本书对如何保障信息的安全做了全面的讲解。首先介绍了信息安全保障的类型、信息安全的深度防御策略、信息安全的法规与政策、信息安全的标准以及信息安全的道德规范；然后系统讲解了信息安全的管理体系、信息安全的风险管理、基本的信息安全管理措施，以及系统采购、开发与维护中的安全管理；最后讲解了安全事件管理与应急响应、信息系统灾难恢复管理、信息安全工程原理、以及信息安全工程实践方面的知识。

此书没有封底文字

随着信息化不断深入，信息安全上升到关系社会稳定、经济发展和公民权益的地位，成为国家安全的重要组成部分。在整个信息安全保障工作中，人是最核心、最活跃的因素，信息安全保障工作最终也是通过人来落实的。因此，加快信息安全人才培养体系建设是发展我国信息安全保障体系必备的基础和先决条件。
　　多年来，国家高度重视我国信息安全人才队伍的培养和建设，明确提出要加强信息安全人才培养。2003年9月，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003] 27号），提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神。中国信息安全测评中心依据中央赋予的职能，自2002年起，积极推动我国信息安全专业人才培养工作。一方面支持并配合国内多所大学开办了信息安全专业，有力促进了信息安全学历教育的开展；另一方面在原国务院信息化办公室的支持下，开创性地开展了信息安全职业教育与能力认证工作，面向社会提供“注册信息安全专业人员”（CISP）培训服务，十余年来培养专业人才逾万名，为党政军机关和职能部门以及金融、交通、能源等行业和国有大型企业的信息安全保障工作填补了专业人才队伍的空白。
　　教材和知识体系是信息安全职业培训认证工作的核心要素。中国信息安全测评中心在全面考察国际知名信息安全职业教育知识体系的基础上，汇集国内诸多院士、专家和学者智慧，汲取教学实践体验，提出信息安全人才需要全面涵盖理论、技术、管理、工程、标准和法律法规等知识域，在此基础上编撰了《信息安全理论与技术》、《信息安全工程与管理》及《信息安全标准与法律法规》系列教材，于2003年由人民邮电出版社正式出版。该系列教材填补了国内空白，成为信息安全保障工作中的必备参考书。
　　信息安全是动态发展变化的。新技术不断推陈出新，信息安全态势不断演变，需要不断地更新知识。经过十余年的积累，我们编撰了《信息安全技术》和《信息安全保障》两本书，这是在原版本系列教材基础上的全面修订，经过了三年试用和多次完善。与上版相比，修订后的教材具有以下三个特点。
　　一是主线更清晰，内容更全面。《信息安全技术》增加了安全攻击与防护、软件安全开发等章节。《信息安全保障》新增了信息安全管理基础、信息安全风险管理、信息安全等级保护等章节，进一步充实了信息安全法律、法规和标准体系等方面的内容。整套教材系统地阐述了当前我国信息安全保障体系的主要工作，以及各项工作涵盖的关键技术。
　　二是知识进行了全面更新。在《信息安全技术》中，增加了云计算、物联网和工业控制系统等新领域的安全防护技术，以及主流安全管理平台、统一威胁管理系统、网络准入控制系统、Web应用安全防护产品的技术原理与应用。在《信息安全保障》中，信息安全战略、法律、法规、政策及标准更新截至2013年。本套教材全面体现了信息安全领域各方面的最新发展状况，与国外同类信息安全培训教材知识体系总体保持同步。
　　三是吸收了十余年来中国信息安全测评中心在漏洞分析与风险评估等领域的最新科研成果与工作积累，同时，汇聚了知名高校、科研院所、行业及产业信息安全专家的知识与经验。与国外同类信息安全培训教材相比，本套教材更加贴合我国信息安全保障的实际工作要求，技术理论、政策指导与实践应用相结合，满足国家对信息安全人才的深层次需求。
　　本套教材以知识体系的全面性和实用性为原则，涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识，为信息安全管理与技术人员解决实际工作问题提供参考。本套教材主要面向国家部委、重要行业、科研院所及企事业单位的信息安全从业人员，适用于信息技术产品研发测试、信息系统安全规划与建设运维、信息安全服务等方面的专业技术人员，以及信息安全总体规划、策略制度制定、风险评估和监督审计等方面的管理人员。
　　本套教材在修订完善的过程中得到社会各界人士的关心与支持，特别是中国信息安全测评中心刘晖、郭涛、彭勇、张涛、班晓芳、姚轶崭、郭颖、戴忠华、任望、王庆、王星、邹静，上海信息安全工程技术研究中心谢安明，清华大学叶晓俊，北京交通大学李勇，中国科学院软件研究所苏璞睿，华东师范大学张雪芹，北京信息科技大学刘凯，北京江南天安科技有限公司陈冠直、胡杰，北京时代新威信息技术有限公司王连强，上海三零卫士信息安全有限公司邬敏华、陈锡军、陈长松，北京奇虎测腾科技有限公司张，南京翰海源信息技术有限公司方兴，在此表示衷心的感谢。
　　教材中不妥或错误之处恳请广大读者批评指正。

