第10章信息安全管理分解.pptVIP

通用性法律法规 如宪法、国家安全法、国家秘密法等，这些法律没有针对信息安全的规定，但约束的对象包括危害信息安全行为。 例如： 中华人民共和国宪法的第四十条规定“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。” 中华人民共和国国家安全法的第十条规定“国家安全机关因侦察危害国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施”。第十一条规定“国家安全机关为维护国家安全的需要，可以查验组织和个人的电子通信工具、器材等设备、设施”；第二十一条规定“任何个人和组织都不得非法持有、使用窃听、窃照等专用间谍器材”。 惩戒信息犯罪的法律 这类法律包括《中华人民共和国刑法》、《全国人大常委会关于维护互联网安全的决定》等。这类法律中的有关法律条文可以作为规范和惩罚网络犯罪的法律规定。 中华人民共和国刑法的第二百一十九条规定“有下列侵犯商业秘密行为之一，给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金；造成特别严重后果的，处三年以上七年以下有期徒刑，并处罚金”。侵犯商业秘密行为包括： 以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的； 披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的； 违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的。 针对信息网络安全的特别规定 这类法律规定主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机软件保护条例》等。 这些法律规定的立法目的是保护信息系统、网络以及软件等信息资源，从法律上明确哪些行为构成违反法律法规，并可能被追究相关民事或刑事责任。 规范信息安全技术及管理方面的规定 这类法律主要有《商用密码管理条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》等。 商用密码管理条例的第三条规定“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。”第七条规定“商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或者个人不得生产商用密码产品。” 信息安全法律法规体系组成 我国信息安全法律法规体系主要由六个部分组成 法律 行政法规 部门规章和规范性文件 地方性法规 地方政府规章 司法解释 美国NIST制定的NIST SP800系列标准中给出了较详细的具体实施流程 * 10.2.2 风险控制 风险控制是信息安全风险管理在风险评估完成之后的另一项重要工作 风险控制任务：对风险评估结论及建议中的各项安全措施进行分析评估，确定优先级以及具体实施的步骤。 风险控制的目标：是将安全风险降低到一个可接受的范围内 消除所有风险往往是不切实际、近乎不可能的 安全管理人员有责任运用最小成本来实现最合适的控制，使潜在安全风险对该组织造成的负面影响最小化。 实施风险控制 中 风险确认与接收 为确保组织的信息安全，残余风险应在可接受范围内 风险控制手段 风险承受是指运行的信息系统具有良好的健壮性，可以接受潜在的风险并稳定运行，或采取简单的安全措施，就可以把风险降低到一个可接受的级别。 风险规避是指通过消除风险出现的必要条件（如识别出风险后，放弃系统某项功能或关闭系统）来规避风险。 风险转移是指通过使用其它措施来补偿损失，从而转移风险，如购买保险等。 安全风险系统判断过程 风险控制具体做法 当存在系统脆弱性时，减少或修补系统脆弱性，降低脆弱性被攻击利用的可能性； 当系统脆弱性可利用时，运用层次化保护、结构化设计以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度； 当攻击成本小于攻击可能的获利时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机，如加强访问控制，限制系统用户的访问对象和行为，降低攻击获利； 当风险预期损失较大时，优化系统设计、加强容错容灾以及运用非技术类保护措施来限制攻击的范围，从而将风险降低到可接受范围。 具体的风险控制措施 类别 措施 属性 技术类 身份认证技术 加密技术 防火墙技术 入侵检测技术 系统审计 蜜罐、蜜网技术 预防性 预防性 预防性 检查性 检查性 纠正性 运营类 物理访问控制，如重要设备使用授权等； 容灾、容侵，如系统备份、数据备份等； 物理安全检测技术，防盗技术、防火技术等； 预防性 预防性 检查性 管理类 责任分配 权限管理 安全培训 人员控制 定期安全审计 预防性 预防性 预防性 预防性