熱線:信息安全法規(guī)知識簡介
發(fā)布時間:2020-07-23 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
信息安全法規(guī)知識簡介
1、信息網(wǎng)絡(luò)相關(guān)的問題
1.1計算機(jī)犯罪
計算機(jī)犯罪是指行為人通過計算機(jī)操作所實施的危害計算機(jī)信息系統(tǒng)(包括內(nèi)存及程序)安全以及其他嚴(yán)重危害社會的并應(yīng)當(dāng)處以刑罰的行為。計算機(jī)犯罪產(chǎn)生于20世紀(jì)60年代,到本世紀(jì)初已呈猖獗之勢,并為各國所重視。計算機(jī)犯罪實質(zhì)特征主要表現(xiàn)在:計算機(jī)本身的不可或缺性和不可替代性,在某種意義上作為犯罪對象出現(xiàn)的特性,明確了計算機(jī)犯罪侵犯的客體,計算機(jī)犯罪可以分為兩大類型:一類是行為人利用計算機(jī)操作實施的非法侵入或破壞計算機(jī)信息系統(tǒng)安全,從而給社會造成嚴(yán)重危害的并應(yīng)處以刑罰的行為;另一類是利用計算機(jī)操作實施的初非法侵入或破壞計算機(jī)信息系統(tǒng)安全以外的其他嚴(yán)重危害社會的并應(yīng)處以刑罰的行為。
1.2信息網(wǎng)絡(luò)相關(guān)的民事問題
在計算機(jī)安全使用方面,不僅存在犯罪問題,也存在民事問題。任何人都可以對任何人任何事提取民事訴訟。網(wǎng)絡(luò)管理方面的漏洞、人為的誤操作都可能造成信息安全相關(guān)的民事問題。
1.3信息網(wǎng)絡(luò)相關(guān)的隱私問題
隱私問題是信息安全和保密中所設(shè)計到的非常重要的一個問題,隱私問題在個人、組織中都存在。利用法律手段有效保護(hù)組織和個人的隱私具有非常重要意義。信息安全隱私越來越受到人們的關(guān)注。
2、信息安全法
2.1信息安全法的概念
信息安全法律法規(guī):信息安全法律法規(guī)泛指用于規(guī)范信息系統(tǒng)或與信息系統(tǒng)相關(guān)行為的法律法規(guī),信息安全法律法規(guī)具有命令性、禁止性和強(qiáng)制性。命令性和禁止性要求法律關(guān)系主體應(yīng)當(dāng)從事一定行為的規(guī)范,其規(guī)定的行為規(guī)則的內(nèi)容是確定的,不允許主體一方或雙方任意改變或違反,具體強(qiáng)制性。如果不執(zhí)行,就要受到一定的法律制裁。僅就法學(xué)而言,信息安全涉及的法學(xué)領(lǐng)域就包括:刑法(計算機(jī)犯罪,包括非法侵入計算機(jī)信息系統(tǒng)罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產(chǎn)權(quán)法(著作權(quán)的侵害、信息網(wǎng)絡(luò)傳播權(quán)等)等許多法學(xué)分支.因此,信息安全教育不是一項單一技術(shù)方面的教育,加強(qiáng)相關(guān)法律課程設(shè)置,是信息安全學(xué)科建設(shè)過程中健全人才培養(yǎng)體系的重要途徑與任務(wù)。
2.2 信息安全法的特點
a.綜合法:既有單行法律法規(guī),如《電子簽名法》,《計算機(jī)信息系統(tǒng)安全保護(hù)條例》等,又有散見于各種法律和法規(guī)及部門規(guī)章之中。
b.主體多樣性:法律法規(guī)本身的制定主體相對統(tǒng)一,但部門規(guī)章的制定者涉及多個部委。
c.保護(hù)客體的非物質(zhì)性:信息的特性。
d.載體的豐富性:紙制、電子材料。
2.3信息安全法的保護(hù)對象
a.國家信息安全:突出表現(xiàn)為刑法,包括對國家重要信息資源的保護(hù),對攻擊和危害宣傳的懲治。
b.社會信息安全:涉及社會的安全和穩(wěn)定。
c.市場信息安全:保護(hù)涉及到維護(hù)經(jīng)濟(jì)秩序和市場的安全和穩(wěn)定。
d.個人信息安全:公民人身、財產(chǎn)安全。
2.4 信息安全法的劃分
2.4.1從信息的主體劃分
政府相關(guān),如《國家保守秘密法》、電子政務(wù)安全等。民事主體,知識產(chǎn)權(quán)、人格權(quán)法等。
2.4.2從信息載體不同劃分
電信類,《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《電子簽名法》等。
非電信類,如《郵政法》、《統(tǒng)計法》、《氣象法》等中關(guān)于信息的規(guī)定。
2.4.3從承擔(dān)法律責(zé)任劃分
刑事責(zé)任:《刑法》有關(guān)信息犯罪的條款。
民事責(zé)任:《合同法》、《民法通則》、知識產(chǎn)權(quán)相關(guān)法規(guī)等。
行政責(zé)任:國務(wù)院、部委制定的規(guī)章。
