信息網(wǎng)絡(luò)安全知識(shí)普及教育培訓(xùn)教程信息安全基礎(chǔ)

信息安全基礎(chǔ)廈門市公安局網(wǎng)監(jiān)處傅明德

第一節(jié)信息安全基礎(chǔ)知識(shí)

第二節(jié)信息安全管理基礎(chǔ)

第三節(jié)物理安全

第一節(jié)信息安全基礎(chǔ)知識(shí)

一、信息安全的概念

二、信息安全的發(fā)展現(xiàn)狀

三、信息安全的技術(shù)體系結(jié)構(gòu)

四、信息安全的法律體系1.1.1信息安全的概念

20世紀(jì)，人類在科學(xué)技術(shù)領(lǐng)域內(nèi)最大的成就是發(fā)明制造了電子計(jì)算機(jī)。為了不斷提高其性能，增加計(jì)算機(jī)的功能和應(yīng)用范圍，全球科學(xué)家和技術(shù)人員一直在孜孜不倦地進(jìn)行試驗(yàn)和改進(jìn)。在計(jì)算機(jī)更新?lián)Q代的改進(jìn)過程中，電子化技術(shù)、數(shù)字技術(shù)、通信技術(shù)以及網(wǎng)絡(luò)技術(shù)不斷融合和被廣泛應(yīng)用，從而使得以計(jì)算機(jī)為負(fù)載主體的互聯(lián)網(wǎng)技術(shù)得以突破時(shí)空限制而普及全球，并由此開創(chuàng)了一個(gè)以電子信息交流為標(biāo)志的信息化時(shí)代。隨著科學(xué)技術(shù)特別是信息技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及我國信息化進(jìn)程的不斷推進(jìn)，各種信息化系統(tǒng)已經(jīng)成為國家的關(guān)鍵基礎(chǔ)設(shè)施，它們支持著網(wǎng)絡(luò)通信、電子商務(wù)、電子政務(wù)、電子金融、電子稅務(wù)、網(wǎng)絡(luò)教育以及公安、醫(yī)療、社會(huì)福利保障等各個(gè)方面的應(yīng)用。相對(duì)于傳統(tǒng)系統(tǒng)而言，數(shù)字化網(wǎng)絡(luò)的特點(diǎn)使得這些信息系統(tǒng)的運(yùn)作方式，在信息采集、儲(chǔ)存、數(shù)據(jù)交換、數(shù)據(jù)處理、信息傳送上都有著根本的區(qū)別。無論是在計(jì)算機(jī)上的儲(chǔ)存、處理和應(yīng)用．還是在通信網(wǎng)絡(luò)上交換、傳輸，信息都可能被非法授權(quán)訪問而導(dǎo)致泄密，被篡改破壞而導(dǎo)致不完整，被冒充替換而不被承認(rèn)，更可能因?yàn)樽枞麛r截而無法存取，這些都是網(wǎng)絡(luò)信息安全上的致命弱點(diǎn)。因而，信息安全應(yīng)運(yùn)而生。1.1.1信息安全的概念

要理解信息安全，首先要了解什么是信息?！靶畔ⅰ笔钱?dāng)代使用頻率很高的一個(gè)概念，也是很難說清楚的一個(gè)概念，目前比較流行的有以下幾種說法：

1、信息是用語言、文字、數(shù)字、符號(hào)、圖像、聲音、情景、表情、狀態(tài)等方式傳遞的內(nèi)容。

2、1948年，信息論的奠基人之一，美國數(shù)學(xué)家申農(nóng)（Shanon）第一個(gè)以信息公式的方式定義“信息是熵的減少”，這里用到的“熵”是不確定性的度量。申農(nóng)的信息定義實(shí)際上是說，信息是“用來消除不確定的東西”。

3、控制論的奠基人維納（Wiener）在1948年指出：“信息就是信息，不是物質(zhì)．也不是能量”。專門指出了信息是區(qū)別于物質(zhì)與能量的第三類資源。

4、有人說信息是事物表現(xiàn)的一般形式，信息就是消息，強(qiáng)調(diào)了信息的知識(shí)性。

5、有人強(qiáng)調(diào)信息的作用性，發(fā)展申農(nóng)的信息定義，提出信息是具有新內(nèi)容與新知識(shí)的消息。1.1.1信息安全的概念

6、有人則強(qiáng)調(diào)信息與通信的關(guān)系，并且進(jìn)一步形成了三類看法：

1、“技術(shù)信息”，認(rèn)為信息是物質(zhì)屬性的反映，例如事物運(yùn)動(dòng)的狀態(tài)與方式等。

2、“語義信息”，認(rèn)為信息是人們適應(yīng)外部世界，并同外部進(jìn)行內(nèi)容交換的標(biāo)記，例如各種知識(shí)與技能等。

3、“價(jià)值信息”，認(rèn)為信息是具有價(jià)值性、有效性、經(jīng)濟(jì)性及其他特性的知識(shí)，例如各種情報(bào)等。

據(jù)不完全統(tǒng)計(jì)，世界上有關(guān)信息的定義有100多種，它們都從不同的側(cè)面、不同的層次揭示了信息的某些特征和性質(zhì)，但至今仍沒有統(tǒng)一的、能為各界普遍認(rèn)同的定義?！靶畔ⅰ钡亩x之所以呈現(xiàn)多樣化，主要有三方面的原因：第一，信息本身的復(fù)雜性，它是一個(gè)多元化、多層次、多功能的綜合物；第二，信息科學(xué)是一門新興學(xué)科，是一門“大”學(xué)科，它有許多分支學(xué)科，它的內(nèi)涵與外延不很確切，而且隨著社會(huì)、經(jīng)濟(jì)和科學(xué)技術(shù)的發(fā)展處于不斷發(fā)展之中；第三，人們出于不同的研究目的或使用目的，從不同的角度或?qū)哟纬霭l(fā)，對(duì)“信息”必然作出不同的理解與解釋。1.1.1信息安全的概念

我國國家標(biāo)準(zhǔn)GB4898一85《情報(bào)與文獻(xiàn)工作詞匯基本術(shù)語》中，關(guān)于“信息”的解釋是：“Information，物質(zhì)存在的一種方式、形態(tài)或運(yùn)動(dòng)狀態(tài)，也是事物的一種普遍屬性，一般指數(shù)據(jù)、消息中所包含的意義，可以使消息中所描述事件的不確定性減少”。這個(gè)定義首先明確了信息的本質(zhì)是物質(zhì)的屬性，而不是物質(zhì)實(shí)體本身?？陀^存在的一切事物，包括自然界、人體本身和人類社會(huì)，都是在不斷運(yùn)動(dòng)著的，運(yùn)動(dòng)的物質(zhì)，必然會(huì)產(chǎn)生相互作用和影響，從而引起物質(zhì)結(jié)構(gòu)、數(shù)量等多方面的變化，事物的這些變化，便成為信息產(chǎn)生的物質(zhì)基礎(chǔ)。因此，信息不是事物本身，而是由事物發(fā)出的數(shù)據(jù)、消息中所包含的意義。同時(shí)，這一定義明確了信息的認(rèn)知知識(shí)的功能，即能減少不確定性的能力，可以說，信息是知識(shí)的源泉，知識(shí)是對(duì)獲得信息進(jìn)行處理并使之系統(tǒng)化的結(jié)果。這一功能是信息的基本功能，是人類解釋客觀世界發(fā)展規(guī)律的重要途徑，知識(shí)的積累、科技的發(fā)展進(jìn)步、經(jīng)濟(jì)文化的繁榮，都離不開信息的這一功能，經(jīng)過大腦對(duì)信息的鑒別、篩選、歸納、提煉和存儲(chǔ)，人類對(duì)客觀世界的認(rèn)識(shí)逐步深入，人類逐步進(jìn)化、進(jìn)步、發(fā)展。最后，這一定義明確了信息是指數(shù)據(jù)與消息中所包含的意義，是數(shù)據(jù)與消息這樣的信息中所包含的內(nèi)容，區(qū)分了信息與信息，從結(jié)構(gòu)上使信息的概念更加準(zhǔn)確。

一般意義上，信息（Information）是指事物運(yùn)動(dòng)的狀態(tài)和方式，是事物的一種屬性，在引入必要的約束條件后可以形成特定的概念體系。對(duì)現(xiàn)代社會(huì)來說，信息也是一種資產(chǎn)，包括計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)，還包括專利、標(biāo)準(zhǔn)、商業(yè)機(jī)密、文件、圖紙、管理規(guī)章、關(guān)鍵人員等，就像其他重要的商業(yè)資產(chǎn)那樣，信息資產(chǎn)具有重要的價(jià)值，因而需要進(jìn)行妥善保護(hù)。1.1.1信息安全的概念

(二)信息的性質(zhì)和功能

信息具有下面一些重要的性質(zhì):

1、普遍性：信息是事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式。因此，只要有事物的存在，只要事物在不斷地運(yùn)動(dòng)，就會(huì)有它們運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式，也就存在著信息，所以信息是普遍存在的，信息具有普遍性。

2、無限性：在整個(gè)宇宙時(shí)空中，信息是無限的，即使是在有限的空間中,信息也是無限的。一切事物運(yùn)動(dòng)的狀態(tài)和方式都是信息，事物是無限多樣的，事物的發(fā)展變化更是無限的，因而信息是無限的。

3、相對(duì)性：對(duì)于同一個(gè)事物，不同的觀察者所能獲得的信息量可能不同。

4、傳遞性：信息可以在時(shí)間上或在空間中從一點(diǎn)傳遞到另一點(diǎn)。

5、變換性：信息是可變換的，它可以由不同載體用不同的方法來載荷。

6、有序性：信息可以用來消除系統(tǒng)的不定性，增加系統(tǒng)的有序性。獲得了信息，就可以消除認(rèn)識(shí)主體對(duì)于事物運(yùn)動(dòng)狀態(tài)和狀態(tài)變化方式的不確定性。信息的這一性質(zhì)使信息對(duì)人類具有特別重要的價(jià)值。1.1.1信息安全的概念

7、動(dòng)態(tài)性：信息具有動(dòng)態(tài)性質(zhì)，一切活的信息都隨時(shí)間而變化，因此，信息也是有時(shí)效的。信息是事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式，事物本身在不斷發(fā)展變化，因而信息也會(huì)隨之變化。脫離了母體的信息因?yàn)椴辉倌軌蚍从衬阁w的新的運(yùn)動(dòng)狀態(tài)和狀態(tài)變化方式，它的效用就會(huì)降低，以至完全失去效用，這就是信息的時(shí)效性。所以人們在獲得信息之后，并不能就此滿足，信息要及時(shí)發(fā)揮效用，要不斷補(bǔ)充和更新。

8、轉(zhuǎn)化性：信息可以轉(zhuǎn)化，在一定的條件下，信息可以轉(zhuǎn)化為物質(zhì)、能量。最主要的條件是信息必須被人們有效地利用。正確而有效地利用信息，就可能在同樣的條件下創(chuàng)造更多的物質(zhì)財(cái)富和能量。

上述這些性質(zhì)是信息的主要性質(zhì)。了解信息的性質(zhì)，一方面有助于對(duì)信息概念進(jìn)一步理解，另一方面也有助于人們更有效地掌握和利用信息。

