【正文】 與概要設(shè)計(jì)說(shuō)明書(shū)，不同的是安全對(duì)象定義的安全需求是為某一特定的安全產(chǎn)品而定義的，具體的安全需求可通過(guò)引用一個(gè)或多個(gè)保護(hù)輪廓定義來(lái)定義，也可從頭定義。 ? 信息安全產(chǎn)品 必須按照 軟件工程和安全工程 的方法進(jìn)行開(kāi)發(fā)才能較好地 獲得 預(yù)期的 安全可信度 。 ? 各個(gè)階段順序進(jìn)行，前一個(gè)階段的工作結(jié)果是后一個(gè)階段的工作基礎(chǔ)。 ? 開(kāi)發(fā)出來(lái)的產(chǎn)品經(jīng)過(guò)安全性評(píng)價(jià)和可用性鑒定后，再投人實(shí)際使用。 ? 定義了三種評(píng)價(jià)類型，分別為 安全功能需求評(píng)價(jià) 、 安全保證需求評(píng)價(jià) 和 安全產(chǎn)品評(píng)價(jià) ? 第一項(xiàng)評(píng)價(jià)的目的是證明安全功能需求是完全的、一致的和技術(shù)良好的，能用作可評(píng)價(jià)的安全產(chǎn)品的需求表示； ? 第二項(xiàng)評(píng)價(jià)的目的是證明安全保證需求是完全的、一致的和技術(shù)良好的，可作為相應(yīng)安全產(chǎn)品評(píng)價(jià)的基礎(chǔ)，如果安全保證需求中含有安全功能需求一致性的聲明，還要證明安全保證需求能完全滿足安全功能需求。 BS7799 ? BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（ British Standards Institute，BSI）針對(duì)信息安全管理而制定的一個(gè)標(biāo)準(zhǔn)，共分為兩個(gè)部分。 ? 第二部分 BS77992是 《 信息安全管理體系規(guī)范 》 （即ISO/IEC 27001），其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求， 可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用 ISO/IEC 17799，其最終目的是建立適合企業(yè)所需的信息安全管理體系 。 ? 步驟二、 定義 ISMS的范圍 ISMS的范圍描述了需要進(jìn)行信息安全管理的領(lǐng)域輪廓，組織根據(jù)自己的實(shí)際情況，在整個(gè)范圍或個(gè)別部門(mén)構(gòu)架 ISMS。 ? 步驟四、 信息安全風(fēng)險(xiǎn)管理 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。 ? 步驟六、 準(zhǔn)備信息安全適用性聲明 信息安全適用性聲明紀(jì)錄了組織內(nèi)相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施。 ?截止 2022年 11月，國(guó)家共發(fā)布有關(guān)信息 安全技術(shù)、產(chǎn)品、測(cè)評(píng)和管理 的國(guó)家標(biāo)準(zhǔn) 69項(xiàng)（不包括密碼與保密標(biāo)準(zhǔn)）。 ? 準(zhǔn)則將信息系統(tǒng)安全分為 5個(gè)等級(jí)： 自主保護(hù)級(jí) 、系統(tǒng)審計(jì)保護(hù)級(jí) 、 安全標(biāo)記保護(hù)級(jí) 、 結(jié)構(gòu)化保護(hù)級(jí) 和 訪問(wèn)驗(yàn)證保護(hù)級(jí) 。 ? 第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí)：與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。 ? 第四級(jí) 結(jié)構(gòu)化保護(hù)級(jí) ：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體。訪問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪問(wèn)。 ? 信息犯罪 ：以信息技術(shù)為犯罪手段，故意實(shí)施的有社會(huì)危害性的，依據(jù)法律規(guī)定，應(yīng)當(dāng)予以刑罰處罰的行為。 ? 公安部 “所謂計(jì)算機(jī)犯罪，就是在信息活動(dòng)領(lǐng)域中，以計(jì)算機(jī)信息系統(tǒng)或計(jì)算機(jī)信息知識(shí)作為手段，或者針對(duì)計(jì)算機(jī)信息系統(tǒng)，對(duì)國(guó)家、團(tuán)體或個(gè)人造成危害，依據(jù)法律規(guī)定，應(yīng)當(dāng)予以刑罰處罰的行為”。 ” 信息犯罪分類 ? 信息犯罪一般可以分為兩類： ? 一類是以 信息資源 為侵害對(duì)象，另一類是以 非信息資源的主體 為侵害對(duì)象。 ? 信息竊取 此類犯罪是指未經(jīng)信息所有者同意，擅自秘密竊取或非法使用其信息的犯罪行為。 信息犯罪危害性 ? 妨害國(guó)家安全和社會(huì)穩(wěn)定 的信息犯罪 ? 