计算机\安全

吴世忠 江常青 孙成昊 李华 李静 编著：暂无简介

前　言
第1章　信息安全保障基础　1
1.1　信息安全保障背景　1
1.1.1　信息安全的内涵和外延　1
1.1.2　信息安全问题根源　4
1.1.3　信息技术与信息安全发展阶段　4
1.2　信息安全保障概念与模型　6
1.2.1　信息安全保障概念　6
1.2.2　信息安全保障相关模型　7
1.3　信息系统安全保障概念与模型　12
1.3.1　信息系统安全保障概念　12
1.3.2　信息系统安全保障模型　14
思考题　18
第2章　信息安全保障实践　19
2.1　信息安全保障现状　19
2.1.1　国外信息安全保障现状　19
2.1.2　我国信息安全保障现状　24
2.2　我国信息安全保障工作主要内容　33
2.2.1　信息安全标准化　33
2.2.2　信息安全应急处理与信息通报　34
2.2.3　信息安全等级保护　37
2.2.4　信息安全风险评估　39
2.2.5　灾难恢复　42
2.2.6　人才队伍建设　43
2.3　信息安全保障工作方法　44
2.3.1　确定信息安全需求　45
2.3.2　设计并实施信息安全方案　46
2.3.3　信息安全测评　46
2.3.4　信息安全监测与维护　50
思考题　50
第3章　信息安全管理基础　51
3.1　信息安全管理概述　51
3.1.1　信息安全管理基本概念　51
3.1.2　信息安全管理作用　52
3.1.3　信息安全管理关键成功因素　54
3.2　信息安全管理方法与实施　55
3.2.1　信息安全管理方法　55
3.2.2　信息安全管理实施　57
思考题　60
第4章　信息安全风险管理　61
4.1　信息安全风险管理基础　61
4.1.1　风险相关基本概念　61
4.1.2　信息安全风险管理概述　63
4.1.3　信息安全风险相关政策与标准　64
4.2　信息安全风险管理主要内容　66
4.2.1　信息安全风险管理的基本内容和过程　66
4.2.2　信息系统生命周期与信息安全风险管理　68
4.3　信息安全风险评估主要内容　70
4.3.1　风险评估工作形式　70
4.3.2　风险评估方法　71
4.3.3　风险评估的实施流程　74
4.3.4　风险评估工具　78
思考题　79
第5章　信息安全管理体系　80
5.1　信息安全管理体系基础　80
5.1.1　管理职责　80
5.1.2　文档控制　81
5.1.3　内部审核和管理评审　82
5.1.4　信息安全管理体系认证　83
5.2　信息安全管理体系建设　83
5.2.1　规划与建立ISMS　83
5.2.2　实施和运行ISMS　85
5.2.3　监视和评审ISMS　86
5.2.4　保持和改进ISMS　88
5.3　信息安全控制措施　89
5.3.1　安全方针　89
5.3.2　信息安全组织　90
5.3.3　资产管理　91
5.3.4　人力资源安全　92
5.3.5　物理和环境安全　94
5.3.6　通信和操作管理　96
5.3.7　访问控制　101
5.3.8　信息系统获取、开发和维护　104
5.3.9　符合性　106
思考题　108
第6章　应急响应与灾难恢复　109
6.1　应急响应概况　109
6.1.1　信息安全事件分类与分级　111
6.1.2　信息安全应急响应管理过程　112
6.1.3　计算机取证　114
6.2　信息系统灾难恢复　115
6.2.1　灾难恢复概况　115
6.2.2　灾难恢复管理过程　119
6.2.3　灾难恢复能力　122
6.3　灾难恢复相关技术　123
6.3.1　存储技术　124
6.3.2　备份技术　125
6.3.3　备用场所　126
6.3.4　云灾备技术　128
6.4　灾难恢复案例　128
6.4.1　灾难恢复需求分析　129
6.4.2　灾难恢复策略制定　130
思考题　131
第7章　信息内容安全　132
