第一篇:信息安全法律法规教育和培训制度
信息安全法律法规教育和培训制度
一、对信息源接入办公室有关人员进行安全教育和培训,使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,杜绝发布违反《计算机信息网络国际互联网安全保护管理办法》的信息内容。
二、学校定期安排网络参与人员参加关于计算机网络的安全培训,提高其网络能力。
三、学校定期组织信息网络安全工作领导小组认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》,提高工作人员维护网络安全的警惕性和自觉性。定期组织对师生进行安全教育和培训,使学校的全体教师和学生自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,掌握基本的网络安全知识,加强学校各类应用人员的网络与信息安全意识。
四、不定期地邀请公安机关有关人员进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防范能力。
第二篇:信息安全法律法规
计算机信息安全法律法规
目前比较严重的网络道德失范行为主要有:
(1)网络犯罪。一些“黑客”时常会非法侵入网络进行恶性破坏,蓄意窃取或篡改网络用户的个人资料,并利用网络赌博,甚至盗窃电子银行款项,通过网络传播侵权或违法的信息等网络犯罪行为日增,互联网已成为不法分子犯罪的新领域。
(2)色情和暴力风暴席卷而来。信息内容具有地域性,而互联网的信息传播方式则是全球性、超地域的,这使得色情和暴力等问题变得突出起来。由于互联网是全球共享的,这就使得某些人、个别国家的色情信息和暴力情节能够无障碍地在世界范围内传播。
(3)网络文化侵略。互联网信息环境的开放性,使多元文化、多元价值在网上交汇。近年来,一些西方发达国家凭借网上优势,倾销自己的文化,宣扬西方的民主、自由和人权观念。这就加剧了国家之间、地区之间道德和文化的冲突,对我国的精神文明建设构成干扰和冲击。
(4)破坏国家安全。世界上存在着对立的政治制度和意识形态,并不是到处充满善意,一些国家通过互联网发布恶意的反动政治信息,散布谣言,利用信息“炸弹”攻击他国,破坏其国家安全,甚至出于一定的政治目的,突破层层保密网,直接对其核心的系统中枢进行无声无息的破坏,达到不可告人的目的。
综上所述,道德是由一定的社会组织借助于社会舆论、内心信念、传统习惯所产生的力量,使人们遵从道德规范,达到维护社会秩序、实现社会稳定目的的一种社会管理活动。
网络道德由于虚拟空间的出现而产生新的要求,它与根植于物理空间的现实道德相比较,有其新的特点。
1.自主性和自律性
“道德的基础是人类精神的自律。”传统社会由于时空限制,交往面狭窄,在一定意义上是一个“熟人社会”。依靠熟人(朋友、亲戚、邻里、同事等)的监督,摄于道德法律手段的强大力量,传统道德得到相对较好的保护。相比之下,“网络社会”更大程度上是“非熟人社会”,互联网是人们为了满足各自的需要而自发自愿连接建立起来的。在这个以网络为基础的少人干预、过问、管理、控制的网络道德环境中,人们进入了“
为了维护人民群众的利益,保障国家利益和人民群众的正常生活秩序,我国成立了专门负责计算机信息网络安全工作的部门。几年来,陆续制定了一些与信息活动相关的法律法规。
1.相关法律:
(1)1988年9月5日第七界全国人民代表大会常务委员会第三次会议通过的《中华人民共和国保守国家秘密法》,第三章第十七条提出“采用电子信息等技术存取、处理、传递国家秘密的办法,由国家保密部门会同中央有关机关规定”。
(2)1997年10月,我国第一次在修订刑法时增加了计算机犯罪的罪名。(3)为规范互联网用户的行为,2000年12月28日九届全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》。
(4)《中华人民共和国刑法》(节录):
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
2.相关法规:
(1)1989年,公安部发布了《计算机病毒控制规定(草案)》。(2)1991年,国务院常务会议通过了《计算机软件保护条例》。
(3)1994年2月18日,国务院发布《中华人民共和国计算机信息网络系统安全保护条例》。
(4)1996年2月1日,国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》。
(5)1997年5月20日,国务院信息化工作领导小组制定了《中华人民共和国计算机信息网络国际联网暂行规定实施办法》。(6)1997年,国务院信息化工作领导小组发布《中国互联网络域名注册暂行管理办法》、《中国互联网络域名注册实施细则》。
(7)1997年,原邮电部出台《国际互联网出入信道管理办法》。
(8)1997年12月11日,国务院发布《计算机信息网络国际联网安全保护管理办法》。(9)2000年,《互联网信息服务管理办法》正式实施。
(10)2000年11月,国务院新闻办公室和信息产业部联合发布《互联网站从事登载新闻业务管理暂行规定》。
(11)2000年11月,信息产业部发布《互联网电子公告服务管理规定》。
