网络安全法律法规
主 要 内 容 一、我国网络安全立法体系框架 二、计算机犯罪的防范和打击 三、网络安全管理要求 四、安全产品及服务的管理要求 五、信息系统安全等级保护的基本技术要求 六、中华人民共和国电子签名法
一、我国网络安全立法体系框架
我国网络安全立法体系框架分为四个层面: 一、我国网络安全立法体系框架 ---- 法律 ---- 行政法规 ---- 地方性法规、规章 ---- 规范性文件
我国网络安全立法体系框架 法律:是指由全国人民代表大会及其 常委会通过的法律规范。
法 律 我国与网络安全相关的法律主要有: 《宪法》 《人民警察法》 《刑法》 《治安管理处罚条例》 《刑事诉讼法》 《国家安全法》 我国网络安全立法体系框架 法 律 我国与网络安全相关的法律主要有: 《宪法》 《人民警察法》 《刑法》 《治安管理处罚条例》 《刑事诉讼法》 《国家安全法》 《保守国家秘密法》 《行政处罚法》 《行政诉讼法》 《行政复议法》 《国家赔偿法》 《立法法》 《中华人民共和国电子签名法》 《全国人大常委会关于维护互联网安全的决定》 等
法 律 第六条第十二款明确规定,公安机关的人民警察依法“履行监督管理计算机信息系统的安全保护工作”职责。 1、《中华人民共和国人民警察法》 我国网络安全立法体系框架 法 律 1、《中华人民共和国人民警察法》 第六条第十二款明确规定,公安机关的人民警察依法“履行监督管理计算机信息系统的安全保护工作”职责。
法 律 安全的决定》 (2000年12月28日) 2、《全国人大常委会关于维护互联网 我国网络安全立法体系框架 法 律 2、《全国人大常委会关于维护互联网 安全的决定》 (2000年12月28日) 这是我国第一部关于互联网安全的法律。该法分别从(1)保障互联网的运行安全; (2)维护国家安全和社会稳定; (3)维护社会主义市场经济秩序和社会管理秩序; (4)保护个人、法人和其他组织的人身、财产等合法权利等四个方面,共15款,明确规定了对构成犯罪的行为,依照刑法有关规定追究刑事责任。
我国网络安全立法体系框架 法 律 3、《刑法》(1997年3月14日修订) 1997年《刑法》修改后,除了分则规定的大多数犯罪罪种(包括危害国家安全罪,危害公共安全罪、破坏社会主义市场经济秩序罪,侵犯公民人身权利、民主权利罪、侵犯财产罪,妨害社会管理秩序罪)都适用于利用计算机网络实施的犯罪以外,还专门在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪,共两条四款。
我国网络安全立法体系框架 行政法规:是指国务院为执行宪法和 法律而制定的法律规范。
行 政 法 规 国务院令147号:《中华人民共和国计算机信息系统 安全保护条例》 国务院令195号:《中华人民共和国计算机信息网络 我国网络安全立法体系框架 行 政 法 规 与网络安全有关的行政法规主要有: 国务院令147号:《中华人民共和国计算机信息系统 安全保护条例》 国务院令195号:《中华人民共和国计算机信息网络 国际联网管理暂行规定》 公安部令33号: 《计算机信息网络国际联网安全保 护管理办法》
行 政 法 规 与网络安全有关的行政法规主要有: 国务院令273号:《商用密码管理条例》 国务院令291号:《中华人民共和国电信条例》 我国网络安全立法体系框架 行 政 法 规 与网络安全有关的行政法规主要有: 国务院令273号:《商用密码管理条例》 国务院令291号:《中华人民共和国电信条例》 国务院令292号:《互联网信息服务管理办法》 国务院令339号:《计算机软件保护条例》 等。
名 词 解 释 计算机信息系统: 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机病毒: 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
行 政 法 规 保护条例》(1994年2月18日) 1、《中华人民共和国计算机信息系统安全 这是我国第一部涉及计算机信息系统安全的行政法规。 我国网络安全立法体系框架 行 政 法 规 1、《中华人民共和国计算机信息系统安全 保护条例》(1994年2月18日) 这是我国第一部涉及计算机信息系统安全的行政法规。 《条例》赋予“公安部主管全国计算机信息系统安全 保护工作”的职能。主管权体现在: (1)监督、检查、指导权; (2)计算机违法犯罪案件查处权; (3)其他监督职权。
