搜索
LOGO信息安全法规概述国外信息安全法规体系萨班斯法案简介本讲提纲LOGO1信息安全法规概述信息安全法的概念1.1对信息安全法规的需求1.2信息安全法的特点1.3信息安全法的保护对象1.4信息安全法的划分1.5LOGO1.1信息安全法的概念法律―所谓法律就是由社会成员建立的以平衡个体自主权利的一套规则。―法律大部分来自一种文化道德规范,它定义了一些被社会认同的(且符合社会成员广泛接受的法则)的行为。LOGO法律与道德之间的关键区别:―法律本身是获准于统治阶层而道德却不是如此。―道德则更多基于一种文化:是相对于一个社会的道德态度或社会风俗而言的。―道德通常被描述为跨文化的普遍规则。例如,谋杀、盗窃和伤害在文明社会通常被人们认为是偏离道德和法规的行为。LOGO法律规范:法律规范是由国家制定或者认可,并由国家强制力保证实施的规范,因而具有国家意志和国家权力的属性;法律规范是以规范法律权力和法律义务为内容,是具有完整逻辑结构的特殊行为规范;法律规范具有普遍约束力,并对任何在效率范围内的主题的行为指导和评价,使用同一标准。LOGO信息安全法律法规:信息安全法律法规泛指用于规范信息系统或与信息系统相关行为的法律法规,信息安全法律法规具有命令性、禁止性和强制性。命令性和禁止性要求法律关系主体应当从事一定行为的规范,其规定的行为规则的内容是确定的,不允许主体一方或双方任意改变或违反,具体强制性。如果不执行,就要受到一定的法律制裁。LOGO法律类型民法(CivilLaw):所涉及的面较广,主要涉及到个体之间、机构之间以及个体和机构之间的关系。刑法(CriminalLaw):主要针对对社会有害的违法行为,由政府启动并主动执行。民事侵权法(TortLaw):是民法的子集,当人身和财产受到受害时,它允许向侵害人追索其权利,它在民事法庭执行,而不是由政府起诉。LOGO信息安全相关道德规范道德:并不触犯法律,但它不一定是正确的。相关的道德规范注册信息安全员(CISM)职业道德规范计算机道德协会(ComputerEthicsInstitute):计算机道德十戒互联网体系结构委员会(IAB):道德和互联网(RFC1087)经贸合作开发组织(OECD):GASSP通用可接受系统安全原则LOGO1.2对信息安全法规的需求信息安全法规基本需求信息技术相关的犯罪相关的民事问题相关的隐私问题LOGO计算机犯罪计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪产生于20世纪60年代,到本世纪初已呈猖獗之势,并为各国所重视。LOGO计算机犯罪实质特征主要表现在:计算机本身的不可或缺性和不可替代性在某种意义上作为犯罪对象出现的特性明确了计算机犯罪侵犯的客体LOGO计算机犯罪可以分为两大类型:一类是行为人利用计算机操作实施的非法侵入或破坏计算机信息系统安全,从而给社会造成严重危害的并应处以刑罚的行为;另一类是行为人利用计算机操作实施的初非法侵入或破坏计算机信息系统安全以外的其他严重危害社会的并应处以刑罚的行为。LOGO信息网络相关的民事问题在计算机安全使用方面,不仅存在犯罪问题,也存在民事问题。任何人都可以对任何人任何事提取民事诉讼。网络管理方面的漏洞、人为的误操作都可能造成信息安全相关的民事问题。LOGO信息网络相关的隐私问题隐私问题是信息安全和保密中所设计到的非常重要的一个问题,隐私问题在个人、组织中都存在。利用法律手段有效保护组织和个人的隐私具有非常重要意义。信息安全隐私越来越受到人们的关注。案例:英国一位21岁的黑客,由于前女友的移情别恋,愤而将与前女友的照片和录像“大白于天下”,张贴在被其黑掉的站点上,结果因此被法院判了五个月的牢狱。LOGO1.3信息安全法的特点综合法:既有单行法律法规,如《电子签名法》,《计算机信息系统安全保护条例》等,又有散见于各种法律和法规及部门规章之中。