【正文】 部分 BS77991是《信息安全管理實施細(xì)則》，也就是國際標(biāo)準(zhǔn)化組織的 ISO/IEC 17799標(biāo)準(zhǔn)的部分，主要提供給負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其中分11個標(biāo)題，定義了 133項安全控制（最佳慣例）。 ? 安全產(chǎn)品從需求分析到產(chǎn)品的最終實現(xiàn)，整個開發(fā)過程可依次分為應(yīng)用環(huán)境分析、明確產(chǎn)品安全環(huán)境、確立安全目標(biāo)、形成產(chǎn)品安全需求、安全產(chǎn)品概要設(shè)計、安全產(chǎn)品實現(xiàn)等幾個階段。 安全可信度級別 級別 定義 可信度 級別描述 EALl 職能式測試級 表示信息保護(hù)問題得到了適當(dāng)?shù)奶幚?；EAL2 結(jié)構(gòu)式測試級 表示評價時需要得到開發(fā)人員的配合 ，該級提供低中級的獨立安全保證； EAL3 基于方法學(xué)的測試與檢查級 要求在設(shè)計階段實施積極的安全工程思想 ， 提供中級的獨立安全保證 。 – 在 CC標(biāo)準(zhǔn)中，安全需求以類、族、組件的形式進(jìn)行定義，這給出了對安全需求進(jìn)行分組歸類的方法。 ? SSECMM （ System Security Engineering Capability Maturity Model）模型是由美國國家安全局 NSA領(lǐng)導(dǎo)開發(fā)的專門用于系統(tǒng)安全工程的能力成熟度模型。 ? 風(fēng)險轉(zhuǎn)移是指通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險等。 – 詳細(xì)的風(fēng)險評估可能是一個非常耗費資源的過程，包括時間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評估的信息資產(chǎn)范圍，以減少工作量。 常見的風(fēng)險評估方法 ? 基線評估（ Baseline Assessment） – 就是有關(guān)組織根據(jù)其實際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對信息系統(tǒng)進(jìn)行安全基線檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，計算之間的差距），得出基本的安全需求，給出風(fēng)險控制方案。 風(fēng)險評估 ? 風(fēng)險評估主要包括風(fēng)險分析和風(fēng)險評價 – 風(fēng)險分析是指全面地識別風(fēng)險來源及類型； – 風(fēng)險評價是指依據(jù)風(fēng)險標(biāo)準(zhǔn)估算風(fēng)險水平，確定風(fēng)險的嚴(yán)重性。 – 目前在計算機(jī)系統(tǒng)、互聯(lián)網(wǎng)以及其它信息領(lǐng)域中，國家均制定了相關(guān)法律法規(guī)進(jìn)行約束管理，如果觸犯，勢必受到相應(yīng)的懲罰。 標(biāo)準(zhǔn)規(guī)范管理 ? 標(biāo)準(zhǔn)規(guī)范管理可理解為在規(guī)劃實施信息安全解決方案時，各項工作遵循國際或國家相關(guān)標(biāo)準(zhǔn)規(guī)范，有完善的檢查機(jī)制。 信息安全管理體系 ISMS ? 信息安全管理體系 ISMS（ Information Security Management System）是從管理學(xué)慣用的過程模型 PDCA（ Plan、 Do、Check、 Act）發(fā)展演化而來。 ISMS ? 信息安全管理體系（ ISMS）是一個系統(tǒng)化、過程化的管理體系，體系的建立不可能一蹴而就，需要全面、系統(tǒng)、科學(xué)的風(fēng)險評估、制度保證和有效監(jiān)督機(jī)制。 ? 國際標(biāo)準(zhǔn)可以分為互操作標(biāo)準(zhǔn)、技術(shù)與工程標(biāo)準(zhǔn)、信息安全管理與控制標(biāo)準(zhǔn)三類。 立法現(xiàn)狀 ? 根據(jù)英國學(xué)者巴雷特的歸納，各國對計算機(jī)犯罪的立法，主要采取了兩種方案， – 一種是制定計算機(jī)犯罪的專項立法，如美國、英國等； – 一種是通過修訂法典，增加規(guī)定有關(guān)計算機(jī)犯罪的內(nèi)容，如法國、俄羅斯等。 – 一般認(rèn)為，與信息安全風(fēng)險有關(guān)的因素主要包括威脅、脆弱性、資產(chǎn)、安全控制等。 – 所謂的基線就是在諸多標(biāo)準(zhǔn)規(guī)范中確定的一組安全控制措施或者慣例，這些措施和慣例可以滿足特定環(huán)境下的信息系統(tǒng)的基本安全需求，使信息系統(tǒng)達(dá)到一定的安全防護(hù)水平。 組合評估 ? 組合評估要求首先對所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險評估，依據(jù)各信息資產(chǎn)的實際價值和可能面臨的風(fēng)險，劃分出不同的評估范圍，對于具有較高重要性的資產(chǎn)部分采取詳細(xì)風(fēng)險評估，而其它部分采用基線風(fēng)險評估。 