信息的基本功能在于維持和強(qiáng)化世界的有序性，可以說，缺少物質(zhì)的世界是空虛的世界，缺少能量的世界是死寂的世界，缺少信息的世界是混亂的世界。信息的社會(huì)功能則表現(xiàn)在維系社會(huì)的生存，促進(jìn)人類文明的進(jìn)步和人類自身的發(fā)展。信息的功能主要表現(xiàn)為：

信息是一切生物進(jìn)化的導(dǎo)向資源。生物生存于自然環(huán)境之中，而外部自然環(huán)境經(jīng)常發(fā)生變化，如果生物不能得到這些變化的信息，生物就不能及時(shí)采取必要的措施來適應(yīng)環(huán)境的變化，就可能被變化了的環(huán)境所淘汰。1.1.1信息安全的概念

信息是知識(shí)的來源。知識(shí)是人類長期實(shí)踐的結(jié)晶，知識(shí)一方面是人們認(rèn)識(shí)世界的結(jié)果，另一方面又是人們改造世界的方法，信息具有知識(shí)的秉性，可以通過一定的歸納算法被加工成知識(shí)。

信息是決策的依據(jù)。決策就是選擇，而選擇意味著消除不確定性，意味著需要大量、準(zhǔn)確、全面及時(shí)的信息。

信息是控制的靈魂。這是因?yàn)椋刂剖且罁?jù)策略信息來干預(yù)和調(diào)節(jié)被控對(duì)象的運(yùn)動(dòng)狀態(tài)和狀態(tài)變化的方式；沒有策略信息，控制系統(tǒng)便會(huì)不知所措。

信息是思維的材料。思維的材料只能是“事物的運(yùn)動(dòng)狀態(tài)和狀態(tài)變化的方式”，而不可能是事物的本身。人的思維和智慧是信息過程的產(chǎn)物。

信息是管理的基礎(chǔ)，是一切系統(tǒng)實(shí)現(xiàn)自組織的保證。

信息是一種重要的社會(huì)資源，雖然人類社會(huì)在漫長的進(jìn)化過程中一直沒有離開信息，但是只有到了信息時(shí)代的今天，人類對(duì)信息資源的認(rèn)識(shí)、開發(fā)和利用才達(dá)到高度發(fā)展的水平?，F(xiàn)代社會(huì)將信息、材料和能源看成支持社會(huì)發(fā)展的三大支柱，充分說明了信息在現(xiàn)代社會(huì)中的重要性。信息安全的任務(wù)是確保信息功能的正確實(shí)現(xiàn)。1.1.1信息安全的概念

如果說信息是一家機(jī)構(gòu)的資產(chǎn)，與其他資產(chǎn)一樣，應(yīng)受到保護(hù)，那么信息安個(gè)的作用就是保護(hù)信息不受大范圍威脅所干擾，使機(jī)構(gòu)業(yè)務(wù)能夠暢順，減少損失及提供最大的投資回報(bào)和商機(jī)。信息及其支持進(jìn)程、系統(tǒng)和網(wǎng)絡(luò)是機(jī)構(gòu)的重要資產(chǎn)。信息的保密性、完整性和可用性對(duì)機(jī)構(gòu)保持競爭能力、現(xiàn)金流、利潤、守法及商業(yè)形象至關(guān)重要。但機(jī)構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對(duì)來自四面八方的威脅，如計(jì)算機(jī)輔助的詐騙、間諜、破壞、火災(zāi)及水災(zāi)等。損失的來源如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復(fù)雜。信息安全就是要采取措施(相應(yīng)的技術(shù)手段及有效管理)讓這些信息資產(chǎn)免遭威脅，或者將威脅帶來的危害降到最低程度，以此維護(hù)機(jī)構(gòu)的正常運(yùn)作。凡是涉及信息的保密性、完整性、可用性、可追溯性、真實(shí)性和可靠性保護(hù)等方面的技術(shù)和理論，都是信息安全所要研究的范疇，也是信息安全所要實(shí)現(xiàn)的目標(biāo)。

安全(Security)并沒有統(tǒng)一的定義，這里是指將信息面臨的威脅降到(機(jī)構(gòu)可以接受的)最低限度。同樣，信息安全(InformationSecurity)也沒有公認(rèn)和統(tǒng)一的定義。國內(nèi)外對(duì)于信息安全的概念都比較含糊和籠統(tǒng)，但都強(qiáng)調(diào)的一點(diǎn)是：離開信息體系和具體的信息系統(tǒng)來談?wù)撔畔踩菦]有意義的。因此人們通常從兩個(gè)角度來對(duì)信息安全進(jìn)行定義：一是從具體的信息技術(shù)系統(tǒng)來定義，二是從某一個(gè)特定信息體系(如金融信息系統(tǒng)、政務(wù)信息系統(tǒng)、商務(wù)信息系統(tǒng)等)的角度來定義。從學(xué)科和技術(shù)的角度來說,信息安全(學(xué))是一門綜合性學(xué)科，它研究、發(fā)展的范圍很廣，包括信息人員的安全性、信息管理的安全性、信息設(shè)施的安全性、信息本身的保密性、信息傳輸?shù)耐暾?、信息的不可否認(rèn)性、信息的可控性、信息的可用性等，確保信息系統(tǒng)按照預(yù)期運(yùn)行且不做任何多余的事情，系統(tǒng)所提供的信息機(jī)密性可以得到適度的保護(hù)，系統(tǒng)、數(shù)據(jù)和軟件的完整性得到維護(hù)和統(tǒng)一，以防任何可能影響任務(wù)完成的非計(jì)劃的任務(wù)中斷。長期以來，人們比較認(rèn)同的關(guān)于信息安全的定義有兩個(gè)：1.1.1信息安全的概念

一個(gè)是美國聯(lián)邦政府標(biāo)準(zhǔn)的定義----“保護(hù)信息系統(tǒng)免受意外或故意的非授權(quán)泄漏、傳遞、修改或破壞”；另外一個(gè)是我國信息安全國家重點(diǎn)實(shí)驗(yàn)室的定義---“信息安全涉及信息的保密性(Confidentiality)、可用性(Availability)、完整性(Integrity)和可控性(Controllability)。保密性就是保證信息不泄漏給未經(jīng)授權(quán)的人；可用性就是保證信息以及信息系統(tǒng)確實(shí)為授權(quán)使用者所用；完整性就是抵抗對(duì)手的主動(dòng)攻擊，防止信息被篡改；可控性就是對(duì)信息以及信息系統(tǒng)實(shí)施安全監(jiān)控。綜合起來說，就是要保障電子信息的有效性”。國際標(biāo)準(zhǔn)化組織(ISO)定義信息安全為“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露”。隨著計(jì)算機(jī)應(yīng)用范圍的逐漸擴(kuò)大以及信息內(nèi)涵的不斷豐富，信息安全涉及的領(lǐng)域內(nèi)涵也越來越廣。信息安全不僅是保證信息的機(jī)密性、完整性、可用性、可控性和可靠性，并且從主機(jī)的安全技術(shù)發(fā)展到網(wǎng)絡(luò)體系結(jié)構(gòu)的安全．從單一層次的安全發(fā)展到多層次的立體安全。目前，涉及的領(lǐng)域還包括黑客的攻防、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)犯罪取證等方面。因此在不會(huì)產(chǎn)生歧義時(shí)，常將計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全簡稱為信息安全。由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端發(fā)布不均勻性和網(wǎng)絡(luò)開放性、互聯(lián)性等特征，使得網(wǎng)絡(luò)易受到黑客、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)絡(luò)信息的安全和保密性就是一個(gè)至關(guān)重要的問題。無論是在單機(jī)系統(tǒng)、局域網(wǎng)還是在廣域網(wǎng)系統(tǒng)中，都存在著自然環(huán)境和人為等諸多因素的脆弱性和潛在威脅。因而計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全措施應(yīng)該是可以全方位地針對(duì)各種不同的威脅和脆弱性，才能確保網(wǎng)絡(luò)信息的保密性、可用性、完整性和可控性。一切影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素和保障計(jì)算機(jī)網(wǎng)絡(luò)安全的措施都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究內(nèi)容。在這里，我們可以這樣來定義信息安全：信息安全是指信息在產(chǎn)生、傳輸、處理和儲(chǔ)存過程中不被泄漏或破壞，確保信息的可用性、保密性、完整性和不可否認(rèn)性，并保證信息系統(tǒng)的可靠性和可控性。1.1.1信息安全的概念

(四)信息安全的屬性

信息安全的基本屬性有信息的完整性、可用性、機(jī)密性、可控性、可靠性和不可否認(rèn)性。

1、完整性:完整性是指信息在存儲(chǔ)、傳輸和提取的過程中保持不被修改延遲、不亂序和不丟失的特性。一般通過訪問控制阻止篡改行為,通過信息摘要算法來檢驗(yàn)信息是否被篡改。完整性是數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性,其目的是保證信息系統(tǒng)上的數(shù)據(jù)處于一種完整和未損的狀態(tài)。

2、可用性:信息可用性指的是信息可被合法用戶訪問并能按要求順序使用的特性，即在需要就可取用所需的信息?？捎眯允切畔①Y源服務(wù)功能和性能可靠性的度量，是對(duì)信息系總體可靠性的要求。目前要保證系統(tǒng)和網(wǎng)絡(luò)能提供正常的服務(wù)，除了備份和冗余配置之外，沒有特別有效的方法。

3、機(jī)密性:信息機(jī)密性又稱為信息保密性，是指信息不泄漏給非授權(quán)的個(gè)人和實(shí)體，或供其使用的特性。信息機(jī)密性針對(duì)信息被允許訪問對(duì)象的多少而不同。所有人員都可以訪問的信息為公用信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性或保密要求分為不同的密級(jí)如國家根據(jù)秘密泄露對(duì)國家經(jīng)濟(jì)、安全利益產(chǎn)生的影響(后果)不同，將國家秘密分為A(秘密級(jí))、B(機(jī)密級(jí))和C(絕密級(jí))三個(gè)等級(jí)。秘密是不能泄漏給非授權(quán)用戶、不被非法利用的，非授權(quán)用戶就算得到信息也無法知曉信息的內(nèi)容。機(jī)密性通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息，通過加密技術(shù)阻止非授權(quán)用戶獲知信息內(nèi)容。

4、可控性:信息可控性是指可以控制授權(quán)范圍內(nèi)的信息流向以及行為方式，對(duì)信息的傳播及內(nèi)容具有控制能力。為保證可控性，通常通過握手協(xié)議和認(rèn)證對(duì)用戶進(jìn)行身份鑒別，通過訪問控制列表等方法來控制用戶的訪問方式，通過日志記錄對(duì)用戶的所有活動(dòng)進(jìn)行監(jiān)控、查詢和審計(jì)。1.1.1信息安全的概念

5、可靠性:可靠性是指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性（包括信息的迅速、準(zhǔn)確和連續(xù)的轉(zhuǎn)移等），但也有人認(rèn)為可靠性就是人們對(duì)信息系統(tǒng)而不是對(duì)信息本身的要求。

6、不可否認(rèn)性:不可否認(rèn)性是指能保證用戶無法在事后否認(rèn)曾對(duì)信息進(jìn)行的生成、簽發(fā)、接受等行為，是針對(duì)通訊各方面信息真實(shí)同一性的安全要求。一般用數(shù)字簽名和公證機(jī)制來保證不可否認(rèn)性。（五）信息安全的特征

