《信息安全法律法规cucj.pptx》由会员分享,可在线阅读,更多相关《信息安全法律法规cucj.pptx(132页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全法律法规信息安全导论(模块信息安全导论(模块3信息安全法律法规信息安全法律法规与标准)与标准)1参考书n陈忠文,麦永浩,信息安全标准与法陈忠文,麦永浩,信息安全标准与法律法规,武汉大学出版社,律法规,武汉大学出版社,2009年年1月月n麦永浩等,信息安全法教程,武汉麦永浩等,信息安全法教程,武汉大学出版社,大学出版社,2008年年9月月2内容提要n1、总论、总论n2、信息系统安全保护法律规范、信息系统安全保护法律规范n3、信息系统安全保护相关法律法规、信息系统安全保护相关法律法规n4、互联网络安全管理相关法律法规、互联网络安全管理相关法律法规n5、其他有关信息安全的法律法规、其他有关信
2、息安全的法律法规n6、防范计算机犯罪、防范计算机犯罪n7、其他国家信息安全法律法规情况、其他国家信息安全法律法规情况3内容提要n1、总论、总论n1.1 保障信息安全的三大支柱保障信息安全的三大支柱n1.2 计算机犯罪的概念计算机犯罪的概念n1.3 刑法中关于计算机犯罪的规定刑法中关于计算机犯罪的规定n1.4 计算机犯罪的常用方法计算机犯罪的常用方法41.1 保障信息安全的三大支柱n信息安全保障是一个复杂的系统工程,信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:需要多管齐下,综合治理。三大支柱:n信息安全技术信息安全技术n信息安全法律法规信息安全法律法规n信息安全标准信息安
3、全标准51.1 保障信息安全的三大支柱n信息安全保障是一个复杂的系统工程,信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:需要多管齐下,综合治理。三大支柱:n信息安全技术信息安全技术n在在技术层面技术层面上为信息安全提供具体的保障。如:上为信息安全提供具体的保障。如:加密技术、防火墙技术、入侵检测技术、网络安加密技术、防火墙技术、入侵检测技术、网络安全扫描技术、黑客诱骗技术、病毒诊断与防治技全扫描技术、黑客诱骗技术、病毒诊断与防治技术等。术等。n信息安全技术信息安全技术不是万能的不是万能的,由于疏于管理等原因,由于疏于管理等原因引起的安全事故仍不断发生引起的安全事故仍不断发
4、生n信息安全法律法规信息安全法律法规n信息安全标准信息安全标准61.1 保障信息安全的三大支柱n信息安全保障是一个复杂的系统工程,需要多信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:管齐下,综合治理。三大支柱:n信息安全技术信息安全技术n信息安全法律法规信息安全法律法规n从从法律层面法律层面规范人们的行为,使信息安全工作有法可依,规范人们的行为,使信息安全工作有法可依,使相关违法犯罪得到处罚,促使组织和个人依法制作、发使相关违法犯罪得到处罚,促使组织和个人依法制作、发布、传播和使用信息布、传播和使用信息n目前我国已建立起了基本的信息安全法律法规体系,但随目前我国已建立起了
5、基本的信息安全法律法规体系,但随着信息安全形势的发展,信息安全立法的任务还非常艰巨,着信息安全形势的发展,信息安全立法的任务还非常艰巨,许多相关法规还许多相关法规还有待建立或完善有待建立或完善n信息安全标准信息安全标准71.1 保障信息安全的三大支柱n信息安全保障是一个复杂的系统工程,信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:需要多管齐下,综合治理。三大支柱:n信息安全技术信息安全技术n信息安全法律法规信息安全法律法规n信息安全标准信息安全标准n目的是为信息安全目的是为信息安全产品的制造产品的制造、安全的、安全的信息系统信息系统的构建的构建、企业或组织安全、企业或组织
6、安全策略的制定策略的制定、安全管理安全管理体系的构建体系的构建以及以及安全工作评估安全工作评估等提供等提供统一的科学统一的科学依据依据n标准主要有:信息安全标准主要有:信息安全产品产品标准、信息安全标准、信息安全技术技术标准和信息安全标准和信息安全管理管理标准三大类标准三大类81.2 计算机犯罪的概念n计算机犯罪计算机犯罪n指行为人指行为人通过计算机操作通过计算机操作所实施的所实施的危害危害计算计算机信息系统(包括内存数据及程序),以及机信息系统(包括内存数据及程序),以及其他严重危害社会的,并应当处以其他严重危害社会的,并应当处以刑罚刑罚的行的行为为91.3 刑法中关于计算机犯罪的规定n中华
