第一篇:信息安全法律法规心得体
信息安全法律法规心得体会
对于这门课,主要是从信息安全的角度来讲,信息安全法律法规主要是信息与法律的一个连接,正所谓只有法律的约束才能让信息这个空间变得安全。
国家法律中与信息安全相关的法律有:农业部《计算机信息网络系统安全保密管理暂行规定》公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》公安部中国人民银行《金融机构计算机信息系统安全保护工作暂行 规定》公安部《计算机病毒防治产品评级准则》公安部《计算机病毒防治管理办法》邮电部《中国公用计算机互联网国际联网管理办法》教育部《教育网站和网校暂行管理办法》信息产业部《互联网电子公告服务管理规定》国务院新闻办公室,信息产业部《互联网站从事登载新闻业务管理暂行规定》信息产业部《非经营性互联网信息服务备案管理办法》信息产业部《电子认证服务管理办法》信息产业部《互联网IP地址备案管理办法》公安部《互联网安全保护技术措施规定》公安部国家保密局国家密码管理局国务院信息化工作办公室《信息安全等级一保护管理办法(试行)》公安部《网吧安全管理软件检测规范》《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
特别是最近出台《网络安全法》,《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。《网络安全法》的基本原则第一,网络空间主权原则。第二,网络安全与信息化发展并重原则。第三,共同治理原则。《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度
三、《网络安全法》进一步明确了政府各部门的职责权限,完善了网络安全监管体制
《网络安全法》将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
四、《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。为此,《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
五、《网络安全法》完善了网络安全义务和责任,加大了违法惩处力度
《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,包括守法义务,遵守社会公德、商业道德义务,诚实信用义务,网络安全保护义务,接受监督义务,承担社会责任等,并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准,加大了处罚力度,有利于保障《网络安全法》的实施。
六、《网络安全法》将监测预警与应急处置措施制度化、法制化 《网络安全法》第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据,为深化网络安全防护体系,实现全天候全方位感知网络安全态势提供了法律保障。
最后举几个关于今年2017年典型的违反网络安全法律法规的相关案例
山东枣庄滕州侦破侵犯公民个人信息案。2017年4月,山东枣庄滕州公安机关破获王某等人泄露、窃取、买卖、非法利用公民个人信息的团伙案,抓获犯罪嫌疑人28名。公安机关工作中发现,有人在网上出售手机定位、银行余额、航班乘坐记录、个人征信、住宿记录等各类公民个人信息。经查,涉案的机票代理商王某非法查询并贩卖航班乘坐记录11万余次,非法获利2万余元;涉案的某通讯运营公司员工吴某利用工作之便,向社会人员穆某提供电信手机用户定位信息400余条,非法获利10万余元;涉案的某银行员工朱某利用工作之便,查询出售公民个人征信信息300余条,非法获利5000余元;涉案的某银行员工韩某,利用工作之便,查询出售公民个人征信信息200余条,非法获利5000余元;涉案的某银行员工周某,查询出售公民个人征信信息300余条,非法获利6000余元。
江苏徐州侦破非法攻击计算机信息系统案。2016年12月,江苏徐州公安机关侦破谭某等人利用DDOS网络攻击案,抓获犯罪嫌疑人34名,扣押、冻结涉案资金60余万元。2015年底,徐州公安机关接到某云计算服务公司报案称,其公司多台云服务器遭受攻击,造成云端多个托管网站无法正常访问,多项互联网服务受到影响。经查,该团伙涉及湖南、河南、重庆等14省26个地市,由发单人、“肉鸡商”(倒卖被黑客远程控制机器的人员)、攻击实施人、出量人、担保人等分工角色组成。该团伙对几十家网站及公司实施DDOS攻击,导致被攻击的网站服务瘫痪,造成巨大损失。
湖北襄阳侦破侵犯公民个人信息案。2016年11月,湖南襄阳公安机关侦破马某等人窃取、贩卖公民个人信息案,抓获犯罪嫌疑人8名,查获公民个人信息337万条,冻结涉案资金12万余元。2016年8月,襄阳黎某报案称,其购买房产后就不断有人打电话询问其是否需要抵押贷款,怀疑其个人信息被泄露。经查,犯罪嫌疑人王某利用其掌握的计算机知识,帮助李某通过网络黑客技术入侵了北京某物流公司计算机系统,非法窃取大量收、发快件人员的姓名、地址、手机号码等信息,并贩卖给他人牟利。
