熱線:信息安全法規(guī)知識簡介
發(fā)布時間:2020-07-23 作者:廣匯聯合 來源:廣匯聯合
信息安全法規(guī)知識簡介
1、信息網絡相關的問題
1.1計算機犯罪
計算機犯罪是指行為人通過計算機操作所實施的危害計算機信息系統(包括內存及程序)安全以及其他嚴重危害社會的并應當處以刑罰的行為。計算機犯罪產生于20世紀60年代,到本世紀初已呈猖獗之勢,并為各國所重視。計算機犯罪實質特征主要表現在:計算機本身的不可或缺性和不可替代性,在某種意義上作為犯罪對象出現的特性,明確了計算機犯罪侵犯的客體,計算機犯罪可以分為兩大類型:一類是行為人利用計算機操作實施的非法侵入或破壞計算機信息系統安全,從而給社會造成嚴重危害的并應處以刑罰的行為;另一類是利用計算機操作實施的初非法侵入或破壞計算機信息系統安全以外的其他嚴重危害社會的并應處以刑罰的行為。
1.2信息網絡相關的民事問題
在計算機安全使用方面,不僅存在犯罪問題,也存在民事問題。任何人都可以對任何人任何事提取民事訴訟。網絡管理方面的漏洞、人為的誤操作都可能造成信息安全相關的民事問題。
1.3信息網絡相關的隱私問題
隱私問題是信息安全和保密中所設計到的非常重要的一個問題,隱私問題在個人、組織中都存在。利用法律手段有效保護組織和個人的隱私具有非常重要意義。信息安全隱私越來越受到人們的關注。
2、信息安全法
2.1信息安全法的概念
信息安全法律法規(guī):信息安全法律法規(guī)泛指用于規(guī)范信息系統或與信息系統相關行為的法律法規(guī),信息安全法律法規(guī)具有命令性、禁止性和強制性。命令性和禁止性要求法律關系主體應當從事一定行為的規(guī)范,其規(guī)定的行為規(guī)則的內容是確定的,不允許主體一方或雙方任意改變或違反,具體強制性。如果不執(zhí)行,就要受到一定的法律制裁。僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養(yǎng)體系的重要途徑與任務。
2.2 信息安全法的特點
a.綜合法:既有單行法律法規(guī),如《電子簽名法》,《計算機信息系統安全保護條例》等,又有散見于各種法律和法規(guī)及部門規(guī)章之中。
b.主體多樣性:法律法規(guī)本身的制定主體相對統一,但部門規(guī)章的制定者涉及多個部委。
c.保護客體的非物質性:信息的特性。
d.載體的豐富性:紙制、電子材料。
2.3信息安全法的保護對象
a.國家信息安全:突出表現為刑法,包括對國家重要信息資源的保護,對攻擊和危害宣傳的懲治。
b.社會信息安全:涉及社會的安全和穩(wěn)定。
c.市場信息安全:保護涉及到維護經濟秩序和市場的安全和穩(wěn)定。
d.個人信息安全:公民人身、財產安全。
2.4 信息安全法的劃分
2.4.1從信息的主體劃分
政府相關,如《國家保守秘密法》、電子政務安全等。民事主體,知識產權、人格權法等。
2.4.2從信息載體不同劃分
電信類,《關于維護互聯網安全的決定》、《電子簽名法》等。
非電信類,如《郵政法》、《統計法》、《氣象法》等中關于信息的規(guī)定。
2.4.3從承擔法律責任劃分
刑事責任:《刑法》有關信息犯罪的條款。
民事責任:《合同法》、《民法通則》、知識產權相關法規(guī)等。
行政責任:國務院、部委制定的規(guī)章。
從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要,這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇。根據對信息安全法律法規(guī)內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業(yè)中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規(guī)選修課程學生容易接受,具有可操作性。
2.5涉及到信息安全法律法規(guī)內容的特點
信息安全的特點決定了其法律、法規(guī)內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規(guī)。
2.5.1目的多樣性
作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的。
2.5.2涉及領域的廣泛性
隨著網絡技術的迅速發(fā)展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業(yè)企業(yè)機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域。
