信息安全与风险评估指南.docxVIP

信息安全与风险评估指南

第1章信息安全基础概念与战略

1.1信息安全定义与核心原则

信息安全是指保护信息系统、数据资源及网络环境免受未授权访问、使用、披露、破坏、修改或丢失的威胁，其核心在于通过技术、管理、法律和组织措施确保信息资产的完整性、保密性和可用性。在定义中，“完整性”要求数据不被篡改，确保其真实可靠；“保密性”要求信息仅对授权方可见，防止泄露；“可用性”则确保授权用户在需要时能随时访问数据。

国际电信联盟（ITU）将信息安全定义为“保护信息资产免受未经授权的访问、使用、披露、破坏、修改或丢失”，并强调其是信息生命周期（采集、处理、存储、传输、使用、销毁）的全程保护。核心原则中，“最小权限原则”要求用户仅拥有完成工作所需的最小授权范围，避免过度授权带来的风险敞口；“纵深防御原则”则主张在安全边界内外构建多层防线，防止单一攻击点导致系统崩溃。信息安全遵循“零信任”理念，即对网络中任何请求的访问、更新或配置请求都进行严格的认证和验证，不默认信任内部用户或内部网络，始终假设网络是未信任的。

实际案例中，某大型银行因忽视“最小权限”导致某员工账号权限过大，被外部黑客利用窃取核心交易数据，这直接验证了严格执行核心原则的必要性。

1.2国家信息安全战略框架

国家信息安全战略是国家层面的顶层设计，旨在统筹发展与安全，确保关键信息基础设施（CII）和网络空间主权安全