7、人民共和国刑法中有三个条款中华人民共和国刑法中有三个条款n第第285条条n违反国家规定,违反国家规定,侵入侵入国家事务、国防建设、尖端国家事务、国防建设、尖端科学技术领域科学技术领域的计算机信息系统的,的计算机信息系统的,处三年以下处三年以下有期徒刑或者拘役。有期徒刑或者拘役。n第第286条条n第第287条条101.3 刑法中关于计算机犯罪的规定n中华人民共和国刑法中有三个条款中华人民共和国刑法中有三个条款n第第285条条n第第286条条n违反国家规定,对计算机信息系统违反国家规定,对计算机信息系统功能功能进行进行删除、修改、删除、修改、增加、干扰增加、干扰,造成计算机信息系统不能正常运行,后
8、果严,造成计算机信息系统不能正常运行,后果严重的,处重的,处五年以下五年以下有期徒刑或者拘役;后果特别严重的,有期徒刑或者拘役;后果特别严重的,处处五年以上五年以上有期徒刑。有期徒刑。n违反国家规定,对计算机信息系统中存储、处理或者传输违反国家规定,对计算机信息系统中存储、处理或者传输的的数据和应用程序数据和应用程序进行进行删除、修改、增加删除、修改、增加的操作,后果严的操作,后果严重的,依照前款的规定处罚。重的,依照前款的规定处罚。n故意故意制作、传播制作、传播计算机病毒等破坏性程序,影响计算机系计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。统正常运行,后
9、果严重的,依照第一款的规定处罚。n第第287条条111.3 刑法中关于计算机犯罪的规定n中华人民共和国刑法中有三个条款中华人民共和国刑法中有三个条款n第第285条条n第第286条条n第第287条条n利用计算机利用计算机实施实施金融诈骗、盗窃、贪污、挪用金融诈骗、盗窃、贪污、挪用公公款、款、窃取国家秘密窃取国家秘密或者其他犯罪的,依照本法有或者其他犯罪的,依照本法有关规定定罪处罚。关规定定罪处罚。12刑法中其他相关规定n第第217条规定:条规定:n以营利为目的,有下列以营利为目的,有下列侵犯著作权侵犯著作权情形之一,违法所情形之一,违法所得数额较大或者有其他严重情节的,处得数额较大或者有其他严重
10、情节的,处三年以下三年以下有期有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处大或者有其他特别严重情节的,处三年以上七年以下三年以上七年以下有期徒刑,并处罚金:有期徒刑,并处罚金:n未经著作权人许可未经著作权人许可,复制发行复制发行其文字作品、音乐、电其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的;影、电视、录像作品、计算机软件及其他作品的;n出版出版他人享有专有出版权的图书的;他人享有专有出版权的图书的;n未经录音录像制作者许可,未经录音录像制作者许可,复制发行复制发行其制作的录音录其制作的录音录像
11、的;像的;n制作、出售制作、出售假冒他人署名的美术作品的。假冒他人署名的美术作品的。13刑法中其他相关规定n第第218条规定:条规定:n以营利为目的,以营利为目的,销售销售明知明知是本法第是本法第217条规条规定的侵权复制品,违法所得数额巨大的,处定的侵权复制品,违法所得数额巨大的,处三年以下三年以下有期徒刑或者拘役,并处或者单处有期徒刑或者拘役,并处或者单处罚金。罚金。14刑法中其他相关规定n第第288条规定:条规定:n违反国家规定,违反国家规定,擅自设置擅自设置、使用无线电台使用无线电台(站),或者擅自(站),或者擅自占用频率占用频率,经责令停止使,经责令停止使用后拒不停止使用,用后拒不停
12、止使用,干扰干扰无线电通讯正常进无线电通讯正常进行,造成严重后果的,行,造成严重后果的,处三年以下处三年以下有期徒刑、有期徒刑、拘役或者管制,并处或者单处罚金拘役或者管制,并处或者单处罚金。15刑法第七修正案n将“非法提供黑客工具行为”列入刑法n2010年2月8日,湖北警方成功摧毁国内规模最大的黑客培训网站“黑鹰安全网”,该网站主要通过招收收费会员形式公开传授各种类型黑客技术,并提供木马软件下载,已招收会员逾18万人,收取会费逾700万元n主要犯罪嫌疑人李某、张某已被依法逮捕n本案是刑法第七修正案将非法提供黑客工具行为列入刑法后侦破的第一起典型案例161.4 计算机犯罪的常用方法n以合法手段为
