信息网络安全知识普及教育培训教程-信息安全基础

信息网络安全知识普及教育培训教程--信息安全基础-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有--------------

信息安全基础厦门市公安局网监处傅明德

第一节信息安全基础知识

第二节信息安全管理基础

第三节物理安全

第一节信息安全基础知识

一、信息安全的概念

二、信息安全的发展现状

三、信息安全的技术体系结构

四、信息安全的法律体系信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第1页。1.1.1信息安全的概念信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第1页。

20世纪，人类在科学技术领域内最大的成就是发明制造了电子计算机。为了不断提高其性能，增加计算机的功能和应用范围，全球科学家和技术人员一直在孜孜不倦地进行试验和改进。在计算机更新换代的改进过程中，电子化技术、数字技术、通信技术以及网络技术不断融合和被广泛应用，从而使得以计算机为负载主体的互联网技术得以突破时空限制而普及全球，并由此开创了一个以电子信息交流为标志的信息化时代。随着科学技术特别是信息技术和网络技术的飞速发展以及我国信息化进程的不断推进，各种信息化系统已经成为国家的关键基础设施，它们支持着网络通信、电子商务、电子政务、电子金融、电子税务、网络教育以及公安、医疗、社会福利保障等各个方面的应用。相对于传统系统而言，数字化网络的特点使得这些信息系统的运作方式，在信息采集、储存、数据交换、数据处理、信息传送上都有着根本的区别。无论是在计算机上的储存、处理和应用．还是在通信网络上交换、传输，信息都可能被非法授权访问而导致泄密，被篡改破坏而导致不完整，被冒充替换而不被承认，更可能因为阻塞拦截而无法存取，这些都是网络信息安全上的致命弱点。因而，信息安全应运而生。1.1.1信息安全的概念

要理解信息安全，首先要了解什么是信息。“信息”是当代使用频率很高的一个概念，也是很难说清楚的一个概念，目前比较流行的有以下几种说法：

1、信息是用语言、文字、数字、符号、图像、声音、情景、表情、状态等方式传递的内容。

2、1948年，信息论的奠基人之一，美国数学家申农（Shanon）第一个以信息公式的方式定义“信息是熵的减少”，这里用到的“熵”是不确定性的度量。申农的信息定义实际上是说，信息是“用来消除不确定的东西”。

3、控制论的奠基人维纳（Wiener）在1948年指出：“信息就是信息，不是物质．也不是能量”。专门指出了信息是区别于物质与能量的第三类资源。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第2页。

4、有人说信息是事物表现的一般形式，信息就是消息，强调了信息的知识性。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第2页。

5、有人强调信息的作用性，发展申农的信息定义，提出信息是具有新内容与新知识的消息。1.1.1信息安全的概念

6、有人则强调信息与通信的关系，并且进一步形成了三类看法：

1、“技术信息”，认为信息是物质属性的反映，例如事物运动的状态与方式等。

2、“语义信息”，认为信息是人们适应外部世界，并同外部进行内容交换的标记，例如各种知识与技能等。

3、“价值信息”，认为信息是具有价值性、有效性、经济性及其他特性的知识，例如各种情报等。

据不完全统计，世界上有关信息的定义有100多种，它们都从不同的侧面、不同的层次揭示了信息的某些特征和性质，但至今仍没有统一的、能为各界普遍认同的定义。“信息”的定义之所以呈现多样化，主要有三方面的原因：第一，信息本身的复杂性，它是一个多元化、多层次、多功能的综合物；第二，信息科学是一门新兴学科，是一门“大”学科，它有许多分支学科，它的内涵与外延不很确切，而且随着社会、经济和科学技术的发展处于不断发展之中；第三，人们出于不同的研究目的或使用目的，从不同的角度或层次出发，对“信息”必然作出不同的理解与解释。1.1.1信息安全的概念

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第3页。

我国国家标准GB4898一85《情报与文献工作词汇基本术语》中，关于“信息”的解释是：“Information，物质存在的一种方式、形态或运动状态，也是事物的一种普遍属性，一般指数据、消息中所包含的意义，可以使消息中所描述事件的不确定性减少”。这个定义首先明确了信息的本质是物质的属性，而不是物质实体本身。客观存在的一切事物，包括自然界、人体本身和人类社会，都是在不断运动着的，运动的物质，必然会产生相互作用和影响，从而引起物质结构、数量等多方面的变化，事物的这些变化，便成为信息产生的物质基础。因此，信息不是事物本身，而是由事物发出的数据、消息中所包含的意义。同时，这一定义明确了信息的认知知识的功能，即能减少不确定性的能力，可以说，信息是知识的源泉，知识是对获得信息进行处理并使之系统化的结果。这一功能是信息的基本功能，是人类解释客观世界发展规律的重要途径，知识的积累、科技的发展进步、经济文化的繁荣，都离不开信息的这一功能，经过大脑对信息的鉴别、筛选、归纳、提炼和存储，人类对客观世界的认识逐步深入，人类逐步进化、进步、发展。最后，这一定义明确了信息是指数据与消息中所包含的意义，是数据与消息这样的信息中所包含的内容，区分了信息与信息，从结构上使信息的概念更加准确。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第3页。

一般意义上，信息（Information）是指事物运动的状态和方式，是事物的一种属性，在引入必要的约束条件后可以形成特定的概念体系。对现代社会来说，信息也是一种资产，包括计算机和网络中的数据，还包括专利、标准、商业机密、文件、图纸、管理规章、关键人员等，就像其他重要的商业资产那样，信息资产具有重要的价值，因而需要进行妥善保护。1.1.1信息安全的概念

(二)信息的性质和功能

信息具有下面一些重要的性质:

1、普遍性：信息是事物运动的状态和状态变化的方式。因此，只要有事物的存在，只要事物在不断地运动，就会有它们运动的状态和状态变化的方式，也就存在着信息，所以信息是普遍存在的，信息具有普遍性。

2、无限性：在整个宇宙时空中，信息是无限的，即使是在有限的空间中,信息也是无限的。一切事物运动的状态和方式都是信息，事物是无限多样的，事物的发展变化更是无限的，因而信息是无限的。

3、相对性：对于同一个事物，不同的观察者所能获得的信息量可能不同。

4、传递性：信息可以在时间上或在空间中从一点传递到另一点。

5、变换性：信息是可变换的，它可以由不同载体用不同的方法来载荷。

6、有序性：信息可以用来消除系统的不定性，增加系统的有序性。获得了信息，就可以消除认识主体对于事物运动状态和状态变化方式的不确定性。信息的这一性质使信息对人类具有特别重要的价值。1.1.1信息安全的概念

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第4页。

7、动态性：信息具有动态性质，一切活的信息都随时间而变化，因此，信息也是有时效的。信息是事物运动的状态和状态变化的方式，事物本身在不断发展变化，因而信息也会随之变化。脱离了母体的信息因为不再能够反映母体的新的运动状态和状态变化方式，它的效用就会降低，以至完全失去效用，这就是信息的时效性。所以人们在获得信息之后，并不能就此满足，信息要及时发挥效用，要不断补充和更新。