行 政 法 规 计算机信息系统安全保护的基本制度: 1、计算机信息系统建设和使用制度 2、安全等级保护制度 3、计算机机房及其环境管理制度 我国网络安全立法体系框架 行 政 法 规 -------《中华人民共和国计算机信息系统安全保护条例》 计算机信息系统安全保护的基本制度: 1、计算机信息系统建设和使用制度 2、安全等级保护制度 3、计算机机房及其环境管理制度 4、国际联网备案制度 (进行计算机国际联网的单位 和个人要向公安机关备案) 5、计算机信息系统使用单位的安全管理制度
行 政 法 规 计算机信息系统安全保护的基本制度: 6、信息媒体进出境申报制度 7、案件强制报告制度 (对计算机信息系统中发生的案 我国网络安全立法体系框架 行 政 法 规 -------《中华人民共和国计算机信息系统安全保护条例》 计算机信息系统安全保护的基本制度: 6、信息媒体进出境申报制度 7、案件强制报告制度 (对计算机信息系统中发生的案 件,有关单位应当在24小时内向当地县级以上人民政府 公安机关报告) 8、计算机病毒防治专管制度 (即计算机病毒和危害社会 公共安全的其他有害数据的防治工作,由公安部归口管理) 9、对计算机信息系统安全专用产品的销售实行许可 证制度。
行 政 法 规 2、《中华人民共和国计算机信息网络 国际联网管理暂行规定》 计算机信息网络进行国际联网的原则: 我国网络安全立法体系框架 行 政 法 规 2、《中华人民共和国计算机信息网络 国际联网管理暂行规定》 计算机信息网络进行国际联网的原则: 1、必须使用邮电部国家公用电信网提供的国际出入 口信道。 2、接入网络必须通过互联网络进行国际联网。 3、用户的计算机或计算机信息网络必须通过接入网 络进行国际联网。
我国网络安全立法体系框架 行 政 法 规 ------《中华人民共和国计算机信息网络国际联网管理暂行规定》 《规定》对互联网接入单位实行国际联网经营许可证制度(经营性)和审批制度(非经营性),限定了接入单位的资质条件、服务能力及其法律责任。
行 政 法 规 对违反《规定》第六条、第八条和第十条的行为,即: (1)自行建立或者使用其他信道进行国际联网的; 我国网络安全立法体系框架 行 政 法 规 ------《中华人民共和国计算机信息网络国际联网管理暂行规定》 对违反《规定》第六条、第八条和第十条的行为,即: (1)自行建立或者使用其他信道进行国际联网的; (2)未按规定通过互联网络进行国际联网的; (3)未按规定通过接入网络进行国际联网; (4)未经许可和审批从事国际联网经营业务的。 由公安机关责令停止联网,给予警告,可以并处 15000元以下的罚款;有违法所得的,没收违法所得。
行 政 法 规 护管理办法》 (公安部令33号) 3、《计算机信息网络国际联网安全保 我国网络安全立法体系框架 行 政 法 规 3、《计算机信息网络国际联网安全保 护管理办法》 (公安部令33号) 1997年12月11日国务院批准、1997年12月30日公安部第33号令发布,是我国第一部全面调整互联网络安全的行政法规,不仅对我国互联网的初期发展起到了重要的保障作用,而且为后续有关网络安全的法规、规章的出台起到了重要的指导作用。
行 政 法 规 四条禁则: (1)任何单位和个人不得利用国际联网危害国家安 全、泄露国家秘密, 不得侵犯国家的、社会 我国网络安全立法体系框架 行 政 法 规 ------《计算机信息网络国际联网安全保护管理办法》 (1)任何单位和个人不得利用国际联网危害国家安 全、泄露国家秘密, 不得侵犯国家的、社会 的、集体的利益和公民的合法权益,不得从事 违法犯罪活动。 (2)任何单位和个人不得利用国际联网制作、复 制、查阅和传播有害信息。 (3)任何单位和个人不得从事危害计算机信息网 络安全的活动 。 (4)任何单位和个人不得违反法律规定,利用国际 联网侵犯用户的通信自由和通信秘密。 四条禁则:
行 政 法 规 《办法》规定了六项安全保护责任: (1)国际联网单位和个人应当接受公安机关的安全监 我国网络安全立法体系框架 行 政 法 规 ------《计算机信息网络国际联网安全保护管理办法》 《办法》规定了六项安全保护责任: (1)国际联网单位和个人应当接受公安机关的安全监 督、检查和指导,提供有关安全保护的资料并协 助公安机关查处违法犯罪的责任。 (2)国际出入口信道提供单位、互联单位的主管部门 或者主管单位的安全保护管理责任。 (3)互联单位、接入单位及联网单位的安全保护责任。 (4)备案责任。 (5)使用公用帐号的注册者的责任。 (6)重要领域采取安全保护措施的责任。
我国网络安全立法体系框架 规章:是指国务院各部、委根据法律和国务院行政法规,在本部门的权限范围内制定的法律规范,以及省、自治区、直辖市和较大的市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范。 规范性文件:俗称“红头文件”
规章及规范性文件 公安部---- 《计算机信息系统安全专用产品检测 和销售许可证管理办法》 《计算机病毒防治管理办法》 我国网络安全立法体系框架 规章及规范性文件 ------与网络安全相关的部门规章和规范性文件 公安部---- 《计算机信息系统安全专用产品检测 和销售许可证管理办法》 《计算机病毒防治管理办法》 《金融机构计算机信息系统安全保护 工作暂行规定》 《关于开展计算机安全员培训工作的 通知》 等。
规章及规范性文件 信息产业部---- 《互联网电子公告服务管理规定》 《软件产品管理办法》 《计算机信息系统集成资质管理办法》 我国网络安全立法体系框架 规章及规范性文件 ------与网络安全相关的部门规章和规范性文件 信息产业部---- 《互联网电子公告服务管理规定》 《软件产品管理办法》 《计算机信息系统集成资质管理办法》 《国际通信出入口局管理办法》 《国际通信设施建设管理规定》 《中国互联网络域名管理办法》 《电信网间互联管理暂行规定》
规章及规范性文件 国务院新闻办---- 教育部---- 新闻出版署---- 《互联网站从事登载新闻业务管理暂行规定》 我国网络安全立法体系框架 规章及规范性文件 ------与网络安全相关的部门规章和规范性文件 国务院新闻办---- 《互联网站从事登载新闻业务管理暂行规定》 教育部---- 《中国教育和科研计算机网暂行管理办法》 《教育网站和网校暂行管理办法》 新闻出版署---- 《电子出版物管理规定》
规章及规范性文件 国家保密局--- 《计算机信息系统保密管理暂行规定》 《计算机信息系统国际联网保密管理规定》 我国网络安全立法体系框架 规章及规范性文件 ------与网络安全相关的部门规章和规范性文件 国家保密局--- 《计算机信息系统保密管理暂行规定》 《计算机信息系统国际联网保密管理规定》 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》 《涉密计算机信息系统建设资质审查和管理暂行办法》 《关于加强政府上网信息保密管理的通知》
规章及规范性文件 《网上证券委托暂行管理办法》 中国证监会---- 国家广播电影电视总局---- 国家药品监督管理局---- 我国网络安全立法体系框架 规章及规范性文件 ------与网络安全相关的部门规章和规范性文件 中国证监会---- 《网上证券委托暂行管理办法》 国家广播电影电视总局---- 《关于加强通过信息网络向公众传播广播电影电视类节目管理的通告》 国家药品监督管理局---- 《互联网药品信息服务管理暂行规定》
规章及规范性文件 原电子部、邮电部---- 《中国金桥信息网公众多媒体信息服务管理办法》 《计算机信息网络国际联网出入口信道管理办法》 我国网络安全立法体系框架 规章及规范性文件 ------与网络安全相关的部门规章和规范性文件 原电子部、邮电部---- 《中国金桥信息网公众多媒体信息服务管理办法》 《计算机信息网络国际联网出入口信道管理办法》 《中国公用计算机互联网络国际联网管理办法》 《中国公众多媒体通信管理办法》 《专用网与公用网联通的暂行规定》
《广东省计算机信息系统安全保护管理规定》 我国网络安全立法体系框架 规章及规范性文件 地方规章和规范性文件---- 《广东省计算机信息系统安全保护管理规定》 2003年3月31日广东省人民政府第十届4次常务会议通过 2003年6月1日起实施 《广东省计算机信息系统安全保护管理规定实施细则》 2003年7月1日起实施 四川省计算机信息系统安全保护管理办法 (1996年3月28日四川省人民政府令第79号发布 自1996年5月1施行)