第二篇:信息安全法律法规
计算机信息安全法律法规
目前比较严重的网络道德失范行为主要有:
(1)网络犯罪。一些“黑客”时常会非法侵入网络进行恶性破坏,蓄意窃取或篡改网络用户的个人资料,并利用网络赌博,甚至盗窃电子银行款项,通过网络传播侵权或违法的信息等网络犯罪行为日增,互联网已成为不法分子犯罪的新领域。
(2)色情和暴力风暴席卷而来。信息内容具有地域性,而互联网的信息传播方式则是全球性、超地域的,这使得色情和暴力等问题变得突出起来。由于互联网是全球共享的,这就使得某些人、个别国家的色情信息和暴力情节能够无障碍地在世界范围内传播。
(3)网络文化侵略。互联网信息环境的开放性,使多元文化、多元价值在网上交汇。近年来,一些西方发达国家凭借网上优势,倾销自己的文化,宣扬西方的民主、自由和人权观念。这就加剧了国家之间、地区之间道德和文化的冲突,对我国的精神文明建设构成干扰和冲击。
(4)破坏国家安全。世界上存在着对立的政治制度和意识形态,并不是到处充满善意,一些国家通过互联网发布恶意的反动政治信息,散布谣言,利用信息“炸弹”攻击他国,破坏其国家安全,甚至出于一定的政治目的,突破层层保密网,直接对其核心的系统中枢进行无声无息的破坏,达到不可告人的目的。
综上所述,道德是由一定的社会组织借助于社会舆论、内心信念、传统习惯所产生的力量,使人们遵从道德规范,达到维护社会秩序、实现社会稳定目的的一种社会管理活动。
网络道德由于虚拟空间的出现而产生新的要求,它与根植于物理空间的现实道德相比较,有其新的特点。
1.自主性和自律性
“道德的基础是人类精神的自律。”传统社会由于时空限制,交往面狭窄,在一定意义上是一个“熟人社会”。依靠熟人(朋友、亲戚、邻里、同事等)的监督,摄于道德法律手段的强大力量,传统道德得到相对较好的保护。相比之下,“网络社会”更大程度上是“非熟人社会”,互联网是人们为了满足各自的需要而自发自愿连接建立起来的。在这个以网络为基础的少人干预、过问、管理、控制的网络道德环境中,人们进入了“
为了维护人民群众的利益,保障国家利益和人民群众的正常生活秩序,我国成立了专门负责计算机信息网络安全工作的部门。几年来,陆续制定了一些与信息活动相关的法律法规。
1.相关法律:
(1)1988年9月5日第七界全国人民代表大会常务委员会第三次会议通过的《中华人民共和国保守国家秘密法》,第三章第十七条提出“采用电子信息等技术存取、处理、传递国家秘密的办法,由国家保密部门会同中央有关机关规定”。
(2)1997年10月,我国第一次在修订刑法时增加了计算机犯罪的罪名。(3)为规范互联网用户的行为,2000年12月28日九届全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》。
(4)《中华人民共和国刑法》(节录):
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
2.相关法规:
(1)1989年,公安部发布了《计算机病毒控制规定(草案)》。(2)1991年,国务院常务会议通过了《计算机软件保护条例》。
(3)1994年2月18日,国务院发布《中华人民共和国计算机信息网络系统安全保护条例》。
(4)1996年2月1日,国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》。
(5)1997年5月20日,国务院信息化工作领导小组制定了《中华人民共和国计算机信息网络国际联网暂行规定实施办法》。(6)1997年,国务院信息化工作领导小组发布《中国互联网络域名注册暂行管理办法》、《中国互联网络域名注册实施细则》。
(7)1997年,原邮电部出台《国际互联网出入信道管理办法》。
(8)1997年12月11日,国务院发布《计算机信息网络国际联网安全保护管理办法》。(9)2000年,《互联网信息服务管理办法》正式实施。
(10)2000年11月,国务院新闻办公室和信息产业部联合发布《互联网站从事登载新闻业务管理暂行规定》。
(11)2000年11月,信息产业部发布《互联网电子公告服务管理规定》。
练习1:一些黑客认为“是他们发现了漏洞,只有入侵才能揭示安全缺陷。他们只是利用了一下闲置资源而已,没有造成什么财产损失,没有伤害人,也没有改变什么,只不过是学习一下计算机系统如何操作而已”。利用你掌握的信息安全法律法规,谈谈你的看法。
答:
练习2:破译密码窃取巨额邮政储蓄资金的一甘肃黑客张少强被判无期徒刑,请分析此案例中张少强的行为触犯了哪些法律法规。答:
第三篇:信息安全法律法规
第八章
信息安全法律法规
8.1 信息保护相关法律法规
◆ 国家秘密
◇ 包括国家领土完整、主权独立不受侵犯;国家经济秩序、社会秩序不受破坏; ◇ 公民生命、生活不受侵害;民族文化价值和传统不受破坏等;
◇ 产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项。
◆ 国家秘密的密级
◇ 绝密—最重要的国家秘密—使国家安全和利益遭受特别严重的损害—破坏国家主权和领土完整,威胁国家政权巩固,使国家政治、经济遭受巨大损失—全局性、战略性
