【正文】 的安全產(chǎn)品 。 – 保護(hù)輪廓定義是一份安全需求說(shuō)明書，是針對(duì)某一類安全環(huán)境確立相應(yīng)的安全目標(biāo)，進(jìn)而定義為實(shí)現(xiàn)這些安全目標(biāo)所需要的安全需求，保護(hù)輪廓定義的主要內(nèi)容包括定義簡(jiǎn)述、產(chǎn)品說(shuō)明、安全環(huán)境、安全目標(biāo)、安全需求、應(yīng)用注釋和理論依據(jù)等。 CC文檔結(jié)構(gòu) ? CC標(biāo)準(zhǔn)提倡安全工程的思想，通過(guò)信息安全產(chǎn)品的開發(fā)、評(píng)價(jià)、使用全過(guò)程的各個(gè)環(huán)節(jié)的綜合考慮來(lái)確保產(chǎn)品的安全性。 – 信息安全管理與控制標(biāo)準(zhǔn)的意義在于可以更具體有效地指導(dǎo)信息安全具體實(shí)踐，其中 BS 7799就是這類標(biāo)準(zhǔn)的代表，其卓越成績(jī)也已得到業(yè)界共識(shí)。 ? 風(fēng)險(xiǎn)控制的目標(biāo)是將安全風(fēng)險(xiǎn)降低到一個(gè)可接受的范圍內(nèi)， – 消除所有風(fēng)險(xiǎn)往往是不切實(shí)際的，甚至也是近乎不可能的， – 安全管理人員有責(zé)任運(yùn)用最小成本來(lái)實(shí)現(xiàn)最合適的控制，使?jié)撛诎踩L(fēng)險(xiǎn)對(duì)該組織造成的負(fù)面影響最小化。 詳細(xì)評(píng)估 Detailed Assessment ? 指組織對(duì)信息資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和脆弱性進(jìn)行充分地評(píng)估，根據(jù)全面系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)確定安全需求及控制方案。 ? 安全控制（ Security Control）是指用于消除或減低安全風(fēng)險(xiǎn)所采取的某種安全行為，包括措施、程序及機(jī)制等。 ? 信息安全道德規(guī)范的基本出發(fā)點(diǎn) – 是一切個(gè)人信息行為必須服從于信息社會(huì)的整體利益，即個(gè)體利益服從整體利益； – 對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，信息網(wǎng)絡(luò)的規(guī)劃和運(yùn)行應(yīng)以服務(wù)于社會(huì)成員整體為目的。 制度法規(guī)管理 ? 制度法規(guī)管理是指宣傳國(guó)家及各部門制定的相關(guān)制度法規(guī)，并監(jiān)督有關(guān)人員是否遵守這些制度法規(guī)。 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)估（ Risk Assessment）是指對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、可能導(dǎo)致的安全事件以及三者綜合作用所帶來(lái)的風(fēng)險(xiǎn)進(jìn)行評(píng)估。第 10章 信息安全管理 主要內(nèi)容 概述 信息安全風(fēng)險(xiǎn)管理 信息安全標(biāo)準(zhǔn) 信息安全法律法規(guī)及道德規(guī)范 概述 ? 當(dāng)今社會(huì)已經(jīng)進(jìn)入到信息化社會(huì)，其信息安全是建立在信息社會(huì)的基礎(chǔ)設(shè)施及信息服務(wù)系統(tǒng)之間的互聯(lián)、互通、互操作意義上的安全需求上 。 ? 在各環(huán)節(jié)中，風(fēng)險(xiǎn)評(píng)估管理、標(biāo)準(zhǔn)規(guī)范管理以及制度法規(guī)管理這三項(xiàng)工作直接影到響整個(gè)信息安全管理體系是否能夠有效實(shí)行，因此也具有非常重要的地位。 – 信息安全管理與控制標(biāo)準(zhǔn)是指由標(biāo)準(zhǔn)化組織制定的用于指導(dǎo)和管理信息安全解決方案實(shí)施過(guò)程的標(biāo)準(zhǔn)規(guī)范，如信息安全管理體系標(biāo)準(zhǔn)（BS7799）、信息安全管理標(biāo)準(zhǔn)（ ISO 13335）以及信息和相關(guān)技術(shù)控制目標(biāo)（ COBIT）等。 – 包括計(jì)算機(jī)從業(yè)人員道德規(guī)范、網(wǎng)絡(luò)用戶道德規(guī)范以及服務(wù)商道德規(guī)范等。 ? 脆弱性（ Vulnerability）一般指資產(chǎn)中存在的可能被潛在威脅所利用的缺陷或薄弱點(diǎn)，如操作系統(tǒng)漏洞等。缺點(diǎn)，比如基線水準(zhǔn)的高低難以設(shè)定，如果過(guò)高，可能導(dǎo)致資源浪費(fèi)和限制過(guò)度，如果過(guò)低，可能難以達(dá)到所需的安全要求。 風(fēng)險(xiǎn)控制 ? 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理在風(fēng)險(xiǎn)評(píng)估完成之后的另一項(xiàng)重要工作 ? 任務(wù)是對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論及建議中的各項(xiàng)安全措施進(jìn)行分析評(píng)估，確定優(yōu)先級(jí)以及具體實(shí)施的步驟。 – 互操作標(biāo)準(zhǔn)多數(shù)為所謂的“事實(shí)標(biāo)準(zhǔn)”，這些標(biāo)準(zhǔn)對(duì)信息安全領(lǐng)域的發(fā)展同樣做出了巨大的貢獻(xiàn)，如 RSA、 DES、 CVE等標(biāo)準(zhǔn)。 