规章及规范性文件 县以上公安机关主管本行政区域内的计算机信息系统安全保护工作 我国网络安全立法体系框架 规章及规范性文件 《广东省计算机信息系统安全保护管理规定》要求: 县以上公安机关主管本行政区域内的计算机信息系统安全保护工作 公安机关、国家安全机关,在紧急情况下,可采取24小时内暂时停机、暂停联网、备份数据等措施 地级以上市公安机关应有专门机构负责计算机信息系统发生的案件和重大安全事故报警的接受和处理 地级以上公安机关应为计算机信息系统使用单位和个人提供安全指导,并向社会公布举报电话和电子邮箱
二、计算机犯罪的防范和打击
计算机犯罪的种类及特征 计算机犯罪的防范和打击 分类标准 特点 常见形式 以互联网络作为生存空间 被动性质,引诱一般人进入 1、 色情网站 1、 色情网站 2、 六合彩站点 以互联网作为犯罪工具 针对特定目标进行侵害,使用网络作为犯罪工具 1、 在网络上进行恐吓、诽谤 2、 网络诈骗 3、传播有害信息 以互联网作为犯罪客体 对网络或计算机信息系统进行破坏、攻击 1、 入侵网络 2、 散布病毒
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 计算机犯罪的防范和打击 《中华人民共和国刑法》 第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
计算机犯罪的防范和打击 《中华人民共和国刑法》 第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传播的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款处罚。
《四川省计算机信息系统安全保护管理办法》 第三十二条 有下列行为之一的,由公安机关给予警告或者处以1000元以上5000元以下罚款;构成犯罪,依法追究刑事责任: (一)未经批准,研究、收集或者保存计算机病毒的; (二)未经批准,公开发布计算机病毒疫情的; (三)未经批准,开展涉及计算机病毒机理的活动的; (四)制造、销售、出租、维修的计算机软件、硬件产品中含有计算机病毒和其他有害数据的。 第三十三条 有下列行为之一的,由公安机关给予警告或者对个人处以2000元以上5000元以下罚款,对单位处以5000元以上15000元以下罚款;有违法所得的,除予以没收外,可处违法所得:至3倍的罚款 (一)制造或者故意输入、传播计算机病毒以及其他有害数据的; (二)非法复制、截收、窜改计算机信息系统中的数据危害计算机信息系统安全的; (三)未经许可销售计算机信息系统安全专用产品的。
计算机犯罪现场证据保全 计算机犯罪现场:发生计算机犯罪的计算机应用环境及系统。 计算机犯罪的防范和打击 计算机犯罪现场证据保全 计算机犯罪现场:发生计算机犯罪的计算机应用环境及系统。 保护现场:关键是保持发生犯罪后的第一状态。最好有备份系统支持运行,将关键数据备份下来。 教训:深圳某银行:发生案件后,怀疑是内外勾结,但没有采取必要的人员隔离措施和计算机备份,谈话后第二天,所有操作记录全部删除,无从查起。
案 件 报 告 一、报告 《中华人民共和国计算机信息系统安全保护条例》规定了案件强制报告制度。 二、发生计算机犯罪案件后如何报案 计算机犯罪的防范和打击 案 件 报 告 一、报告 《中华人民共和国计算机信息系统安全保护条例》规定了案件强制报告制度。 二、发生计算机犯罪案件后如何报案 向谁报案:发生计算机犯罪案件后,立即向当地公安机关、派出所或公共网络安全监察部门报案。 报案材料: (一)基本事实----何时、何事、后果、现状、可能原因等; (二)提取的初步证据----破坏的结果、破坏行为的计算机记录、日志审计记录等; (三)以上材料及打印的文字材料必须加盖公章及骑缝章。
三、网络安全管理要求
《中华人民共和国计算机信息系统安全保护条例》 网络安全管理要求 《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》 各个地方性的计算机信息系统安全保护管理规定