7.1　信息内容安全基础　132
7.1.1　信息内容安全的内涵与界定　132
7.1.2　信息内容安全与网络舆情　133
7.1.3　网络舆情基本概念　133
7.2　我国网络舆情状况　134
7.2.1　网络舆情相关政策　134
7.2.2　我国网络舆情生态　136
7.3　网络舆情管理　139
7.3.1　网络舆情收集　139
7.3.2　网络舆情分析　143
7.3.3　网络舆情应对　145
思考题　147
第8章　信息安全工程基础　148
8.1　信息安全工程概述　148
8.1.1　信息安全工程概念　148
8.1.2　信息安全工程理论基础　149
8.2　信息安全工程实施　153
8.2.1　发掘信息保护需求　154
8.2.2　定义信息系统安全要求　155
8.2.3　设计系统安全体系结构　155
8.2.4　开发详细安全设计　156
8.2.5　实现系统安全　157
8.2.6　评估信息保护的有效性　158
8.2.7　支持认证和认可　158
8.3　信息安全工程监理　159
8.3.1　信息安全工程监理概述　159
8.3.2　工程招标阶段监理　161
8.3.3　工程设计阶段监理　163
8.3.4　工程实施阶段监理　164
8.3.5　工程验收阶段监理　165
思考题　166
第9章　信息安全工程能力评估　167
9.1　SSE-CMM概述　167
9.1.1　SSE-CMM概念及作用　167
9.1.2　SSE-CMM的体系结构　168
9.2　信息安全工程过程　171
9.2.1　风险过程领域　171
9.2.2　工程过程领域　172
9.2.3　保证过程领域　176
9.3　信息安全工程能力　178
9.4　SSE-CMM评估方法　182
思考题　183
第10章　信息安全法规与政策　184
10.1　信息安全法规　184
10.1.1　我国信息安全法规体系框架　184
10.1.2　信息安全相关国家法律　187
10.1.3　信息安全相关行政法规和部门规章　196
10.1.4　信息安全相关地方法规、地方规章和行业规定　198
10.1.5　国外典型国家信息安全相关法规简介　199
10.2　信息安全政策　200
10.2.1　国家信息安全政策概况　200
10.2.2　信息安全相关国家政策　201
10.2.3　国外信息安全相关政策　209
思考题　210
第11章　信息安全标准　211
11.1　信息安全标准基础　211
11.1.1　标准的作用　212
11.1.2　标准化的特点和原则　213
11.1.3　我国国家标准的类型和代码　214
11.1.4　标准的编制过程　214
11.2　信息安全标准化组织　215
11.2.1　国际信息安全标准化组织　215
11.2.2　国外信息安全标准化组织　217
11.2.3　我国信息安全标准化组织　219
11.3　信息安全标准体系　220
11.3.1　我国信息安全标准体系　220
11.3.2　信息安全等级保护标准体系　221
11.3.3　国际信息安全标准体系　223
11.4　我国信息安全典型标准介绍　223
11.4.1　基础标准　224
11.4.2　技术与机制标准　224
11.4.3　管理标准　225
11.4.4　测评标准　226
11.4.5　密码技术标准　227
11.4.6　保密技术标准　228
思考题　228
第12章　信息安全道德规范　229
12.1　信息技术通行道德规范　229
12.1.1　计算机使用道德规范　229
12.1.2　互联网使用道德规范　230
12.2　信息安全从业人员道德规范　230
12.2.1　信息安全从业人员基本道德规范　230
12.2.2　CISP职业道德准则　231
思考题　232
附录A　我国法律涉及信息安全条款摘录　233
附录B　部分信息安全国家标准列表　253
附录C　缩略语　259
参考资料　266