1信息安全法律法规信息安全导论(模块3-信息安全法律法规与标准)2参考书陈忠文,麦永浩,《信息安全标准与法律法规》,武汉大学出版社,2009年1月麦永浩等,《信息安全法教程》,武汉大学出版社,2008年9月3内容提要1、总论2、信息系统安全保护法律规范3、信息系统安全保护相关法律法规4、互联网络安全管理相关法律法规5、其他有关信息安全的法律法规6、防范计算机犯罪7、其他国家信息安全法律法规情况4内容提要1、总论1.1保障信息安全的三大支柱1.2计算机犯罪的概念1.3刑法中关于计算机犯罪的规定1.4计算机犯罪的常用方法51.1保障信息安全的三大支柱信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:信息安全技术信息安全法律法规信息安全标准61.1保障信息安全的三大支柱信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:信息安全技术在技术层面上为信息安全提供具体的保障。如:加密技术、防火墙技术、入侵检测技术、网络安全扫描技术、黑客诱骗技术、病毒诊断与防治技术等。信息安全技术不是万能的,由于疏于管理等原因引起的安全事故仍不断发生信息安全法律法规信息安全标准71.1保障信息安全的三大支柱信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:信息安全技术信息安全法律法规从法律层面规范人们的行为,使信息安全工作有法可依,使相关违法犯罪得到处罚,促使组织和个人依法制作、发布、传播和使用信息目前我国已建立起了基本的信息安全法律法规体系,但随着信息安全形势的发展,信息安全立法的任务还非常艰巨,许多相关法规还有待建立或完善信息安全标准81.1保障信息安全的三大支柱信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:信息安全技术信息安全法律法规信息安全标准目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据标准主要有:信息安全产品标准、信息安全技术标准和信息安全管理标准三大类91.2计算机犯罪的概念计算机犯罪指行为人通过计算机操作所实施的危害计算机信息系统(包括内存数据及程序),以及其他严重危害社会的,并应当处以刑罚的行为101.3刑法中关于计算机犯罪的规定《中华人民共和国刑法》中有三个条款第285条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。第286条第287条111.3刑法中关于计算机犯罪的规定《中华人民共和国刑法》中有三个条款第285条第286条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。第287条121.3刑法中关于计算机犯罪的规定《中华人民共和国刑法》中有三个条款第285条第286条第287条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。13刑法中其他相关规定第217条规定:以营利为目的,有下列侵犯著作权情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金:未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的;出版他人享有专有出版权的图书的;未经录音录像制作者许可,复制发行其制作的录音录像的;制作、出售假冒他人署名的美术作品的。14刑法中其他相关规定第218条规定:以营利为目的,销售明知是本法第217条规定的侵权复制品,违法所得数额巨大的,处三年以下有期徒刑或者拘役,并处或者单处罚金。15刑法中其他相关规定第288条规定:违反国家规定,擅自设置、使用无线电台(站),或者擅自占用频率,经责令停止使用后拒不停止使用,干扰无线电通讯正常进行,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。16《刑法第七修正案》将“非法提供黑客工具行为”列入刑法2010年2月8日,湖北警方成功摧毁国内规模最大的黑客培训网站“黑鹰安全网”,该网站主要通过招收收费会员形式公开传授各种类型黑客技术,并提供木马软件下载,已招收会员逾18万人,收取会费逾700万元主要犯罪嫌疑人李某、张某已被依法逮捕本案是《刑法第七修正案》将非法提供黑客工具行为列入刑法后侦破的第一起典型案例171.4计算机犯罪的常用方法以合法手段为掩护,查询信息系统中不允许访问的文件,或者侵入重要领域的计算机信息系统利用技术手段(如破解帐号密码、使用病毒木马、利用系统漏洞和程序及网络缺陷),非法侵入重要的计算机信息系统,破坏或窃取信息系统中重要数据或程序文件,甚至删除数据文件或者破坏系统功能,直至使系统瘫痪在数据传输或者输入过程中,对数据的内容进行修改,干扰计算机信息系统未经计算机软件著作权人授权,复制、发行他人的软件作品,或制作、传播计算机病毒,或制作传播有害信息等18案例1-我国第一例电脑黑客刑事案件1998年6月16日,上海某信息网遭黑客袭击黑客先后入侵8台服务器,破译了大部分工作人员和500多个合法用户的帐号和密码,包括超级用户的帐号和密码黑客杨某:国内一著名高校数学研究所计算数学专业研究生,具有相当高的计算机技术技能以“破坏计算机信息系统”罪名被逮捕我国第一起以该罪名侦察批捕的形式犯罪案件19案例2-朱××盗窃游戏充值卡案2003-2004年,北京某科贸公司发现公司的游戏充值卡被盗,并有人在网上销售犯罪人朱××利用微软的一个漏洞,非法进入该公司网络销售系统,取得超级管理员权限,共盗取6166张充值卡,价值17万多元鉴于认罪态度较好,酌情从轻处罚判决:朱××犯盗窃罪,判处有期徒刑12年,剥夺政治权利两年,罚金两万元,退赔17万多元20案例3-我国第一例网上著作权案(民事)1999年4月28日,北京市海淀区人民法院依法公开审理了我国第一起互联网著作权案原告陈××以“无方”为笔名撰写了《戏说MAYA》,刊载于其个人网站被告某报未经原告同意,将该文转载判决:被告停止侵权,并在其主办的报纸上刊登声明向原告公开致歉。