《计算机信息网络国际联网安全保护管理办法》 网络安全管理要求 《计算机信息网络国际联网安全保护管理办法》 第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息: (一) 煽动抗拒、破坏宪法和法律、行政法规实施的; (二) 煽动颠覆国家政权,推翻社会主义制度的; (三) 煽动分裂国家、破坏国家统一的; (四) 煽动民族仇恨、民族歧视,破坏民族团结的; (五) 捏造或者歪曲事实,散布谣言,扰乱社会秩序的; (六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; (七) 公然侮辱他人或者捏造事实诽谤他人的; (八) 损害国家机关信誉的; (九) 其他违反宪法和法律、行政法规的。
《计算机信息网络国际联网安全保护管理办法》 网络安全管理要求 《计算机信息网络国际联网安全保护管理办法》 第六条 任何单位和个人不得从事下列危害计算机网络安全的活动: (一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的; (二)未经允许,对计算机信息网络功能进行删除、修改或者增加的; (三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或增加的; (四)故意制作、传播计算机病毒等破坏性程序的; (五)其他危害计算机网络安全的。
《计算机信息网络国际联网安全保护管理办法》 网络安全管理要求 《计算机信息网络国际联网安全保护管理办法》 第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责: (一)负责本网络的安全保护管理工作,建立健全安全保护管理制度; (二)落实安全保护技术措施,保障本网络的运行安全和信息安全; (三)负责对本网络用户的安全教育和培训; (四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核。
《计算机信息网络国际联网安全保护管理办法》 网络安全管理要求 《计算机信息网络国际联网安全保护管理办法》 (五)建立计算机信息网络电子公告系统的用户登记和信息管理制度; (六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告; (七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
四川省计算机信息系统安全保护管理办法办法 网络安全管理要求 四川省计算机信息系统安全保护管理办法办法 第四条 计算机信息系统的安全保护,应当保障计算机及其配套的和相关的设备、设施(含网络)和运行环境的安全,以及计算机信息的安全,确保计算机功能的正常发挥,维护计算机信息系统的安全运行。 计算机信息系统安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
《广东省计算机信息系统安全保护管理规定》 网络安全管理要求 《广东省计算机信息系统安全保护管理规定》 第八条 计算机信息系统使用单位应当建立并执行以下安全保护制度: (一)计算机机房安全管理制度; (二)安全管理责任人、信息审查员的任免和安全责任制度; (三)网络安全漏洞检测和系统升级管理制度; (四)操作权限管理制度; (五)用户登记制度; (六)信息发布审查、登记、保存、清除和备份制度,信息群发服务管理制度。
《广东省计算机信息系统安全保护管理规定》 网络安全管理要求 《广东省计算机信息系统安全保护管理规定》 第九条 计算机信息系统使用单位应当落实以下安全保护技术措施: (一) 系统重要部分的冗余或备份措施; (二) 计算机病毒防治措施; (三) 网络攻击防范、追踪措施; (四) 安全审计和预警措施; (五)系统运行和用户使用日志记录保存60日以上措施; (六)记录用户主叫电话号码和网络地址的措施; (七)身份登记和识别确认措施; (八)信息群发限制和有害数据防治措施。 向公众提供上网服务的场所以及其他从事国际联网业务的单位应当安装符合国家规定的安全管理软件。
网络安全管理要求 管 理 要 求 (一)安全保护组织 建立计算机信息系统安全保护组织,由单位行政领导人担任安全保护组织的领导。
网络安全管理要求 管 理 要 求 (二)计算机安全员 计算机应用单位应当按照计算机安全管理行业技术规范要求,配备计算机安全技术人员。计算机安全技术人员必须经过市主管部门认可的安全技术培训,考核合格后持证上岗。 合格证有效期为四年。
