【正文】 部分 BS77991是《信息安全管理實(shí)施細(xì)則》，也就是國(guó)際標(biāo)準(zhǔn)化組織的 ISO/IEC 17799標(biāo)準(zhǔn)的部分，主要提供給負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其中分11個(gè)標(biāo)題，定義了 133項(xiàng)安全控制（最佳慣例）。 ? 安全產(chǎn)品從需求分析到產(chǎn)品的最終實(shí)現(xiàn)，整個(gè)開發(fā)過(guò)程可依次分為應(yīng)用環(huán)境分析、明確產(chǎn)品安全環(huán)境、確立安全目標(biāo)、形成產(chǎn)品安全需求、安全產(chǎn)品概要設(shè)計(jì)、安全產(chǎn)品實(shí)現(xiàn)等幾個(gè)階段。 安全可信度級(jí)別 級(jí)別 定義 可信度 級(jí)別描述 EALl 職能式測(cè)試級(jí) 表示信息保護(hù)問(wèn)題得到了適當(dāng)?shù)奶幚?；EAL2 結(jié)構(gòu)式測(cè)試級(jí) 表示評(píng)價(jià)時(shí)需要得到開發(fā)人員的配合 ，該級(jí)提供低中級(jí)的獨(dú)立安全保證； EAL3 基于方法學(xué)的測(cè)試與檢查級(jí) 要求在設(shè)計(jì)階段實(shí)施積極的安全工程思想 ， 提供中級(jí)的獨(dú)立安全保證 。 – 在 CC標(biāo)準(zhǔn)中，安全需求以類、族、組件的形式進(jìn)行定義，這給出了對(duì)安全需求進(jìn)行分組歸類的方法。 ? SSECMM （ System Security Engineering Capability Maturity Model）模型是由美國(guó)國(guó)家安全局 NSA領(lǐng)導(dǎo)開發(fā)的專門用于系統(tǒng)安全工程的能力成熟度模型。 ? 風(fēng)險(xiǎn)轉(zhuǎn)移是指通過(guò)使用其它措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)買保險(xiǎn)等。 – 詳細(xì)的風(fēng)險(xiǎn)評(píng)估可能是一個(gè)非常耗費(fèi)資源的過(guò)程，包括時(shí)間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評(píng)估的信息資產(chǎn)范圍，以減少工作量。 常見的風(fēng)險(xiǎn)評(píng)估方法 ? 基線評(píng)估（ Baseline Assessment） – 就是有關(guān)組織根據(jù)其實(shí)際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對(duì)信息系統(tǒng)進(jìn)行安全基線檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，計(jì)算之間的差距），得出基本的安全需求，給出風(fēng)險(xiǎn)控制方案。 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)估主要包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià) – 風(fēng)險(xiǎn)分析是指全面地識(shí)別風(fēng)險(xiǎn)來(lái)源及類型； – 風(fēng)險(xiǎn)評(píng)價(jià)是指依據(jù)風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平，確定風(fēng)險(xiǎn)的嚴(yán)重性。 – 目前在計(jì)算機(jī)系統(tǒng)、互聯(lián)網(wǎng)以及其它信息領(lǐng)域中，國(guó)家均制定了相關(guān)法律法規(guī)進(jìn)行約束管理，如果觸犯，勢(shì)必受到相應(yīng)的懲罰。 標(biāo)準(zhǔn)規(guī)范管理 ? 標(biāo)準(zhǔn)規(guī)范管理可理解為在規(guī)劃實(shí)施信息安全解決方案時(shí)，各項(xiàng)工作遵循國(guó)際或國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范，有完善的檢查機(jī)制。 信息安全管理體系 ISMS ? 信息安全管理體系 ISMS（ Information Security Management System）是從管理學(xué)慣用的過(guò)程模型 PDCA（ Plan、 Do、Check、 Act）發(fā)展演化而來(lái)。 ISMS ? 信息安全管理體系（ ISMS）是一個(gè)系統(tǒng)化、過(guò)程化的管理體系，體系的建立不可能一蹴而就，需要全面、系統(tǒng)、科學(xué)的風(fēng)險(xiǎn)評(píng)估、制度保證和有效監(jiān)督機(jī)制。 ? 國(guó)際標(biāo)準(zhǔn)可以分為互操作標(biāo)準(zhǔn)、技術(shù)與工程標(biāo)準(zhǔn)、信息安全管理與控制標(biāo)準(zhǔn)三類。 立法現(xiàn)狀 ? 根據(jù)英國(guó)學(xué)者巴雷特的歸納，各國(guó)對(duì)計(jì)算機(jī)犯罪的立法，主要采取了兩種方案， – 一種是制定計(jì)算機(jī)犯罪的專項(xiàng)立法，如美國(guó)、英國(guó)等； – 一種是通過(guò)修訂法典，增加規(guī)定有關(guān)計(jì)算機(jī)犯罪的內(nèi)容，如法國(guó)、俄羅斯等。 – 一般認(rèn)為，與信息安全風(fēng)險(xiǎn)有關(guān)的因素主要包括威脅、脆弱性、資產(chǎn)、安全控制等。 – 所謂的基線就是在諸多標(biāo)準(zhǔn)規(guī)范中確定的一組安全控制措施或者慣例，這些措施和慣例可以滿足特定環(huán)境下的信息系統(tǒng)的基本安全需求，使信息系統(tǒng)達(dá)到一定的安全防護(hù)水平。 組合評(píng)估 ? 