被告向原告支付稿酬并赔偿经济损失21案例4-网络域名侵权案(民事)“中宇建材集团有限公司”成立于1995年,2000年注册了“中宇及图形”商标。该商标被评为中国卫浴行业知名品牌,成为驰名商标被告吴××2005年在互联网上注册了的中文域名,并以此网络销售与原告产品类似的商品法院审理认为:由于域名具有识别性标记特征,被告未经原告许可,为商业目的注册域名,导致原告注册商标与被告余名相混淆,淡化了注册商标的显著性,足以引起公众的误认,侵犯了原告的商标专有使用权,具有过错判决:被告停止使用该域名;赔偿原告经济损失22案例5-女友提出分手,男友公布女友裸照被告上法庭男女二人相识并确立了恋爱关系,之后女士提出分手。男士将女友的裸照以及含有侮辱、诽谤文字的电子信件发给该女士的100多位同学女士将男士告上法庭,要求书面道歉、消除影响,给予精神赔偿5万元审理认为,该男士出于报复心理,该行为侵犯了他人隐私权,情节严重。判决:赔礼道歉,赔偿精神抚慰金1万元(2007年)23内容提要1、总论2、信息系统安全保护法律规范3、信息系统安全保护相关法律法规4、互联网络安全管理相关法律法规5、其他有关信息安全的法律法规6、防范计算机犯罪7、其他国家信息安全法律法规情况24内容提要2、信息系统安全保护法律规范2.1概念2.2我国信息系统安全保护法律规范的体系2.3信息系统安全保护法律规范的基本原则2.4信息系统安全保护法律规范的法律地位252信息系统安全保护法律规范2.1概念法律规范是指通过国家的立法机关制定的或者认可的,用以指导、约束人们行为的行为规范的一种。法律规范有三个实质特征是由国家制定或认可,并由国家强制力保证实施的规范,因而具有国家意志和国家权利的属性是以规定法律权利和法律义务为内容,是具有完整逻辑结构的特殊行为规范具有普遍约束力,并且对任何在其效力范围内的主体的行为指导和评价,使用同一标准法律规范是有国家强制力来保证实施的,对我国所有公民都具有约束力,任何人都需遵守26信息安全保护法律规范是指与信息安全有关的法律规范的总和主要包含命令性规范和禁止性规范命令性规范要求法律关系的主体应当或必须从事一定的行为禁止性规范要求法律的主体不得从事指定的行为,否则就要受到一定的法律制裁272.2我国信息系统安全保护法律规范的体系我国对信息系统安全的保护主要通过三大体系予以保障:基本法律体系国家在许多基本法律中都设计了用于保护信息系统安全的条款,如《宪法》第40条,《刑法》第285、286、287条。政策法规体系强制性技术标准体系28《宪法》第40条:中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。292.2我国信息系统安全保护法律规范的体系我国对信息系统安全的保护主要通过三大体系予以保障:基本法律体系政策法规体系政府制定的一系列法规、规章,具体强化了对信息系统安全保护的力度。如《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《互联网上网服务营业场所管理条例》等强制性技术标准体系302.2我国信息系统安全保护法律规范的体系我国对信息系统安全的保护主要通过三大体系予以保障:基本法律体系政策法规体系强制性技术标准体系国家颁布了一系列技术标准,并且是强制性地执行,如《计算机信息系统安全保护等级划分准则》、《计算机信息系统安全专用产品分类原则》、《计算机场地安全要求》等,从技术上规范了对信息系统安全的保护312.3信息系统安全保护法律规范的基本原则谁主管谁负责的原则例如《互联网上网服务营业场所管理条例》规定:县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动电信管理等其他有关部门在各自职责范围内对互联网上网服务营业场所经营单位分别实施有关监督管理突出重点的原则预防为主的原则安全审计的原则风险管理的原则322.3信息系统安全保护法律规范的基本原则谁主管谁负责的原则突出重点的原则例如《中华人民共和国计算机信息系统安全保护条例》规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域计算机信息系统的安全预防为主的原则安全审计的原则风险管理的原则332.3信息系统安全保护法律规范的基本原则谁主管谁负责的原则突出重点的原则预防为主的原则例如,对计算机病毒的预防,对非法入侵的防范等安全审计的原则风险管理的原则342.3信息系统安全保护法律规范的基本原则谁主管谁负责的原则突出重点的原则预防为主的原则安全审计的原则例如《计算机信息系统安全保护等级划分准则》中规定计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授