管 理 要 求 计算机安全员主要职责 1、执行本单位计算机安全管理的各项规章制度; 2、按照安全管理行业技术规范要求对计算机系统安 网络安全管理要求 管 理 要 求 计算机安全员主要职责 1、执行本单位计算机安全管理的各项规章制度; 2、按照安全管理行业技术规范要求对计算机系统安 全运行情况进行检查测试,即排除各种安全隐患; 3、发生安全事故或计算机犯罪案例时,应当立即向 本单位安全管理责任人报告并采取妥善措施,保 护现场,保留有关原始记录,在24小时内向当地 公安机关报案,避免危害的扩大。
管 理 要 求 (三)交互式栏目管理要求 1、关键字过滤 1> 智能过滤; 2> 关键字应跟随形势的变化而变化; 网络安全管理要求 管 理 要 求 (三)交互式栏目管理要求 1、关键字过滤 1> 智能过滤; 2> 关键字应跟随形势的变化而变化; 3> 关键字过滤掉的帖子,应另做保存; 2、作好审计工作,记录张贴人的IP地址。 3、认真落实“先审后发”的信息预审制度,把有害信息扼杀在萌芽状态。
管 理 要 求 网络安全管理要求 交互式栏目中出现了有害信息时,应按以下工作要求处理: 1、对有害信息进行备份。 1> 对有害信息进行拷屏; 2> 把有害信息的文字部分拷贝到word中; 3> 记录张贴人、张贴人IP、张贴时间等; 2、删除有害信息; 3、报告。 1> 要在15分钟之内将有害信息的有关内容通过电话和传真两种方式通报市公安局网监处; 2> 及时报告本单位领导;
管 理 要 求 (四)交友网站管理要求 1、注册信息进行审查; 2、日志审计; 网络安全管理要求 管 理 要 求 (四)交友网站管理要求 1、注册信息进行审查; 2、日志审计; 3、交友站点中往往存在多种信息服务方式,例如:聊天室、BBS、短信等。应分别针对不同的服务栏目加强管理。
网络安全管理要求 管 理 要 求 (五)互联网短信安全管理要求 1、短信息平台服务商必须按照国家的法律、法规建立短信息关键字匹配过滤系统,删除、过滤和封堵有害短信息; 2、短信息平台服务商必须采取有效的技术安全措施,建立限制群发和变相群发的系统, 3、对所发的短信息的日志进行安全审计。 4、由公安机关要督促短信息服务商必须建立健全安全保护管理制度和落实安全保护技术措施,当出现对社会稳定造成一定影响的大量有害信息时,短信息服务商必须配合公安机关处理有关问题。
网络安全管理要求 管 理 要 求 (六)垃圾及有害电子邮件管理要求 1、关闭邮件系统的匿名转发服务;
Windows 2000 server版的用户可按以下步骤操作: 网络安全管理要求 关闭邮件系统的匿名转信服务 Windows 2000 server版的用户可按以下步骤操作: 1、打开电脑的 “开始”--> “设置” --> “控制面板” --> “管理工具” --> “Internet服务管理器” 2、展开左边的树形结构,选中其中的“默认SMTP虚拟服务”项。 3、按鼠标右键,在弹出菜单中选中“属性”项 4、在弹出窗口中选“访问”页,按“身份验证”按钮,取消“匿名访问”复选框,按“确定”即可禁止匿名转信。
1、打开电脑的 “开始” --> “设置” --> “控制面板” --> “管理工具” --> “计算机管理”。 网络安全管理要求 禁止邮件服务步骤: 1、打开电脑的 “开始” --> “设置” --> “控制面板” --> “管理工具” --> “计算机管理”。 2、打开左边“服务和应用程序”,选其中的“服务”项。 3、如果在右边发现“Simple Mail Transport Protocol (SMTP)”,则表明系统安装有邮件服务。 4、可以直接双击该项,在弹出窗口中将“启动类型”改成“禁用”,按“确定”即禁止邮件服务。
管 理 要 求 (六)垃圾及有害电子邮件管理要求 1、关闭邮件系统的匿名转发服务(open relay); 网络安全管理要求 管 理 要 求 (六)垃圾及有害电子邮件管理要求 1、关闭邮件系统的匿名转发服务(open relay); 2、要求所有邮件系统具有本地邮件服务器发送电子邮件帐号核实功能 、具有拒绝接受非本地邮件系统以本地用户名义自发自收邮件功能; 3、过滤 过滤技术是目前反垃圾邮件用到的主要技术。电子邮件通常具有几个重要特征,标准电子邮件地址、主题、信件内容等相关字段,这些特征是过滤技术判断、分析、统计和提取的依据。
