【正文】 SSL以及 CVE等。 ? 信息安全管理與控制標(biāo)準(zhǔn) ：由標(biāo)準(zhǔn)化組織制定的用于指導(dǎo)和管理信息安全解決方案實(shí)施過程的標(biāo)準(zhǔn)規(guī)范，如信息安全管理體系標(biāo)準(zhǔn)（ BS7799）、信息和相關(guān)技術(shù)控制目標(biāo)（ COBIT）等。 ? 每個(gè)組織部門（如企事業(yè)單位、公司等）都有信息安全規(guī)章制度，有關(guān)人員嚴(yán)格遵守這些規(guī)章制度對于一個(gè)組織部門的信息安全來說十分重要，而 完善的規(guī)章制度 和 建全的監(jiān)管機(jī)制 更是必不可少。 ? 目前在計(jì)算機(jī)系統(tǒng)、互聯(lián)網(wǎng)以及其它信息領(lǐng)域中，國家均制定了相關(guān)法律法規(guī)進(jìn)行約束管理，如果觸犯，勢必受到相應(yīng)的懲罰。 ? 目前我國現(xiàn)行法律法規(guī)中，與信息安全有關(guān)的已有近百部 ? 涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域，初步形成了我國信息安全的法律體系。 ? 包括計(jì)算機(jī)從業(yè)人員道德規(guī)范、網(wǎng)絡(luò)用戶道德規(guī)范以及服務(wù)商道德規(guī)范等。 信息安全風(fēng)險(xiǎn)管理 ? 信息安全風(fēng)險(xiǎn)管理 是信息安全管理的重要部分 ? 是規(guī)劃、建設(shè)、實(shí)施及完善信息安全管理體系的基礎(chǔ)和主要目標(biāo)。 ? 風(fēng)險(xiǎn)管理的 概念來源于商業(yè)領(lǐng)域 ，主要指對商業(yè)行為或目的投資的風(fēng)險(xiǎn)進(jìn)行分析、評估與管理，力求以最小的風(fēng)險(xiǎn)獲得最大的收益。 ?與信息安全風(fēng)險(xiǎn)有關(guān)的因素： ? 資產(chǎn)： 是指對組織具有價(jià)值的信息資源，是安全策略保護(hù)的對象。 ? 脆弱性： 一般指資產(chǎn)中存在的可能被潛在威脅所利用的缺陷或薄弱點(diǎn)，如操作系統(tǒng)漏洞等。 風(fēng)險(xiǎn)評估的目的和意義 ? 認(rèn)識現(xiàn)有的資產(chǎn)及其 價(jià)值 ? 對信息系統(tǒng)安全的各個(gè)方面的當(dāng)前潛在威脅、弱點(diǎn)和影響進(jìn)行全面的 評估 ? 通過安全評估，能夠清晰地了解當(dāng)前所面臨的安全風(fēng)險(xiǎn)，清晰地了解信息系統(tǒng)的 安全現(xiàn)狀 ? 明確地看到當(dāng)前安全現(xiàn)狀與安全目標(biāo)之間的 差距 ? 為下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況提供客觀和詳實(shí)的 依據(jù) 信息安全風(fēng)險(xiǎn)因素及相互關(guān)系 風(fēng)險(xiǎn)計(jì)算依據(jù) 風(fēng)險(xiǎn)分析原理 對資產(chǎn)進(jìn)行識別，并對資產(chǎn)價(jià)值進(jìn)行賦值 對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值 對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值 根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失 計(jì)算安全事件一旦發(fā)生，對組織的影響，即風(fēng)險(xiǎn)值 風(fēng)險(xiǎn)描述 ? 風(fēng)險(xiǎn)可以描述成關(guān)于 威脅發(fā)生概率 和發(fā)生時(shí)的 破壞程度 的函數(shù)，用數(shù)學(xué)符號描述如下： ? 由于某組織部門可能存在很多資產(chǎn)和相應(yīng)的脆弱性，故該組織的資產(chǎn)總風(fēng)險(xiǎn) 可以描述如下： ? 上述關(guān)于風(fēng)險(xiǎn)的數(shù)學(xué)表達(dá)式，只是給出了風(fēng)險(xiǎn)評估的概念性描述。 ? 風(fēng)險(xiǎn)評估的操作范圍可以是 整個(gè)組織 ，也可以是組織中的 某一部門 ，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)等。 ? 基線 ：就是在諸多標(biāo)準(zhǔn)規(guī)范中確定的一組安全控制措施或者慣例，這些措施和慣例可以滿足特定環(huán)境下的信息系統(tǒng)的基本安全需求，使信息系統(tǒng)達(dá)到一定的安全防護(hù)水平。 ? 同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費(fèi)很大的精力。 ? 管理與安全相關(guān)的變更可能有困難。 ? 具體程序： ? 對資產(chǎn)、威脅和脆弱性進(jìn)行測量與賦值 ? 使用適當(dāng)?shù)娘L(fēng)險(xiǎn)測量方法完成風(fēng)險(xiǎn)計(jì)算和測量 ? 