13、掩护以合法手段为掩护,查询信息系统中,查询信息系统中不允许访问不允许访问的文件,或者的文件,或者侵入侵入重要领域的计算机信息系统重要领域的计算机信息系统n利用技术手段(如破解帐号密码、使用病毒木马、利用技术手段(如破解帐号密码、使用病毒木马、利用系统漏洞和程序及网络缺陷),利用系统漏洞和程序及网络缺陷),非法侵入非法侵入重重要的计算机信息系统,要的计算机信息系统,破坏或窃取破坏或窃取信息系统中重信息系统中重要数据或程序文件,甚至要数据或程序文件,甚至删除删除数据文件或者破坏数据文件或者破坏系统功能,直至使系统系统功能,直至使系统瘫痪瘫痪n在数据传输或者输入过程中,对数据的内容进行在数据传输或者
14、输入过程中,对数据的内容进行修改修改,干扰计算机信息系统,干扰计算机信息系统n未经计算机软件著作权人授权,未经计算机软件著作权人授权,复制、发行他人复制、发行他人的软件作品的软件作品,或,或制作、传播计算机病毒制作、传播计算机病毒,或,或制作制作传播有害信息传播有害信息等等17案例1我国第一例电脑黑客刑事案件n1998年年6月月16日,上海某信息网遭黑客袭击日,上海某信息网遭黑客袭击n黑客先后入侵黑客先后入侵8台服务器,破译了大部分工作台服务器,破译了大部分工作人员和人员和500多个合法用户的帐号和密码,包括多个合法用户的帐号和密码,包括超级用户的帐号和密码超级用户的帐号和密码n黑客杨某:国内
15、一著名高校数学研究所计算数黑客杨某:国内一著名高校数学研究所计算数学专业研究生,具有相当高的计算机技术技能学专业研究生,具有相当高的计算机技术技能n以以“破坏计算机信息系统破坏计算机信息系统”罪名罪名被逮捕被逮捕n我国第一起以该罪名侦察批捕的形式犯罪案件我国第一起以该罪名侦察批捕的形式犯罪案件18案例2朱盗窃游戏充值卡案n20032004年,北京某科贸公司发现公司的年,北京某科贸公司发现公司的游戏充值卡被盗,并有人在网上销售游戏充值卡被盗,并有人在网上销售n犯罪人朱犯罪人朱利用微软的一个漏洞,非法进入利用微软的一个漏洞,非法进入该公司网络销售系统,取得超级管理员权限,该公司网络销售系统,取得超
16、级管理员权限,共盗取共盗取6166张充值卡,价值张充值卡,价值17万多元万多元n鉴于认罪态度较好,酌情从轻处罚鉴于认罪态度较好,酌情从轻处罚n判决:朱判决:朱犯盗窃罪,判处犯盗窃罪,判处有期徒刑有期徒刑12年年,剥夺政治权利两年,剥夺政治权利两年,罚金两万元,退赔罚金两万元,退赔17万多万多元元19案例3我国第一例网上著作权案(民事)n1999年年4月月28日,北京市海淀区人民法日,北京市海淀区人民法院依法公开审理了我国第一起互联网著院依法公开审理了我国第一起互联网著作权案作权案n原告陈原告陈以以“无方无方”为笔名撰写了戏说为笔名撰写了戏说MAYA,刊载于其个人网站,刊载于其个人网站n被告某报
17、被告某报未经原告同意未经原告同意,将该文,将该文转载转载n判决:被告判决:被告停止侵权停止侵权,并在其主办的报,并在其主办的报纸上刊登声明向原告纸上刊登声明向原告公开致歉公开致歉。被告向。被告向原告支付稿酬并原告支付稿酬并赔偿经济损失赔偿经济损失20案例4网络域名侵权案(民事)21案例5女友提出分手,男友公布女友裸照被告上法庭n男女二人相识并确立了恋爱关系,之后男女二人相识并确立了恋爱关系,之后女士提出分手。男士将女友的裸照以及女士提出分手。男士将女友的裸照以及含有侮辱、诽谤文字的电子信件发给该含有侮辱、诽谤文字的电子信件发给该女士的女士的100多位同学多位同学n女士将男士告上法庭,要求书面道
18、歉、女士将男士告上法庭,要求书面道歉、消除影响,给予精神赔偿消除影响,给予精神赔偿5万元万元n审理认为,该男士出于报复心理,该行审理认为,该男士出于报复心理,该行为侵犯了他人隐私权,情节严重。判决:为侵犯了他人隐私权,情节严重。判决:赔礼道歉,赔偿精神抚慰金赔礼道歉,赔偿精神抚慰金1万元万元(2007年)年)22内容提要n1、总论、总论n2、信息系统安全保护法律规范、信息系统安全保护法律规范n3、信息系统安全保护相关法律法规、信息系统安全保护相关法律法规n4、互联网络安全管理相关法律法规、互联网络安全管理相关法律法规n5、其他有关信息安全的法律法规、其他有关信息安全的法律法规n6、防范计算机犯
