【正文】 :12:5923:12Mar238Mar23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 。 – 中華人民共和國(guó)刑法的第二百一十九條規(guī)定“有下列侵犯商業(yè)秘密行為之一，給商業(yè)秘密的權(quán)利人造成重大損失的，處三年以下有期徒刑或者拘役，并處或者單處罰金；造成特別嚴(yán)重后果的，處三年以上七年以下有期徒刑，并處罰金”。 南加利福尼亞大學(xué)網(wǎng)絡(luò)倫理聲明指出了六種不道德網(wǎng)絡(luò)行為 ? 有意地造成網(wǎng)絡(luò)交通混亂或擅自闖入網(wǎng)絡(luò)及其相聯(lián)的系統(tǒng)； ? 商業(yè)性地或欺騙性地利用大學(xué)計(jì)算機(jī)資源； ? 偷竊資料、設(shè)備或智力成果； ? 未經(jīng)許可接近他人的文件； ? 在公共用戶場(chǎng)合做出引起混亂或造成破壞的行動(dòng)； ? 偽造電子函件信息。此種行為嚴(yán)重破壞了市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)秩序。 ? 第三級(jí) 安全標(biāo)記保護(hù)級(jí)：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。 – 最后一項(xiàng)安全產(chǎn)品評(píng)價(jià)的目的是要證明被評(píng)價(jià)的安全產(chǎn)品能夠滿足安全保證的安全需求。 – 安全對(duì)象定義是一份安全需求與概要設(shè)計(jì)說明書，不同的是安全對(duì)象定義的安全需求是為某一特定的安全產(chǎn)品而定義的，具體的安全需求可通過引用一個(gè)或多個(gè)保護(hù)輪廓定義來定義，也可從頭定義。 重要標(biāo)準(zhǔn) ? 1996年 ， 通用標(biāo)準(zhǔn) CC（ Common Criteria）是在 TESEC、 ITSEC、CTCPEC、 FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上演變形成的 。 – 這種評(píng)估途徑集中體現(xiàn)了風(fēng)險(xiǎn)管理的思想，全面系統(tǒng)地評(píng)估資產(chǎn)風(fēng)險(xiǎn)，在充分了解信息安全具體情況下，力爭(zhēng)將風(fēng)險(xiǎn)降低到可接受的水平。 信息安全風(fēng)險(xiǎn)管理 ? 信息安全風(fēng)險(xiǎn)管理是信息安全管理的重要部分 – 是規(guī)劃、建設(shè)、實(shí)施及完善信息安全管理體系的基礎(chǔ)和主要目標(biāo) – 其核心內(nèi)容包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩個(gè)部分。 ? 作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要手段。 ? 在建立信息安全管理體系的各環(huán)節(jié)中，安全需求的提出是ISMS的前提，運(yùn)作實(shí)施、監(jiān)視評(píng)審和維護(hù)改進(jìn)是重要步驟，而可管理的信息安全是最終的目標(biāo)。 道德規(guī)范 ? 道德規(guī)范也是信息領(lǐng)域從業(yè)人員及廣大用戶應(yīng)該遵守的。 – 基線評(píng)估的優(yōu)點(diǎn)是需要的資源少、周期短、操作簡(jiǎn)單，是經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。 信息安全標(biāo)準(zhǔn) ? 互操作、技術(shù)與工程、信息安全管理與控制三類標(biāo)準(zhǔn) – 技術(shù)與工程標(biāo)準(zhǔn)最多也最詳細(xì)，它們有效地推動(dòng)了信息安全產(chǎn)品的開發(fā)及國(guó)際化，如 CC、 SSECMM等標(biāo)準(zhǔn)。 ? CC標(biāo)準(zhǔn)定義了三種類型的組織結(jié)構(gòu)用于描述產(chǎn)品安全需求，分別是安全組件包、保護(hù)輪廓定義和安全對(duì)象定義。 ? 開發(fā)出來的產(chǎn)品經(jīng)過安全性評(píng)價(jià)和可用性鑒定后，再投人實(shí)際使用。 ? 準(zhǔn)則將信息系統(tǒng)安全分為 5個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)。 信息犯罪危害性 ? 妨害國(guó)家安全和社會(huì)穩(wěn)定的信息犯罪 – 犯罪主體利用網(wǎng)絡(luò)信息造謠、誹謗或者發(fā)表、傳播有害信息，煽動(dòng)顛覆國(guó)家政權(quán)、推翻社會(huì)制度、分裂國(guó)家及破壞國(guó)家統(tǒng)一等。信息交流是雙向的，主體間的關(guān)系是交互式的，權(quán)利和義務(wù)是相輔相成的 。 – 中華人民共和國(guó)保守國(guó)家秘密法的第三條規(guī)定“一切國(guó)家機(jī)關(guān)、武裝力量、政黨、社會(huì)團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國(guó)家秘密的義務(wù)”。 23:12:5923:12:5923:12Wednesday, March 8, 2023 ? 1乍見翻疑夢(mèng)，相悲各問年。 下午 11時(shí) 12分 59秒 下午 11時(shí) 12分 23:12: ? 楊柳散和風(fēng)，青山澹吾慮。 :12:5923:12:59March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 下午 11時(shí) 12分 59秒 下午 11時(shí) 12分 23:12: ? 沒有失敗，只有暫時(shí)停止成功！。 ? 