信息安全具有整體的、動(dòng)態(tài)的、無邊界和發(fā)展的特征，是一種非傳統(tǒng)安全。信息安全涉及多個(gè)領(lǐng)域，是一個(gè)系統(tǒng)工程，需要全社會(huì)的共同努力和承擔(dān)責(zé)任及義務(wù)；信息安全不是靜態(tài)的，它是相對(duì)和動(dòng)態(tài)的，經(jīng)歷了從最初純粹的物理安全問題到今天隨著信息技術(shù)的發(fā)展和普及，以及產(chǎn)業(yè)基礎(chǔ)、用戶認(rèn)識(shí)、投入產(chǎn)出而出現(xiàn)的動(dòng)態(tài)的全方位的安全問題；信息安全已經(jīng)是全球性的而非某個(gè)國家或地區(qū)特有的問題，尤其是網(wǎng)絡(luò)高度的互動(dòng)性、滲透性使得信息安全問題變得越來越難以控制，不可避免地影響到我們生活的方方面面。信息安全是過程的安全，它不是固定不變的．而是貫穿于整個(gè)信息技術(shù)的發(fā)展過程中，應(yīng)在系統(tǒng)建設(shè)過程中同步考慮。

互聯(lián)網(wǎng)的全球性、快捷性、共享性、全天候性決定了信息安全問題的新特征。信息基礎(chǔ)設(shè)施本身的脆弱性和攻擊手段的不斷更新，使信息安全領(lǐng)域易攻難守。網(wǎng)上攻擊無論距離還是速度都突破了傳統(tǒng)安全的限制，具有多維、多點(diǎn)、多次實(shí)施隱蔽打擊的能力。由于網(wǎng)絡(luò)覆蓋全球，因而助長了犯罪分子的破壞能力和有恃無恐的犯罪心理，給世界帶來了更多的不穩(wěn)定因素。各國的民族文化和道德價(jià)值觀面臨前所未有的沖擊和顛覆，為此付出的巨大經(jīng)濟(jì)成本和時(shí)間精力難以計(jì)算。信息安全問題日益嚴(yán)重必將給人類發(fā)展國家管理和社會(huì)穩(wěn)定帶來巨大的危害。1.1.1信息安全的概念

信息安全屬于非傳統(tǒng)安全，非傳統(tǒng)安全主要是相對(duì)于傳統(tǒng)安全而言的。傳統(tǒng)安全是指以軍事安全為核心的安全；而將軍事以外的對(duì)主權(quán)國家及人類整體生存與發(fā)展構(gòu)成威脅的因素稱為非傳統(tǒng)安全。除軍事以外的非傳統(tǒng)安全問題主要包括：經(jīng)濟(jì)安全、金融安全、環(huán)境安全、信息安全、能源安全、恐怖主義、武器擴(kuò)散、疾病蔓延、跨國犯罪等。由于冷戰(zhàn)的結(jié)束，大規(guī)模軍事對(duì)抗隨著兩極格局的消亡而退出主戰(zhàn)場，非傳統(tǒng)安全問題在我們今天的日常生活中正扮演著越來越重要的角色。在可預(yù)見的未來，由于經(jīng)濟(jì)全球化的大發(fā)展，世界越來越呈現(xiàn)出一種“你中有我，我中有你”的局面，取得“共贏”已逐漸代替“零和”（即我贏你輸或我輸你贏）的舊安全格局，大規(guī)模的軍事對(duì)抗在可預(yù)見的未來發(fā)生的可能性很小，非傳統(tǒng)安全將是未來我們將要長期面對(duì)的問題。

由于信息安全屬于非傳統(tǒng)安全，因此做好信息安全保障工作必須打破人們對(duì)國家安，全觀的固有認(rèn)識(shí)。不能完全使用傳統(tǒng)的辦法來解決非傳統(tǒng)的問題，需要綜合運(yùn)用政策、法律、管理、技術(shù)等手段。1.1.2信息安全的發(fā)展現(xiàn)狀

從20世紀(jì)90年代末期開始，隨著因特網(wǎng)的成熟和廣泛應(yīng)用，引發(fā)了一場全球范圍內(nèi)的信息革命，全球信息化的步伐不斷加快，信息型社會(huì)正在形成并走向成熟。信息，逐漸被作為一種重要的社會(huì)戰(zhàn)略資源而與物質(zhì)、能源、人才一起被列為現(xiàn)代社會(huì)生產(chǎn)力要素中的重要因素。信息化社會(huì)中，信息安全必然很重要。然而信息安全所面臨的威脅也由來已久。自世界上出現(xiàn)計(jì)算機(jī)病毒理論后，對(duì)計(jì)算機(jī)系統(tǒng)的攻擊就引起了一些人的興趣。至今，這種攻擊已由學(xué)術(shù)上的探討，計(jì)算機(jī)操作系統(tǒng)的漏洞發(fā)現(xiàn)與彌補(bǔ)演變成了對(duì)信息系統(tǒng)的破壞和對(duì)涉及國家利益信息、商業(yè)信息及個(gè)人隱私信息的竊取和破壞。隨著因特網(wǎng)的迅猛發(fā)展，更進(jìn)一步暴露出了這種自由網(wǎng)絡(luò)空間具有的無中心、無管理、不可控、不可信等不安全的特征，且形成了對(duì)一切現(xiàn)存社會(huì)秩序的威脅。伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及和廣泛應(yīng)用，導(dǎo)致信息安全泄密事件頻頻出現(xiàn)，計(jì)算機(jī)網(wǎng)絡(luò)犯罪也呈現(xiàn)多樣化的形式，網(wǎng)絡(luò)欺詐、黑客入侵、計(jì)算機(jī)病毒、計(jì)算機(jī)破壞、信用卡犯罪等新問題層出不窮。因此，信息安全問題越來越受到各國政府部門和眾多計(jì)算機(jī)專家、學(xué)者的廣泛重視和研究，越來越多的研究機(jī)構(gòu)開始對(duì)信息安全問題展開了探討和研究。

1.1.2信息安全的發(fā)展現(xiàn)狀

（一）國內(nèi)外發(fā)展和研究現(xiàn)狀

從20世紀(jì)90年代開始，由于Internet技術(shù)廣泛的應(yīng)用，“黑客”活動(dòng)日益猖撅，信息系統(tǒng)安全提出了許多新的問題，信息系統(tǒng)安全領(lǐng)域呼吁修改DoD585的橘皮書，美國頒布了新的聯(lián)邦評(píng)測標(biāo)準(zhǔn)（FC）草案，用以代替80年代頒布的橘皮書。在上述標(biāo)準(zhǔn)的基礎(chǔ)上，美國、加拿大和歐洲聯(lián)合研制CC（信息技術(shù)安全評(píng)測公共標(biāo)準(zhǔn)），并于1994年頒布0.9版，于1996年頒布了1.0版。在歐洲，英國、荷蘭和法國帶頭，開始聯(lián)合研制歐洲共同的安全評(píng)測標(biāo)準(zhǔn)，并于1991年頒布ITSEC（信息技術(shù)安全標(biāo)準(zhǔn)）。1993年，加拿大頒布CTCPEC（加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)測標(biāo)準(zhǔn)）。1993年，美國國防部國防信息系統(tǒng)局又提出在C41系統(tǒng)（Command,Control,Cornmunication,Computer,andl,ltelligenceSystem)上采用多級(jí)安全（MLS）技術(shù)與概念。在美國，信息和信息系統(tǒng)是由總統(tǒng)親自領(lǐng)導(dǎo)的，投人力度相當(dāng)可觀。美國已經(jīng)頒布了《計(jì)算機(jī)安全法》日本也頒布了《反黑客法》。國際間的合作也已開始進(jìn)行，2000年5月，在法國巴黎舉行的《政府機(jī)構(gòu)和私營部門關(guān)于網(wǎng)絡(luò)空間安全和信任對(duì)話》會(huì)議，就是世界上首次以打擊網(wǎng)絡(luò)犯罪為主要內(nèi)容的國際性會(huì)議。同時(shí)，一些大的跨國公司在信息和信息系統(tǒng)安全方面推出了新的技術(shù)和產(chǎn)品。例如：HP公司領(lǐng)導(dǎo)發(fā)布的X/OpenSecurityBranding計(jì)劃（1996年3月推出），推出了ICF（國際密碼架構(gòu)）戰(zhàn)略，聯(lián)合其他合作伙伴共同占領(lǐng)廣大的信息安全產(chǎn)品國際市場，并推出HPUXC-MWBI級(jí)操作系統(tǒng)，通過TC-SE乙ITSEC的評(píng)測。DEC公司推出安全級(jí)別為C2級(jí)的操作系統(tǒng)為DigitalUNIX和OpenVMS，推出的Bl級(jí)／CMW級(jí)的操作系統(tǒng)是SEVMS和DigitalMLS+，通過了TCSEC和ITSEC的兩個(gè)認(rèn)證評(píng)測。還有網(wǎng)絡(luò)監(jiān)視器和防火墻產(chǎn)品，其中，AltaVistaaTunnelPersonalEdition與AltaVistaTunnelWorkgroupE-dition是兩個(gè)著名產(chǎn)品。ORACLE公司的安全數(shù)據(jù)庫是TrustedOracle，是BZ產(chǎn)品，在美國是用于軍方的產(chǎn)品。還有Bl級(jí)的ORACIE產(chǎn)品。

1.1.2信息安全的發(fā)展現(xiàn)狀

通過了TCSEC和ITSEC的評(píng)測。在國內(nèi)，信息系統(tǒng)安全方面的建設(shè)可以追溯到“七五”與“八五”期間，我國在信息加密、解密、密鑰芯片、密鑰管理等方面有所研究，到了20世紀(jì)90年代，在信息安全的傳統(tǒng)思路上，中國科學(xué)院成立了信息安全技術(shù)工程研究中心，主要從事上述技術(shù)中加密與解密的研究工作。但是，所有這些主要停留在傳統(tǒng)的信息安全的概念上，對(duì)系統(tǒng)的安全重視不夠。從“七五”開始到“九五”期間，信息產(chǎn)業(yè)部15所太極計(jì)算機(jī)公司在網(wǎng)絡(luò)安全方面進(jìn)行了科研工作。在信息產(chǎn)業(yè)部15所在“九五”期間正在進(jìn)行UNIX操作系統(tǒng)的安全研究工作，于1998年驗(yàn)收和鑒定了自主開發(fā)的UNIX操作系統(tǒng)Bl級(jí)安全核開發(fā)工作。同時(shí)在太極聯(lián)合實(shí)驗(yàn)室，啟動(dòng)了與國際水平接軌的網(wǎng)絡(luò)和系統(tǒng)的安全測試、管理和監(jiān)控軟件的自主開發(fā)。太極計(jì)算機(jī)公司研制成功了自主開發(fā)系列服務(wù)器產(chǎn)品、ATM網(wǎng)絡(luò)接人交換設(shè)備、1000兆以太網(wǎng)絡(luò)、100兆自適應(yīng)網(wǎng)絡(luò)接口設(shè)備、安全路由器以及分布式防火墻。這些產(chǎn)品已經(jīng)應(yīng)用于政府要害單位的系統(tǒng)中。另外，中國軟件與服務(wù)總公司在“八五”期間開發(fā)了具有自主版權(quán)的UNIX操作系統(tǒng)。北京信息工程學(xué)院、東大軟件園區(qū)、中國人民大學(xué)信息學(xué)院等單位開發(fā)了自主版權(quán)的數(shù)據(jù)庫管理系統(tǒng)。