网络安全管理要求 管 理 要 求 (七)下载服务管理要求 1 关闭匿名上传FTP; 2 对下载内容进行审查; (八)其他 参见相关法律法规。
四、安全服务及产品的管理要求
用 语 含 义 网络安全检测产品:是指扫描、探测计算机信息系统漏洞的安全专用产品。 安全服务及产品的管理要求 用 语 含 义 网络安全检测产品:是指扫描、探测计算机信息系统漏洞的安全专用产品。 计算机信息系统安全服务:是指从事计算机信息系统(包括计算机机房)安全设计、建设、检测、维护、监理等业务。
安全服务及产品的管理要求 安全服务资质申请 《广东省计算机信息系统安全保护管理规定》申请安全服务资质的机构或单位,应具备相应的条件,持相关资料向地级以上的市公安机关申请。
对重点安全保护单位的要求 --- 安全管理责任人必须经培训持证上岗 安全服务及产品的管理要求 对重点安全保护单位的要求 --- 安全管理责任人必须经培训持证上岗 --- 计算机机房安全保障体系的设计、建设和检测应由有安全服务资质的机构承担。 --- 计算机信息系统及计算机机房须经具有安全服务资质的机构检测合格后,方可投入使用
公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》 安全服务及产品的管理要求 对安全专用产品的管理要求 公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》 第三条 中华人民共和国境内的安全专用产品进入市场销售, 实行销售许可证制度。 安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系统安全专用产品销售许可证》(以下简称销售许可证)。 第四条 安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定。 第五条 公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构(以下简称检测机构)的审批工作。
对安全专用产品的管理要求 ——网络安全检测产品的购买使用单位: 安全服务及产品的管理要求 对安全专用产品的管理要求 ——网络安全检测产品的购买使用单位: 1)应当持单位的证明文件到所在地地级以上市公安机关公共网络安全监察部门办理备案手续,公安机关应当在15日内予以办理,发给《网络安全检测产品购买备案表》。 2)用户应当凭《网络安全检测产品购买备案表》购买网络安全检测产品。 3)投入使用后,应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共网络安全监察部门备案。 4)安全检测产品只限于单位购买使用。购买网络安全检测产品的单位应当指定专人管理和使用,不得出租、出借、转让、赠送,不得擅自用于检测他人计算机信息系统。
对安全服务机构的管理 ----服务资质的申请制 ----分级管理制 (分四级,不同等级对应承担不同工程量资格) 安全服务及产品的管理要求 对安全服务机构的管理 《广东省计算机信息系统安全保护管理规定实施细则》规定 安全服务机构的安全服务资质实行: ----服务资质的申请制 ----分级管理制 (分四级,不同等级对应承担不同工程量资格) ----服务资质等级的条件划分 ----服务资质的年审制 ----安全审验
五、信息系统安全等级保护的基本技术要求
安全保护技术要求及标准 信息系统安全等级保护的基本技术要求 GB 17859-1999 《计算机信息系统安全保护等级划分 准则》 GB/T 387-2002 《计算机信息系统安全等级保护网络 技术要求》 GB/T 388-2002 《计算机信息系统安全等级保护操作 系统技术要求》 GB/T 389-2002 《计算机信息系统安全等级保护数据 库管理技术要求》 GB/T 390-2002 《计算机信息系统安全等级保护通用 GB/T 391-2002 《计算机信息系统安全等级保护管理 要求》 GA 371-2001 《计算机信息系统实体安全技术要求》 第一部分:局域计算环境