犯罪主體利用網(wǎng)絡(luò)信息造謠、誹謗或者發(fā)表、傳播有害信息，煽動(dòng)顛覆國(guó)家政權(quán)、推翻社會(huì)制度及破壞國(guó)家統(tǒng)一等。例如一些犯罪分子利用網(wǎng)上購(gòu)物的無(wú)紙化和實(shí)物不可見(jiàn)的特點(diǎn)，發(fā)布虛假商品出售信息，在騙取購(gòu)物者錢(qián)財(cái)之后便銷聲匿跡，嚴(yán)重破壞了市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)秩序。例如通過(guò)信息網(wǎng)絡(luò)，以竊取及公布他人隱私、編造各種丑聞以及竊取他人信用卡信息等方法為手段，以達(dá)到損害他人的隱私權(quán)、名譽(yù)權(quán)和騙取他人財(cái)產(chǎn)的目的 。 ? 多樣性 信息技術(shù)手段的多樣性，必然造就信息犯罪行為的多樣性。 ? 偵查取證困難 以計(jì)算機(jī)犯罪為例，實(shí)施犯罪一般為異地作案，而且所有證據(jù)均為電子數(shù)據(jù)，犯罪分子可能在實(shí)施犯罪后，直接毀滅電子犯罪現(xiàn)場(chǎng)，致使偵查工作和罪證采集相當(dāng)困難。 信息安全道德規(guī)范 ? 信息安全道德規(guī)范應(yīng)該基于三個(gè)原則，即 整體原則 、 兼容原則 和 互惠原則 。個(gè)體利益服從整體利益，不得以損害團(tuán)體整體利益為代價(jià)謀取個(gè)人利益。 ? 互惠原則 是指任何一個(gè)使用者必須認(rèn)識(shí)到，每個(gè)個(gè)體均是信息資源使用者和享受者，也是信息資源的生產(chǎn)者和提供者，在擁有享用信息資源的權(quán)利同時(shí)，也應(yīng)承擔(dān)信息社會(huì)對(duì)其成員所要求的責(zé)任。 南加利福尼亞大學(xué)網(wǎng)絡(luò)倫理聲明指出了 六種不道德網(wǎng)絡(luò)行為 ? 有意地造成網(wǎng)絡(luò)交通混亂或擅自闖入網(wǎng)絡(luò)及其相聯(lián)的系統(tǒng)； ? 商業(yè)性地或欺騙性地利用大學(xué)計(jì)算機(jī)資源； ? 偷竊資料、設(shè)備或智力成果； ? 未經(jīng)許可接近他人的文件； ? 在公共用戶場(chǎng)合做出引起混亂或造成破壞的行動(dòng)； ? 偽造電子函件信息。 信息安全法律法規(guī) ? 建立完善信息安全法律體系是當(dāng)今重要課題。 我國(guó)信息安全法律 ? 1994年 2月，頒布的 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 ，賦予 公安機(jī)關(guān)行使對(duì)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作的監(jiān)督管理職權(quán) 。 ? 我國(guó)有關(guān)信息安全的立法原則是 重點(diǎn)保護(hù) 、 預(yù)防為主 、 責(zé)任明確 、 嚴(yán)格管理 和 促進(jìn)社會(huì)發(fā)展 。 ? 例如： ? 中華人民共和國(guó) 憲法 的第四十條規(guī)定“中華人民共和國(guó)公民的通信自由和通信秘密受法律的保護(hù)?！? ? 中華人民共和國(guó) 國(guó)家安全法 的第十條規(guī)定“國(guó)家安全機(jī)關(guān)因偵察危害國(guó)家安全行為的需要，根據(jù)國(guó)家有關(guān)規(guī)定，經(jīng)過(guò)嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施”。 懲戒信息犯罪的法律 ? 這類法律包括 《 中華人民共和國(guó)刑法 》 、 《 全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 》 等。 ? 中華人民共和國(guó) 刑法 的第二百一十九條規(guī)定“有下列侵犯商業(yè)秘密行為之一，給商業(yè)秘密的權(quán)利人造成重大損失的，處三年以下有期徒刑或者拘役，并處或者單處罰金；造成特別嚴(yán)重后果的，處三年以上七年以下有期徒刑，并處罰金”。 針對(duì)信息網(wǎng)絡(luò)安全的特別規(guī)定 ? 這類法律規(guī)定主要有 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 、 《 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 》 、 《 中華人民共和國(guó)計(jì)算機(jī)軟件保護(hù)條例 》 等。 規(guī)范信息安全技術(shù)及管理方面的規(guī)定 ? 這類法律主要有 《 商用密碼管理?xiàng)l例 》 、 《 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法 》 、 《 計(jì)算機(jī)病毒防治管理辦法 》 等。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾?。未經(jīng)指定，任何單位或者個(gè)人不得生產(chǎn)商用密碼產(chǎn)