【正文】 2023年 3月 8日星期三 下午 11時(shí) 12分 59秒 23:12: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 2023年 3月 8日星期三 11時(shí) 12分 59秒 23:12:598 March 2023 ? 1空山新雨后，天氣晚來(lái)秋。 , March 8, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 :12:5923:12Mar238Mar23 ? 1故人江海別，幾度隔山川。 規(guī)范信息安全技術(shù)及管理方面的規(guī)定 ? 這類(lèi)法律主要有《商用密碼管理?xiàng)l例》、《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》等。第十一條規(guī)定“國(guó)家安全機(jī)關(guān)為維護(hù)國(guó)家安全的需要，可以查驗(yàn)組織和個(gè)人的電子通信工具、器材等設(shè)備、設(shè)施”；第二十一條規(guī)定“任何個(gè)人和組織都不得非法持有、使用竊聽(tīng)、竊照等專(zhuān)用間諜器材”。 ? 1973 年瑞典《瑞典國(guó)家數(shù)據(jù)保護(hù)法》 – 美國(guó)《信息自由法》、《計(jì)算機(jī)欺詐和濫用法》、《計(jì)算機(jī)安全法》、《國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法》、《通信凈化法》、《個(gè)人隱私法》、《兒童網(wǎng)上保護(hù)法》、《愛(ài)國(guó)者法案》、《聯(lián)邦信息安全管理法案》、《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》以及《涉密?chē)?guó)家安全信息》等法律法規(guī) – 德國(guó)的《信息和通訊服務(wù)規(guī)范法》、法國(guó)的《互聯(lián)網(wǎng)絡(luò)憲章》、英國(guó)的《三 R互聯(lián)網(wǎng)絡(luò)安全規(guī)則》 、 俄羅斯的《聯(lián)邦信息、信息化和信息保護(hù)法》 、 日本的《電訊事業(yè)法》等， – 歐洲理事會(huì)也出臺(tái)了《網(wǎng)絡(luò)犯罪公約》。 – 互惠原則是指任何一個(gè)使用者必須認(rèn)識(shí)到，每個(gè)個(gè)體均是信息資源使用者和享受者，也是信息資源的生產(chǎn)者和提供者，在擁有享用信息資源的權(quán)利同時(shí)，也應(yīng)承擔(dān)信息社會(huì)對(duì)其成員所要求的責(zé)任。 ? 多樣性 信息技術(shù)手段的多樣性，必然造就信息犯罪行為的多樣性。 – 信息濫用 這類(lèi)犯罪是指由使用者違規(guī)操作，在信息系統(tǒng)中輸入或者傳播非法數(shù)據(jù)信息，毀滅、篡改、取代、涂改數(shù)據(jù)庫(kù)中儲(chǔ)存的信息，給他人造成損害的犯罪行為。 信息安全法律法規(guī)及道德規(guī)范 信息犯罪 ? 信息資源是當(dāng)今社會(huì)的重要資產(chǎn)，圍繞信息資源的犯罪已成為影響社會(huì)安定的重要因素。 國(guó)家信息安全標(biāo)準(zhǔn)體系 GB178951999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 ? 在我國(guó)眾多的信息安全標(biāo)準(zhǔn)中，公安部主持制定、國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn) GB178951999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》被認(rèn)為我國(guó)信息安全標(biāo)準(zhǔn)的奠基石。 信息安全管理實(shí)施細(xì)則 11個(gè)方面定義 ? 在 BS 77991《信息安全管理實(shí)施細(xì)則》中，從 11個(gè)方面定義了 133項(xiàng)控制措施， ? 這 11個(gè)方面分別是： – 安全策略 – 組織信息安全 – 資產(chǎn)管理 – 人力資源安全 – 物理和環(huán)境安全 – 通信和操作管理 – 訪問(wèn)控制 – 信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù) – 信息安全事件管理 – 業(yè)務(wù)連續(xù)性管理 – 符合性 建立信息安全管理體系六個(gè)基本步驟 ? 步驟一、定義信息安全策略 信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門(mén)的實(shí)際情況，分別制訂不同的信息安全策略。有時(shí)前面階段的工作也需要根據(jù)后面階段工作的反饋內(nèi)容進(jìn)行完善拓展，形成循環(huán)往復(fù)的過(guò)程。EAL5 半形式化的設(shè)計(jì)與測(cè)試級(jí) 要求按照嚴(yán)格的商業(yè)化開(kāi)發(fā)慣例 ， 應(yīng)用專(zhuān)業(yè)安全工程技術(shù)及思想 ， 提供高等級(jí)的獨(dú)立安全保證 。 構(gòu)造管理類(lèi) 發(fā)行與使用類(lèi) 開(kāi)發(fā)類(lèi) 指南文檔類(lèi) 生命周期支持類(lèi) 測(cè)試類(lèi) 脆弱性評(píng)估類(lèi) 需求定義的用法 ? 安全需求定義中的“類(lèi)、族、組件”體現(xiàn)的是分類(lèi)方法，安全需求由組件體現(xiàn)，選擇需求組件等同選擇安全需求。 ? 1995年 ， BS 7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) BSI（ British Standards Institute）針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)， 2023年被采納為 ISO/IEC 17799。 