從本質(zhì)上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術(shù)革命過程中產(chǎn)生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權(quán)衡和價值判斷的需要,這也就要求我們跳出技術(shù)思維的影響,重視信息安全中的法律范疇。根據(jù)對信息安全法律法規(guī)內(nèi)容的特點分析可知:信息安全技術(shù)與計算機(jī)應(yīng)用技術(shù)有著千絲萬縷的聯(lián)系.從事計算機(jī)技術(shù)的人員很容易轉(zhuǎn)到從事信息安全技術(shù)研究上,加之信息安全技術(shù)是當(dāng)今最熱門技術(shù)之一,因此,在高師計算機(jī)專業(yè)中開設(shè)一些基本的信息安全技術(shù)選修課程、開設(shè)一些與法律體系緊密關(guān)聯(lián)的信息安全法律法規(guī)選修課程學(xué)生容易接受,具有可操作性。
2.5涉及到信息安全法律法規(guī)內(nèi)容的特點
信息安全的特點決定了其法律、法規(guī)內(nèi)容多數(shù)情況下都涉及到網(wǎng)絡(luò)技術(shù)、涉及到與網(wǎng)絡(luò)有關(guān)的法律、法規(guī)。
2.5.1目的多樣性
作為信息安全的破壞者,其目的多種多樣,如利用網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)詐騙;利用網(wǎng)絡(luò)獲取國家政治、經(jīng)濟(jì)、軍事情報;利用網(wǎng)絡(luò)顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復(fù)雜多樣的。
2.5.2涉及領(lǐng)域的廣泛性
隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,信息化的浪潮席卷全球,信息化和經(jīng)濟(jì)全球化互相交織,信息在經(jīng)濟(jì)和社會活動中的作用甚至超過資本,成為經(jīng)濟(jì)增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關(guān)注,大到軍事政治等機(jī)密安全,小到防范商業(yè)企業(yè)機(jī)密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經(jīng)濟(jì)、政治、軍事等的各個部門、各個領(lǐng)域。
2.5.3技術(shù)的復(fù)雜性
信息安全不僅涉及到技術(shù)問題,也涉及到管理問題,信息安全技術(shù)又涉及到網(wǎng)絡(luò)、編碼等多門學(xué)科,保護(hù)信息安全的技術(shù)不僅需要法律作支撐,而且研究法律保護(hù)同時,又需要考慮其技術(shù)性的特征,符合技術(shù)上的要求.
2.5.4信息安全法律優(yōu)先地位
綜上所述,信息安全的法律保護(hù)不是靠一部法律所能實現(xiàn)的,而是要靠涉及到信息安全技術(shù)各分支的信息安全法律法規(guī)體系來實現(xiàn).因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網(wǎng)絡(luò)法的雙重地位,必須與網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)立法同步建設(shè),因此,具有優(yōu)先發(fā)展的地位。
3、網(wǎng)絡(luò)信息安全等級保護(hù)制度
當(dāng)前計算機(jī)信息系統(tǒng)的建設(shè)者、管理者和使用者都面臨著一個共同的問題,就是他們建設(shè)、管理或使用的信息系統(tǒng)是否是安全的?如何評價系統(tǒng)的安全性?這就需要有一整套用于規(guī)范計算機(jī)信息系統(tǒng)安全建設(shè)和使用的標(biāo)準(zhǔn)和管理辦法。
3.1等級保護(hù)制度的意義
為切實加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理,全面提高國家信息系統(tǒng)安全保護(hù)的整體水平,使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué)、規(guī)范,指導(dǎo)工作更具體、明確,公安部組織制訂了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》國家標(biāo)準(zhǔn),并于1999年9 月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布,已于 2001年1月1日執(zhí)行。該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù),為安全產(chǎn)品的研制提供了技術(shù)支持,為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo),是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ)。