◇ 机密—重要的国家秘密—使国家安全和利益遭受严重的损失—某一领域内的国家安全和利益遭受重大损失—较大范围
◇ 秘密—一般的国家秘密—使国家安全和利益遭到损害—某一方面的国家安全利益遭受损失—局部性
◆ 危害国家秘密安全的行为
◇ 严重违反保密规定行为
1.违反涉密信息系统和信息设备保密管理规定的行为; 2.违反国家秘密载体管理规定的行为; 3.违反国家秘密信息管理规定的行为。
◇ 定密不当行为
1.定密不当包括对应当定密的事项不定密,或者对不应当定密的事项定密; 2.对应当定密的事项不定密,可能导致国家秘密失去保护,造成泄密;
3.对不应当定密的事项定密,会严重影响信息资源合理利用,可能造成较大的负面影响。
◇ 公共信息网络运营商、服务商不履行保密义务的行为
1.互联网及其他公共信息网络运营商、服务商没有履行配合公安机关、国家安全机关、检察机关对泄密案件进行调查的义务;
2.发现发布的信息涉及泄露国家秘密,没有立即停止传输和保存客户发布信息的内容及有关情况记录,并及时向公安机关、国家安全机关、保密行政管理部门报告;
3.没有按照公安机关、国家安全机关、保密行政管理部门要求,及时对互联网或公共信息网上发布的涉密消息予以删除,致使涉密信息继续扩散。
◇ 保密行政管理部门工作人员的违法行为
1.保密行政管理部门的工作人员在履行保密管理职责时滥用职权、玩忽职守、徇私舞弊;
2.滥用职权是指保密行政管理部门工作人员超越职权范围或者违背法律授权的宗旨、违反法律程序行使职权的行为;
3.玩忽职守是指保密行政管理部门工作人员严重不负责任,不履行或不正确履行职责的行为; 4.徇私舞弊是指保密行政管理部门工作人员在履行职责过程中,利用职务之便,弄虚作假、徇私舞弊的行为。
◆ 危害国家秘密安全的犯罪行为
◇ 危害国家安全的犯罪行为
1.掌握国家秘密的国家工作人员在履行公务期间,擅离岗位,叛逃境外或者在境外叛逃; 2.参加间谍组织或者接受间谍组织及其代理人的任务; 3.为敌人指示轰击目标,为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报。
◇ 妨碍社会管理秩序的犯罪行为
1.以窃取、刺探、收买方法,非法获取国家秘密;
2.非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途。
◇ 渎职的犯罪行为
1.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,故意泄露国家秘密; 2.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,过失泄露国家秘密。
◇ 军人违反职责的犯罪行为
1.以窃取、刺探、收买方法,非法获取军事秘密;
2.为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密;
3.违反保守国家秘密法规,故意泄露军事秘密(战时有此行为会受到从重处罚); 4.违反保守国家秘密法规,过失泄露军事机密(战时有此行为会受到从重处罚)。
◆ 保护国家秘密相关法律
◇ 《保密法》
2010年10月1日起正式施行的新《保密法》从四个方面明确了危害国家秘密安全的行为的法律责任,使查处泄密违法行为有据可依、有章可循。
◇ 严重违反保密规定的法律责任
《中华人民共和国公务员法》、《中华人民共和国行政监察法》、《行政机关公务员处分条例》
◇ 互联网及其他公共信息网络运营商、服务商的有关法律责任
《中华人民共和国治安管理处罚法》、《中华人民共和国电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》
◆ 商业秘密
不为公众所知悉、能为权利人带来经济利益、具有实用性并由权利人采取保密措施的技术信息和经营信息。
技术信息商业秘密包括由单位研制开发或者以其他合法方式掌握的、未公开的设计、程序、产品配方、制作工艺、制作方法等信息,以及完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据,包括但不限于设计图纸(含草图),试验结果和试验记录、样品、数据等,也包括针对技术问题的技术诀窍。
经营信息类商业秘密包括经营策略、产品策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息。
◆ 侵犯商业秘密的行为
◇ 以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密
◇ 披露、使用或者允许他人使用上述手段获取权利人的商业秘密
◇ 违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密
权利人:是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人
◆ 保护商业秘密相关法律法规
◇ 《中华人民共和国刑法》 ◇ 《中华人民共和国不正当竞争法》 ◇ 《中华人民共和国合同法》 ◇ 《中华人民共和国劳动合同法》
◆ 侵犯个人隐私信息行为
