信息技术安全与保护手册（执行版）.docxVIP

信息技术安全与保护手册（执行版）

第1章信息安全基础与风险识别

1.1信息安全核心概念与标准体系

信息安全是指保护信息系统、数据和业务连续性免受未经授权的访问、破坏、篡改或泄露，其核心目标是确保信息的机密性、完整性与可用性。在定义“机密性”时，需明确其具体含义：指只有授权用户才能访问特定信息，且该信息在传输和存储过程中不被第三方窃取或窃取后不被篡改。

“完整性”要求数据在未被篡改的情况下，其内容、结构和逻辑关系必须保持准确无误，任何非授权的修改都将导致数据失效。“可用性”则强调系统、数据和应用程序在需要时能够正常提供业务服务，例如银行系统在客户急需转账时系统必须在线且响应迅速。国际通用的标准体系以ISO/IEC27000系列为基础，其中ISO/IEC27001是信息安全管理体系（ISMS）的强制性标准，用于指导组织构建和管理安全过程。

中国国家标准GB/T22239-2019《信息安全技术网络安全等级保护基本要求》则针对中国国情，将信息系统划分为五级，对各级别的安全防护提出了具体的技术要求。

1.2常见网络攻击手法与威胁模型

社会工程学攻击是利用人类心理弱点进行攻击，例如发送伪造的钓鱼邮件诱导员工恶意，或伪装成IT支持人员索要敏感凭证。勒索软件攻击通常通过加密用户的关键数据文件，并以加密密钥作为勒索赎金，要求受害者支付高额费用才能恢复