信息安全等保护技术基础培训教程.docVIP

信息安全等级保护技术基础培训教程信息及信息系统的安全，大的方面可以直接影响一个国家政治、国防安全、经济建设、社会秩序的稳定和社会公共利益，小的方面可以影响一个组织自身的生存与发展。这已经是一个不争的事实。各个国家如果没有给予足够的重视，后果将是极为可怕的。 　　在我国，1994年就出台了《计算机信息系统安全保护条例》，将信息与信息系统保护纳入到了法制的轨道。后来又在《刑法》中加入了打击针对计算机信息系统的犯罪和利用计算机信息系统的犯罪的内容（《刑法》285,286,287条），在新近出台的治安处罚法中也加入了相关的内容。 　　除了打击针对信息系统的犯罪外，更重要的是对于信息和信息系统进行适度的保护。所谓适度保护就是要根据信息及信息系统的重要程度，给予相适应的保护。我国推行的信息安全等级保护制度，就体现了适度保护这一原则。 　　党的十六届四中全会针对传统安全威胁和非传统安全威胁的因素相互交织的新情况，提出了要增强国家安全意识，完善国家安全战略的要求。 　　应该说，我国党和政府的领导及专家、学者在这一问题上的认识是一致的。早在1994年出台的《计算机信息系统安全保护条例》中就明确地提出了，在我国要实行信息安全等级保护制度。1999年出台了第一个关于信息安全等级保护的国家标准《计算机信息系统安全等级划分准则》（GB17859－1999）。2003年中办27号文中强调了要加强对信息与信息系统的保护，落实信息安全等级保护制度，明确提出了建设信息保障体系的要求。2004年，公安部、国家必威体育官网网址局、国务院密码委和原国务院信息化办公室联合下发了《信息安全等级保护实施意见》（公通字［2004］第66号，俗称66号文），标志着在我国信息安全等级保护工作的正式启动。2007年四部局办共同下发的《信息安全等级保护管理办法》（公通字［2007］第43号，俗称43号文）将信息安全等级保护工作纳入到了法制化的轨道。 　　本书的背景 　　信息安全等级保护制度是我国在信息与信息系统保护方面的基本制度和基本策略，是一种必须强制执行的制度。为了科学地推动这一制度的落实，国家出台了一系列的法规、政策和标准，使得需要对信息和信息系统进行保护的组织及主管部门，代表国家推行这一制度的相关监管部门，各类信息安全服务单位及信息安全专用产品的提供单位均在一套法律与技术体系的指导下完成各自相应的工作。 　　为了能更好地推动这一工作的开展，我们按照国家的要求，编著了这本《信息安全等级保护技术基础培训教程》。 　　在编著这本书之前，我们做了这样的三项调查：一是对目前各使用单位、各监管部门从事信息系统安全的人员所掌握的理论与技术水平进行了调查；二是对目前出版的关于信息安全方面的著作进行了调查；三是对目前各类的信息安全培训进行了调查。我们得出了这样的一个结论，绝大多数从事信息安全方面的工作人员都缺乏系统和全面的信息系统安全保护方面的知识，而只有少量的信息安全出版物能够系统全面地来介绍这方面的知识，绝大多数的商业培训都没有系统地、完整地介绍信息系统安全保护方面的知识。 　　基于以上的认识，我们统一规划了这本书的结构，其目的是让读者对信息系统安全保护知识有一个全面的、系统的了解，同时也兼顾了信息系统的一般保护方法。通过阅读这本书，读者能够读懂各类相关的标准，并具有初步的信息系统安全保障的知识。 　　本书的内容 　　本书分四个部分共11章，第一部分包括第1章至第3章，是基础知识的介绍，全面介绍了信息系统安全保护的理论与技术。其中，第2章是对可信计算基的简要介绍，可信计算基或者称安全子系统，是信息系统安全保护的基本思想，国内外的技术标准均使用这一概念，而国内的出版物却很少有这方面知识的介绍。第3章是现行信息安全技术的介绍。 　　第二部分包括第4章至第9章，是从技术的角度来介绍对信息系统的一般保护方法，实际上也是信息系统安全保护的基础知识，是理论与技术的应用。信息系统的安全保护目标有两个：一是数据信息的安全（主要考虑机密性和完整性），二是信息系统服务功能的安全（数据信息及系统的可用性）。许多专家和学者称前者为信息安全，而后者则是运行安全。我们这里也是从这样的思想出发的，一些保护措施用来保护数据信息安全，如保护计算环境；而另一些措施则用来保护系统服务功能，如容错和容灾；还有一些保护措施同时兼顾了这两个方面，如对网络的保护。 　　第三部分仅一章，第10章，简要地介绍了信息安全管理体系。第四部分也仅一章，第11章，简要地介绍了信息安全工程方面的知识。 　　本书的作者 　　本书基本上是由陆宝华同志编著的，王晓宇同志协助翻译了《局域网安全分析》（FIPS　PUB　191）的全部内容和《信息保障技术框架》（美国国家安全局）的部分内容，在编著第5章保护网络和网络边界中使用了这些内容。