【正文】 予較高的優(yōu)先級(jí)； ? 第二步 評(píng)估所建議的安全選項(xiàng) ，風(fēng)險(xiǎn)評(píng)估結(jié)論中建議的控制措施對(duì)于具體的單位及其信息系統(tǒng)可能不是最適合或最可行的，因此要對(duì)所建議的控制措施的可行性和有效性進(jìn)行分析，選擇出最適當(dāng)?shù)目刂拼胧? ? 第三步 進(jìn)行成本效益分析 ，為決策管理層提供風(fēng)險(xiǎn)控制措施的成本效益分析報(bào)告； ? 第四步 在成本效益分析的基礎(chǔ)上， 確定即將實(shí)施 的成本有效性最好的 安全措施 ； ? 第五步 遴選出 那些擁有合適的專(zhuān)長(zhǎng)和技能，可實(shí)現(xiàn)所選控制措施的 人員 （內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任； ? 第六步 制定控制措施的實(shí)現(xiàn)計(jì)劃 ，計(jì)劃內(nèi)容主要包括風(fēng)險(xiǎn)評(píng)估報(bào)告給出的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)級(jí)別以及所建議的安全措施，實(shí)施控制的優(yōu)先級(jí)隊(duì)列、預(yù)期安全控制列表、實(shí)現(xiàn)預(yù)期安全控制時(shí)所需的資源、負(fù)責(zé)人員清單、開(kāi)始日期、完成日期以及維護(hù)要求等； ? 第七步 分析計(jì)算出殘余風(fēng)險(xiǎn) ，風(fēng)險(xiǎn)控制可以降低風(fēng)險(xiǎn)級(jí)別，但不會(huì)根除風(fēng)險(xiǎn)，因此安全措施實(shí)施后仍然存在的殘余風(fēng)險(xiǎn)。 ? 在 CC標(biāo)準(zhǔn)中， 安全需求以類(lèi)、族、組件的形式進(jìn)行定義 ，這給出了對(duì)安全需求進(jìn)行分組歸類(lèi)的方法。 ? 安全產(chǎn)品從需求分析到產(chǎn)品的最終實(shí)現(xiàn)，整個(gè)開(kāi)發(fā)過(guò)程可依次分為應(yīng)用環(huán)境分析、明確產(chǎn)品安全環(huán)境、確立安全目標(biāo)、形成產(chǎn)品安全需求、安全產(chǎn)品概要設(shè)計(jì)、安全產(chǎn)品實(shí)現(xiàn)等幾個(gè)階段。 ? 第一部分 BS77991是 《 信息安全管理實(shí)施細(xì)則 》 ，也就是國(guó)際標(biāo)準(zhǔn)化組織的 ISO/IEC 17799標(biāo)準(zhǔn)的部分，主要 提供給負(fù)責(zé)信息安全系統(tǒng)開(kāi)發(fā)的人員參考使用 ，其中分 11個(gè)標(biāo)題，定義了 133項(xiàng)安全控制（最佳慣例）。 中國(guó)的有關(guān)信息安全標(biāo)準(zhǔn) ? 1985年發(fā)布了第一個(gè)標(biāo)準(zhǔn) GB4943“ 信息技術(shù)設(shè)備的安全 ”，并于 1994年發(fā)布了第一批信息安全技術(shù)標(biāo)準(zhǔn)。 ? 第五級(jí) 訪問(wèn)驗(yàn)證保護(hù)級(jí) ：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求。 ? 以信息資源為犯罪對(duì)象的犯罪常見(jiàn)的有： ? 信息破壞 犯罪主體出于某種動(dòng)機(jī)，利用非法手段進(jìn)入未授權(quán)的系統(tǒng)或?qū)λ说男畔①Y源進(jìn)行非法控制，具體行為表現(xiàn)為故意利用損壞、刪除、修改、增加、干擾等手段，對(duì)信息系統(tǒng)內(nèi)部的硬件、軟件以及傳輸?shù)男畔⑦M(jìn)行破壞，從而導(dǎo)致網(wǎng)絡(luò)信息丟失、篡改、更換等，嚴(yán)重的可引起系統(tǒng)或網(wǎng)絡(luò)的癱瘓。 信息犯罪的顯著特點(diǎn) ? 智能化 以計(jì)算機(jī)及網(wǎng)絡(luò)犯罪為例，犯罪者大多是掌握計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的專(zhuān)業(yè)人才。 ? 兼容原則 是指社會(huì)的各主體間的信息活動(dòng)方式應(yīng)符合某種公認(rèn)的規(guī)范和標(biāo)準(zhǔn)，個(gè)人的具體行為應(yīng)該被他人及整個(gè)社會(huì)所接受，最終實(shí)現(xiàn)信息活動(dòng)的規(guī)范化和信息交流的無(wú)障礙化。 ? 1995年 2月，頒布的 《 中華人民共和國(guó)人民警察法 》 明確了公安機(jī)關(guān)具有監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)安全的職責(zé)。這類(lèi)法律中的有關(guān)法律條文可以作為規(guī)范和懲罰網(wǎng)絡(luò)犯罪的法律規(guī)定?！钡谄邨l規(guī)定“商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)指定的單位生產(chǎn)。 ? 商用密碼管理?xiàng)l例 的第三條規(guī)定“商用密碼技術(shù)屬于國(guó)家秘密。第十一條規(guī)定“國(guó)家安全機(jī)關(guān)為維護(hù)國(guó)家安全的需要，可以查驗(yàn)組織和個(gè)人的電子通信工具、器材等設(shè)備、設(shè)施”；第二十一條規(guī)定“任何個(gè)人和組織都不得非法持有、使用竊聽(tīng)、竊照等專(zhuān)用間諜器材”。 ? 