世界各國的信息安全技術(shù)水平可以劃分為三類：一是信息化水平較高，信息安全保障水平相應(yīng)較高的國家，如美國；二是信息化起步較晚，但已經(jīng)達(dá)到一定程度的國家，其信息安全保障也相應(yīng)具備了一定的基礎(chǔ)，如中國；三是信息化剛剛起步，甚至沒有起步，其信息安全保障幾乎處于空白狀態(tài)，如一些發(fā)展中國家。從總體上來說，即便是信息安全保障最發(fā)達(dá)的國家，也仍然沒有具備完全解決信息安全問題的能力，像美國白宮和美國軍隊(duì)的網(wǎng)站就經(jīng)常受到不明身份黑客的破譯攻擊而出現(xiàn)癱瘓、泄密等問題。在與信息安全破壞者的斗爭中，目前全世界都處于被動(dòng)的局面，這也決定了信息安全技術(shù)具有較大的發(fā)展空間。目前信息安全技術(shù)處于領(lǐng)先的國家主要是美國、法國、以色列、英國、丹麥、瑞士等，一方面這些國家在技術(shù)方面特別是在芯片技術(shù)上有著一定的歷史沉積，另一方面這些國家信息安全技術(shù)的應(yīng)用。

1.1.2信息安全的發(fā)展現(xiàn)狀

電子商務(wù)、企業(yè)信息化等起步較早，應(yīng)用比較廣泛。它們的領(lǐng)先優(yōu)勢主要集中在防火墻、人侵監(jiān)測、漏洞掃描、防殺毒、身份認(rèn)證等傳統(tǒng)的安全產(chǎn)品上。而在注重防內(nèi)兼顧防外的信息安全綜合審計(jì)上，國內(nèi)的意識(shí)理念早于國外，產(chǎn)品開發(fā)早于國外，目前在技術(shù)上有一定的領(lǐng)先優(yōu)勢。

就我國目前的情況而言，不論是政府部門還是科研機(jī)構(gòu)都意識(shí)到信息安全事關(guān)國家安全，也給予了足夠的重視，但是還存在以下幾個(gè)方面的弱點(diǎn)：

1、信息安全的觀念有待加強(qiáng)

我國多數(shù)民眾都存在著一種重視硬件忽視軟件、重視軟件開發(fā)忽視安全建設(shè)的錯(cuò)誤傾向，導(dǎo)致在信息安全領(lǐng)域存在以下不足：安全意識(shí)淡薄，管理措施不到位；缺乏權(quán)威領(lǐng)導(dǎo)機(jī)構(gòu)；缺乏統(tǒng)一的、全局的安全規(guī)劃；缺乏有效的監(jiān)管措施和手段；缺乏專業(yè)的信息安全人才和專業(yè)隊(duì)伍；缺乏權(quán)威的安全評(píng)估機(jī)構(gòu)和安全標(biāo)準(zhǔn)；缺乏安全方面的立法，尚未把信息安全提高到法律的高度。

對(duì)信息安全這一涉及國家安全的戰(zhàn)略性問題，我們不能“臨渴掘井”，必須“未雨綢繆”，否則將可能給國家造成災(zāi)難性后果。

1.1.2信息安全的發(fā)展現(xiàn)狀

2、客觀上受制于技術(shù)水平

我國電子信息領(lǐng)域基礎(chǔ)技術(shù)薄弱，制約了與信息安全相關(guān)產(chǎn)業(yè)的發(fā)展。我國尚沒有充分掌握信息安全的核心技術(shù)，信息安全產(chǎn)品大多依賴進(jìn)口。

3、受政治等因素的影響，尤其應(yīng)重視安全問題

美國是當(dāng)今世界唯一的超級(jí)大國，在經(jīng)濟(jì)、技術(shù)、軍事各方面具有壓倒性優(yōu)勢。如果根據(jù)信息技術(shù)和信息經(jīng)濟(jì)的強(qiáng)弱對(duì)世界上的國家分類，那美國也是唯一的信息超級(jí)大國。美國為達(dá)到稱霸世界目的，憑借信息技術(shù)優(yōu)勢．通過出口信息安全產(chǎn)品來達(dá)到控制、獲取別國信息的目的。它起初限制40位密鑰長度以上的密碼產(chǎn)品出口，后來又同意具有密鑰托管或密鑰恢復(fù)功能的強(qiáng)密碼產(chǎn)品出口，這些都是美國政府可以控制和解讀的。此外,在密碼芯片和操作系統(tǒng)中可能隱藏著尚未為人們發(fā)現(xiàn)的、危險(xiǎn)性更大的“后門”和“特洛伊木馬”。一旦發(fā)生重大國際沖突，那些隱藏的“特洛伊木馬”可能在某些秘密指令下激活起來，破壞、篡改或竊取信息系統(tǒng)中的重要信息。由于歷史和意識(shí)形態(tài)方面的原因，中國和美國在許多方面存在很大的分歧，兩國關(guān)系經(jīng)常會(huì)出現(xiàn)不穩(wěn)定的情況，美國對(duì)中國技術(shù)出口的限制尤其嚴(yán)厲。小布什政府上臺(tái)后更是有把中國看成是戰(zhàn)略對(duì)手的趨向。美國民間對(duì)中國存在偏見的也大有人在。比如微軟公司的Windows操作系統(tǒng)在并不富裕的中國的售價(jià)是富裕的發(fā)達(dá)國家售價(jià)的一倍多，這是信息領(lǐng)域明目張膽的掠奪。在這樣的國際背景下，我國信息安全的外部環(huán)境并不好，因此更應(yīng)注重信息安全建設(shè)，以免在關(guān)鍵時(shí)刻受制于人！

1.1.2信息安全的發(fā)展現(xiàn)狀

4、我國安全技術(shù)研究力量有限

我國國內(nèi)信息安全研究力量分散，投人不足，現(xiàn)有研究僅能滿足封堵已發(fā)現(xiàn)的安全漏洞，無法從根本上解決國家信息安全問題，更不要說形成反擊能力。為此，應(yīng)跟蹤研究國際最新技術(shù)動(dòng)態(tài)，努力吸取國外信息安全的先進(jìn)技術(shù)和經(jīng)驗(yàn)，不斷創(chuàng)新，獨(dú)立自主地發(fā)展我國的信息安全技術(shù)；加強(qiáng)對(duì)信息安全的支持力度，凝聚國內(nèi)信息安全方面優(yōu)秀人才，建設(shè)信息安全專業(yè)隊(duì)伍；加強(qiáng)對(duì)信息安全體系、信息安全發(fā)展戰(zhàn)略、安全核心技術(shù)、密碼理論和應(yīng)用技術(shù)、信息安全檢測和監(jiān)控技術(shù)以及病毒防治等研究，為我國的信息安全構(gòu)筑起可靠屏障。

（二）信息安全技術(shù)發(fā)展趨勢

在信息交換中，“安全”是相對(duì)的，而“不安全”是絕對(duì)的，隨著社會(huì)的發(fā)展和技術(shù)的進(jìn)步，信息安全標(biāo)準(zhǔn)不斷提升，因此信息安全問題永遠(yuǎn)是一個(gè)全新的問題?！鞍l(fā)展”和“變化”是信息安全的最主要特征，只有緊緊抓住這個(gè)特征才能正確地處理和對(duì)待信息安全問題，以新的防御技術(shù)來阻止新的攻擊方法。信息安全技術(shù)的發(fā)展呈現(xiàn)如下趨勢：

1.1.2信息安全的發(fā)展現(xiàn)狀

1、信息安全越來越重要

信息安全系統(tǒng)的保障能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和民族生存能力的重要組成部分。因此，必須努力構(gòu)建一個(gè)建立在自主研究開發(fā)基礎(chǔ)之上的技術(shù)先進(jìn)、管理高效、安全可靠的國家信息安全體系，以有效地保障國家的安全、社會(huì)的穩(wěn)定和經(jīng)濟(jì)的發(fā)展。信息安全是一個(gè)綜合的系統(tǒng)工程，需要諸如密碼學(xué)、傳輸協(xié)議、集成芯片技術(shù)、安全監(jiān)控管理及檢測攻擊與評(píng)估等一切相關(guān)科技的最新成果的支持。

2、信息安全標(biāo)準(zhǔn)在不斷變化

應(yīng)根據(jù)技術(shù)的發(fā)展和實(shí)際社會(huì)發(fā)展的需要不斷更新信息安全標(biāo)準(zhǔn)，科學(xué)合理的安全標(biāo)準(zhǔn)是保障信息安全的第一步，需要無限追求如何在設(shè)計(jì)制作信息系統(tǒng)時(shí)就具備保護(hù)信息安全的體系結(jié)構(gòu)．這是人們長期追求的目標(biāo)。

3、信息安全概念在不斷擴(kuò)展

安全手段需隨時(shí)更新。人類對(duì)信息安全的追求過程是一個(gè)漫長的深化過程。信息安全的含義包括了信息的保密性、信息的完整性、信息的可用性、信息的可控性、信息行為的不可否認(rèn)性。隨著社會(huì)信息化步伐的加快．信息安全至少需要“攻、防、測、控、管、評(píng)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)的研究。

1.1.2信息安全的發(fā)展現(xiàn)狀

4、信息安全是一個(gè)復(fù)雜的巨大系統(tǒng)

其中，信息安全技術(shù)是最具活力的一個(gè)方面。信息安全是現(xiàn)代信息系統(tǒng)發(fā)展應(yīng)用帶來的新問題，它的解決也需要現(xiàn)代高新技術(shù)的支撐，傳統(tǒng)意義的方法是不能解決問題的，所以信息安全新技術(shù)總是在不斷地涌現(xiàn)。信息安全領(lǐng)域?qū)⑦M(jìn)一步發(fā)展密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)絡(luò)技術(shù)、病毒與反病毒技術(shù)、數(shù)據(jù)庫安全技術(shù)、操作系統(tǒng)安全技術(shù)、物理安全與保密技術(shù)，研究發(fā)展以信息偽裝、數(shù)字水印、電子現(xiàn)金、人侵檢測、安全智能卡、公鑰基礎(chǔ)設(shè)施（PKI.PubliCKeyInfrastruCtural）、網(wǎng)絡(luò)安全協(xié)議等為代表的信息安全最新技術(shù)。1.1.3信息安全的技術(shù)體系結(jié)構(gòu)