具體的風(fēng)險(xiǎn)控制措施 類(lèi)別 措施 屬性 技術(shù) 類(lèi) 身份 認(rèn)證技術(shù) 加密技術(shù) 防火墻技術(shù) 入侵 檢測(cè)技術(shù) 系統(tǒng)審計(jì) 蜜罐 、 蜜網(wǎng)技術(shù) 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 檢查性 糾正性 運(yùn)營(yíng) 類(lèi) 物理訪問(wèn)控制，如重要設(shè)備使用授權(quán)等 ； 容災(zāi)、容侵，如系統(tǒng)備份、數(shù)據(jù)備份等； 物理安全檢測(cè)技術(shù)，防盜技術(shù)、防火技術(shù)等； 預(yù)防性 預(yù)防性 檢查性 管理 類(lèi) 責(zé)任分配 權(quán)限管理 安全培訓(xùn) 人員控制 定期安全審計(jì) 預(yù)防性 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 NIST SP800系列標(biāo)準(zhǔn) ? 第一步 對(duì)實(shí)施控制措施的優(yōu)先級(jí)進(jìn)行排序，分配資源時(shí)，對(duì)標(biāo)有不可接受的高等級(jí)的風(fēng)險(xiǎn)項(xiàng)應(yīng)該給予較高的優(yōu)先級(jí)； ? 第二步 評(píng)估所建議的安全選項(xiàng)，風(fēng)險(xiǎn)評(píng)估結(jié)論中建議的控制措施對(duì)于具體的單位及其信息系統(tǒng)可能不是最適合或最可行的，因此要對(duì)所建議的控制措施的可行性和有效性進(jìn)行分析，選擇出最適當(dāng)?shù)目刂拼胧? ? 第三步 進(jìn)行成本效益分析，為決策管理層提供風(fēng)險(xiǎn)控制措施的成本效益分析報(bào)告； ? 第四步 在成本效益分析的基礎(chǔ)上，確定即將實(shí)施的成本有效性最好的安全措施； ? 第五步 遴選出那些擁有合適的專(zhuān)長(zhǎng)和技能，可實(shí)現(xiàn)所選控制措施的人員（內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任； ? 第六步 制定控制措施的實(shí)現(xiàn)計(jì)劃，計(jì)劃內(nèi)容主要包括風(fēng)險(xiǎn)評(píng)估報(bào)告給出的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)級(jí)別以及所建議的安全措施，實(shí)施控制的優(yōu)先級(jí)隊(duì)列、預(yù)期安全控制列表、實(shí)現(xiàn)預(yù)期安全控制時(shí)所需的資源、負(fù)責(zé)人員清單、開(kāi)始日期、完成日期以及維護(hù)要求等； ? 第七步 分析計(jì)算出殘余風(fēng)險(xiǎn)，風(fēng)險(xiǎn)控制可以降低風(fēng)險(xiǎn)級(jí)別，但不會(huì)根除風(fēng)險(xiǎn)，因此安全措施實(shí)施后仍然存在的殘余風(fēng)險(xiǎn)。 – 組合評(píng)估將基線和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)結(jié)合起來(lái)，既節(jié)省了評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被優(yōu)先關(guān)注。 – 組織可以采用國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)（如 BS 7799 ISO 133354）、行業(yè)標(biāo)準(zhǔn)或推薦（例如德國(guó)聯(lián)邦安全局 IT 基線保護(hù)手冊(cè)）以及來(lái)自其他具有相似商務(wù)目標(biāo)和規(guī)模的組織的慣例作為安全基線。 ? 資產(chǎn)（ Assets）是指對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象。 ? 目前我國(guó)現(xiàn)行法律法規(guī)中，與信息安全有關(guān)的已有近百部， – 涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域，初步形成了我國(guó)信息安全的法律體系。 – 互操作標(biāo)準(zhǔn)主要是非標(biāo)準(zhǔn)組織研發(fā)的算法和協(xié)議經(jīng)過(guò)自發(fā)的選擇過(guò)程，成為了所謂的“事實(shí)標(biāo)準(zhǔn)”，如 AES、 RSA、 SSL以及通用脆弱性描述標(biāo)準(zhǔn) CVE等。 ? ISMS應(yīng)該體現(xiàn)預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過(guò)程的動(dòng)態(tài)調(diào)整，從而確保整個(gè)安全體系在有效管理控制下，不斷改進(jìn)完善以適應(yīng)新的安全需求。 ? 管理在信息安全中的重要性高于安全技術(shù)層面，“三分技術(shù)，七分管理”的理念在業(yè)界中已經(jīng)得到共識(shí)。 ? 風(fēng)險(xiǎn)評(píng)估管理就是指在信息安全管理體系的各環(huán)節(jié)中，合理地利用風(fēng)險(xiǎn)評(píng)估技術(shù)對(duì)信息系統(tǒng)及資產(chǎn)進(jìn)行安全性分析及風(fēng)險(xiǎn)管理，為規(guī)劃設(shè)計(jì)完善信息安全解決方案提供基礎(chǔ)資料，屬于信息安全管理體系的規(guī)劃環(huán)節(jié)。 ? 除了有關(guān)的組織部門(mén)自己制定的相關(guān)規(guī)章制度之外，國(guó)家的有關(guān)信息安全法律法規(guī)更是有關(guān)人員需要遵守的。 ? 風(fēng)險(xiǎn)管理的概念來(lái)源于商