2025年信息技术安全检验技术与标准手册.docx

2025年信息技术安全检验技术与标准手册

第1章信息技术安全基础理论与法规体系

1.1信息技术安全基础理论

信息安全的核心目标是通过设计、运行和维护，确保信息系统在物理、逻辑和通信层面上免受未授权访问、破坏、更改和泄露，从而保障业务连续性、数据完整性和系统可用性。基于威胁、脆弱性和后果的三角模型是分析安全问题的基石，其中威胁指潜在的攻击者或恶意行为，脆弱性指系统可能存在的弱点，后果指被攻击后造成的实际损失，三者共同决定了安全策略的优先级。

纵深防御（DefenseinDepth）策略要求在同一安全域内部署多层安全控制措施，通过增加攻击面、提高攻击难度和缩短攻击时间，确保即使某