信息安全管理与网络攻防手册_1.docx

信息安全管理与网络攻防手册

第1章信息安全基础与合规框架

1.1信息安全核心概念与风险分类

信息安全是指保障信息系统、数据及网络资源在物理和逻辑上的完整性、保密性和可用性，其核心目标是通过技术、管理、法律等手段构建纵深防御体系。在数字化时代，任何未经授权的访问、篡改或泄露均被视为安全威胁，需从“人、机、料、法、环”五个维度全面评估风险。风险分类通常依据影响范围划分为国家关键信息基础设施（CII）风险、行业特定风险（如金融、医疗）风险及一般企业应用风险。对于CII系统，其风险等级需达到最高级别，必须实施“零信任”架构和全生命周期审计，任何操作日志的留存时间不得少于90天。