8、转化性：信息可以转化，在一定的条件下，信息可以转化为物质、能量。最主要的条件是信息必须被人们有效地利用。正确而有效地利用信息，就可能在同样的条件下创造更多的物质财富和能量。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第4页。

上述这些性质是信息的主要性质。了解信息的性质，一方面有助于对信息概念进一步理解，另一方面也有助于人们更有效地掌握和利用信息。

信息的基本功能在于维持和强化世界的有序性，可以说，缺少物质的世界是空虚的世界，缺少能量的世界是死寂的世界，缺少信息的世界是混乱的世界。信息的社会功能则表现在维系社会的生存，促进人类文明的进步和人类自身的发展。信息的功能主要表现为：

信息是一切生物进化的导向资源。生物生存于自然环境之中，而外部自然环境经常发生变化，如果生物不能得到这些变化的信息，生物就不能及时采取必要的措施来适应环境的变化，就可能被变化了的环境所淘汰。1.1.1信息安全的概念

信息是知识的来源。知识是人类长期实践的结晶，知识一方面是人们认识世界的结果，另一方面又是人们改造世界的方法，信息具有知识的秉性，可以通过一定的归纳算法被加工成知识。

信息是决策的依据。决策就是选择，而选择意味着消除不确定性，意味着需要大量、准确、全面及时的信息。

信息是控制的灵魂。这是因为，控制是依据策略信息来干预和调节被控对象的运动状态和状态变化的方式；没有策略信息，控制系统便会不知所措。

信息是思维的材料。思维的材料只能是“事物的运动状态和状态变化的方式”，而不可能是事物的本身。人的思维和智慧是信息过程的产物。

信息是管理的基础，是一切系统实现自组织的保证。

信息是一种重要的社会资源，虽然人类社会在漫长的进化过程中一直没有离开信息，但是只有到了信息时代的今天，人类对信息资源的认识、开发和利用才达到高度发展的水平。现代社会将信息、材料和能源看成支持社会发展的三大支柱，充分说明了信息在现代社会中的重要性。信息安全的任务是确保信息功能的正确实现。1.1.1信息安全的概念信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第5页。

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第5页。

如果说信息是一家机构的资产，与其他资产一样，应受到保护，那么信息安个的作用就是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。信息安全就是要采取措施(相应的技术手段及有效管理)让这些信息资产免遭威胁，或者将威胁带来的危害降到最低程度，以此维护机构的正常运作。凡是涉及信息的保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。

安全(Security)并没有统一的定义，这里是指将信息面临的威胁降到(机构可以接受的)最低限度。同样，信息安全(InformationSecurity)也没有公认和统一的定义。国内外对于信息安全的概念都比较含糊和笼统，但都强调的一点是：离开信息体系和具体的信息系统来谈论信息安全是没有意义的。因此人们通常从两个角度来对信息安全进行定义：一是从具体的信息技术系统来定义，二是从某一个特定信息体系(如金融信息系统、政务信息系统、商务信息系统等)的角度来定义。从学科和技术的角度来说,信息安全(学)是一门综合性学科，它研究、发展的范围很广，包括信息人员的安全性、信息管理的安全性、信息设施的安全性、信息本身的保密性、信息传输的完整性、信息的不可否认性、信息的可控性、信息的可用性等，确保信息系统按照预期运行且不做任何多余的事情，系统所提供的信息机密性可以得到适度的保护，系统、数据和软件的完整性得到维护和统一，以防任何可能影响任务完成的非计划的任务中断。长期以来，人们比较认同的关于信息安全的定义有两个：1.1.1信息安全的概念

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第6页。

一个是美国联邦政府标准的定义----“保护信息系统免受意外或故意的非授权泄漏、传递、修改或破坏”；另外一个是我国信息安全国家重点实验室的定义---“信息安全涉及信息的保密性(Confidentiality)、可用性(Availability)、完整性(Integrity)和可控性(Controllability)。保密性就是保证信息不泄漏给未经授权的人；可用性就是保证信息以及信息系统确实为授权使用者所用；完整性就是抵抗对手的主动攻击，防止信息被篡改；可控性就是对信息以及信息系统实施安全监控。综合起来说，就是要保障电子信息的有效性”。国际标准化组织(ISO)定义信息安全为“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。随着计算机应用范围的逐渐扩大以及信息内涵的不断丰富，信息安全涉及的领域内涵也越来越广。信息安全不仅是保证信息的机密性、完整性、可用性、可控性和可靠性，并且从主机的安全技术发展到网络体系结构的安全．从单一层次的安全发展到多层次的立体安全。目前，涉及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面。因此在不会产生歧义时，常将计算机网络信息系统安全简称为信息安全。由于计算机网络具有联结形式多样性、终端发布不均匀性和网络开放性、互联性等特征，使得网络易受到黑客、恶意软件和其他不轨行为的攻击，所以网络信息的安全和保密性就是一个至关重要的问题。无论是在单机系统、局域网还是在广域网系统中，都存在着自然环境和人为等诸多因素的脆弱性和潜在威胁。因而计算机网络系统的安全措施应该是可以全方位地针对各种不同的威胁和脆弱性，才能确保网络信息的保密性、可用性、完整性和可控性。一切影响计算机网络安全的因素和保障计算机网络安全的措施都是计算机网络安全的研究内容。在这里，我们可以这样来定义信息安全：信息安全是指信息在产生、传输、处理和储存过程中不被泄漏或破坏，确保信息的可用性、保密性、完整性和不可否认性，并保证信息系统的可靠性和可控性。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第6页。1.1.1信息安全的概念

(四)信息安全的属性

信息安全的基本属性有信息的完整性、可用性、机密性、可控性、可靠性和不可否认性。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第7页。

1、完整性:完整性是指信息在存储、传输和提取的过程中保持不被修改延迟、不乱序和不丢失的特性。一般通过访问控制阻止篡改行为,通过信息摘要算法来检验信息是否被篡改。完整性是数据未经授权不能进行改变的特性,其目的是保证信息系统上的数据处于一种完整和未损的状态。

2、可用性:信息可用性指的是信息可被合法用户访问并能按要求顺序使用的特性，即在需要就可取用所需的信息。可用性是信息资源服务功能和性能可靠性的度量，是对信息系总体可靠性的要求。目前要保证系统和网络能提供正常的服务，除了备份和冗余配置之外，没有特别有效的方法。

3、机密性:信息机密性又称为信息保密性，是指信息不泄漏给非授权的个人和实体，或供其使用的特性。信息机密性针对信息被允许访问对象的多少而不同。所有人员都可以访问的信息为公用信息，需要限制访问的信息一般为敏感信息或秘密，秘密可以根据信息的重要性或保密要求分为不同的密级如国家根据秘密泄露对国家经济、安全利益产生的影响(后果)不同，将国家秘密分为A(秘密级)、B(机密级)和C(绝密级)三个等级。秘密是不能泄漏给非授权用户、不被非法利用的，非授权用户就算得到信息也无法知晓信息的内容。机密性通常通过访问控制阻止非授权用户获得机密信息，通过加密技术阻止非授权用户获知信息内容。