1.未经他人同意,擅自公布他人的隐私资料,或者以书面、口头形式宣扬他人隐私 2.窃取或者以其他非法方式获取公民个人电子信息 3.出售或者非法向他人提供公民个人电子信息
4.网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息
5.对在业务活动中经被收集者同意收集公民个人电子信息没有采取必要的保密措施
6.医疗机构及其医务人员泄露患者隐私或者未经患者同意,公开其病历资料、健康体检报告等行为
◆ 侵犯个人隐私信息犯罪行为
1.隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的; 2.邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的;
3.国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的;
4.窃取或者以其他方法非法获取公民个人信息,情节严重的;
5.非法截获、篡改、删除他人电子邮件或者其他数据资料,情节严重的;
6.人民警察泄露因制作、发放、查验、扣押居民身份证而知悉公民个人信息,情节严重的。
8.2 打击网络违法犯罪相关法律法规
◆ 网络违法犯罪行为
◇ 破坏互联网运行安全的行为
1.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统; 2.违反国家规定,侵入计算机系统,造成危害;
3.故意制作、传播计算机病毒等破坏程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭到损害;
4.违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;
5.违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加。
◇ 破坏国家安全和社会稳定的行为
1.利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;
2.通过互联网窃取、泄露国家秘密、情报或者军事秘密; 3.利用互联网煽动民族仇恨、民族歧视,破坏民族团结;
4.利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。
◇ 破坏市场经济秩序和社会管理秩序的行为
1.利用互联网销售伪劣产品或者对商品、服务作虚假宣传; 2.利用互联网损坏他人商业信誉和商品声誉; 3.利用互联网侵犯他人知识产权;
4.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;
5.在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。
◇ 侵犯个人、法人和其他组织的人身、财产等合法权利的行为 1.利用互联网侮辱他人或者捏造事实诽谤他人;
2.非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密; 3.利用互联网进行盗窃、诈骗、敲诈勒索,利用网络写恐吓信或者以其他方法威胁他人人身安全的; 4.利用网络捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚; 5.利用网络对证人及其近亲属进行威胁、侮辱或者打击报复;
6.利用网络多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活; 7.利用网络偷窥、偷拍、窃听、散步他人隐私;
8.利用网络煽动民族仇恨、民族歧视,或者在网络中刊载民族歧视、侮辱内容。
◇ 利用互联网实施以上四类所列行为以外的违法/犯罪行为
◆ 相关法律
◇ 《刑法》
◇ 《关于维护互联网安全的决定》 ◇ 《治安管理处罚法》
8.3 信息安全管理相关法律法规
◆ 案例
◇ 电子签名第一案
◆ 相关法律条例
◇ 《中华人民共和国保守国家秘密法》
在保护国家秘密方面,在第一章“总则”第五条、第六条,对保密工作的监督进行了明确授权,由国家保密行政管理部门主管全国的保密工作:
▽ 县级以上地方各级保密行政管理部门主管本行政区域的保密工作; ▽ 国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作; ▽ 中央国家机关在其职权范围内,管理或者指导本系统的保密工作; ▽ 国家保密行政管理部门的最高机构是国家保密局。在第四章“监督管理”第四十一条。第四十二条中规定:
▽ 国家保密行政管理部门依照法律、行政法规的规定,制定保密规章和国家保密标准; ▽ 保密行政管理部门依法组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作,对机关、单位的保密工作进行指导和监督。
◇ 《中华人民共和国警察法》
在维护公共安全方面,《中华人民共和国人民警察法》进行了相应规定。《中华人民共和国人民警察法》第二章“职权”第六条规定,公安机关的人民警察按照职责分工,依法履行下列职责:预防、制止和侦查违法犯罪活动;维护社会治安秩序,制止危害社会治安秩序的行为;监督管理计算机信息系统的安全保护工作。