優(yōu)點(diǎn)： ? 可以通過詳細(xì)的風(fēng)險(xiǎn)評估對信息安全風(fēng)險(xiǎn)有較全面的認(rèn)識，能夠準(zhǔn)確確定目前的安全水平和安全需求 ? 可從詳細(xì)的風(fēng)險(xiǎn)評估中獲得額外信息，使與組織變革相關(guān)的安全管理受益 ? 缺點(diǎn)： 非常耗費(fèi)時(shí)間、精力和技術(shù)的過程，組織應(yīng)該仔細(xì)設(shè)定待評估的信息資產(chǎn)范圍，以減少工作量。 ? 優(yōu)點(diǎn)： ? 將兩種評估的優(yōu)勢結(jié)合起來，既節(jié)省了評估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評估結(jié)果 ? 組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被優(yōu)先關(guān)注 ? 缺點(diǎn) ：如果初步的高級風(fēng)險(xiǎn)評估不夠準(zhǔn)確，可能導(dǎo)致某些本需要詳細(xì)評估的系統(tǒng)被忽略。 ? 風(fēng)險(xiǎn)控制的目標(biāo) ：是將安全風(fēng)險(xiǎn)降低到一個(gè)可接受的范圍內(nèi) ? 消除所有風(fēng)險(xiǎn)往往是不切實(shí)際、近乎不可能的 ? 安全管理人員有責(zé)任運(yùn)用 最小成本 來實(shí)現(xiàn) 最合適 的控制，使?jié)撛诎踩L(fēng)險(xiǎn)對該組織造成的負(fù)面影響 最小化 。 ? 風(fēng)險(xiǎn)規(guī)避 是指通過消除風(fēng)險(xiǎn)出現(xiàn)的必要條件（如識別出風(fēng)險(xiǎn)后，放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來規(guī)避風(fēng)險(xiǎn)。 安全風(fēng)險(xiǎn)系統(tǒng)判斷過程 風(fēng)險(xiǎn)控制具體做法 ? 當(dāng)存在系統(tǒng)脆弱性時(shí)， 減少或修補(bǔ)系統(tǒng)脆弱性 ，降低脆弱性被攻擊利用的可能性； ? 當(dāng)系統(tǒng)脆弱性可利用時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制等手段， 防止脆弱性被利用或降低被利用后的危害程度 ； ? 當(dāng)攻擊成本小于攻擊可能的獲利時(shí)，運(yùn)用保護(hù)措施，通過提高攻擊者成本 來降低攻擊者的攻擊動(dòng)機(jī)，如加強(qiáng)訪問控制，限制系統(tǒng)用戶的訪問對象和行為，降低攻擊獲利； ? 當(dāng)風(fēng)險(xiǎn)預(yù)期損失較大時(shí)，優(yōu)化系統(tǒng)設(shè)計(jì)、加強(qiáng)容錯(cuò)容災(zāi)以及運(yùn)用非技術(shù)類保護(hù)措施來限制攻擊的范圍，從而 將風(fēng)險(xiǎn)降低到可接受范圍 。 風(fēng)險(xiǎn)控制實(shí)施流程 — NIST SP800系列標(biāo)準(zhǔn) 信息安全標(biāo)準(zhǔn) ? 互操作、技術(shù)與工程、信息安全管理與控制三類標(biāo)準(zhǔn) ? 技術(shù)與工程標(biāo)準(zhǔn) 最多也最詳細(xì)，它們有效地推動(dòng)了信息安全產(chǎn)品的開發(fā)及國際化，如 CC、 SSECMM等標(biāo)準(zhǔn)。 ? 信息安全管理與控制標(biāo)準(zhǔn)的 意義 在于可以更具體有效地 指導(dǎo)信息安全具體實(shí)踐 ，其中 BS 7799就是這類標(biāo)準(zhǔn)的代表，其卓越成績也已得到業(yè)界共識。 CC文檔結(jié)構(gòu) ? CC標(biāo)準(zhǔn)提倡 安全工程 的思想，通過信息安全產(chǎn)品的 開發(fā)、評價(jià)、使用 全過程的各個(gè)環(huán)節(jié)的綜合考慮來 確保產(chǎn)品的安全性 。 CC標(biāo)準(zhǔn)的內(nèi)容 ? 安全需求的定義 ? CC標(biāo)準(zhǔn)對安全需求的表示形式給出了一套定義方法，并將安全需求分成產(chǎn)品安全功能方面的需求和安全保證措施方面的需求兩個(gè)獨(dú)立的范疇來定義。對全部安全需求進(jìn)行分析，根據(jù)不同的側(cè)重點(diǎn)，劃分成若干大組，每個(gè)大組就稱為一個(gè)類； 安全功能需求類 （共 11項(xiàng)） 安全保證需求類（共 7項(xiàng)） 安全審計(jì)類 通信類 加密支持類 用戶數(shù)據(jù)保護(hù)類 身份識別與認(rèn)證類 安全管理類 隱私類 安全功能件保護(hù)類 資源使用類 安全產(chǎn)品訪問類 可信路徑 /通道類。 ? CC標(biāo)準(zhǔn)定義了三種類型的組織結(jié)構(gòu)用于描述產(chǎn)品安全需求 ? 安全組件包 ：把多個(gè)安全需求組件組合在一起所得到的組件集合。 ? 安全對象定義 是一份安全需求