一方面法律法規(guī)是 震懾和懲罰信息犯罪 的重要工具， ? 另一方面法律法規(guī)也是 合法實(shí)施各項(xiàng)信息安全技術(shù)的理論依據(jù) ? 1973 年瑞典 《 瑞典國(guó)家數(shù)據(jù)保護(hù)法 》 ? 美國(guó) 《 信息自由法 》 、 《 計(jì)算機(jī)欺詐和濫用法 》 、 《 計(jì)算機(jī)安全法 》 、 《 國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法 》 、 《 通信凈化法 》 、《 個(gè)人隱私法 》 、 《 兒童網(wǎng)上保護(hù)法 》 、 《 愛(ài)國(guó)者法案 》 、《 聯(lián)邦信息安全管理法案 》 、 《 關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù) 》 以及 《 涉密?chē)?guó)家安全信息 》 等法律法規(guī) ? 德國(guó)的 《 信息和通訊服務(wù)規(guī)范法 》 、法國(guó)的 《 互聯(lián)網(wǎng)絡(luò)憲章 》 、英國(guó)的 《 三 R互聯(lián)網(wǎng)絡(luò)安全規(guī)則 》 、俄羅斯的 《 聯(lián)邦信息、信息化和信息保護(hù)法 》 、日本的 《 電訊事業(yè)法 》 等， ? 歐洲理事會(huì)也出臺(tái)了 《 網(wǎng)絡(luò)犯罪公約 》 。 ? 整體原則 是指一切信息活動(dòng)必須服從于社會(huì)國(guó)家等團(tuán)體的整體利益。 ? 妨害他人人身、財(cái)產(chǎn)權(quán)利 的信息犯罪 ? 犯罪主體利用信息網(wǎng)絡(luò)侮辱誹謗他人或者騙取他人財(cái)產(chǎn)（包含信息財(cái)產(chǎn)）。 ? “ 網(wǎng)絡(luò)犯罪 就是行為主體以計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)為犯罪工具或攻擊對(duì)象，故意實(shí)施的危害計(jì)算機(jī)網(wǎng)絡(luò)安全的，觸犯有關(guān)法律規(guī)范的行為。 ? 第三級(jí) 安全標(biāo)記保護(hù)級(jí) ：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。 ? 步驟五、 確定控制目標(biāo)和選擇控制措施 控制目標(biāo)的確定和控制措施的選擇原則是費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失。 ? 最后一項(xiàng)安全產(chǎn)品評(píng)價(jià)的目的是要證明被評(píng)價(jià)的安全產(chǎn)品能夠滿足安全保證的安全需求。 安全產(chǎn)品的開(kāi)發(fā) ? CC標(biāo)準(zhǔn)體現(xiàn)了軟件工程與安全工程相結(jié)合思想。 ? 第 1部分 “ 簡(jiǎn)介和一般模型 ” ，介紹 CC中的有關(guān)術(shù)語(yǔ)、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄部分主要介紹 “ 保護(hù)輪廓 ” 和 “ 安全目標(biāo) ” 的基本內(nèi)容； ? 第 2部分 “ 安全功能要求 ” ，這部分以 “ 類(lèi)、子類(lèi)、組件 ” 的方式提出安全功能要求，對(duì)每一個(gè) “ 類(lèi) ” 的具體描述除正文之外，在提示性附錄中還有進(jìn)一步的解釋?zhuān)? ? 第 3部分 “ 安全保證要求 ” ，定義了評(píng)估保證級(jí)別，介紹了 “ 保護(hù)輪廓 ” 和 “ 安全目標(biāo) ” 的評(píng)估，并同樣 以“類(lèi)、子類(lèi)、組件”的方式提出安全保證要求。 ? 風(fēng)險(xiǎn)轉(zhuǎn)移 是指通過(guò)使用其它措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)買(mǎi)保險(xiǎn)等。 詳細(xì)評(píng)估 Detailed Assessment ? 指組織對(duì)信息資產(chǎn)進(jìn)行 詳細(xì)識(shí)別和評(píng)價(jià) ，對(duì)可能引起風(fēng)險(xiǎn)的威脅和脆弱性進(jìn)行 充分地評(píng)估 ，根據(jù)全面系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)確定安全需求及控制方案。 )()(),( iiiiii TFTPVTAR ??)()(),(11iniinii TFTPVTARR ??? ????總因?yàn)榇嬖谕{ Ti而使資產(chǎn) Ai具有的風(fēng)險(xiǎn)， Ti為針對(duì)資產(chǎn) Ai的脆弱性 Vi的威脅 威脅 Ti發(fā)生的概率 威脅 Ti發(fā)生時(shí)的破壞程度 風(fēng)險(xiǎn)評(píng)估的任務(wù) ① 識(shí)別組織面臨的各種風(fēng)險(xiǎn)，了解總體的安全狀況； ② 分析計(jì)算風(fēng)險(xiǎn)概率，預(yù)估可能帶來(lái)的負(fù)面影響； ③ 評(píng)價(jià)組織承受風(fēng)險(xiǎn)的能力，確定各項(xiàng)安全建設(shè)的優(yōu)先等級(jí)； ④ 推薦風(fēng)險(xiǎn)控制策略，為安全需求提供依據(jù)。 ? 其核心內(nèi)容包括 風(fēng)險(xiǎn)評(píng)估 和 風(fēng)險(xiǎn)控制 兩個(gè)部分。 ? 除了有關(guān)的組織部門(mén)自己制定的相關(guān)規(guī)章制度之外，國(guó)