信息網(wǎng)絡(luò)是基于互聯(lián)網(wǎng)基礎(chǔ)上發(fā)展而成的一個(gè)開放性系統(tǒng)互聯(lián)的結(jié)果，也就是多個(gè)獨(dú)立的系統(tǒng)通過網(wǎng)絡(luò)進(jìn)行連接，最終又可以成為一個(gè)新的獨(dú)立系統(tǒng)來為其他系統(tǒng)或用戶提供服務(wù)。這樣的開放性系統(tǒng)類似于國際標(biāo)準(zhǔn)化組織（ISO）為了解決不同系統(tǒng)的互聯(lián)而提出的OSI模型，即開放式系統(tǒng)互聯(lián)（OpenSystemInterconnect)，一般簡稱為0S1參考模型。0SI參考模型的安全體系結(jié)構(gòu)認(rèn)為一個(gè)安全的信息系統(tǒng)結(jié)構(gòu)應(yīng)該包括：五種安全服務(wù)，即身份認(rèn)證服務(wù)（AuthenticationService)、訪問控制（Accesscontrol）、數(shù)據(jù)完整性（Dataintegrlty）、數(shù)據(jù)機(jī)密性（DataSecrecy）和抗拒絕服務(wù)（Anti-DoS）。八類安全技術(shù)和支持上述安全服務(wù)的安全技術(shù)。這八類安全技術(shù)是公證（Vahdation）、路由控制（Routecontrol）、業(yè)務(wù)流填充（Trafficflowpadding）、數(shù)據(jù)交換（Dataswitch）、數(shù)據(jù)完整性（Dataintegrity）、訪問控制（AccessControl）、數(shù)字簽名（Digital519nature）和數(shù)據(jù)加密（Dataencryption）。三種安全管理方法，即系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。網(wǎng)絡(luò)系統(tǒng)信息安全標(biāo)準(zhǔn)ISO7498-2從體系結(jié)構(gòu)的觀點(diǎn)上描述了150基本參考模型之間的安全通信必須提供的安全服務(wù)及安全機(jī)制，并說明了安全服務(wù)及相應(yīng)機(jī)制在安全體系結(jié)構(gòu)中的關(guān)系，從而建立了開放互聯(lián)系統(tǒng)的安全體系結(jié)構(gòu)框架。ISO7498-2提供了以下5種可選擇的安全服務(wù)：身份認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性。

1.1.3信息安全的技術(shù)體系結(jié)構(gòu)

1、身份認(rèn)證

身份認(rèn)證是授權(quán)控制的基礎(chǔ)。目前，一般采用基于對(duì)稱密鑰加密或公開密鑰加密的方法：采用高強(qiáng)度的密碼技術(shù)來進(jìn)行身份認(rèn)證，如著名的Kerbero、PGP等方法。

身份認(rèn)證主要包括以下幾個(gè)方面的內(nèi)容：

（l）身份標(biāo)識(shí)。為了標(biāo)識(shí)客戶，要滿足如下要求：基本標(biāo)識(shí)：在允許信息系統(tǒng)執(zhí)行用戶所要求的任何操作前，應(yīng)對(duì)該用戶提供的賬號(hào)進(jìn)行身份標(biāo)識(shí)。獨(dú)立標(biāo)識(shí)：確認(rèn)每一位信息系統(tǒng)的使用者有一個(gè)屬于自己的獨(dú)立的賬號(hào)，該賬號(hào)直接關(guān)系到該用戶在整個(gè)信息網(wǎng)站系統(tǒng)中的相關(guān)的權(quán)限。不得在信息網(wǎng)站系統(tǒng)中設(shè)立虛假的賬號(hào)或無人使用的賬號(hào)。標(biāo)識(shí)的隱私性保護(hù)：為用戶提供其身份不被其他用戶發(fā)現(xiàn)或?yàn)E用的保護(hù)。

（2）身份信息的存儲(chǔ)。按照如下要求進(jìn)行身份信息的存儲(chǔ)：邏輯結(jié)構(gòu)扁平化：身份信息的邏輯結(jié)構(gòu)扁平化。邏輯分布：以網(wǎng)站系統(tǒng)所屬部門為單位進(jìn)行用戶身份信息的邏輯結(jié)構(gòu)組織。

1.1.3信息安全的技術(shù)體系結(jié)構(gòu)

（3）身份信息的管理。按照以下要求管理身份信息：用戶列表：系統(tǒng)能夠維護(hù)一份含有所有用戶及其相關(guān)狀態(tài)信息的列表。身份信息的完整性：對(duì)用戶身份信息進(jìn)行管理、維護(hù)，確保其不被未經(jīng)授權(quán)地訪問、修改或刪除。臨時(shí)關(guān)閉與開啟：提供相關(guān)機(jī)制來臨時(shí)地關(guān)閉或打開用戶的賬號(hào)。賬號(hào)的自動(dòng)禁用：提供相關(guān)機(jī)制將在60天內(nèi)沒有使用過的用戶賬號(hào)暫時(shí)禁用。如果該賬號(hào)在90夭內(nèi)沒有使用過或相關(guān)的部門正式通知該賬號(hào)已經(jīng)作廢的情況下，需要將該賬號(hào)從系統(tǒng)中刪除（在正式刪除之前向該用戶發(fā)送一份通知）。

2、訪問控制

訪問控制是控制不同用戶信息的信息資源訪問權(quán)限。對(duì)授權(quán)控制的要求有：一致性，即對(duì)信息資源的控制沒有二義性，各種定義之間不沖突。統(tǒng)一性，即對(duì)所有信息資源進(jìn)行集中管理，安全政策統(tǒng)一貫徹。

要求有審計(jì)功能，對(duì)所有授權(quán)有記錄可以核查。盡可能地提供細(xì)粒度的控制。

3、數(shù)據(jù)保密性

目前，加密技術(shù)主要有兩大類：一類是基于對(duì)稱密鑰的加密算法，也稱私鑰算法；另一類是基于非對(duì)稱密鑰的加密算法，也稱公鑰算法：加密手段一般分軟件加密和硬件加密兩種。軟件加密成本低，而且使用靈活，更換也方便；硬件加密效率高，并且安全性也高。

1.1.3信息安全的技術(shù)體系結(jié)構(gòu)

4、數(shù)據(jù)完整性

數(shù)據(jù)完整性是指通過網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插人、替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性。

5、不可否認(rèn)性

接收方要求對(duì)方保證不能否認(rèn)接收方收到的信息是發(fā)送方發(fā)出的信息，而不是被人冒名、篡改過的信息。發(fā)送方也會(huì)要求對(duì)方不能否認(rèn)已經(jīng)收到的信息，相當(dāng)于抗拒絕服務(wù)一樣。防止否認(rèn)對(duì)金融系統(tǒng)尤其重要。電子簽名的主要目的是防止抵賴、防止否認(rèn)，以便給仲裁機(jī)構(gòu)提供證據(jù)。

將安全技術(shù)與OSI七層結(jié)構(gòu)對(duì)應(yīng)起來，使用IATF的分層方法可以得出信息安全技術(shù)體系結(jié)構(gòu)如圖1-1所示：

根據(jù)這個(gè)結(jié)構(gòu)圖，我國GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》將信息系統(tǒng)安全技術(shù)要求劃分為：物理安全技術(shù)要求、應(yīng)用系統(tǒng)技術(shù)要求、操作系統(tǒng)技術(shù)要求、網(wǎng)絡(luò)技術(shù)要求和數(shù)據(jù)庫管理技術(shù)要求五個(gè)方面。

1.1.3信息安全的技術(shù)體系結(jié)構(gòu)

物理安全是相對(duì)于物理破壞而言的，也就是信息系統(tǒng)所有應(yīng)用硬件物理方面上的破損或毀壞。所謂的物理破壞是指破壞信息網(wǎng)絡(luò)賴以生存的外界環(huán)境、構(gòu)成系統(tǒng)中的各種硬件資源（包括設(shè)備本身、網(wǎng)絡(luò)連接、電源、數(shù)據(jù)儲(chǔ)存介質(zhì)等），以及系統(tǒng)中存在的各種信息數(shù)據(jù)。物理安全技術(shù)就是為了保護(hù)這些物理設(shè)備（包括單獨(dú)或聯(lián)結(jié)的計(jì)算機(jī)設(shè)備、輔助運(yùn)行設(shè)施以及由這些設(shè)備、設(shè)施組成的各種網(wǎng)絡(luò)）免受各種自然災(zāi)害、人為操作錯(cuò)誤和人為損傷等因素的破壞，使信息網(wǎng)絡(luò)維持正常運(yùn)行狀態(tài)而采用的具體的方法、措施和過程。物理設(shè)備處于整個(gè)模型的最底層，它是整個(gè)模型得以順利運(yùn)行的物質(zhì)基礎(chǔ)，所以物理安全是整個(gè)信息網(wǎng)絡(luò)安全運(yùn)行的前提。物理安全一旦遭到破壞，系統(tǒng)將會(huì)變得不可用或不可信，在物理層上面的其他上層安全保護(hù)技術(shù)也將形同虛設(shè)。

系統(tǒng)安全是相對(duì)于各種軟件系統(tǒng)而言的。一個(gè)只有硬件的計(jì)算機(jī)是一個(gè)擺設(shè)，它還需要各種軟件系統(tǒng)來支持、輔助才能發(fā)揮其應(yīng)有的功能。可以說，最基本、最重要的軟件系統(tǒng)就是操作系統(tǒng)，它能夠管理各種硬件資源，為用戶提供讀寫信息、使用外部設(shè)備和連接網(wǎng)絡(luò)的基本功能。信息網(wǎng)絡(luò)的共有特征是使用數(shù)據(jù)，數(shù)據(jù)是信息處理的對(duì)象，同時(shí)也是信息處理的結(jié)果，也可以是信息處理使用的命令。數(shù)據(jù)在網(wǎng)絡(luò)中的通用性使得數(shù)據(jù)的處理要求具有一個(gè)大家都能遵守的標(biāo)準(zhǔn)，這個(gè)要求固定下來以后就形成了一個(gè)廣泛使用的軟件系統(tǒng)―數(shù)據(jù)庫系統(tǒng)。操作系統(tǒng)是為用戶提供硬件操作的命令，讀取和儲(chǔ)存數(shù)據(jù)。數(shù)據(jù)庫系統(tǒng)是保證用戶能夠正確地操作數(shù)據(jù)。系統(tǒng)是一個(gè)很廣泛的概念，任何對(duì)象都可以稱為系統(tǒng)。通常我們說的系統(tǒng)都是特指操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，目的是方便談?wù)摵脱芯俊?/p>

1.1.3信息安全的技術(shù)體系結(jié)構(gòu)

信息網(wǎng)絡(luò)必然需要網(wǎng)絡(luò)環(huán)境的支持。依據(jù)網(wǎng)絡(luò)的物理連接和使用范圍可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的不同分類，如局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)、校園網(wǎng)等。按照OSI七層模型對(duì)網(wǎng)絡(luò)的劃分要求，網(wǎng)絡(luò)分為：物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。OSI模型對(duì)網(wǎng)絡(luò)安全的技術(shù)要求是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)以及管理的安全提供保護(hù)，保護(hù)計(jì)算機(jī)軟、硬件和數(shù)據(jù)不會(huì)因?yàn)榕既换驉阂獾脑蚨獾狡茐摹⑿孤┖透?。由此可以將網(wǎng)絡(luò)安全技術(shù)定義為：保護(hù)信息網(wǎng)絡(luò)依存的網(wǎng)絡(luò)環(huán)境的安全保障技術(shù)，通過這些技術(shù)的部署和實(shí)施，確保網(wǎng)絡(luò)中數(shù)據(jù)傳輸和交換不會(huì)受到外界因素的影響而出現(xiàn)增加、篡改、丟失或泄漏等現(xiàn)象。

檢測和響應(yīng)上層協(xié)議和命令，為模型安全運(yùn)行提供基礎(chǔ)性支持，這是系統(tǒng)基礎(chǔ)性輔助設(shè)施的基本要求。通常所說的檢測、響應(yīng)技術(shù)如加密、PKI技術(shù)就是其中幾種比較重要的支持技術(shù)。這些基礎(chǔ)性安全技術(shù)并不是獨(dú)立的歸屬于具體某一個(gè)層次，而是整個(gè)模型中各層次都會(huì)用到的、依賴的技術(shù)。1.1.4信息安全的法律體系