4、可控性:信息可控性是指可以控制授权范围内的信息流向以及行为方式，对信息的传播及内容具有控制能力。为保证可控性，通常通过握手协议和认证对用户进行身份鉴别，通过访问控制列表等方法来控制用户的访问方式，通过日志记录对用户的所有活动进行监控、查询和审计。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第7页。1.1.1信息安全的概念

5、可靠性:可靠性是指信息以用户认可的质量连续服务于用户的特性（包括信息的迅速、准确和连续的转移等），但也有人认为可靠性就是人们对信息系统而不是对信息本身的要求。

6、不可否认性:不可否认性是指能保证用户无法在事后否认曾对信息进行的生成、签发、接受等行为，是针对通讯各方面信息真实同一性的安全要求。一般用数字签名和公证机制来保证不可否认性。（五）信息安全的特征

信息安全具有整体的、动态的、无边界和发展的特征，是一种非传统安全。信息安全涉及多个领域，是一个系统工程，需要全社会的共同努力和承担责任及义务；信息安全不是静态的，它是相对和动态的，经历了从最初纯粹的物理安全问题到今天随着信息技术的发展和普及，以及产业基础、用户认识、投入产出而出现的动态的全方位的安全问题；信息安全已经是全球性的而非某个国家或地区特有的问题，尤其是网络高度的互动性、渗透性使得信息安全问题变得越来越难以控制，不可避免地影响到我们生活的方方面面。信息安全是过程的安全，它不是固定不变的．而是贯穿于整个信息技术的发展过程中，应在系统建设过程中同步考虑。

互联网的全球性、快捷性、共享性、全天候性决定了信息安全问题的新特征。信息基础设施本身的脆弱性和攻击手段的不断更新，使信息安全领域易攻难守。网上攻击无论距离还是速度都突破了传统安全的限制，具有多维、多点、多次实施隐蔽打击的能力。由于网络覆盖全球，因而助长了犯罪分子的破坏能力和有恃无恐的犯罪心理，给世界带来了更多的不稳定因素。各国的民族文化和道德价值观面临前所未有的冲击和颠覆，为此付出的巨大经济成本和时间精力难以计算。信息安全问题日益严重必将给人类发展国家管理和社会稳定带来巨大的危害。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第8页。1.1.1信息安全的概念信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第8页。

信息安全属于非传统安全，非传统安全主要是相对于传统安全而言的。传统安全是指以军事安全为核心的安全；而将军事以外的对主权国家及人类整体生存与发展构成威胁的因素称为非传统安全。除军事以外的非传统安全问题主要包括：经济安全、金融安全、环境安全、信息安全、能源安全、恐怖主义、武器扩散、疾病蔓延、跨国犯罪等。由于冷战的结束，大规模军事对抗随着两极格局的消亡而退出主战场，非传统安全问题在我们今天的日常生活中正扮演着越来越重要的角色。在可预见的未来，由于经济全球化的大发展，世界越来越呈现出一种“你中有我，我中有你”的局面，取得“共赢”已逐渐代替“零和”（即我赢你输或我输你赢）的旧安全格局，大规模的军事对抗在可预见的未来发生的可能性很小，非传统安全将是未来我们将要长期面对的问题。

由于信息安全属于非传统安全，因此做好信息安全保障工作必须打破人们对国家安，全观的固有认识。不能完全使用传统的办法来解决非传统的问题，需要综合运用政策、法律、管理、技术等手段。1.1.2信息安全的发展现状

从20世纪90年代末期开始，随着因特网的成熟和广泛应用，引发了一场全球范围内的信息革命，全球信息化的步伐不断加快，信息型社会正在形成并走向成熟。信息，逐渐被作为一种重要的社会战略资源而与物质、能源、人才一起被列为现代社会生产力要素中的重要因素。信息化社会中，信息安全必然很重要。然而信息安全所面临的威胁也由来已久。自世界上出现计算机病毒理论后，对计算机系统的攻击就引起了一些人的兴趣。至今，这种攻击已由学术上的探讨，计算机操作系统的漏洞发现与弥补演变成了对信息系统的破坏和对涉及国家利益信息、商业信息及个人隐私信息的窃取和破坏。随着因特网的迅猛发展，更进一步暴露出了这种自由网络空间具有的无中心、无管理、不可控、不可信等不安全的特征，且形成了对一切现存社会秩序的威胁。伴随着计算机网络的普及和广泛应用，导致信息安全泄密事件频频出现，计算机网络犯罪也呈现多样化的形式，网络欺诈、黑客入侵、计算机病毒、计算机破坏、信用卡犯罪等新问题层出不穷。因此，信息安全问题越来越受到各国政府部门和众多计算机专家、学者的广泛重视和研究，越来越多的研究机构开始对信息安全问题展开了探讨和研究。

1.1.2信息安全的发展现状信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第9页。

（一）国内外发展和研究现状信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第9页。

从20世纪90年代开始，由于Internet技术广泛的应用，“黑客”活动日益猖撅，信息系统安全提出了许多新的问题，信息系统安全领域呼吁修改DoD585的橘皮书，美国颁布了新的联邦评测标准（FC）草案，用以代替80年代颁布的橘皮书。在上述标准的基础上，美国、加拿大和欧洲联合研制CC（信息技术安全评测公共标准），并于1994年颁布0.9版，于1996年颁布了1.0版。在欧洲，英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准，并于1991年颁布ITSEC（信息技术安全标准）。1993年，加拿大颁布CTCPEC（加拿大可信计算机产品评测标准）。1993年，美国国防部国防信息系统局又提出在C41系统（Command,Control,Cornmunication,Computer,andl,ltelligenceSystem)上采用多级安全（MLS）技术与概念。在美国，信息和信息系统是由总统亲自领导的，投人力度相当可观。美国已经颁布了《计算机安全法》日本也颁布了《反黑客法》。国际间的合作也已开始进行，2000年5月，在法国巴黎举行的《政府机构和私营部门关于网络空间安全和信任对话》会议，就是世界上首次以打击网络犯罪为主要内容的国际性会议。同时，一些大的跨国公司在信息和信息系统安全方面推出了新的技术和产品。例如：HP公司领导发布的X/OpenSecurityBranding计划（1996年3月推出），推出了ICF（国际密码架构）战略，联合其他合作伙伴共同占领广大的信息安全产品国际市场，并推出HPUXC-MWBI级操作系统，通过TC-SE乙ITSEC的评测。DEC公司推出安全级别为C2级的操作系统为DigitalUNIX和OpenVMS，推出的Bl级／CMW级的操作系统是SEVMS和DigitalMLS+，通过了TCSEC和ITSEC的两个认证评测。还有网络监视器和防火墙产品，其中，AltaVistaaTunnelPersonalEdition与AltaVistaTunnelWorkgroupE-dition是两个著名产品。ORACLE公司的安全数据库是TrustedOracle，是BZ产品，在美国是用于军方的产品。还有Bl级的ORACIE产品。

