国家信息安全培训丛书:信息安全保障基础
点此进入淘宝搜索页搜索分类: 图书,计算机/网络,信息安全,
作者: 吴世忠,姜常青,彭勇著
出 版 社: 航空工业出版社
出版时间: 2009-6-1字数:版次: 1页数: 373印刷时间:开本: 16开印次: 1纸张:I S B N : 9787802432734包装: 平装内容简介
本书是作者多年在信息安全保障领域研究和实践的成果,它以信息安全保障为主线,结合国家信息安全保障的工作重点和实践,系统地介绍了国内外标准和法律法规最新进展,密码、网络安全、操作系统安全、应用和数据安全、恶意代码等信息安全基础技术,信息安全管理体系、风险评估、灾难恢复、等级保护、应急响应等安全管理技术以及信息安全工程和信息安全攻防实践,形成了符合我国国情的信息安全保障基础知识体系。
本书可作为高等院校信息安全专业的学生教材和参加各类信息安全培训及考试人员的参考资料;同时它也可作为信息安全工作人员的实践指导。
目录
第一部分 信息安全保障综述
第1章信息化与信息安全
1.1信息化的发展和信息安全
1.2信息安全概念的认识和深化
第2章我国信息安全保障工作介绍
2.1我国信息安全保障体系建设的含义
2.2我国信息安全保障工作发展阶段
2.3我国信息安全保障体系的建设规划
2.4国家信息安全保障体系工作的实践
2.5我国信息安全保障工作的思考
第二部分 信息安全标准法规
第3章信息安全标准
3.1标准化概述
3.1.1标准和标准化的定义
3.1.2标准化的发展
3.2我国信息安全标准化建设概况
3.2.1我国信息安全标准化建设工作的意义
3.2.2我国标准化管理和组织机构
3.2.3体系介绍
3.2.4我国信息安全相关标准介绍
3.3信息安全相关标准
3.3.1信息安全评估标准介绍
3.3.2信息安全管理标准介绍
3.3.3信息安全工程标准介绍
第4章信息安全法律法规
4.1信息安全法律法规的概述
4.1.1构建信息安全法律法规的意义
4.1.2构建信息安全法律法规体系的任务
4.1.3我国信息安全法律法规的建设历程
4.1.4我国信息安全法律法规体系框架
4.2现有主要国家信息安全法律简介
4.2.1现有部分国家法律简介
4.2.2现有部分刑法简介
4.2.3现有部分行政法律简介
4.2.4现有部分部门规章及规范性文件简介
第三部分 信息安全管理和工程
第5章信息安全管理基础
5.1我国信息安全管理体制
5.1.1 国家信息安全管理政策背景
5.1.2我国信息安全管理体制
5.2信息安全管理
5.2.1信息安全管理概述
5.2.2信息安全管理组织机构
5.2.3信息安全策略
5.2.4安全控制措施的类型
5.2.5人员管理
5.2.6资产管理
第6章信息安全风险评估
6.1风险评估概述
6.1.1风险评估发展历史
6.1.2我国风险评估工作介绍
6.2风险评估基础
6.2.1 风险的定义
6.2.2风险评估和风险管理
6.3风险评估介绍
6.3.1风险评估概述
6.3.2风险评价方法
6.3.3风险评估过程
6.3.4风险评估成功的关键因素
6.3.5风险评估标准和方法
第7章信息系统灾难恢复管理
7.1信息系统灾难恢复介绍
7.1.1概述
7.1.2历史和背景
7.1.3业务连续管理/灾难恢复管理(BCM/DRM)的定义
7.1.4灾难恢复的级别和指标
7.2灾难恢复管理
7.2.1 灾难恢复管理概述
7.2.2组织机构
7.2.3 灾难恢复管理过程
7.3灾难恢复管理过程
7.3.1 灾难恢复需求分析
7.3.2 灾难恢复策略制定
7.3.3灾难恢复策略实现
7.3.4 灾难恢复预案制定和管理
7.3.5 灾难恢复预案框架
7.4灾难恢复管理的技术考虑
7.4.1备份技术
7.4.1备份技术概述
7.4.2RAID技术
7.4.3备用场所
第8章信息安全应急响应管理
第9章信息安全漏洞箮是
第10章信息安全等级保护
第11章信息安全工程实践
第四部分信息安全技术
第12章密码技术和应用
第13章网络安全基础
第14章常见网络安全技术