19、罪、防范计算机犯罪n7、其他国家信息安全法律法规情况、其他国家信息安全法律法规情况23内容提要n2、信息系统安全保护法律规范、信息系统安全保护法律规范n2.1 概念概念n2.2 我国信息系统安全保护法律规范的体系我国信息系统安全保护法律规范的体系n2.3 信息系统安全保护法律规范的基本原则信息系统安全保护法律规范的基本原则n2.4 信息系统安全保护法律规范的法律地位信息系统安全保护法律规范的法律地位242 信息系统安全保护法律规范n2.1 概念概念n法律规范法律规范是指通过国家的是指通过国家的立法机关立法机关制定的或者认可制定的或者认可的,用以指导、约束人们行为的的,用以指导、约束人们行为的行
20、为规范行为规范的一种。的一种。n法律规范有三个实质法律规范有三个实质特征特征n是由国家制定或认可,并由国家强制力保证实施的规范,是由国家制定或认可,并由国家强制力保证实施的规范,因而具有因而具有国家意志和国家权利国家意志和国家权利的属性的属性n是以是以规定法律权利和法律义务规定法律权利和法律义务为内容,是具有完整逻辑结为内容,是具有完整逻辑结构的特殊行为规范构的特殊行为规范n具有具有普遍约束力普遍约束力,并且对任何在其效力范围内的主体的行,并且对任何在其效力范围内的主体的行为指导和评价,使用同一标准为指导和评价,使用同一标准n法律规范是有国家强制力来保证实施的,对我国法律规范是有国家强制力来保
21、证实施的,对我国所所有公民有公民都具有约束力,任何人都需遵守都具有约束力,任何人都需遵守25n信息安全保护法律规范是指与信息安全信息安全保护法律规范是指与信息安全有关的法律规范的总和有关的法律规范的总和n主要包含主要包含命令性规范命令性规范和和禁止性规范禁止性规范n命令性规范命令性规范n要求法律关系的主体要求法律关系的主体应当或必须应当或必须从事一定的从事一定的行为行为n禁止性规范禁止性规范n要求法律的主体要求法律的主体不得不得从事指定的行为,否则从事指定的行为,否则就要受到一定的法律制裁就要受到一定的法律制裁262.2 我国信息系统安全保护法律规范的体系n我国对信息系统安全的保护主要通过我国
22、对信息系统安全的保护主要通过三三大体系大体系予以保障:予以保障:n基本法律体系基本法律体系n国家在许多基本法律中都设计了用于保护信国家在许多基本法律中都设计了用于保护信息系统安全的条款,如宪法第息系统安全的条款,如宪法第40条,条,刑法第刑法第285、286、287条。条。n政策法规体系政策法规体系n强制性技术标准体系强制性技术标准体系27n宪法第宪法第40条:条:n中华人民共和国公民的中华人民共和国公民的通信自由和通信秘密通信自由和通信秘密受法律的保护受法律的保护。除因国家安全或者追查刑事除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照犯罪的需要,由公安机关或者检察机关依照法律
23、规定的程序对通信进行检查外法律规定的程序对通信进行检查外,任何组任何组织或者个人不得以任何理由侵犯公民的通信织或者个人不得以任何理由侵犯公民的通信自由和通信秘密自由和通信秘密。282.2 我国信息系统安全保护法律规范的体系n我国对信息系统安全的保护主要通过我国对信息系统安全的保护主要通过三大体系三大体系予以保障:予以保障:n基本法律体系基本法律体系n政策法规体系政策法规体系n政府制定的一系列政府制定的一系列法规、规章法规、规章,具体强化了对信息,具体强化了对信息系统安全保护的力度。如中华人民共和国计算机系统安全保护的力度。如中华人民共和国计算机信息系统安全保护条例、计算机病毒防治管理信息系统安
24、全保护条例、计算机病毒防治管理办法、互联网上网服务营业场所管理条例等办法、互联网上网服务营业场所管理条例等n强制性技术标准体系强制性技术标准体系292.2 我国信息系统安全保护法律规范的体系n我国对信息系统安全的保护主要通过我国对信息系统安全的保护主要通过三大体系三大体系予以保障:予以保障:n基本法律体系基本法律体系n政策法规体系政策法规体系n强制性技术标准体系强制性技术标准体系n国家颁布了一系列国家颁布了一系列技术标准技术标准,并且是,并且是强制性强制性地执行,地执行,如计算机信息系统安全保护等级划分准则、如计算机信息系统安全保护等级划分准则、计算机信息系统安全专用产品分类原则、计计算机信息
25、系统安全专用产品分类原则、计算机场地安全要求等,从技术上规范了对信息系算机场地安全要求等,从技术上规范了对信息系统安全的保护统安全的保护302.3 信息系统安全保护法律规范的基本原则 n谁主管谁负责的原则谁主管谁负责的原则n例如互联网上网服务营业场所管理条例规定:例如互联网上网服务营业场所管理条例规定:n县级以上人民政府文化行政部门县级以上人民政府文化行政部门负责互联网上网服务营业场负责互联网上网服务营业场所所经营单位的设立审批经营单位的设立审批,并负责对依法设立的互联网上网服,并负责对依法设立的互联网上网服务营业场所经营单位务营业场所经营单位经营活动的监督管理经营活动的监督管理n公安机关公安