◇ 《中华人民共和国电子签名法》
2004年8月28日通过并公布的《中华人民共和国电子签名法》在第三章“电子签名与认证”中,对电子认证服务提供者的监管进行了授权。在第十六条、第十八条中规定,电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务;从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合规定条件的相关材料、国务院信息产业主管部门接到申请后经依法审查、征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或不予许可的决定。予以许可的,颁发电子认证许可证;不予许可的,应当书面通知申请人并告知理由。申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续,取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名、许可证号等信息。
第四篇:信息安全法律法规
引 言
信息网络的全球化使得信息网络的安全问题也全球化起来,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件,绝大部分已经在我国出现。
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球。网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,违法与不违法只是一两条指令之间的事情,如何抓住机遇,研究和探索网络环境下的信息安全法律法规的新特点、新方法、新途径、新对策已成为我们关心和思考的问题。
1、信息网络相关的问题
1.1计算机犯罪
计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪产生于20世纪60年代,到本世纪初已呈猖獗之势,并为各国所重视。计算机犯罪实质特征主要表现在:计算机本身的不可或缺性和不可替代性,在某种意义上作为犯罪对象出现的特性,明确了计算机犯罪侵犯的客体,计算机犯罪可以分为两大类型:一类是行为人利用计算机操作实施的非法侵入或破坏计算机信息系统安全,从而给社会造成严重危害的并应处以刑罚的行为;另一类是行为人利用计算机操作实施的初非法侵入或破坏计算机信息系统安全以外的其他严重危害社会的并应处以刑罚的行为。1.2信息网络相关的民事问题
在计算机安全使用方面,不仅存在犯罪问题,也存在民事问题。任何人都可以对任何人任何事提取民事诉讼。网络管理方面的漏洞、人为的误操作都可能造成信息安全相关的民事问题。1.3信息网络相关的隐私问题
隐私问题是信息安全和保密中所设计到的非常重要的一个问题,隐私问题在个人、组织中都存在。利用法律手段有效保护组织和个人的隐私具有非常重要意义。信息安全隐私越来越受到人们的关注。
2、信息安全法
2.1信息安全法的概念
信息安全法律法规:信息安全法律法规泛指用于规范信息系统或与信息系统相关行为的法律法规,信息安全法律法规具有命令性、禁止性和强制性。命令性和禁止性要求法律关系主体应当从事一定行为的规范,其规定的行为规则的内容是确定的,不允许主体一方或双方任意改变或违反,具体强制性。如果不执行,就要受到一定的法律制裁。
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(着作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务。2.2 信息安全法的特点
a.综合法:既有单行法律法规,如《电子签名法》,《计算机信息系统安全保护条例》等,又有散见于各种法律和法规及部门规章之中。
b.主体多样性:法律法规本身的制定主体相对统一,但部门规章的制定者涉及多个部委。
c.保护客体的非物质性:信息的特性。d.载体的丰富性:纸制、电子材料。2.3信息安全法的保护对象
a.国家信息安全:突出表现为刑法,包括对国家重要信息资源的保护,对攻击和危害宣传的惩治。
b.社会信息安全:涉及社会的安全和稳定。
c.市场信息安全:保护涉及到维护经济秩序和市场的安全和稳定。d.个人信息安全:公民人身、财产安全。2.4 信息安全法的划分 2.4.1从信息的主体划分
政府相关,如《国家保守秘密法》、电子政务安全等。民事主体,知识产权、人格权法等。
2.4.2从信息载体不同划分
电信类,《关于维护互联网安全的决定》、《电子签名法》等。
非电信类,如《邮政法》、《统计法》、《气象法》等中关于信息的规定。2.4.3从承担法律责任划分
刑事责任:《刑法》有关信息犯罪的条款。
民事责任:《合同法》、《民法通则》、知识产权相关法规等。行政责任:国务院、部委制定的规章。
从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要,这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴。
