中国CPA在线

（一）通信保密

1.数据保密

①数据加密，即隐蔽数据的可读性，将可读的数据转换为不可读数据，即将明文转换为密文，使非法者不能直接了解数据的内容。加密的逆过程称为解密。
②数据隐藏，即隐藏数据的存在性，将数据隐藏在一个容量更大的数据载体之中，形成隐秘载体，使非法者难以察觉其中隐藏有某些数据，或者难以从中提取被隐藏数据。

2.认证技术

从认证的对象看，可以分为报文认证和身份认证。报文用于鉴别（主要用于完整性保护）和数字签名（主要用于抗抵赖性保护），身份认证主要用于真实性保护。

3.访问控制

从系统资源安全保护的角度对要进行的访问进行授权控制。

（二）信息防护技术

防火墙技术，信息系统安全审计和报警，数据容错、容灾和备份等。

（三）信息保障

即信息系统安全风险评估。

1.通过信息系统安全风险评估，组织可以达到如下目的：

①了解组织信息系统的管理和安全现状。
②确定资产威胁源的分布，如入侵者、内部人员、自然灾害等；确定其实施的可能性；分析威胁发生后，资产的价值损失、敏感性和严重性，确定相应级别；确定最敏感、最重要资产在威胁发生后的损失。
③了解系统的脆弱性分布。
④明晰组织的安全需求，指导建立安全管理框架，合理规划安全建设计划。

2.应当在下面的一些时机进行：

①要设计规划或升级到新的信息系统时；
②给目前的信息系统增加新的应用或新的扩充（包括进行互联）时；
③发生一次安全事件后；
④组织具有结构性变动时；
⑤按照规定或某些特殊要求对信息系统的安全进行评估时。

3.信息系统安全风险评估的准则有：

①规范性原则，具有三层含义：
· 评估方案和实施，要根据有关标准进行。
· 选择的评估部门需要被国家认可，并具有一定等级的资质。
· 评估过程和文档要规范。
②整体性原则。
③最小影响原则，具有两层含义：
· 评估要有充分的计划性，不对系统运行产生显著影响。
· 所使用的评估工具要经过多次使用考验，具有很好的可控性。
④保密性原则，具有三层含义：
· 对评估数据严格保密。
· 不得泄露参评人员资料。
· 不得使用评估数据对被评方造成利益损失。

4.安全风险评估模式

①基线评估。基线评估就是按照标准或惯例进行评估。
②详细评估。详细评估就是对信息系统中的所有资源都进行仔细的评估。
③组合评估。组合评估是上述两种模式的结合。