26、机关负责对互联网上网服务营业场所负责对互联网上网服务营业场所经营单位的信息网经营单位的信息网络安全、治安及消防安全络安全、治安及消防安全的监督管理的监督管理n工商行政管理部门工商行政管理部门负责对互联网上网服务营业场所负责对互联网上网服务营业场所经营单位经营单位登记注册和营业执照的管理登记注册和营业执照的管理,并依法查处无照经营活动,并依法查处无照经营活动n电信管理电信管理等其他有关部门在等其他有关部门在各自职责范围内各自职责范围内对互联网上网服对互联网上网服务营业场所经营单位分别实施有关监督管理务营业场所经营单位分别实施有关监督管理n突出重点的原则突出重点的原则 n预防为主的原则预防为主的原
27、则n安全审计的原则安全审计的原则n风险管理的原则风险管理的原则312.3 信息系统安全保护法律规范的基本原则 n谁主管谁负责的原则谁主管谁负责的原则 n突出重点的原则突出重点的原则 n例如中华人民共和国计算机信息系统安全保护条例如中华人民共和国计算机信息系统安全保护条例规定:例规定:n计算机信息系统的安全保护工作,重点维护计算机信息系统的安全保护工作,重点维护国家事国家事务、经济建设、国防建设、尖端科学技术务、经济建设、国防建设、尖端科学技术等等重要领重要领域域计算机信息系统的安全计算机信息系统的安全n预防为主的原则预防为主的原则n安全审计的原则安全审计的原则n风险管理的原则风险管理的原则32
28、2.3 信息系统安全保护法律规范的基本原则 n谁主管谁负责的原则谁主管谁负责的原则 n突出重点的原则突出重点的原则 n预防为主的原则预防为主的原则n例如,对计算机病毒的例如,对计算机病毒的预防预防,对非法入侵的,对非法入侵的防范等防范等n安全审计的原则安全审计的原则n风险管理的原则风险管理的原则332.3 信息系统安全保护法律规范的基本原则 n谁主管谁负责的原则谁主管谁负责的原则 n突出重点的原则突出重点的原则 n预防为主的原则预防为主的原则n安全审计的原则安全审计的原则n例如计算机信息系统安全保护等级划分准则中例如计算机信息系统安全保护等级划分准则中规定规定n计算机信息系统计算机信息系统可信
29、计算基可信计算基能创建和维护受保护客能创建和维护受保护客体的访问体的访问审计跟踪记录审计跟踪记录,并能阻止非授权的用户对,并能阻止非授权的用户对它访问或破坏它访问或破坏n对于每一事件,其对于每一事件,其审计记录审计记录包括:事件的日期和时包括:事件的日期和时间、用户、事件类型、事件是否成功等。间、用户、事件类型、事件是否成功等。n风险管理的原则风险管理的原则342.3 信息系统安全保护法律规范的基本原则 n谁主管谁负责的原则谁主管谁负责的原则 n突出重点的原则突出重点的原则 n预防为主的原则预防为主的原则n安全审计的原则安全审计的原则n风险管理的原则风险管理的原则n信息安全工作的信息安全工作的
30、风险风险主要来自信息系统中存在的主要来自信息系统中存在的脆弱点脆弱点(漏(漏洞和缺陷)洞和缺陷)n风险管理又名危机管理,是指风险管理又名危机管理,是指如何在一个肯定有风险的环境如何在一个肯定有风险的环境里把风险减至最低里把风险减至最低的管理过程的管理过程n主动寻找脆弱点,主动寻找脆弱点,识别威胁识别威胁,采取防范措施,化解风险于萌,采取防范措施,化解风险于萌芽状态芽状态n对系统遭受的损失对系统遭受的损失及时进行评估及时进行评估,制定防范措施,避免风险,制定防范措施,避免风险的再次出现的再次出现n研究制定风险研究制定风险应变策略应变策略,从容应对各种可能的风险的发生,从容应对各种可能的风险的发生
31、352.4 信息系统安全保护法律规范的法律地位n信息系统安全信息系统安全立法立法的的必要性和紧迫性必要性和紧迫性n没有信息安全,就没有完全意义上的没有信息安全,就没有完全意义上的国家安全国家安全n国家对信息资源的支配和控制能力,将决定国国家对信息资源的支配和控制能力,将决定国家的家的主权和命运主权和命运n对信息的强有力控制是打赢未来对信息的强有力控制是打赢未来信息战信息战的保证的保证n信息安全保障能力是信息安全保障能力是21世纪世纪综合国力综合国力、经济、经济竞争力和生产发展能力的重要组成部分竞争力和生产发展能力的重要组成部分n信息系统安全保护法律规范的作用信息系统安全保护法律规范的作用362