由于信息安全保障涉及信息安全、網(wǎng)絡(luò)安全、技術(shù)安全、管理安全、內(nèi)容安全、個(gè)人行為安全等多個(gè)層次和方面，因此，一個(gè)完整的信息安全保障體系要求產(chǎn)業(yè)部門、保密部門、機(jī)要部門、安全部門、公安部門、文化部門、宣傳部門等通力合作來一起管理。信息化不是一個(gè)局部簡稱，而是全社會(huì)一個(gè)新的社會(huì)形態(tài)，需要多方協(xié)助合作共同管理。在當(dāng)前世界形勢中，綜合國力競爭激烈、國際形勢瞬息萬變的情況下，一個(gè)國家支配信息的能力越強(qiáng)，就越有戰(zhàn)略主動(dòng)權(quán)。信息安全保障能力已經(jīng)是21世紀(jì)國家綜合國力、經(jīng)濟(jì)競爭力和國家生存發(fā)展能力的重要組成部分，因此，將信息安全納人并上升到國家和民族利益的高度，作為一項(xiàng)基本國策加以重視是十分必要的。

信息安全問題已經(jīng)成為社會(huì)各方面日益關(guān)注的一個(gè)熱點(diǎn)問題。不同方面的有關(guān)部門和人士在信息安全保障方面做了很多努力，并積累了豐富的經(jīng)驗(yàn)。計(jì)算機(jī)科學(xué)技術(shù)領(lǐng)域的專家、學(xué)者從各自的專業(yè)角度，通過理論研究、技術(shù)創(chuàng)新、產(chǎn)品開發(fā)等途徑，嘗試著解決計(jì)算機(jī)、通信網(wǎng)絡(luò)方面的信息安全問題；國家有關(guān)行政部門通過頒布一系列的法規(guī)和規(guī)章制度，來加強(qiáng)信息安全管理，協(xié)調(diào)緩解因信息安全問題而帶來的矛盾；法律界的有關(guān)人士、國家立法也開始討論信息安全立法的意義和可行性。可見，信息安全問題必須通過立法手段加以解決。1.1.4信息安全的法律體系

2003年，中共中央辦公廳下發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）是目前我國信息安全保障方面的一個(gè)綱領(lǐng)性文件。在此之前出臺(tái)的法律法規(guī)主要分為兩大類，一是從發(fā)文部門體現(xiàn)出的部門規(guī)章。如《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》、《公安部關(guān)于對(duì)與國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知》、《涉及國家秘密的通信、辦公自動(dòng)化和汁算機(jī)信息系統(tǒng)審批暫行辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、信息產(chǎn)業(yè)部《關(guān)于中國互聯(lián)網(wǎng)絡(luò)域名體系的公告》和《加強(qiáng)我國互聯(lián)網(wǎng)絡(luò)域名管理工作的公告》等。二是從發(fā)文內(nèi)容體現(xiàn)出的信息化建設(shè)部分領(lǐng)域的單行法律法規(guī)。如國際互聯(lián)網(wǎng)管理、國際信道、域名注冊、密碼管理、重要信息系統(tǒng)和信息內(nèi)容等。如1994年2月發(fā)布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中國互聯(lián)網(wǎng)絡(luò)城市注冊暫行管理辦法》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中國公共計(jì)算機(jī)互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出人口信道管理辦法》，國家信息化工作領(lǐng)導(dǎo)小組2001年3月頒布的《關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理工作中有關(guān)部門職責(zé)分工的通知》，中辦、國辦2002年3月印發(fā)的《關(guān)于進(jìn)一步加強(qiáng)互聯(lián)網(wǎng)新聞宣傳和信息內(nèi)容安全管理工作的意見》等。1.1.4信息安全的法律體系

現(xiàn)階段，我國信息安全立法的原則是：國家利益原則。當(dāng)今信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源，信息安全成為維護(hù)國家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)。信息安全首先要體現(xiàn)國家利益原則。一致性原則。指要與在我國現(xiàn)行法律和國際法框架下制定的法律法規(guī)相一致。避免重復(fù)立法和分散立法，增強(qiáng)立法的協(xié)調(diào)性，避免立法的盲目性、隨意性和相互沖突。卜發(fā)展的原則。信息安全立法既要考慮規(guī)范行為，又要考慮促進(jìn)我國國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展?？刹僮餍栽瓌t。要對(duì)現(xiàn)實(shí)有針對(duì)性，對(duì)實(shí)踐有指導(dǎo)性。優(yōu)先原則。急需的先立法、先實(shí)施。如信息安全等級(jí)保護(hù)、信息安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)信任、信息安全監(jiān)控、信息安全應(yīng)急處理等方面要加緊立法。

信息安全立法的重點(diǎn)主要在以下三個(gè)方面：立法重點(diǎn)內(nèi)容應(yīng)體現(xiàn)在：一是基礎(chǔ)信息網(wǎng)絡(luò)安全；二是黨政核心信息系統(tǒng)；三是國防信息系統(tǒng)；四是稅務(wù)、海關(guān)、銀行、證券、電力、民航、鐵路等重要信息系統(tǒng)。立法重點(diǎn)環(huán)節(jié)應(yīng)體現(xiàn)在：一是立法規(guī)劃；二是信息共享；三是信息服務(wù)與傳輸服務(wù)的責(zé)任和義務(wù)；四是有關(guān)知識(shí)產(chǎn)權(quán)。立法重點(diǎn)措施應(yīng)體現(xiàn)在：管理體制、等級(jí)保護(hù)、信息保護(hù)、網(wǎng)絡(luò)信任、監(jiān)控體系、應(yīng)急處理、信息安全技術(shù)研發(fā)、安全標(biāo)準(zhǔn)與應(yīng)用推廣、建設(shè)資金、信息安全意識(shí)與人才培養(yǎng)等方面。

1.1.4信息安全的法律體系

在現(xiàn)行法律體系中，1997年《刑法》增加了計(jì)算機(jī)犯罪的內(nèi)容，對(duì)非法侵入重要計(jì)算機(jī)信息系統(tǒng)以及違反《計(jì)算機(jī)安全保護(hù)條例》并造成嚴(yán)重后果構(gòu)成犯罪的，依法追究其刑事責(zé)任?！吨伟补芾硖幜P法》第29條中規(guī)定：有下列行為之一的，處以五日以下拘留；情節(jié)嚴(yán)重的，處五日以上，十日以下拘留：違反國家規(guī)定，侵人計(jì)算機(jī)信息系統(tǒng)，造成危害的；違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的；違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的；故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行的。2005年11月23日公安部部長辦公會(huì)議通過了《互聯(lián)網(wǎng)保護(hù)技術(shù)措施規(guī)定》，于2005年12月13日正式發(fā)布并于2006年3月1日起開始實(shí)施。新規(guī)定明確了信息安全保護(hù)立法的宗旨、法律適用范圍、安全保護(hù)技術(shù)措施的要求以及公安機(jī)關(guān)的監(jiān)督、檢查、管理行為，大大加強(qiáng)了信息安全技術(shù)保障立法的順利推行。

當(dāng)前網(wǎng)絡(luò)斗爭形勢要求加強(qiáng)對(duì)國家信息系統(tǒng)保護(hù)的立法，但是，現(xiàn)行網(wǎng)絡(luò)信息安全法制建設(shè)上存在的某些問題依然影響了國家信息安全行政管理和執(zhí)法的整體效果，而國家信息安全立法也不可能完全解決信息安全中所存在的所有問題。信息安全法律法規(guī)的制定，只能成為理順體制、解決沖突、完善程序以保證信息安全法質(zhì)量和速度、避免無序的主要措施，可以說制訂信息安全法是信息安全史上的重要里程碑。它將使信息安全中存在的某些問題得到一定程度的解決。

第二節(jié)信息安全管理基礎(chǔ)

一、信息安全的管理體系

二、信息安全管理標(biāo)準(zhǔn)

三、信息安全策略

四、信息安全組織管理

五、信息安全人員管理

六、信息安全制度管理

七、計(jì)算機(jī)病毒安全防范

八、應(yīng)急事件處理

一信息安全的管理體系

（一）信息安全管理體系的概念

（二）信息安全管理的內(nèi)容

（三）信息安全管理的基本原則

（四）信息安全管理的過程

（五）信息安全管理的目的和意義1.2.1.1信息安全管理體系的概念

現(xiàn)代社會(huì)對(duì)網(wǎng)絡(luò)的依存越來越廣泛，對(duì)于所有用戶來說，風(fēng)險(xiǎn)和威脅是永遠(yuǎn)存在的。信息安全是一個(gè)動(dòng)態(tài)發(fā)展的過程，信息安全管理只是保障計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全的特殊技術(shù)。安全管理的目的是阻止非法用戶進(jìn)入系統(tǒng)，減少系統(tǒng)遭受破壞的可能性，快速檢測非法行為，迅速確定人侵位置并跟蹤人侵目標(biāo)，有效記錄破壞者的行為以便抓獲，以最大限度減少損失并促進(jìn)系統(tǒng)恢復(fù)。信息安全管理覆蓋的內(nèi)容非常廣泛，它涉及信息和網(wǎng)絡(luò)系統(tǒng)的各個(gè)層面，以及信息系統(tǒng)生命周期的各個(gè)階段，隨著人們對(duì)信息安全管理認(rèn)識(shí)和理解的不斷深入，可以發(fā)現(xiàn)這些不同層次、不同方面的管理內(nèi)容在彼此之間存在著一定的內(nèi)在關(guān)聯(lián)，它們共同構(gòu)成一個(gè)全面的有機(jī)整體，以使管理措施保障達(dá)到信息安全的目的，這個(gè)有機(jī)整體就是信息安全管理體系(ISMS,InformationSecurityManagementsystems)。

信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的信息安全系統(tǒng)，其目的是保障組織的信息安全。信息安全管理體系是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表(Checklists)等要素的集合，是涉及人、程序和信息技術(shù)系統(tǒng)。

1.2.1.2信息安全管理的內(nèi)容

信息安全管理體系包括以下管理類：

（1）方針與政策管理；確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以現(xiàn)實(shí)對(duì)信息安全工作的支持和承諾，保證信息安全的資金投入。

（2）風(fēng)險(xiǎn)管理；信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過程，而是管理風(fēng)險(xiǎn)的過程。沒有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。

（3）人員與組織管理：建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對(duì)第三方人員進(jìn)行管理，協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其他部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全風(fēng)險(xiǎn)。

（4）環(huán)境與設(shè)備管理：控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。

（5）網(wǎng)絡(luò)與通信管理：控制、保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對(duì)業(yè)務(wù)系統(tǒng)的損害。

（6）主機(jī)與系統(tǒng)管理：控制和保護(hù)計(jì)算機(jī)主機(jī)及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對(duì)業(yè)務(wù)系統(tǒng)的損害。

1.2.1.2信息安全管理的內(nèi)容

（7）應(yīng)用與業(yè)務(wù)管理：對(duì)各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其受到破壞和濫用。

（8）數(shù)據(jù)、文檔、介質(zhì)管理采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，以防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。

（9）項(xiàng)目工程管理全系統(tǒng)：保護(hù)信息系統(tǒng)項(xiàng)目工程過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。

（10）運(yùn)行維護(hù)管理：保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。

（11）業(yè)務(wù)連續(xù)性管理：通過設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。

（12）合規(guī)性管理：確保信息安全保障工作符合國家法律、法規(guī)的要求；且信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。