练习1:一些黑客认为“是他们发现了漏洞,只有入侵才能揭示安全缺陷。他们只是利用了一下闲置资源而已,没有造成什么财产损失,没有伤害人,也没有改变什么,只不过是学习一下计算机系统如何操作而已”。利用你掌握的信息安全法律法规,谈谈你的看法。
答:
练习2:破译密码窃取巨额邮政储蓄资金的一甘肃黑客张少强被判无期徒刑,请分析此案例中张少强的行为触犯了哪些法律法规。答:
第三篇:信息安全法律法规
第八章
信息安全法律法规
8.1 信息保护相关法律法规
◆ 国家秘密
◇ 包括国家领土完整、主权独立不受侵犯;国家经济秩序、社会秩序不受破坏; ◇ 公民生命、生活不受侵害;民族文化价值和传统不受破坏等;
◇ 产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项。
◆ 国家秘密的密级
◇ 绝密—最重要的国家秘密—使国家安全和利益遭受特别严重的损害—破坏国家主权和领土完整,威胁国家政权巩固,使国家政治、经济遭受巨大损失—全局性、战略性
◇ 机密—重要的国家秘密—使国家安全和利益遭受严重的损失—某一领域内的国家安全和利益遭受重大损失—较大范围
◇ 秘密—一般的国家秘密—使国家安全和利益遭到损害—某一方面的国家安全利益遭受损失—局部性
◆ 危害国家秘密安全的行为
◇ 严重违反保密规定行为
1.违反涉密信息系统和信息设备保密管理规定的行为; 2.违反国家秘密载体管理规定的行为; 3.违反国家秘密信息管理规定的行为。
◇ 定密不当行为
1.定密不当包括对应当定密的事项不定密,或者对不应当定密的事项定密; 2.对应当定密的事项不定密,可能导致国家秘密失去保护,造成泄密;
3.对不应当定密的事项定密,会严重影响信息资源合理利用,可能造成较大的负面影响。
◇ 公共信息网络运营商、服务商不履行保密义务的行为
1.互联网及其他公共信息网络运营商、服务商没有履行配合公安机关、国家安全机关、检察机关对泄密案件进行调查的义务;
2.发现发布的信息涉及泄露国家秘密,没有立即停止传输和保存客户发布信息的内容及有关情况记录,并及时向公安机关、国家安全机关、保密行政管理部门报告;
3.没有按照公安机关、国家安全机关、保密行政管理部门要求,及时对互联网或公共信息网上发布的涉密消息予以删除,致使涉密信息继续扩散。
◇ 保密行政管理部门工作人员的违法行为
1.保密行政管理部门的工作人员在履行保密管理职责时滥用职权、玩忽职守、徇私舞弊;
2.滥用职权是指保密行政管理部门工作人员超越职权范围或者违背法律授权的宗旨、违反法律程序行使职权的行为;
3.玩忽职守是指保密行政管理部门工作人员严重不负责任,不履行或不正确履行职责的行为; 4.徇私舞弊是指保密行政管理部门工作人员在履行职责过程中,利用职务之便,弄虚作假、徇私舞弊的行为。
◆ 危害国家秘密安全的犯罪行为
◇ 危害国家安全的犯罪行为
1.掌握国家秘密的国家工作人员在履行公务期间,擅离岗位,叛逃境外或者在境外叛逃; 2.参加间谍组织或者接受间谍组织及其代理人的任务; 3.为敌人指示轰击目标,为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报。
◇ 妨碍社会管理秩序的犯罪行为
1.以窃取、刺探、收买方法,非法获取国家秘密;
2.非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途。
◇ 渎职的犯罪行为
1.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,故意泄露国家秘密; 2.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,过失泄露国家秘密。
◇ 军人违反职责的犯罪行为
1.以窃取、刺探、收买方法,非法获取军事秘密;
2.为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密;
3.违反保守国家秘密法规,故意泄露军事秘密(战时有此行为会受到从重处罚); 4.违反保守国家秘密法规,过失泄露军事机密(战时有此行为会受到从重处罚)。
◆ 保护国家秘密相关法律
◇ 《保密法》
2010年10月1日起正式施行的新《保密法》从四个方面明确了危害国家秘密安全的行为的法律责任,使查处泄密违法行为有据可依、有章可循。
◇ 严重违反保密规定的法律责任
《中华人民共和国公务员法》、《中华人民共和国行政监察法》、《行政机关公务员处分条例》
◇ 互联网及其他公共信息网络运营商、服务商的有关法律责任
《中华人民共和国治安管理处罚法》、《中华人民共和国电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》
◆ 商业秘密
不为公众所知悉、能为权利人带来经济利益、具有实用性并由权利人采取保密措施的技术信息和经营信息。
技术信息商业秘密包括由单位研制开发或者以其他合法方式掌握的、未公开的设计、程序、产品配方、制作工艺、制作方法等信息,以及完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据,包括但不限于设计图纸(含草图),试验结果和试验记录、样品、数据等,也包括针对技术问题的技术诀窍。
经营信息类商业秘密包括经营策略、产品策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息。