根据对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性。2.5涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规。2.5.1目的多样性
作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的。2.5.2涉及领域的广泛性
随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域。2.5.3技术的复杂性
信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求. 2.5.4信息安全法律优先地位
综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位。
3、网络信息安全等级保护制度
当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题,就是他们建设、管理或使用的信息系统是否是安全的?如何评价系统的安全性?这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。3.1等级保护制度的意义
为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准,并于1999年9 月13日由国家质量技术监督局审查通过并正式批准发布,已于 2001年1月1日执行。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。3.2等级化系统的建设
信息系统等级的划分方法(自主评级)
实施步骤:业务影响分析、划分子系统,确定子系统边界,确定安全保护等级,子系统间访问关系的模型化,安全风险分析与控制措施调整,确定系统保护安全计划,系统等级和安全计划的批准。3.3中国的等级保护体系
1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和研究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题,对信息安全要实行等级保护制度。3.4《计算机信息系统安全保护等级划分准则》意义
1.该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据2.为安全产品的研制提供了技术支持3.为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 3.5计算机信息系统安全保护等级划分为五个级别 第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
3.6需要实施安全等级保护的信息系统为金融系统(银行、保险、证券);经贸系统(商业贸易、海关);
-电信系统(邮电、电信、广播、电视);供水系统(水利及水源供给);
-社会应急服务系统(医疗、消防、紧急救援);国防建设系统;-国有大中型企业系统;-互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统.3.7等级保护是国家基本政策
信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度,具有强制性;以国家制度推进信息和信息系统安全保护责任的落实;符合客观实际,具有科学性;具有自我保护与国家保护相结合的长效保护机制;突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位,由点到面进行保护,逐步实现信息安全整体保障。
4、建立国家信息安全等级保护机制
4.1国家实行信息安全等级保护
必须紧紧抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成: a.法律规范 b.管理与技术规范 c.实施过程控制 d.结果控制 e.监督管理。
4.2信息系统安全等级保护制度实施方法
首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。
其次,等级保护坚持“谁主管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负责。”的原则。
第三,等级保护实行“国家主导;重点单位强制,一般单位自愿;高保护级别强制,低保护级别自愿”的监管原则。第四,信息网络安全状况等级的技术检测是等级保护的重点。由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后,方可从事信息网络安全等级保护的技术检测。
4.3计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度
1、准备阶段
2、试行阶段
3、全面实行阶段 我国信息安全法规概述
