Presentation is loading. Please wait.

Presentation is loading. Please wait.

信息安全导论(模块3-信息安全法律法规与标准)

Similar presentations


Presentation on theme: "信息安全导论(模块3-信息安全法律法规与标准)"— Presentation transcript:

1 信息安全导论(模块3-信息安全法律法规与标准)

2 参考书 陈忠文,麦永浩,《信息安全标准与法律法规》,武汉大学出版社,2009年1月

3 内容提要 1、总论 2、信息系统安全保护法律规范 3、信息系统安全保护相关法律法规 4、互联网络安全管理相关法律法规
5、其他有关信息安全的法律法规 6、防范计算机犯罪 7、其他国家信息安全法律法规情况

4 内容提要 1、总论 1.1 保障信息安全的三大支柱 1.2 计算机犯罪的概念 1.3 刑法中关于计算机犯罪的规定
1.4 计算机犯罪的常用方法

5 1.1 保障信息安全的三大支柱 信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱: 信息安全技术 信息安全法律法规
信息安全标准

6 1.1 保障信息安全的三大支柱 信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱: 信息安全技术 信息安全法律法规
在技术层面上为信息安全提供具体的保障。如:加密技术、防火墙技术、入侵检测技术、网络安全扫描技术、黑客诱骗技术、病毒诊断与防治技术等。 信息安全技术不是万能的,由于疏于管理等原因引起的安全事故仍不断发生 信息安全法律法规 信息安全标准

7 1.1 保障信息安全的三大支柱 信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱: 信息安全技术 信息安全法律法规
从法律层面规范人们的行为,使信息安全工作有法可依,使相关违法犯罪得到处罚,促使组织和个人依法制作、发布、传播和使用信息 目前我国已建立起了基本的信息安全法律法规体系,但随着信息安全形势的发展,信息安全立法的任务还非常艰巨,许多相关法规还有待建立或完善 信息安全标准

8 1.1 保障信息安全的三大支柱 信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱: 信息安全技术 信息安全法律法规
信息安全标准 目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据 标准主要有:信息安全产品标准、信息安全技术标准和信息安全管理标准三大类

9 1.2 计算机犯罪的概念 计算机犯罪 指行为人通过计算机操作所实施的危害计算机信息系统(包括内存数据及程序),以及其他严重危害社会的,并应当处以刑罚的行为

10 1.3 刑法中关于计算机犯罪的规定 《中华人民共和国刑法》中有三个条款 第285条 第286条 第287条
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 第286条 第287条

11 1.3 刑法中关于计算机犯罪的规定 《中华人民共和国刑法》中有三个条款 第285条 第286条 第287条
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 第287条

12 1.3 刑法中关于计算机犯罪的规定 《中华人民共和国刑法》中有三个条款 第285条 第286条 第287条
利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

13 刑法中其他相关规定 第217条规定: 以营利为目的,有下列侵犯著作权情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金: 未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的; 出版他人享有专有出版权的图书的; 未经录音录像制作者许可,复制发行其制作的录音录像的; 制作、出售假冒他人署名的美术作品的。

14 刑法中其他相关规定 第218条规定: 以营利为目的,销售明知是本法第217条规定的侵权复制品,违法所得数额巨大的,处三年以下有期徒刑或者拘役,并处或者单处罚金。

15 刑法中其他相关规定 第288条规定: 违反国家规定,擅自设置、使用无线电台(站),或者擅自占用频率,经责令停止使用后拒不停止使用,干扰无线电通讯正常进行,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。

16 1.4 计算机犯罪的常用方法 以合法手段为掩护,查询信息系统中不允许访问的文件,或者侵入重要领域的计算机信息系统
利用技术手段(如破解帐号密码、使用病毒木马、利用系统漏洞和程序及网络缺陷),非法侵入重要的计算机信息系统,破坏或窃取信息系统中重要数据或程序文件,甚至删除数据文件或者破坏系统功能,直至使系统瘫痪 在数据传输或者输入过程中,对数据的内容进行修改,干扰计算机信息系统 未经计算机软件著作权人授权,复制、发行他人的软件作品,或制作、传播计算机病毒,或制作传播有害信息等

17 案例1-我国第一例电脑黑客刑事案件 1998年6月16日,上海某信息网遭黑客袭击
黑客先后入侵8台服务器,破译了大部分工作人员和500多个合法用户的帐号和密码,包括超级用户的帐号和密码 黑客杨某:国内一著名高校数学研究所计算数学专业研究生,具有相当高的计算机技术技能 以“破坏计算机信息系统”罪名被逮捕 我国第一起以该罪名侦察批捕的形式犯罪案件

18 案例2-朱××盗窃游戏充值卡案 2003-2004年,北京某科贸公司发现公司的游戏充值卡被盗,并有人在网上销售
犯罪人朱××利用微软的一个漏洞,非法进入该公司网络销售系统,取得超级管理员权限,共盗取6166张充值卡,价值17万多元 鉴于认罪态度较好,酌情从轻处罚 判决:朱××犯盗窃罪,判处有期徒刑12年,剥夺政治权利两年,罚金两万元,退赔17万多元

19 案例3-我国第一例网上著作权案(民事) 1999年4月28日,北京市海淀区人民法院依法公开审理了我国第一起互联网著作权案
原告陈××以“无方”为笔名撰写了《戏说MAYA》,刊载于其个人网站 被告某报未经原告同意,将该文转载 判决:被告停止侵权,并在其主办的报纸上刊登声明向原告公开致歉。被告向原告支付稿酬并赔偿经济损失

20 案例4-网络域名侵权案(民事) “中宇建材集团有限公司”成立于1995年,2000年注册了“中宇及图形”商标。该商标被评为中国卫浴行业知名品牌,成为驰名商标 被告吴××2005年在互联网上注册了 法院审理认为:由于域名具有识别性标记特征,被告未经原告许可,为商业目的注册域名,导致原告注册商标与被告余名相混淆,淡化了注册商标的显著性,足以引起公众的误认,侵犯了原告的商标专有使用权,具有过错 判决:被告停止使用该域名;赔偿原告经济损失

21 案例5-女友提出分手,男友公布女友裸照被告上法庭
男女二人相识并确立了恋爱关系,之后女士提出分手。男士将女友的裸照以及含有侮辱、诽谤文字的电子信件发给该女士的100多位同学 女士将男士告上法庭,要求书面道歉、消除影响,给予精神赔偿5万元 审理认为,该男士出于报复心理,该行为侵犯了他人隐私权,情节严重。判决:赔礼道歉,赔偿精神抚慰金1万元(2007年)