1.1.2信息安全的发展现状信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第10页。

通过了TCSEC和ITSEC的评测。在国内，信息系统安全方面的建设可以追溯到“七五”与“八五”期间，我国在信息加密、解密、密钥芯片、密钥管理等方面有所研究，到了20世纪90年代，在信息安全的传统思路上，中国科学院成立了信息安全技术工程研究中心，主要从事上述技术中加密与解密的研究工作。但是，所有这些主要停留在传统的信息安全的概念上，对系统的安全重视不够。从“七五”开始到“九五”期间，信息产业部15所太极计算机公司在网络安全方面进行了科研工作。在信息产业部15所在“九五”期间正在进行UNIX操作系统的安全研究工作，于1998年验收和鉴定了自主开发的UNIX操作系统Bl级安全核开发工作。同时在太极联合实验室，启动了与国际水平接轨的网络和系统的安全测试、管理和监控软件的自主开发。太极计算机公司研制成功了自主开发系列服务器产品、ATM网络接人交换设备、1000兆以太网络、100兆自适应网络接口设备、安全路由器以及分布式防火墙。这些产品已经应用于政府要害单位的系统中。另外，中国软件与服务总公司在“八五”期间开发了具有自主版权的UNIX操作系统。北京信息工程学院、东大软件园区、中国人民大学信息学院等单位开发了自主版权的数据库管理系统。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第10页。

世界各国的信息安全技术水平可以划分为三类：一是信息化水平较高，信息安全保障水平相应较高的国家，如美国；二是信息化起步较晚，但已经达到一定程度的国家，其信息安全保障也相应具备了一定的基础，如中国；三是信息化刚刚起步，甚至没有起步，其信息安全保障几乎处于空白状态，如一些发展中国家。从总体上来说，即便是信息安全保障最发达的国家，也仍然没有具备完全解决信息安全问题的能力，像美国白宫和美国军队的网站就经常受到不明身份黑客的破译攻击而出现瘫痪、泄密等问题。在与信息安全破坏者的斗争中，目前全世界都处于被动的局面，这也决定了信息安全技术具有较大的发展空间。目前信息安全技术处于领先的国家主要是美国、法国、以色列、英国、丹麦、瑞士等，一方面这些国家在技术方面特别是在芯片技术上有着一定的历史沉积，另一方面这些国家信息安全技术的应用。

1.1.2信息安全的发展现状

电子商务、企业信息化等起步较早，应用比较广泛。它们的领先优势主要集中在防火墙、人侵监测、漏洞扫描、防杀毒、身份认证等传统的安全产品上。而在注重防内兼顾防外的信息安全综合审计上，国内的意识理念早于国外，产品开发早于国外，目前在技术上有一定的领先优势。

就我国目前的情况而言，不论是政府部门还是科研机构都意识到信息安全事关国家安全，也给予了足够的重视，但是还存在以下几个方面的弱点：

1、信息安全的观念有待加强

我国多数民众都存在着一种重视硬件忽视软件、重视软件开发忽视安全建设的错误倾向，导致在信息安全领域存在以下不足：安全意识淡薄，管理措施不到位；缺乏权威领导机构；信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第11页。缺乏统一的、全局的安全规划；信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第11页。缺乏有效的监管措施和手段；缺乏专业的信息安全人才和专业队伍；缺乏权威的安全评估机构和安全标准；缺乏安全方面的立法，尚未把信息安全提高到法律的高度。

对信息安全这一涉及国家安全的战略性问题，我们不能“临渴掘井”，必须“未雨绸缪”，否则将可能给国家造成灾难性后果。

1.1.2信息安全的发展现状

2、客观上受制于技术水平

我国电子信息领域基础技术薄弱，制约了与信息安全相关产业的发展。我国尚没有充分掌握信息安全的核心技术，信息安全产品大多依赖进口。

3、受政治等因素的影响，尤其应重视安全问题

美国是当今世界唯一的超级大国，在经济、技术、军事各方面具有压倒性优势。如果根据信息技术和信息经济的强弱对世界上的国家分类，那美国也是唯一的信息超级大国。美国为达到称霸世界目的，凭借信息技术优势．通过出口信息安全产品来达到控制、获取别国信息的目的。它起初限制40位密钥长度以上的密码产品出口，后来又同意具有密钥托管或密钥恢复功能的强密码产品出口，这些都是美国政府可以控制和解读的。此外,在密码芯片和操作系统中可能隐藏着尚未为人们发现的、危险性更大的“后门”和“特洛伊木马”。一旦发生重大国际冲突，那些隐藏的“特洛伊木马”可能在某些秘密指令下激活起来，破坏、篡改或窃取信息系统中的重要信息。由于历史和意识形态方面的原因，中国和美国在许多方面存在很大的分歧，两国关系经常会出现不稳定的情况，美国对中国技术出口的限制尤其严厉。小布什政府上台后更是有把中国看成是战略对手的趋向。美国民间对中国存在偏见的也大有人在。比如微软公司的Windows操作系统在并不富裕的中国的售价是富裕的发达国家售价的一倍多，这是信息领域明目张胆的掠夺。在这样的国际背景下，我国信息安全的外部环境并不好，因此更应注重信息安全建设，以免在关键时刻受制于人！

1.1.2信息安全的发展现状信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第12页。

4、我国安全技术研究力量有限信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第12页。

我国国内信息安全研究力量分散，投人不足，现有研究仅能满足封堵已发现的安全漏洞，无法从根本上解决国家信息安全问题，更不要说形成反击能力。为此，应跟踪研究国际最新技术动态，努力吸取国外信息安全的先进技术和经验，不断创新，独立自主地发展我国的信息安全技术；加强对信息安全的支持力度，凝聚国内信息安全方面优秀人才，建设信息安全专业队伍；加强对信息安全体系、信息安全发展战略、安全核心技术、密码理论和应用技术、信息安全检测和监控技术以及病毒防治等研究，为我国的信息安全构筑起可靠屏障。

（二）信息安全技术发展趋势

在信息交换中，“安全”是相对的，而“不安全”是绝对的，随着社会的发展和技术的进步，信息安全标准不断提升，因此信息安全问题永远是一个全新的问题。“发展”和“变化”是信息安全的最主要特征，只有紧紧抓住这个特征才能正确地处理和对待信息安全问题，以新的防御技术来阻止新的攻击方法。信息安全技术的发展呈现如下趋势：

1.1.2信息安全的发展现状

1、信息安全越来越重要

信息安全系统的保障能力是21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分。因此，必须努力构建一个建立在自主研究开发基础之上的技术先进、管理高效、安全可靠的国家信息安全体系，以有效地保障国家的安全、社会的稳定和经济的发展。信息安全是一个综合的系统工程，需要诸如密码学、传输协议、集成芯片技术、安全监控管理及检测攻击与评估等一切相关科技的最新成果的支持。

2、信息安全标准在不断变化

应根据技术的发展和实际社会发展的需要不断更新信息安全标准，科学合理的安全标准是保障信息安全的第一步，需要无限追求如何在设计制作信息系统时就具备保护信息安全的体系结构．这是人们长期追求的目标。