組合評(píng)估要求首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險(xiǎn)評(píng)估，依據(jù)各信息資產(chǎn)的實(shí)際價(jià)值和可能面臨的風(fēng)險(xiǎn)，劃分出不同的評(píng)估范圍，對(duì)于具有較高重要性的資產(chǎn)部分采取詳細(xì)風(fēng)險(xiǎn)評(píng)估，而其它部分采用基線風(fēng)險(xiǎn)評(píng)估。 安全風(fēng)險(xiǎn)系統(tǒng)判斷過(guò)程 風(fēng)險(xiǎn)控制具體做法 ? 當(dāng)存在系統(tǒng)脆弱性時(shí)，減少或修補(bǔ)系統(tǒng)脆弱性，降低脆弱性被攻擊利用的可能性； ? 當(dāng)系統(tǒng)脆弱性可利用時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度； ? 當(dāng)攻擊成本小于攻擊可能的獲利時(shí)，運(yùn)用保護(hù)措施，通過(guò)提高攻擊者成本來(lái)降低攻擊者的攻擊動(dòng)機(jī)，如加強(qiáng)訪問(wèn)控制，限制系統(tǒng)用戶的訪問(wèn)對(duì)象和行為，降低攻擊獲利； ? 當(dāng)風(fēng)險(xiǎn)預(yù)期損失較大時(shí)，優(yōu)化系統(tǒng)設(shè)計(jì)、加強(qiáng)容錯(cuò)容災(zāi)以及運(yùn)用非技術(shù)類保護(hù)措施來(lái)限制攻擊的范圍，從而將風(fēng)險(xiǎn)降低到可接受范圍。 ? CVE（ Common Vulnerabilities Exposures） ，即通用漏洞及暴露，是 IDnA（ Intrusion Detection and Assessment）的行業(yè)標(biāo)準(zhǔn)。首先，對(duì)全部安全需求進(jìn)行分析，根據(jù)不同的側(cè)重點(diǎn)，劃分成若干大組，每個(gè)大組就稱為一個(gè)類； 安全功能 需求類 （ 共 11項(xiàng)） 安全 保證需求類（共 7項(xiàng)） 安全 審計(jì)類 通信類 加密支持類 用戶數(shù)據(jù)保護(hù)類 身份識(shí)別與認(rèn)證類 安全管理類 隱私類 安全功能件保護(hù)類 資源使用類 安全產(chǎn)品訪問(wèn)類 可信路徑 /通道類。 EAL4 基于方法學(xué)的設(shè)計(jì) 、 測(cè)試與審查級(jí) 要求按照商業(yè)化開發(fā)慣例實(shí)施安全工程思想 ， 提供中高級(jí)的獨(dú)立安全保證 。 ? 各個(gè)階段順序進(jìn)行，前一個(gè)階段的工作結(jié)果是后一個(gè)階段的工作基礎(chǔ)。 – 第二部分 BS77992是《信息安全管理體系規(guī)范》（即ISO/IEC 27001），其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的是建立適合企業(yè)所需的信息安全管理體系。 ? 截止 2023年 11月，國(guó)家共發(fā)布有關(guān)信息安全技術(shù)、產(chǎn)品、測(cè)評(píng)和管理的國(guó)家標(biāo)準(zhǔn) 69項(xiàng)（不包括密碼與保密標(biāo)準(zhǔn)）。訪問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪問(wèn)。 – 信息竊取 此類犯罪是指未經(jīng)信息所有者同意，擅自秘密竊取或非法使用其信息的犯罪行為。 信息犯罪的顯著特點(diǎn) ? 智能化 以計(jì)算機(jī)及網(wǎng)絡(luò)犯罪為例，犯罪者大多是掌握計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的專業(yè)人才。 – 兼容原則是指社會(huì)的各主體間的信息活動(dòng)方式應(yīng)符合某種公認(rèn)的規(guī)范和標(biāo)準(zhǔn)，個(gè)人的具體行為應(yīng)該被他人及整個(gè)社會(huì)所接受，最終實(shí)現(xiàn)信息活動(dòng)的規(guī)范化和信息交流的無(wú)障礙化。 – 一方面法律法規(guī)是震懾和懲罰信息犯罪的重要工具， – 另一方面法律法規(guī)也是合法實(shí)施各項(xiàng)信息安全技術(shù)的理論依據(jù)。” – 中華人民共和國(guó)國(guó)家安全法的第十條規(guī)定“國(guó)家安全機(jī)關(guān)因偵察危害國(guó)家安全行為的需要，根據(jù)國(guó)家有關(guān)規(guī)定，經(jīng)過(guò)嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施”。 ? 這些法律規(guī)定的立法目的是保護(hù)信息系統(tǒng)、網(wǎng)絡(luò)以及軟件等信息資源，從法律上明確哪些行為構(gòu)成違反法律法規(guī)，并可能被追究相關(guān)民事或刑事責(zé)任。 23:12:5923:12:5923:123/8/2023 11:12:59 PM ? 1以我獨(dú)沈久，愧君相見頻。 下午 11時(shí) 12分 59秒 下午 11時(shí) 12分 23:12: ? 沒(méi)有失敗，只有暫時(shí)停止成功！。 2023年 3月 下午 11時(shí) 12分 :12March 8, 2023 ? 1少年十五二十時(shí)，步行奪得胡馬騎。 :12:5923:12:59March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 11時(shí) 12分 :12March 8, 2023 ? 1業(yè)余生活要有意義，不要越軌。 下午 11時(shí) 12分 59秒 下午 11時(shí) 12分 23:12: ? 楊柳散和風(fēng)，青山澹吾慮。 23:12:5923:12:5923:123/8/2023 11:12:59 PM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 23:12:5923:12:5923:12Wednesday, March 8, 2023 ? 1乍見翻疑夢(mèng)，相悲各問(wèn)年。 ? 商用密碼管理?xiàng)l例的第三條規(guī)定“商