22 内容提要 1、总论 2、信息系统安全保护法律规范 3、信息系统安全保护相关法律法规 4、互联网络安全管理相关法律法规
5、其他有关信息安全的法律法规 6、防范计算机犯罪 7、其他国家信息安全法律法规情况

23 内容提要 2、信息系统安全保护法律规范 2.1 概念 2.2 我国信息系统安全保护法律规范的体系 2.3 信息系统安全保护法律规范的基本原则
2.4 信息系统安全保护法律规范的法律地位

24 2 信息系统安全保护法律规范 2.1 概念 法律规范是指通过国家的立法机关制定的或者认可的,用以指导、约束人们行为的行为规范的一种。
法律规范有三个实质特征 是由国家制定或认可,并由国家强制力保证实施的规范,因而具有国家意志和国家权利的属性 是以规定法律权利和法律义务为内容,是具有完整逻辑结构的特殊行为规范 具有普遍约束力,并且对任何在其效力范围内的主体的行为指导和评价,使用同一标准 法律规范是有国家强制力来保证实施的,对我国所有公民都具有约束力,任何人都需遵守

25 信息安全保护法律规范是指与信息安全有关的法律规范的总和 主要包含命令性规范和禁止性规范 命令性规范
要求法律关系的主体应当或必须从事一定的行为 禁止性规范 要求法律的主体不得从事指定的行为,否则就要受到一定的法律制裁

26 2.2 我国信息系统安全保护法律规范的体系 我国对信息系统安全的保护主要通过三大体系予以保障: 基本法律体系 政策法规体系
国家在许多基本法律中都设计了用于保护信息系统安全的条款,如《宪法》第40条,《刑法》第285、286、287条。 政策法规体系 强制性技术标准体系

27 2.2 我国信息系统安全保护法律规范的体系 我国对信息系统安全的保护主要通过三大体系予以保障: 基本法律体系 政策法规体系
政府制定的一系列法规、规章,具体强化了对信息系统安全保护的力度。如《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《互联网上网服务营业场所管理条例》等 强制性技术标准体系

28 2.2 我国信息系统安全保护法律规范的体系 我国对信息系统安全的保护主要通过三大体系予以保障: 基本法律体系 政策法规体系
强制性技术标准体系 国家颁布了一系列技术标准,并且是强制性地执行,如《计算机信息系统安全保护等级划分准则》、《计算机信息系统安全专用产品分类原则》、《计算机场地安全要求》等,从技术上规范了对信息系统安全的保护

29 2.3 信息系统安全保护法律规范的基本原则 谁主管谁负责的原则 例如《互联网上网服务营业场所管理条例》规定:
县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理 公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理 工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动 电信管理等其他有关部门在各自职责范围内对互联网上网服务营业场所经营单位分别实施有关监督管理 突出重点的原则 预防为主的原则 安全审计的原则 风险管理的原则

30 2.3 信息系统安全保护法律规范的基本原则 谁主管谁负责的原则 突出重点的原则 预防为主的原则 安全审计的原则 风险管理的原则
例如《中华人民共和国计算机信息系统安全保护条例》规定: 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域计算机信息系统的安全 预防为主的原则 安全审计的原则 风险管理的原则

31 2.3 信息系统安全保护法律规范的基本原则 谁主管谁负责的原则 突出重点的原则 预防为主的原则 安全审计的原则 风险管理的原则
例如,对计算机病毒的预防,对非法入侵的防范等 安全审计的原则 风险管理的原则

32 2.3 信息系统安全保护法律规范的基本原则 谁主管谁负责的原则 突出重点的原则 预防为主的原则 安全审计的原则 风险管理的原则
例如《计算机信息系统安全保护等级划分准则》中规定 计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏 对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功等。 风险管理的原则

33 2.3 信息系统安全保护法律规范的基本原则 谁主管谁负责的原则 突出重点的原则 预防为主的原则 安全审计的原则 风险管理的原则
信息安全工作的风险主要来自信息系统中存在的脆弱点(漏洞和缺陷) 风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程 主动寻找脆弱点,识别威胁,采取防范措施,化解风险于萌芽状态 对系统遭受的损失及时进行评估,制定防范措施,避免风险的再次出现 研究制定风险应变策略,从容应对各种可能的风险的发生

34 2.4 信息系统安全保护法律规范的法律地位 信息系统安全立法的必要性和紧迫性 信息系统安全保护法律规范的作用
没有信息安全,就没有完全意义上的国家安全 国家对信息资源的支配和控制能力,将决定国家的主权和命运 对信息的强有力控制是打赢未来信息战的保证 信息安全保障能力是21世纪综合国力、经济竞争力和生产发展能力的重要组成部分 信息系统安全保护法律规范的作用

35 2.4 信息系统安全保护法律规范的法律地位 信息系统安全立法的必要性和紧迫性 信息系统安全保护法律规范的作用
指引作用:法律作为一种行为规范,为人们提供了某种行为模式,指引人们可以做什么、必须做什么、不能做什么 评价作用:法律具有判断、衡量他人行为是否合法或违法,以及违法性质和程序的作用 预测作用:当事人可以根据法律预先估计到某行为在法律上的后果 教育作用:通过法律的实施对一般人今后的行为产生影响 强制作用:法律对违法行为具有制裁、惩罚的作用

36 内容提要 1、总论 2、信息系统安全保护法律规范 3、信息系统安全保护相关法律法规 4、互联网络安全管理相关法律法规
5、其他有关信息安全的法律法规 6、防范计算机犯罪 7、其他国家信息安全法律法规情况

37 内容提要 3 信息系统安全保护相关法律法规 3.1 《中华人民共和国计算机信息系统安全保护条例》
3.2 《计算机信息网络国际联网安全保护管理办法》 3.3 《信息安全等级保护管理办法(试行)》

38 3 信息系统安全保护相关法律法规 《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》
《信息安全等级保护管理办法(试行)》

39 3.1 《中华人民共和国计算机信息系统安全保护条例》
1994年2月18日,由国务院发布 适用范围 适用于任何组织和个人 境内的计算机信息系统的安全保护适用本条例 未联网的微型计算机的安全保护不适用本条例 军队的计算机信息系统安全保护,按军队的有关法规执行 主要内容

40 3.1 《中华人民共和国计算机信息系统安全保护条例》
主要内容 界定了“计算机信息系统”的概念 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统 明确了安全保护工作的性质 明确了计算机信息系统安全保护工作的重点 系统设置了安全保护的制度 明确确定了安全监督的职权和义务 全面规定了违法者的法律责任 定义了计算机病毒及专用安全产品

