（一）通信保密

1.數(shù)據(jù)保密

①數(shù)據(jù)加密，即隱蔽數(shù)據(jù)的可讀性，將可讀的數(shù)據(jù)轉(zhuǎn)換為不可讀數(shù)據(jù)，即將明文轉(zhuǎn)換為密文，使非法者不能直接了解數(shù)據(jù)的內(nèi)容。加密的逆過程稱為解密。
②數(shù)據(jù)隱藏，即隱藏數(shù)據(jù)的存在性，將數(shù)據(jù)隱藏在一個容量更大的數(shù)據(jù)載體之中，形成隱秘載體，使非法者難以察覺其中隱藏有某些數(shù)據(jù)，或者難以從中提取被隱藏數(shù)據(jù)。

2.認證技術

從認證的對象看，可以分為報文認證和身份認證。報文用于鑒別（主要用于完整性保護）和數(shù)字簽名（主要用于抗抵賴性保護），身份認證主要用于真實性保護。

3.訪問控制

從系統(tǒng)資源安全保護的角度對要進行的訪問進行授權控制。

（二）信息防護技術

防火墻技術，信息系統(tǒng)安全審計和報警，數(shù)據(jù)容錯、容災和備份等。

（三）信息保障

即信息系統(tǒng)安全風險評估。

1.通過信息系統(tǒng)安全風險評估，組織可以達到如下目的：

①了解組織信息系統(tǒng)的管理和安全現(xiàn)狀。
②確定資產(chǎn)威脅源的分布，如入侵者、內(nèi)部人員、自然災害等；確定其實施的可能性；分析威脅發(fā)生后，資產(chǎn)的價值損失、敏感性和嚴重性，確定相應級別；確定最敏感、最重要資產(chǎn)在威脅發(fā)生后的損失。
③了解系統(tǒng)的脆弱性分布。
④明晰組織的安全需求，指導建立安全管理框架，合理規(guī)劃安全建設計劃。

2.應當在下面的一些時機進行：

①要設計規(guī)劃或升級到新的信息系統(tǒng)時；
②給目前的信息系統(tǒng)增加新的應用或新的擴充（包括進行互聯(lián)）時；
③發(fā)生一次安全事件后；
④組織具有結構性變動時；
⑤按照規(guī)定或某些特殊要求對信息系統(tǒng)的安全進行評估時。

3.信息系統(tǒng)安全風險評估的準則有：

①規(guī)范性原則，具有三層含義：
· 評估方案和實施，要根據(jù)有關標準進行。
· 選擇的評估部門需要被國家認可，并具有一定等級的資質(zhì)。
· 評估過程和文檔要規(guī)范。
②整體性原則。
③最小影響原則，具有兩層含義：
· 評估要有充分的計劃性，不對系統(tǒng)運行產(chǎn)生顯著影響。
· 所使用的評估工具要經(jīng)過多次使用考驗，具有很好的可控性。
④保密性原則，具有三層含義：
· 對評估數(shù)據(jù)嚴格保密。
· 不得泄露參評人員資料。
· 不得使用評估數(shù)據(jù)對被評方造成利益損失。

4.安全風險評估模式

①基線評估。基線評估就是按照標準或慣例進行評估。
②詳細評估。詳細評估就是對信息系統(tǒng)中的所有資源都進行仔細的評估。
③組合評估。組合評估是上述兩種模式的結合。