◆ 侵犯商业秘密的行为
◇ 以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密
◇ 披露、使用或者允许他人使用上述手段获取权利人的商业秘密
◇ 违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密
权利人:是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人
◆ 保护商业秘密相关法律法规
◇ 《中华人民共和国刑法》 ◇ 《中华人民共和国不正当竞争法》 ◇ 《中华人民共和国合同法》 ◇ 《中华人民共和国劳动合同法》
◆ 侵犯个人隐私信息行为
1.未经他人同意,擅自公布他人的隐私资料,或者以书面、口头形式宣扬他人隐私 2.窃取或者以其他非法方式获取公民个人电子信息 3.出售或者非法向他人提供公民个人电子信息
4.网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息
5.对在业务活动中经被收集者同意收集公民个人电子信息没有采取必要的保密措施
6.医疗机构及其医务人员泄露患者隐私或者未经患者同意,公开其病历资料、健康体检报告等行为
◆ 侵犯个人隐私信息犯罪行为
1.隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的; 2.邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的;
3.国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的;
4.窃取或者以其他方法非法获取公民个人信息,情节严重的;
5.非法截获、篡改、删除他人电子邮件或者其他数据资料,情节严重的;
6.人民警察泄露因制作、发放、查验、扣押居民身份证而知悉公民个人信息,情节严重的。
8.2 打击网络违法犯罪相关法律法规
◆ 网络违法犯罪行为
◇ 破坏互联网运行安全的行为
1.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统; 2.违反国家规定,侵入计算机系统,造成危害;
3.故意制作、传播计算机病毒等破坏程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭到损害;
4.违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;
5.违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加。
◇ 破坏国家安全和社会稳定的行为
1.利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;
2.通过互联网窃取、泄露国家秘密、情报或者军事秘密; 3.利用互联网煽动民族仇恨、民族歧视,破坏民族团结;
4.利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。
◇ 破坏市场经济秩序和社会管理秩序的行为
1.利用互联网销售伪劣产品或者对商品、服务作虚假宣传; 2.利用互联网损坏他人商业信誉和商品声誉; 3.利用互联网侵犯他人知识产权;
4.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;
5.在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。
◇ 侵犯个人、法人和其他组织的人身、财产等合法权利的行为 1.利用互联网侮辱他人或者捏造事实诽谤他人;
2.非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密; 3.利用互联网进行盗窃、诈骗、敲诈勒索,利用网络写恐吓信或者以其他方法威胁他人人身安全的; 4.利用网络捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚; 5.利用网络对证人及其近亲属进行威胁、侮辱或者打击报复;
6.利用网络多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活; 7.利用网络偷窥、偷拍、窃听、散步他人隐私;
8.利用网络煽动民族仇恨、民族歧视,或者在网络中刊载民族歧视、侮辱内容。
◇ 利用互联网实施以上四类所列行为以外的违法/犯罪行为
◆ 相关法律
◇ 《刑法》
◇ 《关于维护互联网安全的决定》 ◇ 《治安管理处罚法》
8.3 信息安全管理相关法律法规
◆ 案例
◇ 电子签名第一案
◆ 相关法律条例
◇ 《中华人民共和国保守国家秘密法》
在保护国家秘密方面,在第一章“总则”第五条、第六条,对保密工作的监督进行了明确授权,由国家保密行政管理部门主管全国的保密工作:
▽ 县级以上地方各级保密行政管理部门主管本行政区域的保密工作; ▽ 国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作; ▽ 中央国家机关在其职权范围内,管理或者指导本系统的保密工作; ▽ 国家保密行政管理部门的最高机构是国家保密局。在第四章“监督管理”第四十一条。第四十二条中规定:
▽ 国家保密行政管理部门依照法律、行政法规的规定,制定保密规章和国家保密标准; ▽ 保密行政管理部门依法组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作,对机关、单位的保密工作进行指导和监督。
◇ 《中华人民共和国警察法》
在维护公共安全方面,《中华人民共和国人民警察法》进行了相应规定。《中华人民共和国人民警察法》第二章“职权”第六条规定,公安机关的人民警察按照职责分工,依法履行下列职责:预防、制止和侦查违法犯罪活动;维护社会治安秩序,制止危害社会治安秩序的行为;监督管理计算机信息系统的安全保护工作。
◇ 《中华人民共和国电子签名法》
2004年8月28日通过并公布的《中华人民共和国电子签名法》在第三章“电子签名与认证”中,对电子认证服务提供者的监管进行了授权。在第十六条、第十八条中规定,电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务;从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合规定条件的相关材料、国务院信息产业主管部门接到申请后经依法审查、征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或不予许可的决定。予以许可的,颁发电子认证许可证;不予许可的,应当书面通知申请人并告知理由。申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续,取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名、许可证号等信息。
第四篇:信息安全法律法规
引 言
信息网络的全球化使得信息网络的安全问题也全球化起来,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件,绝大部分已经在我国出现。
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球。网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,违法与不违法只是一两条指令之间的事情,如何抓住机遇,研究和探索网络环境下的信息安全法律法规的新特点、新方法、新途径、新对策已成为我们关心和思考的问题。
1、信息网络相关的问题
1.1计算机犯罪
计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪产生于20世纪60年代,到本世纪初已呈猖獗之势,并为各国所重视。计算机犯罪实质特征主要表现在:计算机本身的不可或缺性和不可替代性,在某种意义上作为犯罪对象出现的特性,明确了计算机犯罪侵犯的客体,计算机犯罪可以分为两大类型:一类是行为人利用计算机操作实施的非法侵入或破坏计算机信息系统安全,从而给社会造成严重危害的并应处以刑罚的行为;另一类是行为人利用计算机操作实施的初非法侵入或破坏计算机信息系统安全以外的其他严重危害社会的并应处以刑罚的行为。1.2信息网络相关的民事问题
在计算机安全使用方面,不仅存在犯罪问题,也存在民事问题。任何人都可以对任何人任何事提取民事诉讼。网络管理方面的漏洞、人为的误操作都可能造成信息安全相关的民事问题。1.3信息网络相关的隐私问题
隐私问题是信息安全和保密中所设计到的非常重要的一个问题,隐私问题在个人、组织中都存在。利用法律手段有效保护组织和个人的隐私具有非常重要意义。信息安全隐私越来越受到人们的关注。
2、信息安全法
2.1信息安全法的概念
信息安全法律法规:信息安全法律法规泛指用于规范信息系统或与信息系统相关行为的法律法规,信息安全法律法规具有命令性、禁止性和强制性。命令性和禁止性要求法律关系主体应当从事一定行为的规范,其规定的行为规则的内容是确定的,不允许主体一方或双方任意改变或违反,具体强制性。如果不执行,就要受到一定的法律制裁。
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(着作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务。2.2 信息安全法的特点
a.综合法:既有单行法律法规,如《电子签名法》,《计算机信息系统安全保护条例》等,又有散见于各种法律和法规及部门规章之中。
b.主体多样性:法律法规本身的制定主体相对统一,但部门规章的制定者涉及多个部委。
c.保护客体的非物质性:信息的特性。d.载体的丰富性:纸制、电子材料。2.3信息安全法的保护对象
a.国家信息安全:突出表现为刑法,包括对国家重要信息资源的保护,对攻击和危害宣传的惩治。
b.社会信息安全:涉及社会的安全和稳定。
c.市场信息安全:保护涉及到维护经济秩序和市场的安全和稳定。d.个人信息安全:公民人身、财产安全。2.4 信息安全法的划分 2.4.1从信息的主体划分
政府相关,如《国家保守秘密法》、电子政务安全等。民事主体,知识产权、人格权法等。
2.4.2从信息载体不同划分
电信类,《关于维护互联网安全的决定》、《电子签名法》等。
非电信类,如《邮政法》、《统计法》、《气象法》等中关于信息的规定。2.4.3从承担法律责任划分
