信息安全等級保護(hù)技術(shù)基礎(chǔ)培訓(xùn)教程

前言

信息及信息系統(tǒng)的安全，大的方面可以直接影響一個國家政治、國防安全、經(jīng)濟(jì)建設(shè)、社會秩序的穩(wěn)定和社會公共利益，小的方面可以影響一個組織自身的生存與發(fā)展。這已經(jīng)是一個不爭的事實(shí)。各個國家如果沒有給予足夠的重視，后果將是極為可怕的。在我國，1994年就出臺了《計算機(jī)信息系統(tǒng)安全保護(hù)條例》，將信息與信息系統(tǒng)保護(hù)納入到了法制的軌道。后來又在《刑法》中加入了打擊針對計算機(jī)信息系統(tǒng)的犯罪和利用計算機(jī)信息系統(tǒng)的犯罪的內(nèi)容（《刑法》285,286,287條），在新近出臺的治安處罰法中也加入了相關(guān)的內(nèi)容。除了打擊針對信息系統(tǒng)的犯罪外，更重要的是對于信息和信息系統(tǒng)進(jìn)行適度的保護(hù)。所謂適度保護(hù)就是要根據(jù)信息及信息系統(tǒng)的重要程度，給予相適應(yīng)的保護(hù)。我國推行的信息安全等級保護(hù)制度，就體現(xiàn)了適度保護(hù)這一原則。黨的十六屆四中全會針對傳統(tǒng)安全威脅和非傳統(tǒng)安全威脅的因素相互交織的新情況，提出了要增強(qiáng)國家安全意識，完善國家安全戰(zhàn)略的要求。應(yīng)該說，我國黨和政府的領(lǐng)導(dǎo)及專家、學(xué)者在這一問題上的認(rèn)識是一致的。早在1994年出臺的《計算機(jī)信息系統(tǒng)安全保護(hù)條例》中就明確地提出了，在我國要實(shí)行信息安全等級保護(hù)制度。1999年出臺了第一個關(guān)于信息安全等級保護(hù)的國家標(biāo)準(zhǔn)《計算機(jī)信息系統(tǒng)安全等級劃分準(zhǔn)則》（GB17859－1999）。2003年中辦27號文中強(qiáng)調(diào)了要加強(qiáng)對信息與信息系統(tǒng)的保護(hù)，落實(shí)信息安全等級保護(hù)制度，明確提出了建設(shè)信息保障體系的要求。2004年，公安部、國家保密局、國務(wù)院密碼委和原國務(wù)院信息化辦公室聯(lián)合下發(fā)了《信息安全等級保護(hù)實(shí)施意見》（公通字［2004］第66號，俗稱66號文），標(biāo)志著在我國信息安全等級保護(hù)工作的正式啟動。2007年四部局辦共同下發(fā)的《信息安全等級保護(hù)管理辦法》（公通字［2007］第43號，俗稱43號文）將信息安全等級保護(hù)工作納入到了法制化的軌道。

內(nèi)容概要

本書是信息安全等級保護(hù)基礎(chǔ)知識的介紹，使讀者能清楚地了解信息保障體系建設(shè)的基本思想和基本方法。    本書分四個部分共11章，第一部分共三章是對信息保障基本概念的介紹，第1章概述，主要介紹信息保障的發(fā)展過程和信息保障體系的整體框架；第2章介紹信息系統(tǒng)中安全體系的核心——可信計算基（TCB）或者稱之為安全子系統(tǒng)；第3章是現(xiàn)行信息安全保護(hù)技術(shù)的介紹。第二部分共六章，分層次介紹信息保障的基本思想和方法。第4章介紹信息系統(tǒng)保護(hù)的一般過程與基本方法，第5章介紹網(wǎng)絡(luò)保護(hù)的基本思想和方法，第6章介紹計算機(jī)環(huán)境保護(hù)的思想和方法（操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序和數(shù)據(jù)），第7章至第9章介紹信息系統(tǒng)連續(xù)性運(yùn)行（運(yùn)行安全）保護(hù)的思想與方法：第7章介紹風(fēng)險評估、第8章介紹應(yīng)急響應(yīng)、第9章介紹信息系統(tǒng)安全運(yùn)行體系。第三部分僅第10章一章，介紹信息安全管理的基本思想與方法。第四部分也僅第11章一章，介紹信息安全工程的思想與方法。    本書適合于所有關(guān)心信息安全系統(tǒng)安全管理的讀者閱讀，使之能夠建立起信息保障完整體系的思想。