1.2.1.3信息安全管理的基本原則

信息安全管理的基本原則有以下幾點(diǎn)：

（1）一把手負(fù)責(zé)原則，也稱為領(lǐng)導(dǎo)負(fù)責(zé)原則。信息安全事關(guān)大局，涉及全局，需要一把手負(fù)責(zé)才能統(tǒng)一大家的認(rèn)識(shí)，組織有效隊(duì)伍，調(diào)動(dòng)必要的資源和經(jīng)費(fèi)，落實(shí)各部門間的協(xié)調(diào)。如果一把手對(duì)信息安全工作不關(guān)心，不了解，不支持，光靠業(yè)務(wù)部門去抓一些具體的事務(wù)，久而久之，信息安全的管理工作就會(huì)逐漸淡化，逐漸流于形式。只有一把手真正具有責(zé)任心，成為信息安全的明白人，關(guān)心和支持業(yè)務(wù)部門的工作，信息安全的管理工作才能真正落到實(shí)處。那些齊抓共管、人人負(fù)責(zé)的漂亮口號(hào)沒有一把手負(fù)責(zé)督導(dǎo)，常常會(huì)造成無抓不管、放任自流的惡劣后果。

（2）動(dòng)態(tài)發(fā)展原則。信息網(wǎng)絡(luò)安全狀況不是靜態(tài)不變的，隨著對(duì)手攻擊能力的提高、自己對(duì)信息網(wǎng)絡(luò)安全認(rèn)識(shí)水平的深化，必須對(duì)以前的安全政策有所修改，對(duì)安全措施和設(shè)施有所加強(qiáng)。必須明白，安全是一個(gè)過程，世界上沒有一勞永逸的安全。

（3）風(fēng)險(xiǎn)原則。由于信息網(wǎng)絡(luò)安全是動(dòng)態(tài)發(fā)展的，因此安全也不是絕對(duì)的。我們不能做到絕對(duì)的安全，但是我們可以追求和實(shí)現(xiàn)在承擔(dān)一定風(fēng)險(xiǎn)情況下的適度安全。因此，當(dāng)我們在規(guī)劃自己的信息網(wǎng)絡(luò)系統(tǒng)安全的時(shí)候，首先要進(jìn)行風(fēng)險(xiǎn)分析。根據(jù)要保護(hù)的資源的價(jià)值和重要程度，考慮可以承受的風(fēng)險(xiǎn)度，并以此為依據(jù)指定技術(shù)政策和設(shè)置保護(hù)措施。

（4）規(guī)范原則。信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行要有安全規(guī)范作要求，要根據(jù)本機(jī)構(gòu)或本部門的安全要求制定相應(yīng)的安全政策。安全政策中要根據(jù)需要選擇采用必要的安全功能，選用必要的安全設(shè)備。不應(yīng)盲目開發(fā)、自由設(shè)計(jì)、違章操作、無人管理。

1.2.1.3信息安全管理的基本原則

（5）預(yù)防原則。在信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、采購、集成、安裝中應(yīng)該同步考慮安全政策和安全功能具備的程度。用預(yù)防為主的指導(dǎo)思想來對(duì)待信息安全問題，不能心存僥幸。

（6）注重實(shí)效原則。不應(yīng)盲目追求一時(shí)難以實(shí)現(xiàn)或投資過大的目標(biāo)，應(yīng)使投入與所需要的安全功能相適。

（7）系統(tǒng)化原則。要有系統(tǒng)工程的思想。前期的投人與建設(shè)和后期的提高要求要匹配和銜接，以便能夠不斷擴(kuò)展安全功能，保護(hù)已有投資。

（8）均衡防護(hù)原則。人們經(jīng)常用木桶裝水來形象地比喻應(yīng)當(dāng)注重安全防護(hù)的均衡性，箍桶的木板中只要有一塊短板，水就會(huì)從那里泄漏出來。我們設(shè)置的安全防護(hù)中要注意是否存在薄弱環(huán)節(jié)。

（9）分權(quán)制衡原則。重要環(huán)節(jié)的安全管理要采取分權(quán)制衡的原則，要害部位的管理權(quán)限如果只交給一個(gè)人管理，一旦出問題就將全線崩潰。分權(quán)可以相互制約，提高安全性。

（10）應(yīng)急原則。安全防護(hù)不怕一萬，就怕萬一。因此要有安全管理的應(yīng)急響應(yīng)預(yù)案，并且要進(jìn)行必要的演練，一旦出現(xiàn)相關(guān)的問題馬上采取對(duì)應(yīng)的措施。

（11）災(zāi)難恢復(fù)原則。越是重要的信息系統(tǒng)越要重視災(zāi)難恢復(fù)。在可能的災(zāi)難不能同時(shí)波及的地區(qū)設(shè)立備份中心。要求實(shí)時(shí)運(yùn)行的系統(tǒng)要保持備份中心和主系統(tǒng)數(shù)據(jù)的一致性。一旦遇到災(zāi)難，立即啟動(dòng)備份系統(tǒng)，保證系統(tǒng)的連續(xù)工作。

1.2.1.4信息安全管理的過程

首先要明白的是，信息安全是一個(gè)“過程”，而不是一個(gè)“程序”。根據(jù)ISO/IEC－17799標(biāo)準(zhǔn)的闡述以及有關(guān)的信息安全管理文獻(xiàn)資料，可以總結(jié)出信息安全管理的主要過程。

1、獲取管理層的支持

進(jìn)行信息安全管理的實(shí)施，必須首先要獲得高級(jí)管理層的支持。建設(shè)一套復(fù)雜的信息安全管理體系是費(fèi)時(shí)、費(fèi)力和需要資金支持的，需要耗費(fèi)大量的人力、物力和財(cái)力，并且還要負(fù)一定的法律責(zé)任，因此，必須要有高層管理者的決策支持，這是信息安全管理的前提。

2、定義安全范圍

組織要根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)對(duì)定義信息安全管理的范圍進(jìn)行界定，這屬于信息安全管理最困難的初始任務(wù)之一，也可以稱為定義安全區(qū)域，通常認(rèn)為是信息安全管理的起始點(diǎn)。安全區(qū)域可以是整個(gè)組織或機(jī)構(gòu)，也可能是組織或機(jī)構(gòu)的一部分，但根本的一點(diǎn)是安全區(qū)域必須限定在一個(gè)組織或機(jī)構(gòu)所能控制的范圍之內(nèi)，否則組織和機(jī)構(gòu)將無法實(shí)施有效的管理和控制。

1.2.1.4信息安全管理的過程

3、創(chuàng)建安全策略

一套安全策略文檔應(yīng)當(dāng)由管理層批準(zhǔn)、印制并向全體員工公布。安全策略應(yīng)明確聲明管理層的承諾，及組織管理信息安全的方法。一套完整的安全策略至少要包括以下內(nèi)容：信息安全的定義、整體目標(biāo)和范圍以及安全對(duì)信息共享的重要性；對(duì)管理層意圖的聲明及支持，以及信息安全的原則；安全策略、原則、標(biāo)準(zhǔn)的簡介，也包括對(duì)組織有特別重要性的法律法規(guī)的要求，例如：要符合法律及合同的要求、安全教育的要求、防止及檢測病毒及其他惡意代碼的要求、業(yè)務(wù)持續(xù)性管理的要求以及違反安全策略的后果等；信息安全管理的一般和特定責(zé)任的定義，包括報(bào)告安全事件；支持策略文檔的參考說明，例如特別信息系統(tǒng)或安全規(guī)定用戶應(yīng)遵守的更詳盡的安全策略及程序。該策略應(yīng)在整個(gè)組織范圍內(nèi)公布，讓有關(guān)人員訪問和理解透徹。

4、建立信息安全管理系統(tǒng)

信息安全管理系統(tǒng)是組織應(yīng)用、管理、維持和貫徹執(zhí)行信息安全過程和控制的基本架構(gòu)，由信息系統(tǒng)安全主管負(fù)責(zé)并在信息安全策略中正式聲明。在ISMS中定義了信息安全管理的范圍，并且對(duì)每一種安全控制的策略、標(biāo)準(zhǔn)、過程、計(jì)劃、任務(wù)團(tuán)隊(duì)等都有詳細(xì)的說明和指導(dǎo)，甚至具體到哪一個(gè)人負(fù)責(zé)哪些事情。1.2.1.4信息安全管理的過程

5、風(fēng)險(xiǎn)分析和評(píng)價(jià)

信息安全管理實(shí)際上就是對(duì)風(fēng)險(xiǎn)的管理，因此一套適宜的風(fēng)險(xiǎn)分析和評(píng)價(jià)程序?qū)π畔踩芾韥碚f是最基本的。通過對(duì)資產(chǎn)、資產(chǎn)面臨的威脅和資產(chǎn)本身脆弱性的識(shí)別，以及對(duì)相應(yīng)的風(fēng)險(xiǎn)的量化分析，組織就能選擇和決策采取哪些安全控制措施，來避免、轉(zhuǎn)移或降低風(fēng)險(xiǎn)所造成的損失到一個(gè)可以接受的水平。風(fēng)險(xiǎn)是動(dòng)態(tài)的，它將隨著過程的更改、組織的變化、技術(shù)的發(fā)展以及新出現(xiàn)的潛在威脅而變化，因此組織的風(fēng)險(xiǎn)分析和評(píng)價(jià)也應(yīng)不是一成不變的。1.2.1.5信息安全管理的目的和意義

從根本上來說，信息安全管理要實(shí)現(xiàn)的目的就是在系統(tǒng)和環(huán)境進(jìn)行物質(zhì)、能量和信息交換的進(jìn)程中，利用一切可以利用的安全防護(hù)措施，達(dá)到保護(hù)系統(tǒng)內(nèi)部重要信息和其他重要資產(chǎn)的安全性（保密性、完整性、可用性和可控性），以防止和最小化安全事件（風(fēng)險(xiǎn)）所造成的破壞，確保業(yè)務(wù)的持續(xù)性和損失最小化。

組織可以參照合適的信息安全管理模型，采用先進(jìn)的安全技術(shù)手段，建立組織起完整的信息安全防范體系并實(shí)施與保持，實(shí)現(xiàn)動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性。保持完整的信息安全管理體系還將會(huì)產(chǎn)生如下積極的作用：強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)地保護(hù)，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；使組織的生意伙伴和客戶對(duì)組織充滿信心；如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度；促使管理層堅(jiān)持貫徹信息安全保障體系。

二信息安全管理標(biāo)準(zhǔn)

（一）國際信息安全管理標(biāo)準(zhǔn)

（二）我國信息安全管理相關(guān)標(biāo)準(zhǔn)

（三）BS7799標(biāo)準(zhǔn)

（四）CC標(biāo)準(zhǔn)1.2.2.1國際信息安全管理標(biāo)準(zhǔn)

ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織，各國的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，它們通過各技術(shù)委員會(huì)，參與相關(guān)標(biāo)準(zhǔn)的制定。近年來，國際ISO/IEC和西方一些國家開始發(fā)布和改版一系列信息安全管理標(biāo)準(zhǔn)，使安全管理標(biāo)準(zhǔn)進(jìn)人了一個(gè)繁忙的改版期。這表明，信息安全管理標(biāo)準(zhǔn)已經(jīng)從零星的、隨意的、指南性標(biāo)準(zhǔn)，逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。

ISO/IEC聯(lián)合技術(shù)委員會(huì)子委員會(huì)27(ISO/IECJTCISC27）是信息安全領(lǐng)域最權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織，它已經(jīng)為信息安全保障領(lǐng)域發(fā)布了一系列的國際標(biāo)準(zhǔn)和技術(shù)報(bào)告，目前最主要的標(biāo)準(zhǔn)是ISO/IEc13335、ISO/IEC27000系列等。