安全風(fēng)險系統(tǒng)判斷過程 風(fēng)險控制具體做法 ? 當(dāng)存在系統(tǒng)脆弱性時，減少或修補(bǔ)系統(tǒng)脆弱性，降低脆弱性被攻擊利用的可能性； ? 當(dāng)系統(tǒng)脆弱性可利用時，運用層次化保護(hù)、結(jié)構(gòu)化設(shè)計以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度； ? 當(dāng)攻擊成本小于攻擊可能的獲利時，運用保護(hù)措施，通過提高攻擊者成本來降低攻擊者的攻擊動機(jī)，如加強(qiáng)訪問控制，限制系統(tǒng)用戶的訪問對象和行為，降低攻擊獲利； ? 當(dāng)風(fēng)險預(yù)期損失較大時，優(yōu)化系統(tǒng)設(shè)計、加強(qiáng)容錯容災(zāi)以及運用非技術(shù)類保護(hù)措施來限制攻擊的范圍，從而將風(fēng)險降低到可接受范圍。 ? CVE（ Common Vulnerabilities Exposures） ，即通用漏洞及暴露，是 IDnA（ Intrusion Detection and Assessment）的行業(yè)標(biāo)準(zhǔn)。首先，對全部安全需求進(jìn)行分析，根據(jù)不同的側(cè)重點，劃分成若干大組，每個大組就稱為一個類； 安全功能 需求類 （ 共 11項） 安全 保證需求類（共 7項） 安全 審計類 通信類 加密支持類 用戶數(shù)據(jù)保護(hù)類 身份識別與認(rèn)證類 安全管理類 隱私類 安全功能件保護(hù)類 資源使用類 安全產(chǎn)品訪問類 可信路徑 /通道類。 EAL4 基于方法學(xué)的設(shè)計 、 測試與審查級 要求按照商業(yè)化開發(fā)慣例實施安全工程思想 ， 提供中高級的獨立安全保證 。 ? 各個階段順序進(jìn)行，前一個階段的工作結(jié)果是后一個階段的工作基礎(chǔ)。 – 第二部分 BS77992是《信息安全管理體系規(guī)范》（即ISO/IEC 27001），其中詳細(xì)說明了建立、實施和維護(hù)信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的是建立適合企業(yè)所需的信息安全管理體系。 ? 截止 2023年 11月，國家共發(fā)布有關(guān)信息安全技術(shù)、產(chǎn)品、測評和管理的國家標(biāo)準(zhǔn) 69項（不包括密碼與保密標(biāo)準(zhǔn)）。訪問監(jiān)控器仲裁主體對客體的全部訪問。 – 信息竊取 此類犯罪是指未經(jīng)信息所有者同意，擅自秘密竊取或非法使用其信息的犯罪行為。 信息犯罪的顯著特點 ? 智能化 以計算機(jī)及網(wǎng)絡(luò)犯罪為例，犯罪者大多是掌握計算機(jī)和網(wǎng)絡(luò)技術(shù)的專業(yè)人才。 – 兼容原則是指社會的各主體間的信息活動方式應(yīng)符合某種公認(rèn)的規(guī)范和標(biāo)準(zhǔn)，個人的具體行為應(yīng)該被他人及整個社會所接受，最終實現(xiàn)信息活動的規(guī)范化和信息交流的無障礙化。 – 一方面法律法規(guī)是震懾和懲罰信息犯罪的重要工具， – 另一方面法律法規(guī)也是合法實施各項信息安全技術(shù)的理論依據(jù)。” – 中華人民共和國國家安全法的第十條規(guī)定“國家安全機(jī)關(guān)因偵察危害國家安全行為的需要，根據(jù)國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施”。 ? 這些法律規(guī)定的立法目的是保護(hù)信息系統(tǒng)、網(wǎng)絡(luò)以及軟件等信息資源，從法律上明確哪些行為構(gòu)成違反法律法規(guī)，并可能被追究相關(guān)民事或刑事責(zé)任。 23:12:5923:12:5923:123/8/2023 11:12:59 PM ? 1以我獨沈久，愧君相見頻。 下午 11時 12分 59秒 下午 11時 12分 23:12: ? 沒有失敗，只有暫時停止成功！。 2023年 3月 下午 11時 12分 :12March 8, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 :12:5923:12:59March 8, 2023 ? 1意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 11時 12分 :12March 8, 2023 ? 1業(yè)余生活要有意義，不要越軌。 下午 11時 12分 59秒 下午 11時 12分 23:12: ? 楊柳散和風(fēng)，青山澹吾慮。 23:12:5923:12:5923:123/8/2023 11:12:59 PM ? 1成功就是日復(fù)一日那一點點小小努力的積累。 23:12:5923:12:5923:12Wednesday, March 8, 2023 ? 1乍見翻疑夢，相悲各問年。 ? 商用密碼管理條例的第三條規(guī)定“商