書籍目錄

第一部分  信息保障基本概念介紹　第1章  信息系統(tǒng)安全保障概述　  1.1  信息系統(tǒng)安全概述　    1.1.1  信息及信息系統(tǒng)及安全的定義　    1.1.2  信息安全保障的基本概念　  1.2  信息安全保障體系的構(gòu)成　    1.2.1  國家信息安全保障體系的構(gòu)成　    1.2.2  組織內(nèi)部信息安全保障體系的構(gòu)成　    1.2.3  信息系統(tǒng)安全保障體系建設(shè)的基本原則　    1.2.4  美國國家信息技術(shù)保障體系框架簡介　  1.3  信息及信息系統(tǒng)的安全等級保護(hù)　    1.3.1  國外信息安全等級保護(hù)簡介　    1.3.2  在我國實(shí)行信息安全等級保護(hù)的意義　    1.3.3  我國信息安全等級保護(hù)工作的開展情況　    1.3.4  信息安全等級保護(hù)制度的基本內(nèi)容　    1.3.5  等級保護(hù)技術(shù)標(biāo)準(zhǔn)　  1.4  信息系統(tǒng)安全涉及的相關(guān)知識　    1.4.1  信息安全管理知識　    1.4.2  信息科學(xué)與技術(shù)　    1.4.3  現(xiàn)代密碼技術(shù)與信息隱藏技術(shù)　    1.4.4  其他學(xué)科的知識　第2章  可信計算基　第3章  信息安全技術(shù)的基本分類第二部分  信息保障的基本思想和方法　第4章  信息系統(tǒng)保護(hù)的一般方法與過程　第5章  保護(hù)網(wǎng)絡(luò)　第6章  保護(hù)計算環(huán)境　第7章  風(fēng)險評估與風(fēng)險管理　第8章  信息安全事件的響應(yīng)與處置　第9章  信息系統(tǒng)安全運(yùn)行維護(hù)體系第三部分  信息安全管理的基本思想與方法　第10章  信息系統(tǒng)管理第四部分  信息安全工程的思想與方法　第11章  信息系統(tǒng)安全工程參考書目與文獻(xiàn)

章節(jié)摘錄

插圖：制定自己的安全策略要考慮以下三點(diǎn)內(nèi)容：（1）評估風(fēng)險。（2）企業(yè)與合作伙伴、供應(yīng)商及服務(wù)提供者共同遵守的法律、法令、規(guī)例及合約條文。（3）企業(yè)為網(wǎng)絡(luò)安全運(yùn)作所訂立的原則、目標(biāo)及信息處理的規(guī)定，這實(shí)際上也是組織自身的信息安全需求。提出“APPDRR”動態(tài)安全模型的學(xué)者認(rèn)為，該模型為網(wǎng)絡(luò)建立了四道防線：安全保護(hù)是網(wǎng)絡(luò)的第一道防線，能夠阻止對網(wǎng)絡(luò)的入侵和危害；安全監(jiān)測是網(wǎng)絡(luò)的第二道防線，可以及時發(fā)現(xiàn)入侵和破壞；實(shí)時響應(yīng)是網(wǎng)絡(luò)的第三道防線，當(dāng)攻擊發(fā)生時維持網(wǎng)絡(luò)“打不垮”；恢復(fù)是網(wǎng)絡(luò)的第四道防線，使網(wǎng)絡(luò)在遭受攻擊后能以最快的速度“起死回生”，在最大程度上降低安全事件帶來的損失。1）網(wǎng)絡(luò)風(fēng)險評估與安全策略的制定大中型網(wǎng)絡(luò)對安全性的要求是全方位的、整體的，全網(wǎng)動態(tài)安全的實(shí)施也是分步驟、分層次的。首先就是要知道目前的網(wǎng)絡(luò)安全狀況究竟怎樣，即進(jìn)行安全評估。在考慮提高網(wǎng)絡(luò)安全性時，有人悲觀地認(rèn)為技術(shù)高超的黑客可以侵入并徹底破壞整個業(yè)務(wù)系統(tǒng)，認(rèn)為目前的安全措施都是沒有用處的；還有人在沒有經(jīng)過仔細(xì)分析的情況下，盲目地信任公司的網(wǎng)絡(luò)系統(tǒng)，認(rèn)為已經(jīng)采取的安全措施是足夠的。這些想法都沒有客觀地分析整個網(wǎng)絡(luò)，對信息系統(tǒng)安全的理解是片面的。了解網(wǎng)絡(luò)系統(tǒng)中存在的威脅可以幫助公司的決策者制定最為適當(dāng)?shù)陌踩呗?。如上所述，許多公司的網(wǎng)絡(luò)安全負(fù)責(zé)人并不清楚自己的網(wǎng)絡(luò)到底有多么安全，也不清楚已經(jīng)采取的安全措施究竟會起到什么樣的效果。如果從安全體系的角度，進(jìn)一步分析網(wǎng)絡(luò)的風(fēng)險，可以發(fā)現(xiàn)更多、更隱蔽的安全隱患。那么，究竟怎么做才能讓機(jī)構(gòu)的管理人員真正了解網(wǎng)絡(luò)的安全性呢？這就需要依據(jù)安全層次對網(wǎng)絡(luò)進(jìn)行全面的風(fēng)險分析。

圖書封面

評論、評分、閱讀與下載

---

    信息安全等級保護(hù)技術(shù)基礎(chǔ)培訓(xùn)教程 PDF格式下載

---