主体多样性:法律法规本身的制定主体相对统一,但部门规章的制定者涉及多个部委。保护客体的非物质性:信息的特性。载体的丰富性:纸制、电子材料。LOGO1.4信息安全法的保护对象国家信息安全:突出表现为刑法,包括对国家重要信息资源的保护,对攻击和危害宣传的惩治。社会信息安全:涉及社会的安全和稳定。市场信息安全:保护涉及到维护经济秩序和市场的安全和稳定。个人信息安全:公民人身、财产安全。LOGO1.5信息安全法的划分从信息的主体划分政府相关,如《国家保守秘密法》、电子政务安全等。民事主体,知识产权、人格权法等。从信息载体不同划分电信类,《关于维护互联网安全的决定》、《电子签名法》等。非电信类,如《邮政法》、《统计法》、《气象法》等中关于信息的规定。LOGO从承担法律责任划分刑事责任:《刑法》有关信息犯罪的条款。民事责任:《合同法》、《民法通则》、知识产权相关法规等。行政责任:国务院、部委制定的规章。LOGO信息安全法规概述国外信息安全法规体系萨班斯法案简介本讲提纲LOGO2国外信息安全法规体系2.4美国2.12.22.32.5欧洲各国日本新加坡各个密码管理政策LOGO2.1美国美国使用判例法(CommonLaw)系,在美国的判例法系统中,政府的三类机构可以制定法律。立法部门(legislativebranch):制定成文法(StatutoryLaw)行政管理部门(administrativebranch):制定行政法(administrativelaws)司法部门(judicialbranch):制定法庭裁决的判例法(commonlaws)。LOGO美国作为当今世界信息大国,不仅信息技术具有国际领先水平,有关信息安全的立法活动进行得较早。因此,与别的国家相比,美国无疑是信息安全方面的法案昀多而且较为完善的国家。LOGO美国信息安全机关•国家安全局(NSA)•中央情报局(CIA)•联邦调查局(FBI)•总统关键设施保护委员会(1996年)•国家设施保护中心(1998年)•国家计算机安全中心•设施威胁评估中心LOGO美国各州依据“计算机犯罪法”所确立的犯罪有:•计算机服务盗窃罪•侵犯知识产权罪•破坏计算机设备或配置罪•计算机欺骗罪•通过欺骗获得电话或电报服务罪•计算机滥用罪•计算机错误访问罪•非授权的计算机使用罪•……LOGO9.11事件后,美国对于国家安全的重视日益增强,美国参众两院及联邦政府有关安全方面的立法力度较以往大大加强。自2001年下半年至今,就有近二十个与网络信息安全相关的法案、提案送交两院审议。这些法律法规的推出将为美国社会的安全保障构建坚实的法律基础。LOGO美国立法现状¾以信息为主要内容:•《电子信息自由法案》•《个人隐私保护法》•《公共信息准则》•《削减文书法》•《消费者与投资者获取信息法》•《儿童网络隐私保护法》•《电子隐私条例法案》•……LOGO美国立法现状(续)¾以基础设施为主要内容:•《1996年电信法》¾以计算机安全为主要内容:•《计算机保护法》•《网上电子安全法案》•《反电子盗窃法》•《计算机欺诈及滥用法案》•《网上禁赌法案》•……LOGO美国立法现状(续)¾以电子商务为主要内容:•《统一电子交易法》•《国际国内电子签名法》•《统一计算机信息交易法》•《网上贸易免税协议》•……LOGO美国立法现状(续)¾以知识产权为主要内容:•《千禧年数字版权法》•《反域名抢注消费者保护法》¾政策性文件:•《国家信息基础设施行动议程》•《全球电子商务政策框架》LOGOLOGO关于互联网内容管理的法律:互联网内容管理相关的法律包括有:•关未成年人保护•版权保护•垃圾邮件管理等LOGO1)关于未成年人保护未成年保护相关的法律有《未成年人互联网保护法》、《1998年儿童在线隐私保护法》等。《未成年人互联网保护法》规定:中小学校、公共图书馆等必须在其网络服务程序的目录上提供过滤器,确保未达17周岁的未成年人不接触到色情内容的成人网站。