刑事责任:《刑法》有关信息犯罪的条款。
民事责任:《合同法》、《民法通则》、知识产权相关法规等。行政责任:国务院、部委制定的规章。
从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要,这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴。
根据对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性。2.5涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规。2.5.1目的多样性
作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的。2.5.2涉及领域的广泛性
随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域。2.5.3技术的复杂性
信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求. 2.5.4信息安全法律优先地位
综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位。
3、网络信息安全等级保护制度
当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题,就是他们建设、管理或使用的信息系统是否是安全的?如何评价系统的安全性?这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。3.1等级保护制度的意义
为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准,并于1999年9 月13日由国家质量技术监督局审查通过并正式批准发布,已于 2001年1月1日执行。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。3.2等级化系统的建设
信息系统等级的划分方法(自主评级)
实施步骤:业务影响分析、划分子系统,确定子系统边界,确定安全保护等级,子系统间访问关系的模型化,安全风险分析与控制措施调整,确定系统保护安全计划,系统等级和安全计划的批准。3.3中国的等级保护体系
1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和研究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题,对信息安全要实行等级保护制度。3.4《计算机信息系统安全保护等级划分准则》意义
1.该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据2.为安全产品的研制提供了技术支持3.为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 3.5计算机信息系统安全保护等级划分为五个级别 第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
3.6需要实施安全等级保护的信息系统为金融系统(银行、保险、证券);经贸系统(商业贸易、海关);
-电信系统(邮电、电信、广播、电视);供水系统(水利及水源供给);
-社会应急服务系统(医疗、消防、紧急救援);国防建设系统;-国有大中型企业系统;-互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统.3.7等级保护是国家基本政策
信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度,具有强制性;以国家制度推进信息和信息系统安全保护责任的落实;符合客观实际,具有科学性;具有自我保护与国家保护相结合的长效保护机制;突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位,由点到面进行保护,逐步实现信息安全整体保障。
4、建立国家信息安全等级保护机制
4.1国家实行信息安全等级保护
必须紧紧抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成: a.法律规范 b.管理与技术规范 c.实施过程控制 d.结果控制 e.监督管理。
4.2信息系统安全等级保护制度实施方法
首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。
其次,等级保护坚持“谁主管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负责。”的原则。
第三,等级保护实行“国家主导;重点单位强制,一般单位自愿;高保护级别强制,低保护级别自愿”的监管原则。第四,信息网络安全状况等级的技术检测是等级保护的重点。由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后,方可从事信息网络安全等级保护的技术检测。