32、.4 信息系统安全保护法律规范的法律地位n信息系统安全立法的必要性和紧迫性信息系统安全立法的必要性和紧迫性n信息系统安全保护法律规范的作用信息系统安全保护法律规范的作用n指引作用指引作用:法律作为一种行为规范,为人们提供了:法律作为一种行为规范,为人们提供了某种行为模式,指引人们某种行为模式,指引人们可以做什么可以做什么、必须做什么必须做什么、不能做什么不能做什么n评价作用评价作用:法律具有判断、衡量他人行为是否合法:法律具有判断、衡量他人行为是否合法或违法,以及违法性质和程序的作用或违法,以及违法性质和程序的作用n预测作用预测作用:当事人可以根据法律预先估计到某行为:当事人可以根据法律预先估
33、计到某行为在法律上的后果在法律上的后果n教育作用教育作用:通过法律的实施对一般人今后的行为产:通过法律的实施对一般人今后的行为产生影响生影响n强制作用强制作用:法律对违法行为具有制裁、惩罚的作用:法律对违法行为具有制裁、惩罚的作用37内容提要n1、总论、总论n2、信息系统安全保护法律规范、信息系统安全保护法律规范n3、信息系统安全保护相关法律法规、信息系统安全保护相关法律法规n4、互联网络安全管理相关法律法规、互联网络安全管理相关法律法规n5、其他有关信息安全的法律法规、其他有关信息安全的法律法规n6、防范计算机犯罪、防范计算机犯罪n7、其他国家信息安全法律法规情况、其他国家信息安全法律法规情
34、况38内容提要n3 信息系统安全保护相关法律法规信息系统安全保护相关法律法规n3.1 中华人民共和国计算机信息系统安全中华人民共和国计算机信息系统安全保护条例保护条例n3.2 计算机信息网络国际联网安全保护管计算机信息网络国际联网安全保护管理办法理办法n3.3 信息安全等级保护管理办法(试行)信息安全等级保护管理办法(试行)393 信息系统安全保护相关法律法规n中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保护条例护条例n计算机信息网络国际联网安全保护管理计算机信息网络国际联网安全保护管理办法办法n信息安全等级保护管理办法(试行)信息安全等级保护管理办法(试行)403.1
35、中华人民共和国计算机信息系统安全保护条例n1994年年2月月18日,由国务院发布日,由国务院发布n适用范围适用范围n适用于适用于任何组织和个人任何组织和个人n境内境内的计算机信息系统的安全保护适用本条例的计算机信息系统的安全保护适用本条例n未联网未联网的微型计算机的安全保护的微型计算机的安全保护不适用不适用本条例本条例n军队的计算机信息系统安全保护,按军队的有关法军队的计算机信息系统安全保护,按军队的有关法规执行规执行n主要内容主要内容413.1 中华人民共和国计算机信息系统安全保护条例n主要内容主要内容n界定了界定了“计算机信息系统计算机信息系统”的的概念概念n由由计算机计算机及其相关的和配
36、套的及其相关的和配套的设备、设施(含网络)设备、设施(含网络)构成构成的,按照一定的应用目标和规则对信息进行的,按照一定的应用目标和规则对信息进行采集、加工、采集、加工、存储、传输、检索存储、传输、检索等处理的等处理的人机系统人机系统n明确了安全保护工作的性质明确了安全保护工作的性质n明确了计算机信息系统安全保护工作的重点明确了计算机信息系统安全保护工作的重点n系统设置了安全保护的制度系统设置了安全保护的制度n明确确定了安全监督的职权和义务明确确定了安全监督的职权和义务n全面规定了违法者的法律责任全面规定了违法者的法律责任n定义了计算机病毒及专用安全产品定义了计算机病毒及专用安全产品423.1
37、 中华人民共和国计算机信息系统安全保护条例n主要内容主要内容n界定了界定了“计算机信息系统计算机信息系统”的概念的概念n明确了安全保护工作的明确了安全保护工作的性质性质n应应保障保障计算机计算机及其及其相关的和配套的设备、设施相关的和配套的设备、设施(含网络)(含网络)的安全,的安全,运行环境运行环境的安全,保障的安全,保障信息信息的安全,保障计算机的安全,保障计算机功能功能的正常发挥,以维护计算机信息系统的安全运行的正常发挥,以维护计算机信息系统的安全运行n明确了计算机信息系统安全保护工作的重点明确了计算机信息系统安全保护工作的重点n系统设置了安全保护的制度系统设置了安全保护的制度n明确确定
