【正文】 的安全產品 。 – 保護輪廓定義是一份安全需求說明書，是針對某一類安全環(huán)境確立相應的安全目標，進而定義為實現這些安全目標所需要的安全需求，保護輪廓定義的主要內容包括定義簡述、產品說明、安全環(huán)境、安全目標、安全需求、應用注釋和理論依據等。 CC文檔結構 ? CC標準提倡安全工程的思想，通過信息安全產品的開發(fā)、評價、使用全過程的各個環(huán)節(jié)的綜合考慮來確保產品的安全性。 – 信息安全管理與控制標準的意義在于可以更具體有效地指導信息安全具體實踐，其中 BS 7799就是這類標準的代表，其卓越成績也已得到業(yè)界共識。 ? 風險控制的目標是將安全風險降低到一個可接受的范圍內， – 消除所有風險往往是不切實際的，甚至也是近乎不可能的， – 安全管理人員有責任運用最小成本來實現最合適的控制，使?jié)撛诎踩L險對該組織造成的負面影響最小化。 詳細評估 Detailed Assessment ? 指組織對信息資產進行詳細識別和評價，對可能引起風險的威脅和脆弱性進行充分地評估，根據全面系統(tǒng)的風險評估結果來確定安全需求及控制方案。 ? 安全控制（ Security Control）是指用于消除或減低安全風險所采取的某種安全行為，包括措施、程序及機制等。 ? 信息安全道德規(guī)范的基本出發(fā)點 – 是一切個人信息行為必須服從于信息社會的整體利益，即個體利益服從整體利益； – 對于運營商來說，信息網絡的規(guī)劃和運行應以服務于社會成員整體為目的。 制度法規(guī)管理 ? 制度法規(guī)管理是指宣傳國家及各部門制定的相關制度法規(guī)，并監(jiān)督有關人員是否遵守這些制度法規(guī)。 風險評估 ? 風險評估（ Risk Assessment）是指對信息資產所面臨的威脅、存在的弱點、可能導致的安全事件以及三者綜合作用所帶來的風險進行評估。第 10章 信息安全管理 主要內容 概述 信息安全風險管理 信息安全標準 信息安全法律法規(guī)及道德規(guī)范 概述 ? 當今社會已經進入到信息化社會，其信息安全是建立在信息社會的基礎設施及信息服務系統(tǒng)之間的互聯、互通、互操作意義上的安全需求上 。 ? 在各環(huán)節(jié)中，風險評估管理、標準規(guī)范管理以及制度法規(guī)管理這三項工作直接影到響整個信息安全管理體系是否能夠有效實行，因此也具有非常重要的地位。 – 信息安全管理與控制標準是指由標準化組織制定的用于指導和管理信息安全解決方案實施過程的標準規(guī)范，如信息安全管理體系標準（BS7799）、信息安全管理標準（ ISO 13335）以及信息和相關技術控制目標（ COBIT）等。 – 包括計算機從業(yè)人員道德規(guī)范、網絡用戶道德規(guī)范以及服務商道德規(guī)范等。 ? 脆弱性（ Vulnerability）一般指資產中存在的可能被潛在威脅所利用的缺陷或薄弱點，如操作系統(tǒng)漏洞等。缺點，比如基線水準的高低難以設定，如果過高，可能導致資源浪費和限制過度，如果過低，可能難以達到所需的安全要求。 風險控制 ? 風險控制是信息安全風險管理在風險評估完成之后的另一項重要工作 ? 任務是對風險評估結論及建議中的各項安全措施進行分析評估，確定優(yōu)先級以及具體實施的步驟。 – 互操作標準多數為所謂的“事實標準”，這些標準對信息安全領域的發(fā)展同樣做出了巨大的貢獻，如 RSA、 DES、 CVE等標準。 CC ? CC標準是“ The Common Criteria for Information Technology security Evaluation”的縮寫，《信息技術安全性通用評估標準》，在美國和歐洲等推出的測評準則上發(fā)展起來的。 – 安全組件包是把多個安全需求組件組合在一起所得到的組件集合。 EAL7 形式化驗證的設計與測試級 目標是使產品能在極端危險的環(huán)境中使用 。 產品安全性評價 ? CC標準在評價安全產品時，把待評價的安全產品及其相關指南文檔資料作為評價對象。 ? 步驟三、進行信息安全風險評估 信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產的敏感程度，所采用的評估措施應該與組織對信息資產風險的保護需求相一致。 五個安全等級 ? 第一級 用戶自主保護級：本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與數據，使用戶具備自主安全保護的能力。 ? 目前多數的信息犯罪均屬于計算機及網絡犯罪。 ? 妨害社會秩序和市場秩序的信息犯罪 – 犯罪主體利用信息網絡從事虛假宣傳、非法經營及其它非法活動，對社會秩序和正規(guī)的市場秩序造成惡劣影響。 ? 偵查取證困難 以計算機犯罪為例，實施犯罪一般為異地作案，而且所有證據均為電子數據，犯罪分子可能在實施犯罪后，直接毀滅電子犯罪現場，致使偵查工作和罪證采集相當困難。 美國 Computer Ethics Institute的十條戒律 ? 不應用計算機去傷害別人； ? 不應干擾別人的計算機工作； ? 不應窺探別人的文件； ? 不應用計算機進行偷竊； ? 不應用計算機作偽證； ? 不應使用或拷貝你沒有付錢的軟件； ? 不應未經許可而使用別人的計算機資源； ? 不應盜用別人智力成果； ? 應該考慮你所編的程序的社會后果； ? 應該以深思熟慮和慎重的方式來使用計算機。 ? 1995年 2月 ， 頒布的《中華人民共和國人民警察法》明確了公安機關具有監(jiān)督管理計算機信息系統(tǒng)安全的職責。 懲戒信息犯罪的法律 ? 這類法律包括《中華人民共和國刑法》、《全國人大常委會關于維護互聯網安全的決定》等。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。 :12:5923:12:59March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 :12:5923:12Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , March 8, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 8日星期三 11時 12分 59秒 23:12:598 March 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。勝人者有力，自勝者強。 。 2023年 3月 8日星期三 11時 12分 59秒 23:12:598 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 針對信息網絡安全的特別規(guī)定 ? 這類法律規(guī)定主要有《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規(guī)定》、《中華人民共和國計算機軟件保護條例》等。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規(guī)定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。 信息安全法律法規(guī) ? 建立完善信息安全法律體系 是 當今重要課題。個體利益服從整體利益，不得以損害團體整體利益為代價謀取個人利益。例如通過信息網絡，以竊取及公布他人隱私、編造各種丑聞以及竊取他人信用卡信息等方法為手段，以達到損害他人的隱私權、名譽權和騙取他人財產的目的。 ? 以信息資源為犯罪對象的犯罪常見的有 ： – 信息破壞 犯罪主體出于某種動機，利用非法手段進入未授權的系統(tǒng)或對他人的信息資源進行非法控制，具體行為表現為故意利用損壞、刪除、修改、增加、干擾等手段，對信息系統(tǒng)內部的硬件、軟件以及傳輸的信息進行破壞，從而導致網絡信息丟失、篡改、更換等，嚴重的可引起系統(tǒng)或網絡的癱瘓。 ? 第五級 訪問驗證保護級：本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。 中國的有關信息安全標準 ? 1985年發(fā)布了第一個標準 GB4943“信息技術設備的安全”，并于 1994年發(fā)布了第一批信息安全技術標準。 – 第一