3、信息安全概念在不断扩展信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第13页。

安全手段需随时更新。人类对信息安全的追求过程是一个漫长的深化过程。信息安全的含义包括了信息的保密性、信息的完整性、信息的可用性、信息的可控性、信息行为的不可否认性。随着社会信息化步伐的加快．信息安全至少需要“攻、防、测、控、管、评”等多方面的基础理论和实施技术的研究。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第13页。

1.1.2信息安全的发展现状

4、信息安全是一个复杂的巨大系统

其中，信息安全技术是最具活力的一个方面。信息安全是现代信息系统发展应用带来的新问题，它的解决也需要现代高新技术的支撑，传统意义的方法是不能解决问题的，所以信息安全新技术总是在不断地涌现。信息安全领域将进一步发展密码技术、防火墙技术、虚拟专用网络技术、病毒与反病毒技术、数据库安全技术、操作系统安全技术、物理安全与保密技术，研究发展以信息伪装、数字水印、电子现金、人侵检测、安全智能卡、公钥基础设施（PKI.PubliCKeyInfrastruCtural）、网络安全协议等为代表的信息安全最新技术。1.1.3信息安全的技术体系结构

信息网络是基于互联网基础上发展而成的一个开放性系统互联的结果，也就是多个独立的系统通过网络进行连接，最终又可以成为一个新的独立系统来为其他系统或用户提供服务。这样的开放性系统类似于国际标准化组织（ISO）为了解决不同系统的互联而提出的OSI模型，即开放式系统互联（OpenSystemInterconnect)，一般简称为0S1参考模型。0SI参考模型的安全体系结构认为一个安全的信息系统结构应该包括：五种安全服务，即身份认证服务（AuthenticationService)、访问控制（Accesscontrol）、数据完整性（Dataintegrlty）、数据机密性（DataSecrecy）和抗拒绝服务（Anti-DoS）。八类安全技术和支持上述安全服务的安全技术。这八类安全技术是公证（Vahdation）、路由控制（Routecontrol）、业务流填充（Trafficflowpadding）、数据交换（Dataswitch）、数据完整性（Dataintegrity）、访问控制（AccessControl）、数字签名（Digital519nature）和数据加密（Dataencryption）。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第14页。三种安全管理方法，即系统安全管理、安全服务管理和安全机制管理。网络系统信息安全标准ISO7498-2从体系结构的观点上描述了150基本参考模型之间的安全通信必须提供的安全服务及安全机制，并说明了安全服务及相应机制在安全体系结构中的关系，从而建立了开放互联系统的安全体系结构框架。ISO7498-2提供了以下5种可选择的安全服务：身份认证、访问控制、数据保密性、数据完整性和不可否认性。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第14页。

1.1.3信息安全的技术体系结构

1、身份认证

身份认证是授权控制的基础。目前，一般采用基于对称密钥加密或公开密钥加密的方法：采用高强度的密码技术来进行身份认证，如著名的Kerbero、PGP等方法。

身份认证主要包括以下几个方面的内容：

（l）身份标识。为了标识客户，要满足如下要求：基本标识：在允许信息系统执行用户所要求的任何操作前，应对该用户提供的账号进行身份标识。独立标识：确认每一位信息系统的使用者有一个属于自己的独立的账号，该账号直接关系到该用户在整个信息网站系统中的相关的权限。不得在信息网站系统中设立虚假的账号或无人使用的账号。标识的隐私性保护：为用户提供其身份不被其他用户发现或滥用的保护。

（2）身份信息的存储。按照如下要求进行身份信息的存储：逻辑结构扁平化：身份信息的逻辑结构扁平化。逻辑分布：以网站系统所属部门为单位进行用户身份信息的逻辑结构组织。

1.1.3信息安全的技术体系结构

（3）身份信息的管理。按照以下要求管理身份信息：信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第15页。用户列表：系统能够维护一份含有所有用户及其相关状态信息的列表。身份信息的完整性：对用户身份信息进行管理、维护，确保其不被未经授权地访问、修改或删除。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第15页。临时关闭与开启：提供相关机制来临时地关闭或打开用户的账号。账号的自动禁用：提供相关机制将在60天内没有使用过的用户账号暂时禁用。如果该账号在90夭内没有使用过或相关的部门正式通知该账号已经作废的情况下，需要将该账号从系统中删除（在正式删除之前向该用户发送一份通知）。

2、访问控制

访问控制是控制不同用户信息的信息资源访问权限。对授权控制的要求有：一致性，即对信息资源的控制没有二义性，各种定义之间不冲突。统一性，即对所有信息资源进行集中管理，安全政策统一贯彻。

要求有审计功能，对所有授权有记录可以核查。尽可能地提供细粒度的控制。

3、数据保密性

目前，加密技术主要有两大类：一类是基于对称密钥的加密算法，也称私钥算法；另一类是基于非对称密钥的加密算法，也称公钥算法：加密手段一般分软件加密和硬件加密两种。软件加密成本低，而且使用灵活，更换也方便；硬件加密效率高，并且安全性也高。

1.1.3信息安全的技术体系结构

4、数据完整性

数据完整性是指通过网上传输的数据应防止被修改、删除、插人、替换或重发，以保证合法用户接收和使用该数据的真实性。

5、不可否认性信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第16页。

接收方要求对方保证不能否认接收方收到的信息是发送方发出的信息，而不是被人冒名、篡信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第16页。

将安全技术与OSI七层结构对应起来，使用IATF的分层方法可以得出信息安全技术体系结构如图1-1所示：

根据这个结构图，我国GA/T390-2002《计算机信息系统安全等级保护通用技术要求》将信息系统安全技术要求划分为：物理安全技术要求、应用系统技术要求、操作系统技术要求、网络技术要求和数据库管理技术要求五个方面。

1.1.3信息安全的技术体系结构

物理安全是相对于物理破坏而言的，也就是信息系统所有应用硬件物理方面上的破损或毁坏。所谓的物理破坏是指破坏信息网络赖以生存的外界环境、构成系统中的各种硬件资源（包括设备本身、网络连接、电源、数据储存介质等），以及系统中存在的各种信息数据。物理安全技术就是为了保护这些物理设备（包括单独或联结的计算机设备、辅助运行设施以及由这些设备、设施组成的各种网络）免受各种自然灾害、人为操作错误和人为损伤等因素的破坏，使信息网络维持正常运行状态而采用的具体的方法、措施和过程。物理设备处于整个模型的最底层，它是整个模型得以顺利运行的物质基础，所以物理安全是整个信息网络安全运行的前提。物理安全一旦遭到破坏，系统将会变得不可用或不可信，在物理层上面的其他上层安全保护技术也将形同虚设。