38、了安全监督的职权和义务明确确定了安全监督的职权和义务n全面规定了违法者的法律责任全面规定了违法者的法律责任n定义了计算机病毒及专用安全产品定义了计算机病毒及专用安全产品433.1 中华人民共和国计算机信息系统安全保护条例n主要内容主要内容n界定了界定了“计算机信息系统计算机信息系统”的概念的概念n明确了安全保护工作的性质明确了安全保护工作的性质n明确了计算机信息系统安全保护工作的明确了计算机信息系统安全保护工作的重点重点n重点维护重点维护国家事务、经济建设、国防建设、尖端科学技术国家事务、经济建设、国防建设、尖端科学技术等等重要领域重要领域的计算机信息系统的安全的计算机信息系统的安全n系统设置
39、了安全保护的制度系统设置了安全保护的制度n明确确定了安全监督的职权和义务明确确定了安全监督的职权和义务n全面规定了违法者的法律责任全面规定了违法者的法律责任n定义了计算机病毒及专用安全产品定义了计算机病毒及专用安全产品443.1 中华人民共和国计算机信息系统安全保护条例n主要内容主要内容n界定了界定了“计算机信息系统计算机信息系统”的概念的概念n明确了安全保护工作的性质明确了安全保护工作的性质n明确了计算机信息系统安全保护工作的重点明确了计算机信息系统安全保护工作的重点n系统设置了安全保护的系统设置了安全保护的制度制度n安全安全等级保护等级保护制度、计算机制度、计算机机房机房安全保护制度、国际
40、联网安全保护制度、国际联网备案备案制度、信息媒体进出境制度、信息媒体进出境申报申报制度、发案制度、发案报告报告制度、安制度、安全全研究研究制度(对计算机病毒和危害社会公共安全的其他有制度(对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理)、安全产品害数据的防治研究工作,由公安部归口管理)、安全产品销售许可证销售许可证制度制度n明确确定了安全监督的职权和义务明确确定了安全监督的职权和义务n全面规定了违法者的法律责任全面规定了违法者的法律责任n定义了计算机病毒及专用安全产品定义了计算机病毒及专用安全产品453.1 中华人民共和国计算机信息系统安全保护条例n主要内容主要内
41、容n界定了界定了“计算机信息系统计算机信息系统”的概念的概念n明确了安全保护工作的性质明确了安全保护工作的性质n明确了计算机信息系统安全保护工作的重点明确了计算机信息系统安全保护工作的重点n系统设置了安全保护的制度系统设置了安全保护的制度n明确确定了安全监督的明确确定了安全监督的职权和义务职权和义务n公安机关公安机关对计算机信息系统保护工作行使监督职权:对计算机信息系统保护工作行使监督职权:监督、检查、监督、检查、指导指导计算机信息系统安全保护工作;计算机信息系统安全保护工作;查处查处危害信息系统安全的违法危害信息系统安全的违法犯罪案件;履行系统安全保护工作的其他监督职责犯罪案件;履行系统安全
42、保护工作的其他监督职责n公安机关发现安全隐患时,应公安机关发现安全隐患时,应及时通知及时通知使用单位采取安全保护措施使用单位采取安全保护措施n紧急情况下,可以就涉及系统安全的特定事项发布专项通令紧急情况下,可以就涉及系统安全的特定事项发布专项通令n全面规定了违法者的法律责任全面规定了违法者的法律责任n定义了计算机病毒及专用安全产品定义了计算机病毒及专用安全产品463.1 中华人民共和国计算机信息系统安全保护条例n主要内容主要内容n界定了界定了“计算机信息系统计算机信息系统”的概念的概念n明确了安全保护工作的性质明确了安全保护工作的性质n明确了计算机信息系统安全保护工作的重点明确了计算机信息系统
43、安全保护工作的重点n系统设置了安全保护的制度系统设置了安全保护的制度n明确确定了安全监督的职权和义务明确确定了安全监督的职权和义务n全面规定了违法者的全面规定了违法者的法律责任法律责任n故意输入计算机病毒故意输入计算机病毒以及以及其他有害数据其他有害数据危害计算机信息系统安全危害计算机信息系统安全的,或者的,或者未经许可出售未经许可出售计算机信息系统安全专用产品的,由公安计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以机关处以警告或者对个人处以5000元以下罚款、对单位处以元以下罚款、对单位处以15000元以下罚款;有违法所得的,除予以没收外,可以处以违元以下罚款;有违法所得的,
44、除予以没收外,可以处以违法所得法所得13倍的罚款倍的罚款n任何组织或者个人违反本条例的规定,给国家、集体或者他人财任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任产造成损失的,应当依法承担民事责任n定义了计算机病毒及专用安全产品定义了计算机病毒及专用安全产品473.1 中华人民共和国计算机信息系统安全保护条例n主要内容主要内容n界定了界定了“计算机信息系统计算机信息系统”的概念的概念n明确了安全保护工作的性质明确了安全保护工作的性质n明确了计算机信息系统安全保护工作的重点明确了计算机信息系统安全保护工作的重点n系统设置了安全保护的制度系统设置了安全保护