41 3.1 《中华人民共和国计算机信息系统安全保护条例》
主要内容 界定了“计算机信息系统”的概念 明确了安全保护工作的性质 应保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行 明确了计算机信息系统安全保护工作的重点 系统设置了安全保护的制度 明确确定了安全监督的职权和义务 全面规定了违法者的法律责任 定义了计算机病毒及专用安全产品

42 3.1 《中华人民共和国计算机信息系统安全保护条例》
主要内容 界定了“计算机信息系统”的概念 明确了安全保护工作的性质 明确了计算机信息系统安全保护工作的重点 重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全 系统设置了安全保护的制度 明确确定了安全监督的职权和义务 全面规定了违法者的法律责任 定义了计算机病毒及专用安全产品

43 3.1 《中华人民共和国计算机信息系统安全保护条例》
主要内容 界定了“计算机信息系统”的概念 明确了安全保护工作的性质 明确了计算机信息系统安全保护工作的重点 系统设置了安全保护的制度 安全等级保护制度、计算机机房安全保护制度、国际联网备案制度、信息媒体进出境申报制度、发案报告制度、安全研究制度(对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理)、安全产品销售许可证制度 明确确定了安全监督的职权和义务 全面规定了违法者的法律责任 定义了计算机病毒及专用安全产品

44 3.1 《中华人民共和国计算机信息系统安全保护条例》
主要内容 界定了“计算机信息系统”的概念 明确了安全保护工作的性质 明确了计算机信息系统安全保护工作的重点 系统设置了安全保护的制度 明确确定了安全监督的职权和义务 公安机关对计算机信息系统保护工作行使监督职权:监督、检查、指导计算机信息系统安全保护工作;查处危害信息系统安全的违法犯罪案件;履行系统安全保护工作的其他监督职责 公安机关发现安全隐患时,应及时通知使用单位采取安全保护措施 紧急情况下,可以就涉及系统安全的特定事项发布专项通令 全面规定了违法者的法律责任 定义了计算机病毒及专用安全产品

45 3.1 《中华人民共和国计算机信息系统安全保护条例》
主要内容 界定了“计算机信息系统”的概念 明确了安全保护工作的性质 明确了计算机信息系统安全保护工作的重点 系统设置了安全保护的制度 明确确定了安全监督的职权和义务 全面规定了违法者的法律责任 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下罚款、对单位处以15000元以下罚款;有违法所得的,除予以没收外,可以处以违法所得1-3倍的罚款 任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任 定义了计算机病毒及专用安全产品

46 3.1 《中华人民共和国计算机信息系统安全保护条例》
主要内容 界定了“计算机信息系统”的概念 明确了安全保护工作的性质 明确了计算机信息系统安全保护工作的重点 系统设置了安全保护的制度 明确确定了安全监督的职权和义务 全面规定了违法者的法律责任 定义了计算机病毒及专用安全产品 计算机病毒:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码 计算机信息系统安全专用产品:用于保护计算机信息系统安全的专用硬件和软件产品

47 案例6-倪××破坏计算机信息系统案 倪××在担任无锡某公司副总工程师期间,1997年-2000年,在公司网络分析仪中设置了正常工作不需要、执行后会使屏幕“黑屏”的程序,并设置了时间条件。数次使网络分析仪“黑屏”,引起生产停顿,造成损失130多万元 2001年判决:倪××犯破坏计算机信息系统罪,判处有期徒刑三年

48 3.2 《计算机信息网络国际联网安全保护管理办法》
1997年12月30日公安部发布 宗旨 为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定 适用范围 境内的计算机信息网络国际联网安全保护管理 调整对象:从事国际联网业务的单位和个人,以及计算机信息网络的使用者 主要内容

49 3.2 《计算机信息网络国际联网安全保护管理办法》
主要内容 规定了相关部门、单位和个人在计算机信息网络国际联网安全保护方面的责任 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息: 煽动抗拒、破坏宪法和法律、行政法规实施的; 煽动颠覆国家政权,推翻社会主义制度的; 煽动分裂国家、破坏国家统一的; 煽动民族仇恨、民族歧视,破坏民族团结的; 捏造或者歪曲实施,散布谣言,扰乱社会秩序的; 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的; 公然侮辱他人或者捏造事实诽谤他人的; 损害国家机关信誉的; 其他违反宪法和法律、行政法规的 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密 明确了公安机关的职责和义务 规定了在计算机信息网络国际联网安全保护方面违法的法律责任

50 3.2 《计算机信息网络国际联网安全保护管理办法》
主要内容 规定了相关部门、单位和个人在计算机信息网络国际联网安全保护方面的责任 明确了公安机关的职责和义务 公安机关计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作 公安机关计算机管理监察机构负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件 规定了在计算机信息网络国际联网安全保护方面违法的法律责任

51 3.2 《计算机信息网络国际联网安全保护管理办法》
主要内容 规定了相关部门、单位和个人在计算机信息网络国际联网安全保护方面的责任 明确了公安机关的职责和义务 规定了在计算机信息网络国际联网安全保护方面违法的法律责任 限期改正,警告,没收违法所得,罚款,停止联网处罚,吊销经营许可证,构成犯罪的追究刑事责任

52 案例7-福建首例“黑客”入侵破坏交警网信息案
2002年12月,泉州交警部门报案,交警部门计算机信息系统屡屡受到非法入侵,部分数据和应用程序被多次删除、修改 经侦察,确定非法入侵的犯罪对象的地理位置,在其再次入侵时将其抓获 陈×,某交通设施公司的职员,该公司曾负责制作福建省驾驶证副证。陈×破解交警部门计算机网络系统密码后,对驾驶员违章记录进行修改 另4名犯罪同伙利用做交警协管员的工作之便,把驾驶员的违章处罚信息提供给陈×,由陈×修改或删除违章信息。每消掉6分以上,收取850元,四个月内,以此牟取暴利10多万元 行为违反了《计算机信息网络国际联网安全保护管理办法》的规定

53 3.3 《信息安全等级保护管理办法(试行)》 2006年1月17日由公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布
目的: 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设 信息安全等级保护的概念 对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置

54 内容提要 1、总论 2、信息系统安全保护法律规范 3、信息系统安全保护相关法律法规 4、互联网络安全管理相关法律法规
5、其他有关信息安全的法律法规 6、防范计算机犯罪 7、其他国家信息安全法律法规情况

55 内容提要 4 互联网络安全管理相关法律法规 4.1 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》
4.2 《全国人民代表大会常务委员会关于维护互联网安全的决定》

56 4 互联网络安全管理相关法律法规 4.1《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》1997年12月8日由国务院信息化工作领导小组颁布 目的 加强对计算机信息网络国际联网的管理,保障国际计算机信息交流的健康发展 意义 与信息安全管理相关的条款