第15章操作系统安全
第16章应用与数据安全技术
第17章恶意软件防护技术
第18章信息安全攻防
参考文献
书摘插图
第1章信息化与信息安全
内容介绍
当今的信息安全工作,无论在产业环境、产业标准或是产业理论方面,还是在技术产品市场、管理方面,虽然已初显丰硕的成果,却仍然在摸索中前进。
阅读成果
通过本章的学习,读者应该能够:
•了解信息化的发展和信息安全现状;
•了解信息安全概念。
1.1信息化的发展和信息安全
21世纪之初,随着全球信息化趋势的不可避免性,信息安全问题日渐成为世界各国所面临的主要问题之一。我国也接连发生了多起重大信息安全事件,人们开始逐渐认识到国家的信息化程度越高,所面临的信息安全挑战也会越多。
(1)信息化迅猛发展,信息技术广泛应用,我国步入信息化时代
作为世界上最大的发展中国家,中国的信息化进程起步于20世纪80年代。20世纪90年代,中国信息化建设取得长足进展,成为加快我国国民经济发展、提高政府管理和服务水平、增强企业竞争力、改善人民群众生活水平的重要推动力。信息化发展加快了采用信息技术和提升传统产业的步伐,增强了国民经济的竞争力,、改善和提高了宏观调控和建设节约型社会的国家战略的实现。金卡、金税、金关、金财、金审、金顿、金农、金保、金水、金版、金卫和金质等一系列“金”字工程,代表了中国国民经济行业信息化建设的成就。
进入21世纪,中国的信息化步入快速发展的新阶段。国民经济与社会信息化水平不断提高,信息化在促进经济与社会协调、稳定、持续的发展过程中,、发挥着越来越重要的作用。政府主导的人民网、新华网等新闻网站和新浪、搜狐等商业性综合网站的设立和稳步发展,在传播重要信息、反映社情民意、引导社会舆论等方面发挥了积极重要的影响和作用。信息化所带来的好处日益显现,广大民众对信息化的前景和潜在价值的认识越来越深刻。这些都充分说明,我国信息化建设已顺利迈人了一条适合本国国情、快速发展的道路,信息化进程势头良好、前景喜人。
(2)信息安全重要性提升,信息安全产业和市场逐渐形成
随着信息化和经济全球化的加速发展趋势,我国面临更加复杂的竞争环境。显而易见,互联网发展成为世界各国联系和沟通的重要渠道,信息成为社会发展的重要战略资源,信息化程度的高低成为一个国家现代化水平和综合国力的重要标志。
信息化作为全球化的一个重要方面,直接推动了国际关系的演变和全球经济体系的形成。电子政务、电子商务和整个社会信息化的发展,标志着我国正在进入信息化社会。整个社会越来越依赖于网络和信息系统,网络和信息系统正成为社会运行和发展的重要支撑要素。网络、信息系统和信息资源的安全关系到国家的经济发展、社会稳定和国防巩固,没有信息安全就没有真正有效的信息化,确保国家信息安全已成为国家事务议程中一个突出的重要问题。
改革开放以来,在党中央、国务院的正确领导下,各有关部门及社会各方面积极探索,审慎实践,使我国信息安全保障能力不断提高,为保证我国信息化健康发展发挥了显著作用,已经制定了一批有关信息安全的法律法规和基本的规章,初步组建了具有我国特色的信息安全执法队伍,对加强安全管理、维护网络秩序、打击网络犯罪发挥了重要作用,为信息安全工作提供了法律保障。全社会信息安全意识得到加强,安全管理体制正在逐步理顺,工作机制正在逐步建立,信息安全责任制正在进一步落实,信息安全保障工作的跨部门协调正在得到加强。核心通信系统、信息系统的安全保障建设发挥了显著作用,保证了政令军令安全畅通。网络信息内容的安全管理得到了进一步加强,网络环境逐步改善,对保持社会稳定发挥了重要作用。信息安全基础设施建设步伐加快,提高了基础信息网络和重要信息系统的安全防护水平。自主可控的信息安全技术研究和产业取得重要进展,在某些领域,如密码技术和电磁泄漏防护等领域,已经形成了具有较高水平或我国特色的技术与产品,我国信息安全产业和市场正在形成。
(3)信息安全问题日益突出,现阶段我国的信息安全环境
我国信息安全问题的出现和演变,与国际政治斗争和国际安全环境变化密切相关。与发达国家相比,我国信息安全环境具有四个特点。