2.5.3技術的復雜性
信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
2.5.4信息安全法律優(yōu)先地位
綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規(guī)體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優(yōu)先發(fā)展的地位。
3、網絡信息安全等級保護制度
當前計算機信息系統的建設者、管理者和使用者都面臨著一個共同的問題,就是他們建設、管理或使用的信息系統是否是安全的?如何評價系統的安全性?這就需要有一整套用于規(guī)范計算機信息系統安全建設和使用的標準和管理辦法。
3.1等級保護制度的意義
為切實加強重要領域信息系統安全的規(guī)范化建設和管理,全面提高國家信息系統安全保護的整體水平,使公安機關公共信息網絡安全監(jiān)察工作更加科學、規(guī)范,指導工作更具體、明確,公安部組織制訂了《計算機信息系統安全保護等級劃分準則》國家標準,并于1999年9 月13日由國家質量技術監(jiān)督局審查通過并正式批準發(fā)布,已于 2001年1月1日執(zhí)行。該準則的發(fā)布為計算機信息系統安全法規(guī)和配套標準的制定和執(zhí)法部門的監(jiān)督檢查提供了依據,為安全產品的研制提供了技術支持,為安全系統的建設和管理提供了技術指導,是我國計算機信息系統安全保護等級工作的基礎。
3.2等級化系統的建設
信息系統等級的劃分方法(自主評級)
實施步驟:業(yè)務影響分析、劃分子系統,確定子系統邊界,確定安全保護等級,子系統間訪問關系的模型化,安全風險分析與控制措施調整,確定系統保護安全計劃,系統等級和安全計劃的批準。
3.3中國的等級保護體系
1989年公安部開始設計起草法律和標準,在起草過程中經過長期的對國內外廣泛的調查和研究,特別是對國外的法律法規(guī)、政府政策、標準和計算機犯罪的研究,使我們認識到要從法律、管理和技術三個方面著手;采取的措施要從國家制度的角度來看問題,對信息安全要實行等級保護制度。
3.4《計算機信息系統安全保護等級劃分準則》意義
1.該準則的發(fā)布為計算機信息系統安全法規(guī)和配套標準的制定和執(zhí)法部門的監(jiān)督檢查提供了依據
2.為安全產品的研制提供了技術支持
3.為安全系統的建設和管理提供了技術指導是我國計算機信息系統安全保護等級工作的基礎
3.5計算機信息系統安全保護等級劃分為五個級別
第一級:用戶自主保護級;
第二級:系統審計保護級;
第三級:安全標記保護級;
第四級:結構化保護級;
第五級:訪問驗證保護級。
3.6需要實施安全等級保護的信息系統為
- 黨政系統(黨委、政府);
- 金融系統(銀行、保險、證券);
- 財稅系統(財政、稅務、工商);
- 經貿系統(商業(yè)貿易、海關);
- 電信系統(郵電、電信、廣播、電視);
- 能源系統(電力、熱力、燃氣、煤炭、油料);
- 交通運輸系統(航空、航天、鐵路、公路、水運、海運);
- 供水系統(水利及水源供給);
- 社會應急服務系統(醫(yī)療、消防、緊急救援);
- 教育科研系統(教育、科研、尖端科技);
- 國防建設系統;
-國有大中型企業(yè)系統;
-互聯單位、接入單位、重點網站及向公眾提供上網服務場所的計算機信息系統.
3.7等級保護是國家基本政策
信息安全等級保護是《中華人民共和國計算機信息系統安全保護條例》規(guī)定的法定保護制度,具有強制性;以國家制度推進信息和信息系統安全保護責任的落實;符合客觀實際,具有科學性;具有自我保護與國家保護相結合的長效保護機制;突出保護重點,國家優(yōu)先重點保護涉及國計民生的信息系統,國家基礎信息網絡和重要信息系統內分級重點保護三級以上的局域網和子系統安全;具有整體保護性,在突出重點,兼顧一般的原則下,著重加強重點、要害部位,由點到面進行保護,逐步實現信息安全整體保障。
4、建立國家信息安全等級保護機制
4.1國家實行信息安全等級保護
必須緊緊抓住抓好五個關鍵環(huán)節(jié),形成長效信息安全等級保護運行機制。國家信息安全等級保護制度運行機制有以下關鍵環(huán)節(jié)構成:
a.法律規(guī)范
b.管理與技術規(guī)范
c.實施過程控制
d.結果控制
e.監(jiān)督管理。
4.2信息系統安全等級保護制度實施方法
