信息安全等级保护技术基础培训教程
2010-6
电子工业出版社
陆宝华,王晓宇 编著
628
信息及信息系统的安全,大的方面可以直接影响一个国家政治、国防安全、经济建设、社会秩序的稳定和社会公共利益,小的方面可以影响一个组织自身的生存与发展。这已经是一个不争的事实。各个国家如果没有给予足够的重视,后果将是极为可怕的。在我国,1994年就出台了《计算机信息系统安全保护条例》,将信息与信息系统保护纳入到了法制的轨道。后来又在《刑法》中加入了打击针对计算机信息系统的犯罪和利用计算机信息系统的犯罪的内容(《刑法》285,286,287条),在新近出台的治安处罚法中也加入了相关的内容。除了打击针对信息系统的犯罪外,更重要的是对于信息和信息系统进行适度的保护。所谓适度保护就是要根据信息及信息系统的重要程度,给予相适应的保护。我国推行的信息安全等级保护制度,就体现了适度保护这一原则。党的十六届四中全会针对传统安全威胁和非传统安全威胁的因素相互交织的新情况,提出了要增强国家安全意识,完善国家安全战略的要求。应该说,我国党和政府的领导及专家、学者在这一问题上的认识是一致的。早在1994年出台的《计算机信息系统安全保护条例》中就明确地提出了,在我国要实行信息安全等级保护制度。1999年出台了第一个关于信息安全等级保护的国家标准《计算机信息系统安全等级划分准则》(GB17859-1999)。2003年中办27号文中强调了要加强对信息与信息系统的保护,落实信息安全等级保护制度,明确提出了建设信息保障体系的要求。2004年,公安部、国家保密局、国务院密码委和原国务院信息化办公室联合下发了《信息安全等级保护实施意见》(公通字[2004]第66号,俗称66号文),标志着在我国信息安全等级保护工作的正式启动。2007年四部局办共同下发的《信息安全等级保护管理办法》(公通字[2007]第43号,俗称43号文)将信息安全等级保护工作纳入到了法制化的轨道。
本书是信息安全等级保护基础知识的介绍,使读者能清楚地了解信息保障体系建设的基本思想和基本方法。 本书分四个部分共11章,第一部分共三章是对信息保障基本概念的介绍,第1章概述,主要介绍信息保障的发展过程和信息保障体系的整体框架;第2章介绍信息系统中安全体系的核心——可信计算基(TCB)或者称之为安全子系统;第3章是现行信息安全保护技术的介绍。第二部分共六章,分层次介绍信息保障的基本思想和方法。第4章介绍信息系统保护的一般过程与基本方法,第5章介绍网络保护的基本思想和方法,第6章介绍计算机环境保护的思想和方法(操作系统、数据库、应用程序和数据),第7章至第9章介绍信息系统连续性运行(运行安全)保护的思想与方法:第7章介绍风险评估、第8章介绍应急响应、第9章介绍信息系统安全运行体系。第三部分仅第10章一章,介绍信息安全管理的基本思想与方法。第四部分也仅第11章一章,介绍信息安全工程的思想与方法。 本书适合于所有关心信息安全系统安全管理的读者阅读,使之能够建立起信息保障完整体系的思想。
第一部分 信息保障基本概念介绍 第1章 信息系统安全保障概述 1.1 信息系统安全概述 1.1.1 信息及信息系统及安全的定义 1.1.2 信息安全保障的基本概念 1.2 信息安全保障体系的构成 1.2.1 国家信息安全保障体系的构成 1.2.2 组织内部信息安全保障体系的构成 1.2.3 信息系统安全保障体系建设的基本原则 1.2.4 美国国家信息技术保障体系框架简介 1.3 信息及信息系统的安全等级保护 1.3.1 国外信息安全等级保护简介 1.3.2 在我国实行信息安全等级保护的意义 1.3.3 我国信息安全等级保护工作的开展情况 1.3.4 信息安全等级保护制度的基本内容 1.3.5 等级保护技术标准 1.4 信息系统安全涉及的相关知识 1.4.1 信息安全管理知识 1.4.2 信息科学与技术 1.4.3 现代密码技术与信息隐藏技术 1.4.4 其他学科的知识 第2章 可信计算基 第3章 信息安全技术的基本分类第二部分 信息保障的基本思想和方法 第4章 信息系统保护的一般方法与过程 第5章 保护网络 第6章 保护计算环境 第7章 风险评估与风险管理 第8章 信息安全事件的响应与处置 第9章 信息系统安全运行维护体系第三部分 信息安全管理的基本思想与方法 第10章 信息系统管理第四部分 信息安全工程的思想与方法 第11章 信息系统安全工程参考书目与文献
插图:制定自己的安全策略要考虑以下三点内容:(1)评估风险。(2)企业与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文。(3)企业为网络安全运作所订立的原则、目标及信息处理的规定,这实际上也是组织自身的信息安全需求。提出“APPDRR”动态安全模型的学者认为,该模型为网络建立了四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮”;恢复是网络的第四道防线,使网络在遭受攻击后能以最快的速度“起死回生”,在最大程度上降低安全事件带来的损失。1)网络风险评估与安全策略的制定大中型网络对安全性的要求是全方位的、整体的,全网动态安全的实施也是分步骤、分层次的。首先就是要知道目前的网络安全状况究竟怎样,即进行安全评估。在考虑提高网络安全性时,有人悲观地认为技术高超的黑客可以侵入并彻底破坏整个业务系统,认为目前的安全措施都是没有用处的;还有人在没有经过仔细分析的情况下,盲目地信任公司的网络系统,认为已经采取的安全措施是足够的。这些想法都没有客观地分析整个网络,对信息系统安全的理解是片面的。了解网络系统中存在的威胁可以帮助公司的决策者制定最为适当的安全策略。如上所述,许多公司的网络安全负责人并不清楚自己的网络到底有多么安全,也不清楚已经采取的安全措施究竟会起到什么样的效果。如果从安全体系的角度,进一步分析网络的风险,可以发现更多、更隐蔽的安全隐患。那么,究竟怎么做才能让机构的管理人员真正了解网络的安全性呢?这就需要依据安全层次对网络进行全面的风险分析。
特别适合信息安全专业人员的基础启蒙教材,通俗易懂、内容全面,不错!
工作需要专门买的,外面找不到了。
技术性强的书籍,能基本满足初学者的要求
不错,刚拿到手还没来得及看呢,价格比某东便宜多了
基本满足初学者的需求,适合信息安全专业人员的基础启蒙教材,通俗易懂。
才拿到,翻了下目录,里面内容还是比较详尽。对考试而言内容部分初级、中级和高级,对新手来说比较吃力。
还可以吧,模模糊糊
只是在部分内容上做了详细描述,内容质量上比初级版有所增强适合入门级用户阅读。