第一,我国虽是一个信息大国,但不是一个信息强国。人口总量巨大、资源相对不足的基本国情决定了我国信息网络基础设施规模和网民数量将位居世界首位。但是,目前及今后相当长一段时间里,我国信息通信网络核心技术自主研发、信息化应用创新能力和信息内容建设的总体投入等方面,在一定程度上将受到国内外条件和环境的制约。我国已经成为一个信息大国,但在提高信息网络技术应用和管控能力上仍有诸多难题需要加以解决。
第二,我国信息化发展存在极大的不均衡性。在信息网络技术应用上,东部沿海发达地区和中西部内陆落后地区、城市与农村、工业与农业存在着较大差距,受网络条件和经济投入的制约,信息化在缩小地区发展差距方面的收效并不明显,信息安全问题的严重程度和紧迫性也因这些差距而有所不同。
第三,在信息流量和信息资源上外强内弱。近年来虽然我国的基础网络带宽和互联网络信息流量有所增加,但总体上仍处弱势状态。最新的统计数据显示,我国与发达国家的“数字鸿沟”问题日益突出,现实生活中发达国家对我国进行政治、思想、宗教、文化等信息渗透将有增无减,防范压力增大。
第四,我国信息安全问题具有现实的错综复杂性。从近年来出现的信息安全问题看,网络的互联性、开放性和信息传播性使得信息安全问题的非传统性特征十分明显。我国信息网络安全问题正越来越多并日益紧密地反映出它与社会热点问题相交织、与重大国际热点问题相交织、与各种不稳定因素相交织和与信息化发展进程中的各种不确定性相交织。
1.2信息安全概念的认识和深化
信息安全是一个不断演化、动态发展的概念,对于信息安全的认识和理解也是不断发展的。当今的信息安全工作,无论在产业环境、产业标准或是产业理论方面,还是在技术产品或市场、管理方面,虽然已初显丰硕的成果,却仍然在摸索中前进。从主机时代到微机时代,从局域网时代到互联网时代,在不同时期信息安全有不同的模式和含义。“信息安全”这一概念,在早期的“通信保密”‘阶段以通信内容保密为主,在中期的“信息安全”阶段以信息自身的静态防护为主,而在近期的“信息保障”阶段则强调动态的、纵深的、生命周期的、全信息系统资产的信息安全。我国对信息安全概念的理解和认识以及我国信息安全保障工作的范畴和重点,一方面随着国际上信息安全概念的不断演变而发展,另一方面也结合了我国信息化的实际发展状况。因此,在总结我国信息安全保障工作之前,有必要对信息安全的内涵、特征以及地位和作用做一个准确的梳理和阐释。
(1)信息安全的内涵与发展
简要回顾信息安全的历史,不难看出人类对信息安全的认识和观念上的发展历程经历了(通信)保密阶段、(计算机)信息安全阶段和现在的信息安全保障阶段。
①(通信)保密阶段
在信息化早期,人们将安全之虞主要集中在防止对硬件、软件和数据的物理损害上。威胁纯粹是物理的,信息的载体一旦失窃,信息也就泄露了。
电子通信出现之后,以保护信息的“机密性、完整性和可用性”的通信安全概念逐渐形成。当时涉及的安全性是保密性,需要解决的问题是在远程通信中防止非授权用户窃取信息,在此阶段的主要安全威胁是线路窃听。
②(计算机)信息安全阶段
20世纪70~80年代,随着计算机技术的发展和应用的普及,尤其是军队和政府对计算机技术的需求量增大,且在欧美各国计算机窃密和犯罪问题的出现,计算机安全问题日益突出,以“预防、消除和减少计算机系统用户的非授权行为”为核心的计算机安全概念逐渐流行。
80年代中期,随着网络和其他相关技术的发展,国外将传统保密、通信保密和计算机安全合在一起,统称信息技术安全、信息系统安全或信息安全。信息安全需要解决的主要问题是确保计算机系统中硬件、软件及正在处理、存储、传输信息的保密性、完整性和可用性。保密性,即一定时间只限授权人员知悉的事项;完整性,即防止未授权人员对信息的任何修改;可用性,即合法用户能获得预期的安全的服务和网络环境。此时,对计算机安全的威胁扩展到恶意代码(病毒)、非法访问、脆弱口令和黑客等。
20世纪90年代以来,通信和计算机技术相互依存,数字化技术促进了计算机网络发展。网络成为全球化、智能化、个人化的信息高速公路,因特网成为通信平台。
……