4.3计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度
1、准备阶段
2、试行阶段
3、全面实行阶段 我国信息安全法规概述
5.1建设信息安全法律法规的意义:
1、信息安全保障体系的建设中的必要环节
2、明确信息安全的基本原则和基本制度、信息安全保
障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为,并对其行为进行相应的处罚等。
5.2信息安全立法的法治作用和目标是保护国家信息主权和社会公共利益
1、信息安全立法的首要目标是规范信息主体的信息活动
2、信息安全立法规范作用的直接体现。保护信息主体的信息权利,协调和解决信息社会产生的矛盾,打击、惩治信息空间的违法行为。5.3信息安全法规分类
从纵向的层次分:即按立法机关的权限和法律的效力层次来确定的宪法具有最高效力、法律、行政法规、行政规章、地方性法规从横向的领域、部门确定宪法和宪法性法律、行政法、民商法、经济法、刑法、社会法等。5.4 我国立法原则
谁主管、谁负责的原则,突出重点的原则,预防为主的原则,安全审计的原则,风险管理的原则 A谁主管、谁负责的原则
例如,《互联网上网服务营业场所管理办法》第三条规定如下:
• 国务院信息产业部主管部门和省、自治区、直辖市电信管理机构负责,并有责任组织协调和督促检查同级有关部门,在各自职责范围内,依照本办法的规定,负责互联网上网服务营业场所的监督管理工作。
• 省、自治区、直辖市电信管理机构,负责互联网上网服务营业场所经营许可审批和服务质量监督。
• 公安部负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。
• 文化部门负责管理互联网上网服务营业场所中含有色情、赌博、暴露、愚昧迷信等不健康电脑游戏的查处。
• 工商行政管理部门负责核发互联网上网营业场所的营业制造和对无照经营、超范围经营等违法行为的查处。B.突出重点的原则
例如,《中华人民共和国计算机信息系统安全保护条例》第四条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统的安全。C.预防为主的原则
如对病毒的预防,对非法入侵的防范等。D.安全审计的原则
例如:在《计算机信息系统安全保护等级划分准则》的第4.4.6款中,有关审计的说明如下:
• 计算机信息系统可信计算基能维护受保护的客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
• 对不能由计算机信息系统可信计算基独立分别的审计事件,审计机制提供审计记录接口,可由授权主体调用。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。E.风险管理的原则
任何信息系统中都存在的脆弱点,它可以存在于计算机系统和网络中或管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点很容易受到威胁或攻击,因此要识别出脆弱点,识别出威胁,从而进行有效的防范。因为有风险,要评估出威胁出现后或攻击成功时系统所遭受的损失,从而衡量风险,并对风险进行管理。
相关法此外,总体看来,目前这些法律法规主要存在三个方面有待完善的地方:第一,这些法律法规主要内容集中在对物理环 境的要求、行政管理的要求等方面,对于涉及信息安全的行 为规范一般都规定的比较简单,在具体执行上指引性还不是很强;第二,目前这些法律法 规普遍在处罚措施 方面规定得不够具体,导致在信息安全领域实施处罚时法律依据的不足;第三,在一些特定的信 息化应用领域,如 电子商务、电子政务、网上支付等,相应的信息安全 规范相对欠缺,有待于进一步发展。律规定篇幅偏小,行为规范较简单、与信息安全相关的其他法律有待完善在建立健全信息安全法律体系的同时,与信息安全相关的其他法律 法规的出台和完善也非常必要,如电信法、个人数据保护法等,这些 法律法 规与信 息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。从应用的角度看,与信息安全相邻或相交的领域包括:电信、无线电、集成电路、计算机软件与系统 集成、网络及网 络信息服务、电子商务与现代物流、电子政务、信息资源公开与利用等。
6、结语
当今世界,全球电子政务公共服务正处于由简单地满足公众需求向深入调 查和理解公众需求转变、由单一渠道服务向多渠道一体化服务转变的新变革之 中。电子政务信息安全保障系统的建设是一个大型、复杂的工程,没有绝对的 安全,今天的安全不代表明天也安全,信息安全保障是一项长期的、系统的工 作,只有不断提高安全意识,掌握并应用最新技术,持续完善安全管理、及时 健全安全法规,才可能切实做好电子政务的安全工作,为推动电子政务的发展 提供有力保障,刁一能真正实现电子政务的目标。
7.致谢
在论文完成之际,我要特别感谢我的指导老师的热情关怀和悉心指导。指导老师以严禁的治学态度、渊博的学识、独特的学术思维、一丝不苟的工作作风、热情待人的品质、使我满怀敬意。每遇到困难都会努力找寻解决的方法,提高自己解决问题的能力并巩固老师所授予的知识。增强了自己实践操作和动手应用的能力,提高了独立思考的能力。在此,谨向所有帮助过我的老师和同学表示我诚挚的谢意!