ISO/IECJTCISC27的信息安全管理標(biāo)準(zhǔn)（ISO/IEC13335）《IT安全管理方針》系列（第一至第五部分），已經(jīng)在國際社會(huì)中開發(fā)了很多年。這五個(gè)部分組成分別為：ISO/IEC13335-1:1996《IT安全的概念與模型》；ISO/IEC13335-2:1997《IT安全管理和計(jì)劃制定》;ISO/IEC13335-3:1998《IT安全管理技術(shù)》；ISO/IEC13335-4:2000《安全措施的選擇》；ISO/IEC13335-5《網(wǎng)絡(luò)安全管理方針》。27000系列綜合信息安全管理系統(tǒng)要求、風(fēng)險(xiǎn)管理、度量和測量以及實(shí)施指南等一系列國際標(biāo)準(zhǔn)，是目前國際信息安全管理標(biāo)準(zhǔn)研究的重點(diǎn)。27000系列當(dāng)前已經(jīng)發(fā)布和在研究的有6個(gè)，分別為ISO/lEC27000《信息安全管理體系基礎(chǔ)和詞匯》；ISO/IEC27001:2005《信息安全管理體系要求》；ISO/IEC27002（17799:2005)《信息安全管理實(shí)用規(guī)則》；ISO/IEC27003(（信息安全管理體系實(shí)施指南》；ISO/IEC27004《信息安全管理測量》；ISO/IEC27005《信息安全風(fēng)險(xiǎn)管理》。隨著ISO/IEC2700o系列標(biāo)準(zhǔn)的規(guī)劃和發(fā)布，ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。

1.2.2.2我國信息安全管理相關(guān)標(biāo)準(zhǔn)

與國外相比，我國的信息安全領(lǐng)域的標(biāo)準(zhǔn)制定工作起步較晚，但隨著2002年全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的成立，信息安全相關(guān)標(biāo)準(zhǔn)的建設(shè)工作開始走向了規(guī)范化管理和發(fā)展的快車道。在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)中，成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WGI）、鑒別與授權(quán)工作組（WG4）、信息安全評(píng)估工作組(WG5）和信息安全管理工作組（WG7）四個(gè)工作組，它們在對(duì)我國信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展方面，起到了積極作用。在我國，另一個(gè)與信息安全標(biāo)準(zhǔn)有關(guān)的組織就是中國通信標(biāo)準(zhǔn)化協(xié)會(huì)下設(shè)的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)，下設(shè)四個(gè)工作組，即有線網(wǎng)絡(luò)安全工作組(WG1）、無線網(wǎng)絡(luò)安全工作組（WG2）、安全管理工作組（WG3）、安全基礎(chǔ)設(shè)施工作組(WG4）。

近年來，我國對(duì)信息安全標(biāo)準(zhǔn)的制定與實(shí)施工作非常重視，不僅引進(jìn)了國際上著名的ISO/IEC27001:2005《信息安全管理體系要求》和ISO/IEC17799:2005《信息安全管理實(shí)用規(guī)則》、ISO/IEC15408:1999《IT安全評(píng)估準(zhǔn)則》、SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等信息安全管理標(biāo)準(zhǔn)。而且，為了更好地推進(jìn)我國信息安全管理工作，相關(guān)部門還制定了中華人民共和國國家標(biāo)準(zhǔn)GBI7895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T18336-2001《信息技術(shù)安全性評(píng)估準(zhǔn)則》和GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批重要的信息安全管理方面的標(biāo)準(zhǔn)。1.2.2.3BS7799標(biāo)準(zhǔn)

BS7799(ISO/IEC17799)即國際信息安全管理標(biāo)準(zhǔn)體系，這個(gè)標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分，是參照英國國家標(biāo)準(zhǔn)BS7799而來的。BS7799標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定的信息安全管理標(biāo)準(zhǔn)，是目前國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分：BS7799-1:1999《信息安全管理實(shí)施細(xì)則》和BS7799-2:1999《信息安全管理體系規(guī)范》。BS7799-1:1999《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供的一個(gè)大眾化的最佳慣例。雖然，實(shí)施細(xì)則中的指南內(nèi)容盡可能趨于全面，并提供一套國際現(xiàn)行安全控制的最佳慣例，但是實(shí)施細(xì)則中所提供的控制方法并非對(duì)每個(gè)組織都是充分的，也不是對(duì)每個(gè)組織都是缺一不可的，它沒有考慮實(shí)際信息系統(tǒng)在環(huán)境和技術(shù)上的限制因素，標(biāo)準(zhǔn)假設(shè)條款的實(shí)施是由具有合適資格和經(jīng)驗(yàn)的人來承擔(dān)或指導(dǎo)的。BS7799-2:1999《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。BS7799標(biāo)準(zhǔn)第二部分明確提出安全控制要求，標(biāo)準(zhǔn)第一部分對(duì)應(yīng)給出了通用的控制方法(措施)，因此可以說，標(biāo)準(zhǔn)第一部分為第二部分的具體實(shí)施提供了指南。但標(biāo)準(zhǔn)中的控制目標(biāo)、控制方式的要求并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。其中BS7799-l:1999于2000年12月通過國際標(biāo)準(zhǔn)化組織(ISO)認(rèn)可，正式成為國際標(biāo)準(zhǔn)，即ISO/IEC17799:2000《信息技術(shù)一信息安全管理實(shí)施細(xì)則》?！敖M織”這一術(shù)語貫穿BS7799標(biāo)準(zhǔn)的始終，它既包括營利組織，也包括非營利組織，如公共部門或公共組織。

1.2.2.3BS7799標(biāo)準(zhǔn)

BS7799-1(ISO/IEC1799:2000）《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供了一個(gè)大眾化的最佳慣例。BS7799-2(（信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。正如該標(biāo)準(zhǔn)的適用范圍介紹的一樣，BS7799-1標(biāo)準(zhǔn)適用以下場合：組織按照該標(biāo)準(zhǔn)要求建立并實(shí)施信息安全管理體系，進(jìn)行有效的信息安全風(fēng)險(xiǎn)管理，確保商務(wù)可持續(xù)性發(fā)展；作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。BS7799-2明確提出信息安全管理要求，BS7799-1則對(duì)應(yīng)給出了通用的控制方法（措施），因此，BS7799-2才是認(rèn)證的依據(jù)，嚴(yán)格地說是獲得了BS7799-2的認(rèn)證，BS7799-1為BS7799-2的具體實(shí)施提供了指南，但標(biāo)準(zhǔn)中的控制目標(biāo)、控制方式的要求并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。1.2.2.3BS7799標(biāo)準(zhǔn)

BS7799-1:1999(ISO/IEC1799:2000）標(biāo)準(zhǔn)在正文前設(shè)立了“前言”和“介紹”，其“介紹”中“對(duì)什么是信息安全、為什么需要信息安全、如何確定安全需要、評(píng)估安全風(fēng)險(xiǎn)、選擇控制措施、信息安全起點(diǎn)、關(guān)鍵的成功因素、制定自己的準(zhǔn)則”等內(nèi)容作了說明，標(biāo)準(zhǔn)中介紹，信息安全（Informationsecurity）是指信息的保密性（Confidentiality）、完整性（Integri-ty）和可用性（Availabihty）的保持。保密性定義為保障信息僅僅為那些被授權(quán)使用的人獲取。完整性定義為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。可用性定義為保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。標(biāo)準(zhǔn)對(duì)“為什么需要信息安全”時(shí)介紹，信息、信息處理過程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競爭優(yōu)勢、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而，越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)人侵、Dos攻擊等，它們造成的信息災(zāi)難已變得更加普遍，有計(jì)劃而不易被察覺。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互聯(lián)及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設(shè)計(jì)的，所以僅依靠技術(shù)手段來實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。該標(biāo)準(zhǔn)的正文規(guī)定了127個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)作過程中對(duì)信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。這127個(gè)控制措施被分成10個(gè)方面，成為組織實(shí)施信息安全管理的實(shí)用指南，這10個(gè)方面分別是：1.2.2.3BS7799標(biāo)準(zhǔn)

（1）安全方針：制定信息安全方針，為信息安全提供管理指導(dǎo)和支持。

（2）組織安全：建立信息安全基礎(chǔ)設(shè)施，來管理組織范圍內(nèi)的信息安全；維持被第三方所訪問的組織的信息處理設(shè)施和信息資產(chǎn)的安全，以及當(dāng)信息處理外包給其他組織時(shí)，維護(hù)信息的安全。

（3）資產(chǎn)的分類與控制：核查所有信息資產(chǎn)，以維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)，并做好信息分類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。

（4）人員安全：注意工作職責(zé)定義和人力資源中的安全，以減少人為差錯(cuò)、盜竊、欺詐或誤用設(shè)施的風(fēng)險(xiǎn)；做好用戶培訓(xùn)，確保用戶知道信息安全威脅和事務(wù)，并準(zhǔn)備好在其正常工作過程中支持組織的安全政策；制定對(duì)安全事故和故障的響應(yīng)流程，使安全事故和故障的損害減到最小，并監(jiān)視事故和從事故中學(xué)習(xí)。

（5）物理和環(huán)境的安全：定義安全區(qū)域，以避免對(duì)業(yè)務(wù)辦公場所和信息的未授權(quán)訪問、損壞和干擾；保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失、損壞或泄露和業(yè)務(wù)活動(dòng)的中斷；同時(shí)還要做好一般控制，以防止信息和信息處理設(shè)施的泄露或盜竊。

1.2.2.3BS7799標(biāo)準(zhǔn)

（6）通信和操作管理：制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，將系統(tǒng)故障的風(fēng)險(xiǎn)減低到最小；防范惡意軟件，保護(hù)軟件和信息的完整性；建立內(nèi)務(wù)規(guī)程，以維護(hù)信息處理和通信服務(wù)的完整性和可用性；確保信息在網(wǎng)絡(luò)中的安全，以及保護(hù)其支持基礎(chǔ)設(shè)施；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷；防止信息和軟件在組織之間交換時(shí)丟失、修改或誤用。

（7）訪問控制：制定訪問控制的業(yè)務(wù)要求，以控制對(duì)信息的訪問；建立全面的用戶訪問管理，避免信息系統(tǒng)的未授權(quán)訪問；讓用戶了解它對(duì)維護(hù)有效訪問控制的職責(zé)，防止未授權(quán)用戶的訪問；對(duì)網(wǎng)絡(luò)訪問加以控制，保護(hù)網(wǎng)絡(luò)服務(wù)；建立操作系統(tǒng)級(jí)的訪問控制，防止對(duì)計(jì)算機(jī)的未授權(quán)訪問；建立應(yīng)用訪問控制，防止未授權(quán)用戶訪問保存在信息系統(tǒng)中的信息；監(jiān)視系統(tǒng)訪問和使用，檢測未授權(quán)的活動(dòng)；當(dāng)使用移動(dòng)計(jì)算和遠(yuǎn)程工作時(shí)，也要確保信點(diǎn)安令。

（8）系統(tǒng)開發(fā)和維護(hù)：標(biāo)識(shí)系統(tǒng)的安全要求，確保安全被構(gòu)建在信息系統(tǒng)內(nèi)；控制應(yīng)用系統(tǒng)的安全，防止