57 4.1《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》
目的 意义 明确了国家对国际联网的建设布局和资源利用进行统筹规划 确定了国务院信息化工作领导小组办公室负责组织、协调有关部门制定国际联网的安全、经营、资费、服务等规定和标准的工作,并对执行情况进行检查监督 确定了中国互联网络信息中心(CNNIC)提供互联网络地址、域名、网络资源目录管理和有关的信息服务 明确了我国境内的计算机信息网络进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道 明确了现有互联网的管理单位 明确了新建互联网的审批程序 与信息安全管理相关的条款

58 4.1《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》
目的 意义 与信息安全管理相关的条款 互联单位、接入单位和用户,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息;发现有害信息应当及时向有关主管部门报告,并采取有效措施,不得使其扩散 进行国际联网的专业计算机信息网络不得经营国际互联网络业务。企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络,只限于内部使用。

59 4.2《全国人民代表大会常务委员会关于维护互联网安全的决定》
2000年12月28日通过 目的:兴利除弊,促进我国互联网的健康发展,维护国家安全和社会公共利益,保护个人、法人和其他组织的合法权益

60 4.2《全国人民代表大会常务委员会关于维护互联网安全的决定》
基于互联网的违法犯罪行为界定 为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任 为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任 为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任 为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任

61 4.2《全国人民代表大会常务委员会关于维护互联网安全的决定》
基于互联网的违法犯罪行为界定 为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任 侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统; 故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害; 违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行

62 4.2《全国人民代表大会常务委员会关于维护互联网安全的决定》
基于互联网的违法犯罪行为界定 为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任 利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一; 通过互联网窃取、泄露国家秘密、情报或者军事秘密 利用互联网煽动民族仇恨、民族歧视,破坏民族团结 利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施

63 4.2《全国人民代表大会常务委员会关于维护互联网安全的决定》
基于互联网的违法犯罪行为界定 为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任 利用互联网销售伪劣产品或者对商品、服务作虚假宣传 利用互联网损坏他人商业信誉和商品声誉 利用互联网侵犯他人知识产权 利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息 在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片

64 4.2《全国人民代表大会常务委员会关于维护互联网安全的决定》
基于互联网的违法犯罪行为界定 为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任 利用互联网侮辱他人或者捏造事实诽谤他人 非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密 利用互联网进行盗窃、诈骗、敲诈勒索

65 案例8-黑客偷裸照敲诈14万被判有期徒刑6年 被告李××家住江西,痴迷网络。用黑客软件侵入了北京某人的电脑系统,窃取其中的裸体照片,以公布照片相要挟,敲诈14万元 2007年判决:以敲诈勒索罪判处有期徒刑6年

66 其他 《互联网上网服务营业场所管理条例》2002年11月15日起国务院颁布实施 《互联网信息服务管理办法》2000年9月25日国务院颁布实施
《互联网安全保护技术措施规定》,公安部发布,2006年3月1日起施行 《互联网电子邮件服务管理办法》,信息产业部发布,2006年3月30日起施行

67 内容提要 1、总论 2、信息系统安全保护法律规范 3、信息系统安全保护相关法律法规 4、互联网络安全管理相关法律法规
5、其他有关信息安全的法律法规 6、防范计算机犯罪 7、其他国家信息安全法律法规情况

68 内容提要 5、其他有关信息安全的法律法规 5.1 《计算机信息系统安全专用产品检测和销售许可证管理办法》 5.2 《计算机病毒防治管理办法》

69 5 其他有关信息安全的法律法规 5.1 《计算机信息系统安全专用产品检测和销售许可证管理办法》,公安部发布,1997年12月12日起施行
中国境内的安全专用产品进入市场销售,实行销售许可证制度 安全专用产品的生产者申领销售许可证,必须对其产品进行安全功能检测和认定 公安部计算机管理监察部门负责销售许可证的审批办法工作和安全专用产品安全功能检测机构的审批工作

70 有害数据及计算机病毒防治管理 有害数据 计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有攻击人民民主专政、社会主义制度,攻击党和国家领导人,破坏民族团结等危害国家安全内容的信息;含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息,以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序(含计算机病毒) 有害数据与计算机病毒的区别在于,前者比后者所涉及的内容更广泛 公安部1996年定义

71 5.2 《计算机病毒防治管理办法》 计算机病毒定义 为了远离计算机病毒的危害,规范了人们的行为
编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码 为了远离计算机病毒的危害,规范了人们的行为 明确了计算机信息系统使用单位在计算机病毒防治工作中应当履行的职责 明确了对从事计算机病毒防治产品生产单位的要求 明确了公安机关在计算机病毒防治工作中的相关职权 对计算机病毒的认定和疫情发布进行了规范 明确了对计算机病毒相关违法的处罚

72 5.2 《计算机病毒防治管理办法》 计算机病毒定义 为了远离计算机病毒的危害,规范了人们的行为
任何单位和个人不得制作计算机病毒 任何单位和个人不得有传播计算机病毒的行为(如:故意输入计算机病毒;向他人提供含有计算机病毒的文件、软件、媒体;销售、出租、附赠含有计算机病毒的媒体;等) 任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、接入计算机设备时,应当进行计算机病毒检测 明确了计算机信息系统使用单位在计算机病毒防治工作中应当履行的职责 明确了对从事计算机病毒防治产品生产单位的要求 明确了公安机关在计算机病毒防治工作中的相关职权 对计算机病毒的认定和疫情发布进行了规范 明确了对计算机病毒相关违法的处罚

73 5.2 《计算机病毒防治管理办法》 计算机病毒定义 为了远离计算机病毒的危害,规范了人们的行为
明确了计算机信息系统使用单位在计算机病毒防治工作中应当履行的职责 建立计算机病毒防治管理制度;采取技术防范措施;对人员进行教育和培训;及时检测、清除病毒,并备有记录;使用有销售许可证的病毒防治产品;对因计算机病毒引起的重大事故及时向公安机关报告,并保护现场 明确了对从事计算机病毒防治产品生产单位的要求 明确了公安机关在计算机病毒防治工作中的相关职权 对计算机病毒的认定和疫情发布进行了规范 明确了对计算机病毒相关违法的处罚

74 5.2 《计算机病毒防治管理办法》 计算机病毒定义 为了远离计算机病毒的危害,规范了人们的行为
明确了计算机信息系统使用单位在计算机病毒防治工作中应当履行的职责 明确了对从事计算机病毒防治产品生产单位的要求 应及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交病毒样本 任何单位和个人销售、附赠的病毒防治产品,应有销售许可证 明确了公安机关在计算机病毒防治工作中的相关职权 对计算机病毒的认定和疫情发布进行了规范 明确了对计算机病毒相关违法的处罚