首先,公安、國家保密、國家密碼管理、技術監(jiān)督、信息產業(yè)等國家有關信息網絡安全的行政主管部門要在國家信息化領導小組的統一領導下,制定我國開展信息網絡安全等級保護工作的發(fā)展政策,統一制定針對不同安全保護等級的管理規(guī)定和技術標準,對不同信息網絡確定不同安全保護等級和實施不同的監(jiān)督管理措施,既包括依法進行行政監(jiān)督、檢查和指導,也包括依據國家技術標準進行的技術檢查和評估。
其次,等級保護堅持“誰主管、誰負責;誰經營、誰負責;誰建設、誰負責;誰使用、誰負責。”的原則。
第三,等級保護實行“國家主導;重點單位強制,一般單位自愿;高保護級別強制,低保護級別自愿”的監(jiān)管原則。
第四,信息網絡安全狀況等級的技術檢測是等級保護的重點。由國家授權的技術檢測機構通過技術檢測來進行評定。技術檢測機構需取得國家主管部門的技術資質和授權后,方可從事信息網絡安全等級保護的技術檢測。
4.3計劃在五年左右的時間在全國范圍內分三個階段實施信息安全等級保護制度
1、準備階段
2、試行階段
3、全面實行階段
5 我國信息安全法規(guī)概述
5.1建設信息安全法律法規(guī)的意義:
1、信息安全保障體系的建設中的必要環(huán)節(jié)
2、明確信息安全的基本原則和基本制度、信息安全保障體系的建設、信息安全相關行為的規(guī)范、信息安全中各方權利義務明確違反信息安全的行為,并對其行為進行相應的處罰等。
5.2信息安全立法的法治作用和目標是保護國家信息主權和社會公共利益
1、信息安全立法的首要目標是規(guī)范信息主體的信息活動
2、信息安全立法規(guī)范作用的直接體現。保護信息主體的信息權利,協調和解決信息社會產生的矛盾,打擊、懲治信息空間的違法行為。
5.3信息安全法規(guī)分類
從縱向的層次分:即按立法機關的權限和法律的效力層次來確定的憲法具有最高效力、法律、行政法規(guī)、行政規(guī)章、地方性法規(guī)
從橫向的領域、部門確定憲法和憲法性法律、行政法、民商法、經濟法、刑法、社會法等。
5.4 我國立法原則
誰主管、誰負責的原則,突出重點的原則,預防為主的原則,安全審計的原則,風險管理的原則A誰主管、誰負責的原則例如,《互聯網上網服務營業(yè)場所管理辦法》第三條規(guī)定如下:
國務院信息產業(yè)部主管部門和省、自治區(qū)、直轄市電信管理機構負責,并有責任組織協調和督促檢查同級有關部門,在各自職責范圍內,依照本辦法的規(guī)定,負責互聯網上網服務營業(yè)場所的監(jiān)督管理工作。
省、自治區(qū)、直轄市電信管理機構,負責互聯網上網服務營業(yè)場所經營許可審批和服務質量監(jiān)督。
公安部負責互聯網上網服務營業(yè)場所安全審核和對違反網絡安全管理規(guī)定行為的查處。
文化部門負責管理互聯網上網服務營業(yè)場所中含有色情、賭博、暴露、愚昧迷信等不健康電腦游戲的查處。
工商行政管理部門負責核發(fā)互聯網上網營業(yè)場所的營業(yè)制造和對無照經營、超范圍經營等違法行為的查處。
B.突出重點的原則
例如,《中華人民共和國計算機信息系統安全保護條例》第四條規(guī)定:計算機信息系統的安全保護工作,重點維護國家事務、經濟建設、尖端科學技術等重要領域的計算機信息系統的安全。
C.預防為主的原則
如對病毒的預防,對非法入侵的防范等。
D.安全審計的原則
例如:在《計算機信息系統安全保護等級劃分準則》的第4.4.6款中,有關審計的說明如下:
計算機信息系統可信計算基能維護受保護的客體的訪問審計跟蹤記錄,并能阻止非授權的用戶對它訪問或破壞。
對不能由計算機信息系統可信計算基獨立分別的審計事件,審計機制提供審計記錄接口,可由授權主體調用。
E.風險管理的原則
任何信息系統中都存在的脆弱點,它可以存在于計算機系統和網絡中或管理過程中。脆弱點可以利用它的技術難度和級別來表征。脆弱點很容易受到威脅或攻擊,因此要識別出脆弱點,識別出威脅,從而進行有效的防范。因為有風險,要評估出威脅出現后或攻擊成功時系統所遭受的損失,從而衡量風險,并對風險進行管理。
總體看來,目前這些法律法規(guī)主要存在三個方面有待完善的地方:
第一,這些法律法規(guī)主要內容集中在對物理環(huán) 境的要求、行政管理的要求等方面,對于涉及信息安全的行 為規(guī)范一般都規(guī)定的比較簡單 ,在具體執(zhí)行上指引性還不是很強;
第二,目前這些法律法規(guī)普遍在處罰措施 方面規(guī)定得不夠具體,導致在信息安全領域實施處罰時法律依據的不足;
第三,在一些特定的信息化應用領域,如 電子商務、電子政務、網上支付等 ,相應的信息安全 規(guī)范相對欠缺,有待于進一步發(fā)展。