5.1建设信息安全法律法规的意义:
1、信息安全保障体系的建设中的必要环节
2、明确信息安全的基本原则和基本制度、信息安全保
障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为,并对其行为进行相应的处罚等。
5.2信息安全立法的法治作用和目标是保护国家信息主权和社会公共利益
1、信息安全立法的首要目标是规范信息主体的信息活动
2、信息安全立法规范作用的直接体现。保护信息主体的信息权利,协调和解决信息社会产生的矛盾,打击、惩治信息空间的违法行为。5.3信息安全法规分类
从纵向的层次分:即按立法机关的权限和法律的效力层次来确定的宪法具有最高效力、法律、行政法规、行政规章、地方性法规从横向的领域、部门确定宪法和宪法性法律、行政法、民商法、经济法、刑法、社会法等。5.4 我国立法原则
谁主管、谁负责的原则,突出重点的原则,预防为主的原则,安全审计的原则,风险管理的原则 A谁主管、谁负责的原则
例如,《互联网上网服务营业场所管理办法》第三条规定如下:
• 国务院信息产业部主管部门和省、自治区、直辖市电信管理机构负责,并有责任组织协调和督促检查同级有关部门,在各自职责范围内,依照本办法的规定,负责互联网上网服务营业场所的监督管理工作。
• 省、自治区、直辖市电信管理机构,负责互联网上网服务营业场所经营许可审批和服务质量监督。
• 公安部负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。
• 文化部门负责管理互联网上网服务营业场所中含有色情、赌博、暴露、愚昧迷信等不健康电脑游戏的查处。
• 工商行政管理部门负责核发互联网上网营业场所的营业制造和对无照经营、超范围经营等违法行为的查处。B.突出重点的原则
例如,《中华人民共和国计算机信息系统安全保护条例》第四条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统的安全。C.预防为主的原则
如对病毒的预防,对非法入侵的防范等。D.安全审计的原则
例如:在《计算机信息系统安全保护等级划分准则》的第4.4.6款中,有关审计的说明如下:
• 计算机信息系统可信计算基能维护受保护的客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
• 对不能由计算机信息系统可信计算基独立分别的审计事件,审计机制提供审计记录接口,可由授权主体调用。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。E.风险管理的原则
任何信息系统中都存在的脆弱点,它可以存在于计算机系统和网络中或管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点很容易受到威胁或攻击,因此要识别出脆弱点,识别出威胁,从而进行有效的防范。因为有风险,要评估出威胁出现后或攻击成功时系统所遭受的损失,从而衡量风险,并对风险进行管理。
相关法此外,总体看来,目前这些法律法规主要存在三个方面有待完善的地方:第一,这些法律法规主要内容集中在对物理环 境的要求、行政管理的要求等方面,对于涉及信息安全的行 为规范一般都规定的比较简单,在具体执行上指引性还不是很强;第二,目前这些法律法 规普遍在处罚措施 方面规定得不够具体,导致在信息安全领域实施处罚时法律依据的不足;第三,在一些特定的信 息化应用领域,如 电子商务、电子政务、网上支付等,相应的信息安全 规范相对欠缺,有待于进一步发展。律规定篇幅偏小,行为规范较简单、与信息安全相关的其他法律有待完善在建立健全信息安全法律体系的同时,与信息安全相关的其他法律 法规的出台和完善也非常必要,如电信法、个人数据保护法等,这些 法律法 规与信 息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。从应用的角度看,与信息安全相邻或相交的领域包括:电信、无线电、集成电路、计算机软件与系统 集成、网络及网 络信息服务、电子商务与现代物流、电子政务、信息资源公开与利用等。
6、结语
当今世界,全球电子政务公共服务正处于由简单地满足公众需求向深入调 查和理解公众需求转变、由单一渠道服务向多渠道一体化服务转变的新变革之 中。电子政务信息安全保障系统的建设是一个大型、复杂的工程,没有绝对的 安全,今天的安全不代表明天也安全,信息安全保障是一项长期的、系统的工 作,只有不断提高安全意识,掌握并应用最新技术,持续完善安全管理、及时 健全安全法规,才可能切实做好电子政务的安全工作,为推动电子政务的发展 提供有力保障,刁一能真正实现电子政务的目标。
7.致谢
在论文完成之际,我要特别感谢我的指导老师的热情关怀和悉心指导。指导老师以严禁的治学态度、渊博的学识、独特的学术思维、一丝不苟的工作作风、热情待人的品质、使我满怀敬意。每遇到困难都会努力找寻解决的方法,提高自己解决问题的能力并巩固老师所授予的知识。增强了自己实践操作和动手应用的能力,提高了独立思考的能力。在此,谨向所有帮助过我的老师和同学表示我诚挚的谢意!