75 5.2 《计算机病毒防治管理办法》 计算机病毒定义 为了远离计算机病毒的危害,规范了人们的行为
明确了计算机信息系统使用单位在计算机病毒防治工作中应当履行的职责 明确了对从事计算机病毒防治产品生产单位的要求 明确了公安机关在计算机病毒防治工作中的相关职权 公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作 任何单位和个人应当接受公安机关对计算机病毒防治工作的监督、检查和指导 对计算机病毒的认定和疫情发布进行了规范 明确了对计算机病毒相关违法的处罚

76 5.2 《计算机病毒防治管理办法》 计算机病毒定义 为了远离计算机病毒的危害,规范了人们的行为
明确了计算机信息系统使用单位在计算机病毒防治工作中应当履行的职责 明确了对从事计算机病毒防治产品生产单位的要求 明确了公安机关在计算机病毒防治工作中的相关职权 对计算机病毒的认定和疫情发布进行了规范 计算机病毒疫情:指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报 任何单位和个人不得向社会发布虚假的计算机病毒疫情 对计算机病毒的认定工作,由公安部公共信息网络安全监察部门批准的机构承担 明确了对计算机病毒相关违法的处罚

77 5.2 《计算机病毒防治管理办法》 计算机病毒定义 为了远离计算机病毒的危害,规范了人们的行为
明确了计算机信息系统使用单位在计算机病毒防治工作中应当履行的职责 明确了对从事计算机病毒防治产品生产单位的要求 明确了公安机关在计算机病毒防治工作中的相关职权 对计算机病毒的认定和疫情发布进行了规范 明确了对计算机病毒相关违法的处罚 警告、限期改正、罚款、承担刑事责任

78 案例10-17岁少年炮制“混客”网站炸弹,击中10万电脑
2001年12月-2002年1月,40多天时间里,全国有10万余台电脑遭受“混客绝情炸弹”的攻击 2002年2月黑龙江省公安厅破案,17岁的重点学校高一学生 病毒爆发现象:修改IE默认主页,修改注册表,关机甚至破坏系统环境,格式化硬盘等。造成电脑瘫痪,数据丢失。 《电脑爱好者》杂志2002年第2期将其杀伤力排在五星级病毒的位置

79 案例11-“熊猫烧香”病毒大案 2007年2月12日湖北省公安厅宣布,侦破“熊猫烧香”病毒案,抓获李某,雷某等
李某2006年10月开始制作“熊猫烧香”病毒,2006年12月开始在网上叫卖该病毒,共获利23万多元 判决:李某犯破坏计算机信息系统罪,判处有期徒刑4年,其他人分别判处2年6个月、1年不等

80 内容提要 1、总论 2、信息系统安全保护法律规范 3、信息系统安全保护相关法律法规 4、互联网络安全管理相关法律法规
5、其他有关信息安全的法律法规 6、防范计算机犯罪 7、其他国家信息安全法律法规情况

81 6 防范计算机犯罪 采取道德规范、管理、技术与法律的综合手段 伦理与道德规范是基础 管理是关键 技术是卫士 法律是底线
计算机犯罪不同于传统的犯罪,点几下鼠标,按几下键盘,可能就会给社会和他人带来灾难后果,而犯罪的感觉可能与玩电子游戏没什么差别 因此要建立计算机行业伦理与道德规范,形成良好的计算机行为规则,什么可以做,什么不可以做 管理是关键 技术是卫士 法律是底线

82 6 防范计算机犯罪 采取道德规范、管理、技术与法律的综合手段 伦理与道德规范是基础 管理是关键 技术是卫士 法律是底线
加强管理措施,如内外网隔离、安全等级划分、权限分配等 技术是卫士 法律是底线

83 6 防范计算机犯罪 采取道德规范、管理、技术与法律的综合手段 伦理与道德规范是基础 管理是关键 技术是卫士 法律是底线
在信息网络的各个环节,都有相应的安全技术,如防火墙、入侵检测、身份认证等 法律是底线

84 6 防范计算机犯罪 采取道德规范、管理、技术与法律的综合手段 伦理与道德规范是基础 管理是关键 技术是卫士 法律是底线
侵犯了他人、集体和国家的利益,就要承担相应的民事责任、行政责任或刑事责任

85 6 防范计算机犯罪 信息安全 伦理与道德规范 管理 技术 法律

86 6 防范计算机犯罪 例如,珠宝店的珠宝放在玻璃橱窗里,玻璃橱窗就是珠宝店的安全技术措施,玻璃橱窗很容易被打破,但为什么没有人去这样做?
有伦理道德的规范和法律的威摄力做后盾

87 内容提要 1、总论 2、信息系统安全保护法律规范 3、信息系统安全保护相关法律法规 4、互联网络安全管理相关法律法规
5、其他有关信息安全的法律法规 6、防范计算机犯罪 7、其他国家信息安全法律法规情况

88 7 其他国家信息安全法律法规情况 7.1 美国 7.2 欧洲 7.3 日本

89 7.1 美国信息安全法规 7.1.1 美国法律法规概况 7.1.2 关于互联网内容管理的法律 7.1.3 关于网络犯罪的法律
后美国信息安全相关工作

90 7.1.1 美国法律法规概况 信息技术情况 世界上计算机和因特网普及率最高的国家 信息技术国际领先,信息安全立法相对完善
信息安全方面发案最多的国家

91 7.1.1 美国法律法规概况 美国的联邦立法可以分为两个层次: 国会根据美国宪法的授权制定了大量有关信息安全的法律
各州议会也制定州法律加强对信息和信息系统的保护

92 7.1.1 美国法律法规概况 美国国会制定的信息安全法律 : 法律名称 时间(生效或者通过) 《电脑犯罪法》 1987年 《计算机庄严法》
1995年 《国家信息安全法案》 1996年 《爱国者法》 2001年 《国土安全法》 2002年 《反垃圾邮件法》 2004年 《1998年数字千年版权法》 1998年 《反域名抢注消费者保护法》 1999年 《未成年人互联网保护法》 2000年 《1998年儿童在线隐私保护法》 美国国会制定的信息安全法律 :

93 7.1.1 美国法律法规概况 美国的互联网管理机构 国家电信及信息管理局:商务部下属机构,掌握互联网信息安全管理。这是一个直接对商务部长和总统负责的电信信息政策负责的机构。美国没有统一的互联网信息安全管理机构。 美国联邦贸易委员会(FTC)、联邦通信委员会(FCC)、国土安全部等相关部门:有一定的互联网管理权限,主要依据为《2003年反垃圾邮件法》。在网络安全方面,国土安全部担当核心角色,FCC负责具体政策的执行。 民间机构ICANN:1998年成立,主管互联网、负责路由服务器系统的管理和域名的管理。 互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers)