政府对学校、公共图书馆建立网络过滤技术系统提供资金支持,网络技术服务商在给学校和图书馆提供过滤技术服务时要给予优惠。《1998年儿童在线隐私保护法》规定:任何提供网络服务和产品的组织与个人不得通过互联网电子联络(电子邮件、聊天等)的办法,搜集13岁以下儿童的姓名、家庭住址、电子邮件地址、电话号码、社会安全号码或儿童父母的个人信息等,违者将依据《联邦贸易委员会法案》进行处罚。LOGO2)关于版权保护主要法律依据为《1998年数字千年版权法》。该法涉及网上作品的临时复制、网络上文件的传输、数字出版发行、作品合理使用范围的重新定义、数据库的保护等,规定未经允许在网上下载音乐、电影、游戏、软件等为非法。LOGO3)关于反垃圾邮件《反垃圾邮件法》规定,任何人未经授权向多人(数量至少要达到24小时发100条、30天发1千条或1年发1万条)发送含虚假商业信息的电子邮件均为违法,可以受到罚款或关押昀高不超过5年的处罚,或两罚并用。该法采取了“宽泛主义”原则,即“opt-out”(“选择退出”)原则,规定“未经请求”的电子邮件是指电子邮件的发件人同收件人未曾有过包括“在先的”商务关系在内的关系的情况下向发件人发送的电子邮件消息。LOGO该法规定,发件人为推销其产品或服务,可以在未经请求的情况下向电子邮件用户发送商业性的电子邮件,但发送下述类型邮件的行为为违法行为:含有虚假的、误导性的或者欺骗性的标题信息的电子邮件;不含回复地址和退订机制的电子邮件;缺少法律规定的标识符、选择退出和物理地址的商业电子邮件;未给含有色情内容的邮件添加警示标志的商业电子邮件。LOGO4)其他内容管理相关法律在内容管理方面,除了出于对儿童身心健康的保护以外,其他内容的管理主要依靠行业公约。通过在法律中规定优惠措施的办法,鼓励行业自律。美国在1998年出台《网络免税法》,对自律较好的网络商给予两年免征新税的待遇。另外,美国政府还成立了专门机构,保护未成年人的网上安全。司法部成立了特种部队,打击针对未成年人的网上犯罪活动。美国联邦调查局也设有专门机构,负责辨认网上发布的儿童色情图像,调查不法分子,予以法律制裁。LOGO关于网络犯罪的法律美国是一个网络大国,也是一个网络犯罪十分严重的国家。互联网的发展,尤其是其中金融交易的增长,助长了网络犯罪狂潮。LOGO美国对于网络犯罪的刑事立法由来已久,1984年10月12日,里根总统签署了美国第一部联邦计算机犯罪成文法《伪装进入设施和计算机欺诈及滥用法》,从而对于联邦刑法典进行了修改,将非法使用计算机和损坏资料的行为规定为犯罪。1986年美国议会通过了《防止计算机诈骗和滥用法案》。1995年6月美国参议院通过了《计算机保护法》,该法规定,网络警察可以对因特网进行检查;对在因特网发布下流信息者,昀高可设1万美元罚款或2年以上的监禁。1996年,美国立法机构修改了《防止计算机诈骗和滥用法案》,将其重新命名为《国家信息安全法案》。该法案在1996年10月签署生效后,适用于美国所有连接到因特网和电话网络上的计算机。LOGO在管理网络安全的同时,加强网络空间监控(ElectronicSurveillanceinthecyberspace)的法制建设,是世界各国积极解决网络空间非传统安全问题的普遍做法。“9.11”事件以后,美国进一步加大了对网络空间实施电子监控的力度。LOGO众所周知的《2001年爱国者法》赋予执法部门在破案过程中截获电子邮件内容、电子取证、调查个人或网络服务商的财务、信用卡信息等的更大权利,允许执法部门利用用户登记号跟踪或设定陷阱捕捉罪犯,网络受害者在执法部门许可下可监测或拦截计算机闯入者,以及允许执法部门使用全美通行电子邮件的搜查令。美国的这种做法已经引起了包括美国在内的国际社会的普遍重视,一种后“9.11”时代的网络空间电子监控立法活动展开了对反恐时代电子监控法