参考文献
【1】中共中央办公厅、国务院办公厅印发的《2006-2020年国家信息化发展战 略》(中办发(2006)11号),2006-3一19.【2】李文燕著《计算机犯罪》,北京:中国方正出版社2001.7版 【3】百度文献
【4】张锐听.电子政府概论[M]中国人民大学出版社,2004.【5】曾长秋,电子政府的网络安全和信息安全及其治理[J],党政干部论坛,2006年04期
【6】李文燕著《计算机犯罪研究》,北京:中国方正出版社2001.7版 【7】常建平靳慧云 娄梅枝等编著《网络安全与计算机犯罪》,北京:中国人民公安大学出版社2002.2版
【8】孙国锋,苏俊.国外“电子政府”发展及对中国的启示[[J].科学与科学技术 管理,2001(12).【9】刘海峰、郭义喜、肖刚,基于模型的信息安全风险评估CORAS方法研究l月,网络安全技术与应用,2007年06期
第五篇:安全大讨论心得体
安全大讨论心得体会
安全生产,是煤矿永恒的主题。“安全第一,预防为主,综合治理,总体推进。”是煤矿安全生产的方针,他体现了党的“以人为本”的宗旨。为巩固煤矿持续稳定的安全生产形势,强化全员安全意识,促进安全生产奋斗目标的实现。
在积极动员全矿职工安全意识,增强煤矿安全教育的同时,我也对此次活动进行了深刻的探究和思考。我认为:安全工作需要抓制度、抓落实,但更重要的是有一只无形的手,要有一个无形的网,时刻关注我们的领导,我们的干部、我们的风气、我们的素质。如果把这些问题都解决好了,我们的安全工作应该是一个很长久的、很长远的安全稳定局面。如果所有同志在今后的工作中,对安全稳定这样的问题能够长远考虑,用一些慢功夫,多做培养、营造、打基础的工作,我们矿就一定能创设一个安全稳定的大局面能,使我们共同工作、生活的环境更加安全、快乐、幸福。通过学习提高阶段中的授课,加上自己的思考和探究,现将我的学习体会汇报如下:
一是要牢固树立大局意识、忧患意识、责任意识,充分认清此次活动对于维护特定时期部队安全稳定、确保党的十八大胜利召开的重要意义。在活动中,我们首先要克服自满情绪和厌战情绪,不能存在着“无啥可整”的自满情绪,缺乏参与活动的积极性和自觉性。为此,我们要反骄破满,着眼部队长远建设的需要,加大工作力度,提高工作层次,百尺竿头,更进一步。
二是要真正做到“问题不查透不放过、制度不落实不变放过、整改不彻底不放过”,通过深入开展“百日安全无事故”活动,使广大职工的安全意识、条令意识和责任意识进一步增强,煤矿管理教育、安全工作水平明显提升,切实从源头上遏制案件和责任事故发生。要
根据任务实际,合理安排,统筹兼顾,确保时间、人员、内容、效果的落实,务必做到不漏一人,不留死角,不走过场,保证此次活动既要有声有色,又要扎扎实实,卓有成效。同时,在位的干部要切实负起相应责任,做好本职工作。
三是要按照县局“百日安全无事故”活动总体部署和市局“安全隐患大排查”活动的具体要求,加强领导,深入动员,真抓实干,督导所属部队认真搞教育、深入查隐患、强力抓整改,确保各类矛盾问题得到及时有效的排查和化解。抓好安全工作落实,必须要有务实敬业的工作作风、强烈的责任感和高度的敏感性。活动伊始,我们矿领导积极召开煤矿安全生产大会,对全矿职工进行了深入动员,使安全意识深入人心。同时,我矿领导按时开展安全教育,对一些已经发生或存在的安全隐患进行了通报和预防,确保了事故的发生。
四是要持之以恒,常抓不懈。解决问题要敢于较真、敢于碰硬,做到不解决问题不散手、不见成效不松劲。只要我们各级都能端正抓安全工作的指导思想,都能以高度的事业心和责任感扑下身子抓工作落实,就一定能够确保煤矿内部的持续安全稳定。
心得体会人:某某
某年 某月 某日
安全大讨论心得体会
李慧
东于煤业有限公司
2013年元月