94 7.1.2 关于互联网内容管理的法律 互联网内容管理相关的法律包括 未成年人保护 版权保护 垃圾邮件管理 ……

95 关于未成年人保护 《未成年人互联网保护法》规定: 《1998年儿童在线隐私保护法》规定:
中小学校、公共图书馆等必须在其网络服务程序的目录上提供过滤器,确保未达17周岁的未成年人不接触到色情内容的成人网站。 政府对学校、公共图书馆建立网络过滤技术系统提供资金支持,网络技术服务商在给学校和图书馆提供过滤技术服务时要给予优惠。 《1998年儿童在线隐私保护法》规定: 任何提供网络服务和产品的组织与个人不得通过互联网电子联络(电子邮件、聊天等)的办法,搜集13岁以下儿童的姓名、家庭住址、电子邮件地址、电话号码、社会安全号码或儿童父母的个人信息等,违者将依据《联邦贸易委员会法案》进行处罚。

96 关于版权保护 《1998年数字千年版权法》 该法涉及网上作品的临时复制、网络上文件的传输、数字出版发行、作品合理使用范围的重新定义、数据库的保护等,规定未经允许在网上下载音乐、电影、游戏、软件等为非法。

97 关于反垃圾邮件 《反垃圾邮件法》 规定了任何人未经授权向多人(数量至少要达到24小时发100条、30天发1千条或1年发1万条)发送含虚假商业信息的电子邮件均为违法,可以受到罚款或关押最高不超过5年的处罚,或两罚并用 规定了“未经请求”的电子邮件是指电子邮件的发件人同收件人未曾有过包括“在先的”商务关系在内的关系的情况下向发件人发送的电子邮件消息

98 关于反垃圾邮件 该法还规定:发件人为推销其产品或服务,可以在未经请求的情况下向电子邮件用户发送商业性的电子邮件,但发送下述类型邮件的行为为违法行为: 含有虚假的、误导性的或者欺骗性的标题信息的电子邮件; 不含回复地址和退订机制的电子邮件; 缺少法律规定的标识符、选择退出和物理地址的商业电子邮件; 未给含有色情内容的邮件添加警示标志的商业电子邮件。

99 其他内容管理相关法律 《网络免税法》 美国政府还成立了专门机构,保护未成年人的网上安全
1998年出台的《网络免税法》对自律较好的网络商给予两年免征新税的待遇 美国政府还成立了专门机构,保护未成年人的网上安全 司法部成立了特种部队,打击针对未成年人的网上犯罪活动 美国联邦调查局也设有专门机构,负责辨认网上发布的儿童色情图像,调查不法分子,予以法律制裁。

100 7.1.3 关于网络犯罪的法律 《伪装进入设施和计算机欺诈及滥用法》
1984年10月12日,里根总统签署了美国第一部联邦计算机犯罪成文法《伪装进入设施和计算机欺诈及滥用法》,从而对于联邦刑法典进行了修改,将非法使用计算机和损坏资料的行为规定为犯罪。 《防止计算机诈骗和滥用法案》 1986年议会通过了《防止计算机诈骗和滥用法案》 1996年立法机构修改了《防止计算机诈骗和滥用法案》,将其重新命名为《国家信息安全法案》。该法案在1996年10月签署生效后,适用于美国所有连接到因特网和电话网络上的计算机。 《计算机庄严法》 1995年6月美国参议院通过了《计算机庄严法》,该法规定,网络警察可以对因特网进行检查;对在因特网发布下流信息者,最高可设1万美元罚款或2年以上的监禁。

101 7.1.3 关于网络犯罪的法律 《2001年爱国者法》 赋予执法部门在破案过程中截获电子邮件内容、电子取证、调查个人或网络服务商的财务、信用卡信息等的更大权利 允许执法部门利用用户登记号跟踪或设定陷阱捕捉罪犯 允许网络受害者在执法部门许可下可监测或拦截计算机闯入者 允许执法部门使用全美通行电子邮件的搜查令 法案中除了“强化反恐怖主义的国内安全措施”还提出了“完善监视程序”,这使得美国的信息安全法案更加完善 这种做法已经引起了包括美国在内的国际社会的普遍重视,一种后“9.11”时代的网络空间电子监控立法活动展开了对反恐时代电子监控法的彻底反思。

102 7.1.3 关于网络犯罪的法律 其他法律: 版权法、国家被盗财产法、邮件与电报诈欺法、电信隐私法、儿童色情预防法、……

103 7.1.4 911后美国信息安全相关工作 (1)发布总统令,改组信息安全管理机构
后美国信息安全相关工作 (1)发布总统令,改组信息安全管理机构 2001年10月16日,美国发布13231号行政命令《信息时代的关键基础设施保护》,新设总统网络安全顾问,建立总统关键基础设施保护委员会。 (2)完善信息安全的法律法规建设,强化政府的安全管理职能,加强网络监控的力度。 2001年10月11日,美国参众两院通过《爱国者法案》 (3)制定国土安全战略,成立国土安全部。 2001年11月8日,建立国土安全办公室。 2002年7月16日,出台《美国国土安全战略》。 2002年11月25日,成立国土安全部。 (4)2003年2月14日,出台《网络安全国家战略》,规划美国网络信息安全保障工作的发展方向

104 后美国信息安全相关工作 (5)采取各种有效措施,全面加强网络与信息安全的防范工作。其中包括大规模增加反恐开支和用于信息安全的经费。 (6)发展并部署新的信息安全技术。 (7)2003年6月,美国国土安全部在信息分析和基础设施保护局之下设立了一个新的机构——“国家网络安全处”,作为承担和实施美国国家网络保护职能的具体机构。 (8) 2005年2月,美国总统信息化咨询委员会向布什提交了一个信息安全紧急报告 大力加强信息安全科研的投入; 大力加强信息安全队伍的建设; 对现在的安全创新进行再思考; 克服信息安全从科研到产业这样一种结构性的弱点。 2005年2月28日,美国国家标准与技术研究院(NIST)公布了联邦计算机系统与信息安全指南。可以看出,近年来美国对信息安全问题的重视和力度,到达了一个前所未有的水平。