系统安全是相对于各种软件系统而言的。一个只有硬件的计算机是一个摆设，它还需要各种软件系统来支持、辅助才能发挥其应有的功能。可以说，最基本、最重要的软件系统就是操作系统，它能够管理各种硬件资源，为用户提供读写信息、使用外部设备和连接网络的基本功能。信息网络的共有特征是使用数据，数据是信息处理的对象，同时也是信息处理的结果，也可以是信息处理使用的命令。数据在网络中的通用性使得数据的处理要求具有一个大家都能遵守的标准，这个要求固定下来以后就形成了一个广泛使用的软件系统―数据库系统。操作系统是为用户提供硬件操作的命令，读取和储存数据。数据库系统是保证用户能够正确地操作数据。系统是一个很广泛的概念，任何对象都可以称为系统。通常我们说的系统都是特指操作系统和数据库系统，目的是方便谈论和研究。

1.1.3信息安全的技术体系结构信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第17页。

信息网络必然需要网络环境的支持。依据网络的物理连接和使用范围可以实现对网络的不同分类，如局域网、广域网、城域网、校园网等。按照OSI七层模型对网络的划分要求，网络分为：物理层、链路层、网络层、传输层、会话层、表示层和应用层。OSI模型对网络安全的技术要求是：为数据处理系统建立和采用的技术以及管理的安全提供保护，保护计算机软、硬件和数据不会因为偶然或恶意的原因而遭到破坏、泄漏和更改。由此可以将网络安全技术定义为：保护信息网络依存的网络环境的安全保障技术，通过这些技术的部署和实施，确保网络中数据传输和交换不会受到外界因素的影响而出现增加、篡改、丢失或泄漏等现象。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第17页。

检测和响应上层协议和命令，为模型安全运行提供基础性支持，这是系统基础性辅助设施的基本要求。通常所说的检测、响应技术如加密、PKI技术就是其中几种比较重要的支持技术。这些基础性安全技术并不是独立的归属于具体某一个层次，而是整个模型中各层次都会用到的、依赖的技术。1.1.4信息安全的法律体系

由于信息安全保障涉及信息安全、网络安全、技术安全、管理安全、内容安全、个人行为安全等多个层次和方面，因此，一个完整的信息安全保障体系要求产业部门、保密部门、机要部门、安全部门、公安部门、文化部门、宣传部门等通力合作来一起管理。信息化不是一个局部简称，而是全社会一个新的社会形态，需要多方协助合作共同管理。在当前世界形势中，综合国力竞争激烈、国际形势瞬息万变的情况下，一个国家支配信息的能力越强，就越有战略主动权。信息安全保障能力已经是21世纪国家综合国力、经济竞争力和国家生存发展能力的重要组成部分，因此，将信息安全纳人并上升到国家和民族利益的高度，作为一项基本国策加以重视是十分必要的。

信息安全问题已经成为社会各方面日益关注的一个热点问题。不同方面的有关部门和人士在信息安全保障方面做了很多努力，并积累了丰富的经验。计算机科学技术领域的专家、学者从各自的专业角度，通过理论研究、技术创新、产品开发等途径，尝试着解决计算机、通信网络方面的信息安全问题；国家有关行政部门通过颁布一系列的法规和规章制度，来加强信息安全管理，协调缓解因信息安全问题而带来的矛盾；法律界的有关人士、国家立法也开始讨论信息安全立法的意义和可行性。可见，信息安全问题必须通过立法手段加以解决。1.1.4信息安全的法律体系信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第18页。

2003年，中共中央办公厅下发的《关于加强信息安全保障工作的意见》（中办发[2003]27号）是目前我国信息安全保障方面的一个纲领性文件。在此之前出台的法律法规主要分为两大类，一是从发文部门体现出的部门规章。如《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统保密管理暂行规定》、《公安部关于对与国际联网的计算机信息系统进行备案工作的通知》、《涉及国家秘密的通信、办公自动化和汁算机信息系统审批暂行办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、信息产业部《关于中国互联网络域名体系的公告》和《加强我国互联网络域名管理工作的公告》等。二是从发文内容体现出的信息化建设部分领域的单行法律法规。如国际互联网管理、国际信道、域名注册、密码管理、重要信息系统和信息内容等。如1994年2月发布的《中华人民共和国计算机信息系统安全保护条例》、《中国互联网络城市注册暂行管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《计算机信息网络国际联网管理暂行规定》、《中国公共计算机互联网国际联网管理办法》、《计算机信息网络国际联网出人口信道管理办法》，国家信息化工作领导小组2001年3月颁布的《关于计算机网络信息安全管理工作中有关部门职责分工的通知》，中办、国办2002年3月印发的《关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见》等。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第18页。1.1.4信息安全的法律体系

现阶段，我国信息安全立法的原则是：国家利益原则。当今信息已成为社会发展的重要战略资源，信息安全成为维护国家安全和社会稳定的一个焦点。信息安全首先要体现国家利益原则。一致性原则。指要与在我国现行法律和国际法框架下制定的法律法规相一致。避免重复立法和分散立法，增强立法的协调性，避免立法的盲目性、随意性和相互冲突。卜发展的原则。信息安全立法既要考虑规范行为，又要考虑促进我国国民经济和社会信息化的发展。可操作性原则。要对现实有针对性，对实践有指导性。优先原则。急需的先立法、先实施。如信息安全等级保护、信息安全风险评估、网络信任、信息安全监控、信息安全应急处理等方面要加紧立法。

信息安全立法的重点主要在以下三个方面：立法重点内容应体现在：一是基础信息网络安全；二是党政核心信息系统；三是国防信息系统；四是税务、海关、银行、证券、电力、民航、铁路等重要信息系统。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第19页。立法重点环节应体现在：一是立法规划；二是信息共享；三是信息服务与传输服务的责任和义务；四是有关知识产权。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第19页。立法重点措施应体现在：管理体制、等级保护、信息保护、网络信任、监控体系、应急处理、信息安全技术研发、安全标准与应用推广、建设资金、信息安全意识与人才培养等方面。

1.1.4信息安全的法律体系

在现行法律体系中，1997年《刑法》增加了计算机犯罪的内容，对非法侵入重要计算机信息系统以及违反《计算机安全保护条例》并造成严重后果构成犯罪的，依法追究其刑事责任。《治安管理处罚法》第29条中规定：有下列行为之一的，处以五日以下拘留；情节严重的，处五日以上，十日以下拘留：违反国家规定，侵人计算机信息系统，造成危害的；违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。2005年11月23日公安部部长办公会议通过了《互联网保护技术措施规定》，于2005年12月13日正式发布并于2006年3月1日起开始实施。新规定明确了信息安全保护立法的宗旨、法律适用范围、安全保护技术措施的要求以及公安机关的监督、检查、管理行为，大大加强了信息安全技术保障立法的顺利推行。

当前网络斗争形势要求加强对国家信息系统保护的立法，但是，现行网络信息安全法制建设上存在的某些问题依然影响了国家信息安全行政管理和执法的整体效果，而国家信息安全立法也不可能完全解决信息安全中所存在的所有问题。信息安全法律法规的制定，只能成为理顺体制、解决冲突、完善程序以保证信息安全法质量和速度、避免无序的主要措施，可以说制订信息安全法是信息安全史上的重要里程碑。它将使信息安全中存在的某些问题得到一定程度的解决。

