)家信息安全保障體系的構(gòu)成　    1.2.2  組織內(nèi)部信息安全保障體系的構(gòu)成　    1.2.3  信息系統(tǒng)安全保障體系建設(shè)的基本原則　    1.2.4  美國(guó)國(guó)家信息技術(shù)保障體系框架簡(jiǎn)介　  1.3  信息及信息系統(tǒng)的安全等級(jí)保護(hù)　    1.3.1  國(guó)外信息安全等級(jí)保護(hù)簡(jiǎn)介　    1.3.2  在我國(guó)實(shí)行信息安全等級(jí)保護(hù)的意義　    1.3.3  我國(guó)信息安全等級(jí)保護(hù)工作的開(kāi)展情況　    1.3.4  信息安全等級(jí)保護(hù)制度的基本內(nèi)容　    1.3.5  等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)　  1.4  信息系統(tǒng)安全涉及的相關(guān)知識(shí)　    1.4.1  信息安全管理知識(shí)　    1.4.2  信息科學(xué)與技術(shù)　    1.4.3  現(xiàn)代密碼技術(shù)與信息隱藏技術(shù)　    1.4.4  其他學(xué)科的知識(shí)　第2章  可信計(jì)算基　第3章  信息安全技術(shù)的基本分類(lèi)第二部分  信息保障的基本思想和方法　第4章  信息系統(tǒng)保護(hù)的一般方法與過(guò)程　第5章  保護(hù)網(wǎng)絡(luò)　第6章  保護(hù)計(jì)算環(huán)境　第7章  風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理　第8章  信息安全事件的響應(yīng)與處置　第9章  信息系統(tǒng)安全運(yùn)行維護(hù)體系第三部分  信息安全管理的基本思想與方法　第10章  信息系統(tǒng)管理第四部分  信息安全工程的思想與方法　第11章  信息系統(tǒng)安全工程參考書(shū)目與文獻(xiàn)

章節(jié)摘錄

插圖：制定自己的安全策略要考慮以下三點(diǎn)內(nèi)容：（1）評(píng)估風(fēng)險(xiǎn)。（2）企業(yè)與合作伙伴、供應(yīng)商及服務(wù)提供者共同遵守的法律、法令、規(guī)例及合約條文。（3）企業(yè)為網(wǎng)絡(luò)安全運(yùn)作所訂立的原則、目標(biāo)及信息處理的規(guī)定，這實(shí)際上也是組織自身的信息安全需求。提出“APPDRR”動(dòng)態(tài)安全模型的學(xué)者認(rèn)為，該模型為網(wǎng)絡(luò)建立了四道防線(xiàn)：安全保護(hù)是網(wǎng)絡(luò)的第一道防線(xiàn)，能夠阻止對(duì)網(wǎng)絡(luò)的入侵和危害；安全監(jiān)測(cè)是網(wǎng)絡(luò)的第二道防線(xiàn)，可以及時(shí)發(fā)現(xiàn)入侵和破壞；實(shí)時(shí)響應(yīng)是網(wǎng)絡(luò)的第三道防線(xiàn)，當(dāng)攻擊發(fā)生時(shí)維持網(wǎng)絡(luò)“打不垮”；恢復(fù)是網(wǎng)絡(luò)的第四道防線(xiàn)，使網(wǎng)絡(luò)在遭受攻擊后能以最快的速度“起死回生”，在最大程度上降低安全事件帶來(lái)的損失。1）網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與安全策略的制定大中型網(wǎng)絡(luò)對(duì)安全性的要求是全方位的、整體的，全網(wǎng)動(dòng)態(tài)安全的實(shí)施也是分步驟、分層次的。首先就是要知道目前的網(wǎng)絡(luò)安全狀況究竟怎樣，即進(jìn)行安全評(píng)估。在考慮提高網(wǎng)絡(luò)安全性時(shí)，有人悲觀地認(rèn)為技術(shù)高超的黑客可以侵入并徹底破壞整個(gè)業(yè)務(wù)系統(tǒng)，認(rèn)為目前的安全措施都是沒(méi)有用處的；還有人在沒(méi)有經(jīng)過(guò)仔細(xì)分析的情況下，盲目地信任公司的網(wǎng)絡(luò)系統(tǒng)，認(rèn)為已經(jīng)采取的安全措施是足夠的。這些想法都沒(méi)有客觀地分析整個(gè)網(wǎng)絡(luò)，對(duì)信息系統(tǒng)安全的理解是片面的。了解網(wǎng)絡(luò)系統(tǒng)中存在的威脅可以幫助公司的決策者制定最為適當(dāng)?shù)陌踩呗?。如上所述，許多公司的網(wǎng)絡(luò)安全負(fù)責(zé)人并不清楚自己的網(wǎng)絡(luò)到底有多么安全，也不清楚已經(jīng)采取的安全措施究竟會(huì)起到什么樣的效果。如果從安全體系的角度，進(jìn)一步分析網(wǎng)絡(luò)的風(fēng)險(xiǎn)，可以發(fā)現(xiàn)更多、更隱蔽的安全隱患。那么，究竟怎么做才能讓機(jī)構(gòu)的管理人員真正了解網(wǎng)絡(luò)的安全性呢？這就需要依據(jù)安全層次對(duì)網(wǎng)絡(luò)進(jìn)行全面的風(fēng)險(xiǎn)分析。

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全等級(jí)保護(hù)技術(shù)基礎(chǔ)培訓(xùn)教程 PDF格式下載

---