参考文献
【1】中共中央办公厅、国务院办公厅印发的《2006-2020年国家信息化发展战 略》(中办发(2006)11号),2006-3一19.【2】李文燕著《计算机犯罪》,北京:中国方正出版社2001.7版 【3】百度文献
【4】张锐听.电子政府概论[M]中国人民大学出版社,2004.【5】曾长秋,电子政府的网络安全和信息安全及其治理[J],党政干部论坛,2006年04期
【6】李文燕著《计算机犯罪研究》,北京:中国方正出版社2001.7版 【7】常建平靳慧云 娄梅枝等编著《网络安全与计算机犯罪》,北京:中国人民公安大学出版社2002.2版
【8】孙国锋,苏俊.国外“电子政府”发展及对中国的启示[[J].科学与科学技术 管理,2001(12).【9】刘海峰、郭义喜、肖刚,基于模型的信息安全风险评估CORAS方法研究l月,网络安全技术与应用,2007年06期
第五篇:中华人民共和国信息安全相关法律法规
中华人民共和国信息安全相关法律法规
一.2000年以前 2 1.1 中华人民共和国保守国家秘密法
1.2 中华人民共和国计算机信息系统安全保护条例 1.3 中华人民共和国国家安全法
1.4 计算机信息网络国际联网管理暂行规定 1.5 计算机信息网络国际联网安全保护管理办法
1.6 计算机信息系统安全专用产品检测和销售许可证管理办法
1.7 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 1.8 商用密码管理条例 1.9 科学技术保密规定
1.10 中华人民共和国反不正当竞争法
1.11 关于禁止侵犯商业秘密行为的若干规定
1.12 加强科技人员流动中技术秘密管理的若干意见 1.13 广东省技术秘密保护条例 二.2000年
2.1 计算机病毒防治管理办法
2.2 计算机信息系统国际联网保密管理规定 2.3 互联网信息服务管理办法 2.4 中华人民共和国电信条例
2.5 全国人大常委会关于维护互联网安全的决定 2.6 联网单位安全员管理办法 三.2001年
3.1 计算机软件保护条例 四.2002年
4.1 信息安全产品测评认证管理办法 五.2003年
5.1 广东省电子政务信息安全管理暂行办法 六.2004年
6.1 中华人民共和国电子签名法 七.2005年
7.1 互联网安全保护技术措施规定 7.2 商用密码产品销售管理规定 7.3 电子认证服务密码管理办法 7.4 商用密码科研管理规定 7.5 商用密码产品生产管理规定
7.6 证券期货业信息安全保障管理暂行办法 7.7 电子认证服务管理办法 八.2006年
8.1 关于加强新技术产品使用保密管理的通知 8.2 信息网络传播权保护条例 九.2007年 9.1 商用密码产品使用管理规定 9.2 信息安全等级保护管理办法
9.3 境外组织和个人在华使用密码产品管理办法 十.2009年
10.1 刑法修正案
(七)关于信息安全的修订与解读 10.2 深圳经济特区企业技术秘密保护条例 十一.2010年
11.1 通信网络安全防护管理办法 11.2 中华人民共和国保守国家秘密法 11.3 中央企业商业秘密保护暂行规定
点击咨询 