105 7.2 欧洲国家信息安全法规 7.2.1 英国 7.2.2 法国、德国 7.2.3 俄罗斯 7.2.4 欧盟其他情况

106 7.2.1 英国 英国不存在类似美国的州政府和联邦政府的法律,所有法律都适用于整个国家

107 7.2.1 英国 《三R安全法则》 1996年颁布了第一个网络监督行业性法规,3R分别代表“分级认定、检举揭发和承担责任”。
该规则针对英国境内互联网络中的非法资料特别是色情淫秽内容而提出了行业性倡议。 2000年7月,英国在这个规则的基础上又公布了《电子信息法》,授权有关部门对电子邮件及其他信息交流实行截收和解码。

108 7.2.1 英国 有关计算机犯罪的立法,英国经历的发展过程
1981年,通过修订《伪造文书及货币法》,扩大“伪造文件”的概念,将伪造电磁记录纳入“伪造文书罪”的范围; 1984年,在《治安与犯罪证据法》中规定:“警察可根据计算机中的情报作为证据”,从而明确了电子记录在刑事诉讼中的证据效力; 1985年,通过修订《著作权法》,将复制计算机程序的行为视为犯罪行为,给予相应之刑罚处罚; 1990年,制定《计算机滥用法》。

109 7.2.1 英国 《计算机滥用法》重点规定了以下三种计算机犯罪: 非法侵入计算机罪 有其他犯罪企图的非法侵入计算机罪
非法侵入计算机罪是指行为人未经授权,故意侵入计算机系统以获取其程序或数据的行为。此行为并不要求针对特定的程序或数据,也就是说,只要是故意非法侵入,哪怕仅仅是一般的浏览行为也构成犯罪。该罪可处以2000英镑以下的罚金或6个月以下的监禁,或并处。 有其他犯罪企图的非法侵入计算机罪 如果某人非法侵入计算机是为了自己或他人犯其他的罪,如利用读取的信息进行诈骗或讹诈等,则构成处罚更严厉的犯罪,可判处5年以下监禁或无上限罚金。 非法修改计算机程序或数据罪 故意非法对计算机中的程序或数据进行修改,将构成此罪,可判处5年以下监禁或无上限罚金。

110 7.2.1 英国 “9.11”事件以后 英国议会于2001年12月14日通过了新的紧急反恐法案,把打击网络恐怖也列入其中
2002年2月开始正式实施《反恐怖主义法案》。这是英国政府第一次明确提出“网络恐怖主义概念”,并把黑客入侵视为“恐怖行为”

111 7.2.2 法国、德国 法国1992年通过、1994年生效的新刑法典设专章“侵入资料自动处理系统罪”对计算机犯罪作了规定
侵入资料自动处理系统罪:“采用欺诈手段,进入或不肯退出某一资料数据自动处理系统之全部或一部的,处1年监禁并处10万法郎罚金。如造成系统内储存之数据资料被删除或被更改,或者导致该系统运行受到损坏,处2年监禁并处20万法郎罚金。” 妨害资料自动处理系统运作罪:“妨碍或扰乱数据资料自动处理系统之运作的,处3年监禁并处30万法郎罚金。” 非法输入、取消、变更资料罪: “采取不正当手段,将数据资料输入某一自动处理系统,或者取消或变更该系统储存之资料的,处3年监禁并处30万法郎罚金。”

112 7.2.2 法国、德国 德国《多媒体法》 1997年8月1日正式颁布实施,全称为《信息与通信服务确立基本规范的联邦法》
通过修正以前的有关法律规定,使现行法律适用网络的虚拟空间

113 德国《多媒体法》 内容涉及数字签名:该法为数字签名提供框架条件,这些条件下,数字签名被认为是可靠的,并且能可靠地认出假的数字签名或者能识别出伪造的数字签名 适用范围:适用于一切私人利用信号、图像、声音等数据而提供的通过电信传输的电子信息和通讯服务(电信服务) 优点:立法者既考虑到了要通过立法防止滥用新的信息与服务手段危害青少年身心健康的行为,同时又考虑到了要确保公民能够一如既往地行使广泛自由和通信自由的权利

114 7.2.3 俄罗斯 俄罗斯信息安全法律法规 俄罗斯把对信息安全管理的具体法律法规明确的写入了《俄罗斯联邦刑法典》里,用以威慑和制止网络犯罪
俄罗斯1996年通过、1997年生效的新刑法典也以专章“计算机信息领域的犯罪”为名对计算机犯罪作了规定

115 俄罗斯信息安全法规发展情况 2000年6月,俄通过了《俄联邦信息安全学说》
2002年1月,俄出台《2002——2010年俄罗斯信息化发展目标纲要》 2002年4月21日,俄发布368号政府令,规定联邦办公自动化系统必须使用俄罗斯智能卡 2003年,俄罗斯又启动了《保障俄联邦主体信息安全的联邦政策框架》和《2001——2007俄罗斯关于建立和发展国家行政机关专用通信系统的联邦专项计划》。 2003年底,俄罗斯基本完成了从传统只重视密码设备和安防产品到传统与非传统安全并重的转变。

116 2004年,俄罗斯进一步明确了信息安全保障系统的优先发展方向
发展信息安全保障系统、研究信息理论和实践 改进并研制新的信息安全保障方法和手段; 改进并建立新的信息保护法律标准,制定防止破坏和威胁信息安全的措施; 改进信息安全机制,防止被盗、被毁和被篡改; 建立法律标准系统,预防信息犯罪和非法利用计算机网络进行犯罪; 建立信息安全风险分析模型和方法,评估信息保护等级和信息安全的完整性; 发展信息质量管理系统,改进监控方法和手段,避免信息安全受到威胁和破坏等

117 7.2.4 欧盟其他情况(9.11之后) 2002年1月,欧盟公布了《关于网络和信息安全领域通用方法和特殊行动的决议》,对欧盟所有成员国提出8项具体要求。 2002年4月,欧盟通过了《关于对信息系统攻击的委员会框架协议》,以确保有关部门在信息系统攻击相关的打击犯罪领域能很好地合作。 2002年4月,欧盟制定了一项关于计算机犯罪的法案。 2002年6月,欧盟发布了《电子欧洲2005行动计划》,提出了信息安全方面的具体行动计划。 2002年6月,欧洲电信部长会议正式通过欧洲电子签名法令,要求所有欧盟成员国将电子签名视作与手写签名具有同等法律地位。 2002年10月,欧盟成立高科技犯罪中心。