45、的制度n明确确定了安全监督的职权和义务明确确定了安全监督的职权和义务n全面规定了违法者的法律责任全面规定了违法者的法律责任n定义定义了计算机病毒及专用安全产品了计算机病毒及专用安全产品n计算机病毒计算机病毒:编制或者在计算机程序中插入的破坏计算机:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码组计算机指令或者程序代码n计算机信息系统计算机信息系统安全专用产品安全专用产品:用于保护计算机信息系统:用于保护计算机信息系统安全的专用硬件和软件产品安全的专用硬件和软件产品48案例6倪破坏
46、计算机信息系统案n倪倪在担任无锡某公司副总工程师期间,在担任无锡某公司副总工程师期间,1997年年2000年,在公司网络分析仪年,在公司网络分析仪中设置了中设置了正常工作不需要正常工作不需要、执行后会使、执行后会使屏幕屏幕“黑屏黑屏”的程序,并设置了时间条件。的程序,并设置了时间条件。数次使网络分析仪数次使网络分析仪“黑屏黑屏”,引起生产停,引起生产停顿,造成损失顿,造成损失130多万元多万元n2001年判决:倪年判决:倪犯犯破坏计算机信息破坏计算机信息系统罪,判处有期徒刑三年系统罪,判处有期徒刑三年493.2 计算机信息网络国际联网安全保护管理办法n1997年年12月月30日公安部发布日公安
47、部发布n宗旨宗旨n为了加强对计算机信息网络为了加强对计算机信息网络国际联网国际联网的安全的安全保护,维护公共秩序和社会稳定保护,维护公共秩序和社会稳定n适用范围适用范围n境内境内的计算机信息网络国际联网安全保护管的计算机信息网络国际联网安全保护管理理n调整对象:调整对象:从事国际联网业务从事国际联网业务的单位和个人,的单位和个人,以及以及计算机信息网络的使用者计算机信息网络的使用者n主要内容主要内容503.2 计算机信息网络国际联网安全保护管理办法n主要内容主要内容n规定了相关部门、单位和个人在计算机信息网络国际联网安全保护规定了相关部门、单位和个人在计算机信息网络国际联网安全保护方面的方面的
48、责任责任n任何单位和个人任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动罪活动n任何单位和个人任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:不得利用国际联网制作、复制、查阅和传播下列信息:n煽动抗拒、破坏宪法和法律、行政法规实施的;煽动抗拒、破坏宪法和法律、行政法规实施的;n煽动颠覆国家政权,推翻社会主义制度的;煽动颠覆国家政权,推翻社会主义制度的;n煽动分裂国家、破坏国家统一的;煽动分裂
49、国家、破坏国家统一的;n煽动民族仇恨、民族歧视,破坏民族团结的;煽动民族仇恨、民族歧视,破坏民族团结的;n捏造或者歪曲实施,散布谣言,扰乱社会秩序的;捏造或者歪曲实施,散布谣言,扰乱社会秩序的;n宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;n公然侮辱他人或者捏造事实诽谤他人的;公然侮辱他人或者捏造事实诽谤他人的;n损害国家机关信誉的;损害国家机关信誉的;n其他违反宪法和法律、行政法规的其他违反宪法和法律、行政法规的n用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律用户的通信自由和通信秘密受法律保护。任
50、何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密规定,利用国际联网侵犯用户的通信自由和通信秘密n明确了公安机关的职责和义务明确了公安机关的职责和义务n规定了在计算机信息网络国际联网安全保护方面违法的法律责任规定了在计算机信息网络国际联网安全保护方面违法的法律责任513.2 计算机信息网络国际联网安全保护管理办法n主要内容主要内容n规定了相关部门、单位和个人在计算机信息规定了相关部门、单位和个人在计算机信息网络国际联网安全保护方面的责任网络国际联网安全保护方面的责任n明确了明确了公安机关公安机关的的职责职责和和义务义务n公安机关计算机管理监察机构负责计算机信息网公安机关计算