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第20页。第二节信息安全管理基础信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第20页。

一、信息安全的管理体系

二、信息安全管理标准

三、信息安全策略

四、信息安全组织管理

五、信息安全人员管理

六、信息安全制度管理

七、计算机病毒安全防范

八、应急事件处理

一信息安全的管理体系

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第21页。

（一）信息安全管理体系的概念信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第21页。

（二）信息安全管理的内容

（三）信息安全管理的基本原则

（四）信息安全管理的过程

（五）信息安全管理的目的和意义信息安全管理体系的概念

现代社会对网络的依存越来越广泛，对于所有用户来说，风险和威胁是永远存在的。信息安全是一个动态发展的过程，信息安全管理只是保障计算机网络信息系统安全的特殊技术。安全管理的目的是阻止非法用户进入系统，减少系统遭受破坏的可能性，快速检测非法行为，迅速确定人侵位置并跟踪人侵目标，有效记录破坏者的行为以便抓获，以最大限度减少损失并促进系统恢复。信息安全管理覆盖的内容非常广泛，它涉及信息和网络系统的各个层面，以及信息系统生命周期的各个阶段，随着人们对信息安全管理认识和理解的不断深入，可以发现这些不同层次、不同方面的管理内容在彼此之间存在着一定的内在关联，它们共同构成一个全面的有机整体，以使管理措施保障达到信息安全的目的，这个有机整体就是信息安全管理体系(ISMS,InformationSecurityManagementsystems)。

信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。信息安全管理体系是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合，是涉及人、程序和信息技术系统。

信息安全管理的内容

信息安全管理体系包括以下管理类：

（1）方针与政策管理；确保企业、组织拥有明确的信息安全方针以及配套的策略和制度，以现实对信息安全工作的支持和承诺，保证信息安全的资金投入。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第22页。

（2）风险管理；信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第22页。

（3）人员与组织管理：建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员进行管理，协调信息安全监管部门与行内其他部门之间的关系，保证信息安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全风险。

（4）环境与设备管理：控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。

（5）网络与通信管理：控制、保护网络和通信系统，防止其受到破坏和滥用，避免和降低由于网络和通信系统的问题对业务系统的损害。

（6）主机与系统管理：控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由此对业务系统的损害。

信息安全管理的内容

（7）应用与业务管理：对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。

（8）数据、文档、介质管理采用数据加密和完整性保护机制，以防止数据被窃取和篡改，保护业务数据的安全。

（9）项目工程管理全系统：保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统。

（10）运行维护管理：保护信息系统在运行期间的安全，并确保系统维护工作的安全。

（11）业务连续性管理：通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。

（12）合规性管理：确保信息安全保障工作符合国家法律、法规的要求；且信息安全方针、规定和标准得到了遵循。

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第23页。信息安全管理的基本原则信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第23页。

信息安全管理的基本原则有以下几点：

（1）一把手负责原则，也称为领导负责原则。信息安全事关大局，涉及全局，需要一把手负责才能统一大家的认识，组织有效队伍，调动必要的资源和经费，落实各部门间的协调。如果一把手对信息安全工作不关心，不了解，不支持，光靠业务部门去抓一些具体的事务，久而久之，信息安全的管理工作就会逐渐淡化，逐渐流于形式。只有一把手真正具有责任心，成为信息安全的明白人，关心和支持业务部门的工作，信息安全的管理工作才能真正落到实处。那些齐抓共管、人人负责的漂亮口号没有一把手负责督导，常常会造成无抓不管、放任自流的恶劣后果。

（2）动态发展原则。信息网络安全状况不是静态不变的，随着对手攻击能力的提高、自己对信息网络安全认识水平的深化，必须对以前的安全政策有所修改，对安全措施和设施有所加强。必须明白，安全是一个过程，世界上没有一劳永逸的安全。

（3）风险原则。由于信息网络安全是动态发展的，因此安全也不是绝对的。我们不能做到绝对的安全，但是我们可以追求和实现在承担一定风险情况下的适度安全。因此，当我们在规划自己的信息网络系统安全的时候，首先要进行风险分析。根据要保护的资源的价值和重要程度，考虑可以承受的风险度，并以此为依据指定技术政策和设置保护措施。

（4）规范原则。信息系统的规划、设计、实现、运行要有安全规范作要求，要根据本机构或本部门的安全要求制定相应的安全政策。安全政策中要根据需要选择采用必要的安全功能，选用必要的安全设备。不应盲目开发、自由设计、违章操作、无人管理。

信息安全管理的基本原则

（5）预防原则。在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度。用预防为主的指导思想来对待信息安全问题，不能心存侥幸。

（6）注重实效原则。不应盲目追求一时难以实现或投资过大的目标，应使投入与所需要的安全功能相适。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第24页。

（7）系统化原则。要有系统工程的思想。前期的投人与建设和后期的提高要求要匹配和衔接，以便能够不断扩展安全功能，保护已有投资。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第24页。

（8）均衡防护原则。人们经常用木桶装水来形象地比喻应当注重安全防护的均衡性，箍桶的木板中只要有一块短板，水就会从那里泄漏出来。我们设置的安全防护中要注意是否存在薄弱环节。

（9）分权制衡原则。重要环节的安全管理要采取分权制衡的原则，要害部位的管理权限如果只交给一个人管理，一旦出问题就将全线崩溃。分权可以相互制约，提高安全性。

（10）应急原则。安全防护不怕一万，就怕万一。因此要有安全管理的应急响应预案，并且要进行必要的演练，一旦出现相关的问题马上采取对应的措施。

（11）灾难恢复原则。越是重要的信息系统越要重视灾难恢复。在可能的灾难不能同时波及的地区设立备份中心。要求实时运行的系统要保持备份中心和主系统数据的一致性。一旦遇到灾难，立即启动备份系统，保证系统的连续工作。

信息安全管理的过程

首先要明白的是，信息安全是一个“过程”，而不是一个“程序”。根据ISO/IEC－17799标准的阐述以及有关的信息安全管理文献资料，可以总结出信息安全管理的主要过程。

1、获取管理层的支持

进行信息安全管理的实施，必须首先要获得高级管理层的支持。建设一套复杂的信息安全管理体系是费时、费力和需要资金支持的，需要耗费大量的人力、物力和财力，并且还要负一定的法律责任，因此，必须要有高层管理者的决策支持，这是信息安全管理的前提。

2、定义安全范围信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第25页。

组织要根据组织的特性、地理位置、资产和技术对定义信息安全管理的范围进行界定，这属于信息安全管理最困难的初始任务之一，也可以称为定义安全区域，通常认为是信息安全管理的起始点。安全区域可以是整个组织或机构，也可能是组织或机构的一部分，但根本的一点是安全区域必须限定在一个组织或机构所能控制的范围之内，否则组织和机构将无法实施有效的管理和控制。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第25页。