需要实施安全等级保护的信息系统 1 党政系统(党委、政府); 2 金融系统(银行、保险、证券)及财税系统(财政、税务、 工商); 信息系统安全等级保护的基本技术要求 需要实施安全等级保护的信息系统 1 党政系统(党委、政府); 2 金融系统(银行、保险、证券)及财税系统(财政、税务、 工商); 3 经贸系统(商业贸易、海关); 4 电信系统(邮电、电信、广播、电视); 5 能源系统(电力、热力、燃气、煤炭、 油料); 6 交通运输系统(航空、航天、铁路、公路、水运、海运);
需要实施安全等级保护的信息系统 7 供水系统(水利及水源供给); 8 社会应急服务系统(医疗、消防、紧急救援); 信息系统安全等级保护的基本技术要求 需要实施安全等级保护的信息系统 7 供水系统(水利及水源供给); 8 社会应急服务系统(医疗、消防、紧急救援); 9 教育科研系统(教育、科研、尖端科技); 10 国防建设系统; 11 国有大中型企业系统; 12 互联单位、接入单位、重点网站及向公众提供 上网服务场所的计算机信息系统。
计算机安全保护等级划分 第一级为用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。 信息系统安全等级保护的基本技术要求 计算机安全保护等级划分 第一级为用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。 第二级为系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。 第三级为安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
信息系统安全等级保护的基本技术要求 计算机安全保护等级划分 第四级为结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。 第五级为访问验证保护级。这一个级别特别增设了访问认证功能,负责仲裁访问者对访问对象的所有访问活动。
六、中华人民共和国电子签名法 《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,现予公布,自2005年4月1日起施行 第二条本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。 本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。 第三条民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。 当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。 前款规定不适用下列文书: (一)涉及婚姻、收养、继承等人身关系的; (二)涉及土地、房屋等不动产权益转让的; (三)涉及停止供水、供热、供气、供电等公用事业服务的; (四)法律、行政法规规定的不适用电子文书的其他情形。
第四条能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。 第八条审查数据电文作为证据的真实性,应当考虑以下因素: (一)生成、储存或者传递数据电文方法的可靠性; (二)保持内容完整性方法的可靠性; (三)用以鉴别发件人方法的可靠性; (四)其他相关因素。
第十三条电子签名同时符合下列条件的,视为可靠的电子签名: (一)电子签名制作数据用于电子签名时,属于电子签名人专有; (二)签署时电子签名制作数据仅由电子签名人控制; (三)签署后对电子签名的任何改动能够被发现; (四)签署后对数据电文内容和形式的任何改动能够被发现。 当事人也可以选择使用符合其约定的可靠条件的电子签名。 第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。
(七)国务院信息产业主管部门规定的其他内容。 第二十一条电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容: (一)电子认证服务提供者名称; (二)证书持有人名称; (三)证书序列号; (四)证书有效期; (五)证书持有人的电子签名验证数据; (六)电子认证服务提供者的电子签名; (七)国务院信息产业主管部门规定的其他内容。
结 束 语 网络安全工作任重道远,在日常工作中,只有认真贯彻执行各项法律、法规和政策,坚持以预防为主,以管理为辅,打防相结合的工作原则,才能始终与安全同行。
谢谢!