這些法律規(guī)定的立法目的是保護(hù)信息系統(tǒng)、網(wǎng)絡(luò)以及軟件等信息資源，從法律上明確哪些行為構(gòu)成違反法律法規(guī)，并可能被追究相關(guān)民事或刑事責(zé)任。 – 一方面法律法規(guī)是震懾和懲罰信息犯罪的重要工具， – 另一方面法律法規(guī)也是合法實(shí)施各項(xiàng)信息安全技術(shù)的理論依據(jù)。 信息犯罪的顯著特點(diǎn) ? 智能化 以計(jì)算機(jī)及網(wǎng)絡(luò)犯罪為例，犯罪者大多是掌握計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的專業(yè)人才。訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問。 – 第二部分 BS77992是《信息安全管理體系規(guī)范》（即ISO/IEC 27001），其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的是建立適合企業(yè)所需的信息安全管理體系。 EAL4 基于方法學(xué)的設(shè)計(jì) 、 測(cè)試與審查級(jí) 要求按照商業(yè)化開發(fā)慣例實(shí)施安全工程思想 ， 提供中高級(jí)的獨(dú)立安全保證 。 ? CVE（ Common Vulnerabilities Exposures） ，即通用漏洞及暴露，是 IDnA（ Intrusion Detection and Assessment）的行業(yè)標(biāo)準(zhǔn)。 組合評(píng)估 ? 組合評(píng)估要求首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險(xiǎn)評(píng)估，依據(jù)各信息資產(chǎn)的實(shí)際價(jià)值和可能面臨的風(fēng)險(xiǎn)，劃分出不同的評(píng)估范圍，對(duì)于具有較高重要性的資產(chǎn)部分采取詳細(xì)風(fēng)險(xiǎn)評(píng)估，而其它部分采用基線風(fēng)險(xiǎn)評(píng)估。 – 一般認(rèn)為，與信息安全風(fēng)險(xiǎn)有關(guān)的因素主要包括威脅、脆弱性、資產(chǎn)、安全控制等。 ? 國(guó)際標(biāo)準(zhǔn)可以分為互操作標(biāo)準(zhǔn)、技術(shù)與工程標(biāo)準(zhǔn)、信息安全管理與控制標(biāo)準(zhǔn)三類。 信息安全管理體系 ISMS ? 信息安全管理體系 ISMS（ Information Security Management System）是從管理學(xué)慣用的過程模型 PDCA（ Plan、 Do、Check、 Act）發(fā)展演化而來。 – 目前在計(jì)算機(jī)系統(tǒng)、互聯(lián)網(wǎng)以及其它信息領(lǐng)域中，國(guó)家均制定了相關(guān)法律法規(guī)進(jìn)行約束管理，如果觸犯，勢(shì)必受到相應(yīng)的懲罰。 常見的風(fēng)險(xiǎn)評(píng)估方法 ? 基線評(píng)估（ Baseline Assessment） – 就是有關(guān)組織根據(jù)其實(shí)際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對(duì)信息系統(tǒng)進(jìn)行安全基線檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，計(jì)算之間的差距），得出基本的安全需求，給出風(fēng)險(xiǎn)控制方案。 ? 風(fēng)險(xiǎn)轉(zhuǎn)移是指通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)買保險(xiǎn)等。 – 在 CC標(biāo)準(zhǔn)中，安全需求以類、族、組件的形式進(jìn)行定義，這給出了對(duì)安全需求進(jìn)行分組歸類的方法。 ? 安全產(chǎn)品從需求分析到產(chǎn)品的最終實(shí)現(xiàn)，整個(gè)開發(fā)過程可依次分為應(yīng)用環(huán)境分析、明確產(chǎn)品安全環(huán)境、確立安全目標(biāo)、形成產(chǎn)品安全需求、安全產(chǎn)品概要設(shè)計(jì)、安全產(chǎn)品實(shí)現(xiàn)等幾個(gè)階段。 中國(guó)的有關(guān)信息安全標(biāo)準(zhǔn) ? 1985年發(fā)布了第一個(gè)標(biāo)準(zhǔn) GB4943“信息技術(shù)設(shè)備的安全”，并于 1994年發(fā)布了第一批信息安全技術(shù)標(biāo)準(zhǔn)。 ? 以信息資源為犯罪對(duì)象的犯罪常見的有 ： – 信息破壞 犯罪主體出于某種動(dòng)機(jī)，利用非法手段進(jìn)入未授權(quán)的系統(tǒng)或?qū)λ说男畔①Y源進(jìn)行非法控制，具體行為表現(xiàn)為故意利用損壞、刪除、修改、增加、干擾等手段，對(duì)信息系統(tǒng)內(nèi)部的硬件、軟件以及傳輸?shù)男畔⑦M(jìn)行破壞，從而導(dǎo)致網(wǎng)絡(luò)信息丟失、篡改、更換等，嚴(yán)重的可引起系統(tǒng)或網(wǎng)絡(luò)的癱瘓。個(gè)體利益服從整體利益，不得以損害團(tuán)體整體利益為代價(jià)謀取個(gè)人利益。除因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 。 2023年 3月 8日星期三 11時(shí) 12分 59秒 23:12:598 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 :12:5923:12Mar238Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。國(guó)家對(duì)商用密碼產(chǎn)品的科研、