118 2003年,欧盟开始拟定2005—2008年的网络安全计划,旨在建立更安全的上网环境、推广新的在线技术和减少网上不良信息。欧盟在信息安全方面已达成以下共识:在网络信息安全战略和策略上建立透明的协调机制;采用共同的测评认证标准,实现了一国测评多国互认;形成协调一致的打击网络犯罪的行动纲领和机制;在网上内容监管上实行相互协作,共同维护社会文明和人类尊严。 2003年2月28日,欧盟司法部长批准了一项新的法律,规定,计算机黑客和病毒传播者情节严重的可判5年监禁。 2003年10月正式实施反数字盗版法,规定间谍软件为非法软件。 2004年4月,欧盟第二次要求包括瑞典、比利时、德国、希腊、法国、卢森堡、荷兰和葡萄牙在内的8个成员国立法禁止垃圾邮件。 2005年2月,欧盟13国签署协议,合作打击垃圾邮件。同月,欧盟与东南亚国家联盟签署了一项联合打击垃圾邮件的协议。

119 7.3 日本信息安全法规 7.3.1 概况 7.3.2 主要法规介绍 7.3.3 其他情况

120 7.3.1 概况 背景 日本政府在互联网信息安全管理方面经历的变化
在亚洲国家中,日本的网络发展相对最为迅速。根据日本总务省的统计,2005年3月末日本互联网用户数为7948万,互联网家庭普及率87%。 日本政府在互联网信息安全管理方面经历的变化 上世纪90年代实行“重行业自律,轻政府管理”的管理机制 到2000年后政府认识到互联网管理的重要性,注重互联网信息安全立法工作,出台了一批有关互联网信息安全的新法律法规。在立法模式上既在原有法律条文中修改、增加互联网管理的内容,也根据互联网业务特点制定出新的法律法规。

121 职能划分 除内阁外,总务省、经济产业省、警察厅以及法务省、国家公安委员会等均对有关互联网信息安全管理及法律制度有相应举措,其它各相关省厅则依其主管事务,配合各相关法律制度的推动或研究 总务省、经济产业省和警察厅三个机构是互联网主要管理部门,承担着与互联网管理相关的立法起草工作和执法任务,其它各相关省厅根据各自的事务职责协同推进互联网的管理工作。 按照各机构各负其责的原则,根据各相关省厅(部委)的职能、职责,采取联合管理互联网的方式 凡涉及到网络犯罪问题均由警察厅负责立法起草工作和执法; 涉及到商务领域的问题由经济产业省负责立法起草工作和执法; 只有涉及到网络服务与内容提供等问题才由总务省负责立法起草工作和执法。

122 日本法律体系概况 法律名称 说明 管制机构 1 《刑法》 1987年增加互联网相关内容 法务省、警察厅 2 《禁止非法链接法》
法律名称 说明 管制机构 1 《刑法》 1987年增加互联网相关内容 法务省、警察厅 2 《禁止非法链接法》 1999年法律第128号,针对盗用他人密码等非法链接行为 总务省、经济产业省、警察厅 3 《电子签名法》 2000年法律第102号,规范了新生的电子签名事务 总务省、法务省、经济产业省 4 《特定电子商务法》 2000年法律第126号,针对电子商务业务 经济产业省 5 《电子合同法》 2001年法律第95号,根据《民法》制定的消费者执行电子合同的法律规定 6 《网络服务商责任法》 2001年法律第137号,明确业务提供商责任 总务省 7 《反垃圾邮件法》 2002年法律第26号,针对垃圾邮件的规定 8 《色情网站管制法》 2003年法律第83号,禁止18岁以下青少年卖淫行为的管制 警察厅 9 《个人信息保护法》 2003年法律第119号,个人信息的有用性和保护个人的权利、利益 内阁官房、总务省 10 《促进内容创作、保护及应用法》 2004年法律第81号,促进内容的创作、保护和应用 内阁官房

123 7.3.2 主要法规介绍 《反垃圾邮件法》 全名《特定电子邮件正当发送法》,由日本总务省于2002年5月颁布,同年7月1日起实施,并于2005年11月做了部分补充修改。 该法针对近年来垃圾邮件的性质不断恶化,发信形式更为巧妙等情况,扩大了特定电子邮件的范围,规范了特定邮件发送的格式,明确了禁止条例和处罚规则 制定该法的目的是:规范特定邮件正当发送的方式,创造使用电子邮件的良好环境,使信息社会得以健康发展。

124 《电子合同法》 《电子合同法》的全名是《关于电子消费合同及电子承诺通知的民法特例法》,由日本经济产业省于2001年发布,并于当年12月25日起实施。 制定该法的目的是:根据电子合同的特点,制定基于《民法》的贸易基本规则。 其作用有以下3点: 明确互联网市场的贸易规则; 与国际互联网规则相符; 对消费者网上交易纠纷采取有效措施。

125 《电子签名法》 《电子签名法》通过立法将电子商务等活动中运用电子签名的手段规范化。
实施该法的目的是真正确立电子签名的特别认证业务及其它相关事项,确保电子签名的顺利进行,促进电磁方式的信息流通与处理。 该法有3个要点: 确立电磁记录即电子文件生效的判定; 引入与认证业务相关的任意认定制度; 引入指定调查机构制度。

126 7.3.3 其他情况 《禁止不正当存取行为法》 《因特网事业伦理准则》
日本在2000年正式实行《禁止不正当存取行为法》,以加强对网络黑客行为的处罚力度。 《因特网事业伦理准则》 《准则》要求因特网检索提供商与用户签订禁止传递违法和有害信息的使用合同 《准则》还规定服务公司应承担设置用户投诉窗口的义务,以解决可能出现的纠纷和对因特网服务商进行约束 用《伦理准则》对互联网进行管理,很符合日本国情,对我国也有启发意义

127 9.11后相关工作 网络安全保障方面:修改了《信息通信网络安全可靠性标准》,包括增加设备容量,加强对骚扰邮件的防范,加强国际合作,全面提升反网络攻击的能力。 日本IT战略本部为确保电子政务实施的安全,于2001年10月公布了《确保电子政务实施过程中的信息安全行动方案》,该方案包括以下内容:制定有效的信息安全政策,推进密码标准化,建立信息系统监视机制,建立完善紧急应对机制,公务员要掌握一定的网络安全知识和相关技术,加强网络安全相关软件的开发,确保技术开发的时效性和有效性。

128 9.11后相关工作(续) 建立了电子商务的安全管理机制,依据国际通用的测评认证标准,建立与国际标准接轨的评估、认证体系。
日本还加强了与网络相关的技术开发与研究工作 2004年,日本信息安全促进机构制定了政府部门及相关机构的《信息安全标准》 2005年4月25日,日本成立了“国家信息安全中心”,隶属于信息技术安全局。

129 本模块要求 了解并掌握中国信息安全相关法律法规 了解其他国家信息安全相关状况


Download ppt "信息安全导论(模块3-信息安全法律法规与标准)"

Similar presentations


Ads by Google