信息安全管理的过程

3、创建安全策略

一套安全策略文档应当由管理层批准、印制并向全体员工公布。安全策略应明确声明管理层的承诺，及组织管理信息安全的方法。一套完整的安全策略至少要包括以下内容：信息安全的定义、整体目标和范围以及安全对信息共享的重要性；对管理层意图的声明及支持，以及信息安全的原则；安全策略、原则、标准的简介，也包括对组织有特别重要性的法律法规的要求，例如：要符合法律及合同的要求、安全教育的要求、防止及检测病毒及其他恶意代码的要求、业务持续性管理的要求以及违反安全策略的后果等；信息安全管理的一般和特定责任的定义，包括报告安全事件；支持策略文档的参考说明，例如特别信息系统或安全规定用户应遵守的更详尽的安全策略及程序。该策略应在整个组织范围内公布，让有关人员访问和理解透彻。

4、建立信息安全管理系统

信息安全管理系统是组织应用、管理、维持和贯彻执行信息安全过程和控制的基本架构，由信息系统安全主管负责并在信息安全策略中正式声明。在ISMS中定义了信息安全管理的范围，并且对每一种安全控制的策略、标准、过程、计划、任务团队等都有详细的说明和指导，甚至具体到哪一个人负责哪些事情。信息安全管理的过程

5、风险分析和评价

信息安全管理实际上就是对风险的管理，因此一套适宜的风险分析和评价程序对信息安全管理来说是最基本的。通过对资产、资产面临的威胁和资产本身脆弱性的识别，以及对相应的风险的量化分析，组织就能选择和决策采取哪些安全控制措施，来避免、转移或降低风险所造成的损失到一个可以接受的水平。风险是动态的，它将随着过程的更改、组织的变化、技术的发展以及新出现的潜在威胁而变化，因此组织的风险分析和评价也应不是一成不变的。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第26页。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第26页。信息安全管理的目的和意义

从根本上来说，信息安全管理要实现的目的就是在系统和环境进行物质、能量和信息交换的进程中，利用一切可以利用的安全防护措施，达到保护系统内部重要信息和其他重要资产的安全性（保密性、完整性、可用性和可控性），以防止和最小化安全事件（风险）所造成的破坏，确保业务的持续性和损失最小化。

组织可以参照合适的信息安全管理模型，采用先进的安全技术手段，建立组织起完整的信息安全防范体系并实施与保持，实现动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。保持完整的信息安全管理体系还将会产生如下积极的作用：强化员工的信息安全意识，规范组织信息安全行为；对组织的关键信息资产进行全面系统地保护，维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；使组织的生意伙伴和客户对组织充满信心；如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度；促使管理层坚持贯彻信息安全保障体系。

二信息安全管理标准

（一）国际信息安全管理标准信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第27页。

信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第27页。

（三）BS7799标准

（四）CC标准国际信息安全管理标准

ISO和IEC是世界范围的标准化组织，各国的相关标准化组织都是其成员，它们通过各技术委员会，参与相关标准的制定。近年来，国际ISO/IEC和西方一些国家开始发布和改版一系列信息安全管理标准，使安全管理标准进人了一个繁忙的改版期。这表明，信息安全管理标准已经从零星的、随意的、指南性标准，逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。

ISO/IEC联合技术委员会子委员会27(ISO/IECJTCISC27）是信息安全领域最权威和国际认可的标准化组织，它已经为信息安全保障领域发布了一系列的国际标准和技术报告，目前最主要的标准是ISO/IEc13335、ISO/IEC27000系列等。

ISO/IECJTCISC27的信息安全管理标准（ISO/IEC13335）《IT安全管理方针》系列（第一至第五部分），已经在国际社会中开发了很多年。这五个部分组成分别为：ISO/IEC13335-1:1996《IT安全的概念与模型》；ISO/IEC13335-2:1997《IT安全管理和计划制定》;ISO/IEC13335-3:1998《IT安全管理技术》；ISO/IEC13335-4:2000《安全措施的选择》；ISO/IEC13335-5《网络安全管理方针》。27000系列综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准，是目前国际信息安全管理标准研究的重点。27000系列当前已经发布和在研究的有6个，分别为ISO/lEC27000《信息安全管理体系基础和词汇》；ISO/IEC27001:2005《信息安全管理体系要求》；ISO/IEC27002（17799:2005)《信息安全管理实用规则》；ISO/IEC27003(（信息安全管理体系实施指南》；ISO/IEC27004《信息安全管理测量》；ISO/IEC27005《信息安全风险管理》。随着ISO/IEC2700o系列标准的规划和发布，ISO/IEC已形成了以ISMS为核心的一整套信息安全管理体系。

我国信息安全管理相关标准信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第28页。

与国外相比，我国的信息安全领域的标准制定工作起步较晚，但随着2002年全国信息安全标准化技术委员会的成立，信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。在全国信息安全标准化技术委员会中，成立了信息安全标准体系与协调工作组（WGI）、鉴别与授权工作组（WG4）、信息安全评估工作组(WG5）和信息安全管理工作组（WG7）四个工作组，它们在对我国信息安全保障体系建设和信息安全产业的发展方面，起到了积极作用。在我国，另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会，下设四个工作组，即有线网络安全工作组(WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）、安全基础设施工作组(WG4）。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第28页。

近年来，我国对信息安全标准的制定与实施工作非常重视，不仅引进了国际上著名的ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准。而且，为了更好地推进我国信息安全管理工作，相关部门还制定了中华人民共和国国家标准GBI7895-1999《计算机信息系统安全保护等级划分准则》、GB/T18336-2001《信息技术安全性评估准则》和GB/T20269-2006《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。BS7799标准信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第29页。

BS7799(ISO/IEC17799)即国际信息安全管理标准体系，这个标准包括信息系统安全管理和安全认证两大部分，是参照英国国家标准BS7799而来的。BS7799标准由英国标准协会(BSI)制定的信息安全管理标准，是目前国际上具有代表性的信息安全管理体系标准，标准包括如下两部分：BS7799-1:1999《信息安全管理实施细则》和BS7799-2:1999《信息安全管理体系规范》。BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。虽然，实施细则中的指南内容尽可能趋于全面，并提供一套国际现行安全控制的最佳惯例，但是实施细则中所提供的控制方法并非对每个组织都是充分的，也不是对每个组织都是缺一不可的，它没有考虑实际信息系统在环境和技术上的限制因素，标准假设条款的实施是由具有合适资格和经验的人来承担或指导的。BS7799-2:1999《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法(措施)，因此可以说，标准第一部分为第二部分的具体实施提供了指南。但标准中的控制目标、控制方式的要求并非信息安全管理的全部，组织可以根据需要考虑另外的控制目标和控制方式。其中BS7799-l:1999于2000年12月通过国际标准化组织(ISO)认可，正式成为国际标准，即ISO/IEC17799:2000《信息技术一信息安全管理实施细则》。“组织”这一术语贯穿BS7799标准的始终，它既包括营利组织，也包括非营利组织，如公共部门或公共组织。信息网络安全知识普及教育培训教程--信息安全基础全文共75页，当前为第29页。

BS7799标准

BS7799-1(ISO/IEC1799:2000）《信息安全管理实施细则》是组织建立并实施信