CC ? CC標(biāo)準(zhǔn)是“ The Common Criteria for Information Technology security Evaluation”的縮寫，《信息技術(shù)安全性通用評(píng)估標(biāo)準(zhǔn)》，在美國(guó)和歐洲等推出的測(cè)評(píng)準(zhǔn)則上發(fā)展起來(lái)的。 – 安全組件包是把多個(gè)安全需求組件組合在一起所得到的組件集合。 EAL7 形式化驗(yàn)證的設(shè)計(jì)與測(cè)試級(jí) 目標(biāo)是使產(chǎn)品能在極端危險(xiǎn)的環(huán)境中使用 。 產(chǎn)品安全性評(píng)價(jià) ? CC標(biāo)準(zhǔn)在評(píng)價(jià)安全產(chǎn)品時(shí)，把待評(píng)價(jià)的安全產(chǎn)品及其相關(guān)指南文檔資料作為評(píng)價(jià)對(duì)象。 ? 步驟三、進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。 五個(gè)安全等級(jí) ? 第一級(jí) 用戶自主保護(hù)級(jí)：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。 ? 目前多數(shù)的信息犯罪均屬于計(jì)算機(jī)及網(wǎng)絡(luò)犯罪。 ? 妨害社會(huì)秩序和市場(chǎng)秩序的信息犯罪 – 犯罪主體利用信息網(wǎng)絡(luò)從事虛假宣傳、非法經(jīng)營(yíng)及其它非法活動(dòng)，對(duì)社會(huì)秩序和正規(guī)的市場(chǎng)秩序造成惡劣影響。 ? 偵查取證困難 以計(jì)算機(jī)犯罪為例，實(shí)施犯罪一般為異地作案，而且所有證據(jù)均為電子數(shù)據(jù)，犯罪分子可能在實(shí)施犯罪后，直接毀滅電子犯罪現(xiàn)場(chǎng)，致使偵查工作和罪證采集相當(dāng)困難。 美國(guó) Computer Ethics Institute的十條戒律 ? 不應(yīng)用計(jì)算機(jī)去傷害別人； ? 不應(yīng)干擾別人的計(jì)算機(jī)工作； ? 不應(yīng)窺探別人的文件； ? 不應(yīng)用計(jì)算機(jī)進(jìn)行偷竊； ? 不應(yīng)用計(jì)算機(jī)作偽證； ? 不應(yīng)使用或拷貝你沒(méi)有付錢的軟件； ? 不應(yīng)未經(jīng)許可而使用別人的計(jì)算機(jī)資源； ? 不應(yīng)盜用別人智力成果； ? 應(yīng)該考慮你所編的程序的社會(huì)后果； ? 應(yīng)該以深思熟慮和慎重的方式來(lái)使用計(jì)算機(jī)。 ? 1995年 2月 ， 頒布的《中華人民共和國(guó)人民警察法》明確了公安機(jī)關(guān)具有監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)安全的職責(zé)。 懲戒信息犯罪的法律 ? 這類法律包括《中華人民共和國(guó)刑法》、《全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾?。 :12:5923:12:59March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 :12:5923:12Mar238Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 , March 8, 2023 ? 閱讀一切好書如同和過(guò)去最杰出的人談話。 2023年 3月 8日星期三 11時(shí) 12分 59秒 23:12:598 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時(shí) 12分 59秒 23:12:598 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 針對(duì)信息網(wǎng)絡(luò)安全的特別規(guī)定 ? 這類法律規(guī)定主要有《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國(guó)計(jì)算機(jī)軟件保護(hù)條例》等。除因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。 信息安全法律法規(guī) ? 建立完善信息安全法律體系 是 當(dāng)今重要課題。個(gè)體利益服從整體利益，不得以損害團(tuán)體整體利益為代價(jià)謀取個(gè)人利益。例如通過(guò)信息網(wǎng)絡(luò)，以竊取及公布他人隱私、編造各種丑聞以及竊取他人信用卡信息等方法為手段，以達(dá)到損害他人的隱私權(quán)、名譽(yù)權(quán)和騙取他人財(cái)產(chǎn)的目的。 ? 以信息資源為犯罪對(duì)象的犯罪常見(jiàn)的有 ： – 信息破壞 犯罪主體出于某種動(dòng)機(jī)，利用非法手段進(jìn)入未授權(quán)的系統(tǒng)或?qū)λ说男畔①Y源進(jìn)行非法控制，具體行為表現(xiàn)為故意利用損壞、刪除、修改、增加、干擾等手段，對(duì)信息系統(tǒng)內(nèi)部的硬件、軟件以及傳輸?shù)男畔⑦M(jìn)行破壞，從而導(dǎo)致網(wǎng)絡(luò)信息丟失、篡改、更換等，嚴(yán)重的可引起系統(tǒng)或網(wǎng)絡(luò)的癱瘓。 ? 第五級(jí) 訪問(wèn)驗(yàn)證保護(hù)級(jí)：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求。 中國(guó)的有關(guān)信息安全標(biāo)準(zhǔn) ? 1985年發(fā)布了第一個(gè)標(biāo)準(zhǔn) GB4943“信息技術(shù)設(shè)備的安全”，并于 1994年發(fā)布了第一批信息安全技術(shù)標(biāo)準(zhǔn)。 – 第一