3.2等級化系統(tǒng)的建設(shè)
信息系統(tǒng)等級的劃分方法(自主評級)
實施步驟:業(yè)務(wù)影響分析、劃分子系統(tǒng),確定子系統(tǒng)邊界,確定安全保護(hù)等級,子系統(tǒng)間訪問關(guān)系的模型化,安全風(fēng)險分析與控制措施調(diào)整,確定系統(tǒng)保護(hù)安全計劃,系統(tǒng)等級和安全計劃的批準(zhǔn)。
3.3中國的等級保護(hù)體系
1989年公安部開始設(shè)計起草法律和標(biāo)準(zhǔn),在起草過程中經(jīng)過長期的對國內(nèi)外廣泛的調(diào)查和研究,特別是對國外的法律法規(guī)、政府政策、標(biāo)準(zhǔn)和計算機(jī)犯罪的研究,使我們認(rèn)識到要從法律、管理和技術(shù)三個方面著手;采取的措施要從國家制度的角度來看問題,對信息安全要實行等級保護(hù)制度。
3.4《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》意義
1.該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)
2.為安全產(chǎn)品的研制提供了技術(shù)支持
3.為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ)
3.5計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為五個級別
第一級:用戶自主保護(hù)級;
第二級:系統(tǒng)審計保護(hù)級;
第三級:安全標(biāo)記保護(hù)級;
第四級:結(jié)構(gòu)化保護(hù)級;
第五級:訪問驗證保護(hù)級。
3.6需要實施安全等級保護(hù)的信息系統(tǒng)為
- 黨政系統(tǒng)(黨委、政府);
- 金融系統(tǒng)(銀行、保險、證券);
- 財稅系統(tǒng)(財政、稅務(wù)、工商);
- 經(jīng)貿(mào)系統(tǒng)(商業(yè)貿(mào)易、海關(guān));
- 電信系統(tǒng)(郵電、電信、廣播、電視);
- 能源系統(tǒng)(電力、熱力、燃?xì)?、煤炭、油?;
- 交通運輸系統(tǒng)(航空、航天、鐵路、公路、水運、海運);
- 供水系統(tǒng)(水利及水源供給);
- 社會應(yīng)急服務(wù)系統(tǒng)(醫(yī)療、消防、緊急救援);
- 教育科研系統(tǒng)(教育、科研、尖端科技);
- 國防建設(shè)系統(tǒng);
-國有大中型企業(yè)系統(tǒng);
-互聯(lián)單位、接入單位、重點網(wǎng)站及向公眾提供上網(wǎng)服務(wù)場所的計算機(jī)信息系統(tǒng).
3.7等級保護(hù)是國家基本政策
信息安全等級保護(hù)是《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定的法定保護(hù)制度,具有強(qiáng)制性;以國家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任的落實;符合客觀實際,具有科學(xué)性;具有自我保護(hù)與國家保護(hù)相結(jié)合的長效保護(hù)機(jī)制;突出保護(hù)重點,國家優(yōu)先重點保護(hù)涉及國計民生的信息系統(tǒng),國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級重點保護(hù)三級以上的局域網(wǎng)和子系統(tǒng)安全;具有整體保護(hù)性,在突出重點,兼顧一般的原則下,著重加強(qiáng)重點、要害部位,由點到面進(jìn)行保護(hù),逐步實現(xiàn)信息安全整體保障。
4、建立國家信息安全等級保護(hù)機(jī)制
4.1國家實行信息安全等級保護(hù)
必須緊緊抓住抓好五個關(guān)鍵環(huán)節(jié),形成長效信息安全等級保護(hù)運行機(jī)制。國家信息安全等級保護(hù)制度運行機(jī)制有以下關(guān)鍵環(huán)節(jié)構(gòu)成:
a.法律規(guī)范
b.管理與技術(shù)規(guī)范
c.實施過程控制
d.結(jié)果控制
e.監(jiān)督管理。
4.2信息系統(tǒng)安全等級保護(hù)制度實施方法
首先,公安、國家保密、國家密碼管理、技術(shù)監(jiān)督、信息產(chǎn)業(yè)等國家有關(guān)信息網(wǎng)絡(luò)安全的行政主管部門要在國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下,制定我國開展信息網(wǎng)絡(luò)安全等級保護(hù)工作的發(fā)展政策,統(tǒng)一制定針對不同安全保護(hù)等級的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),對不同信息網(wǎng)絡(luò)確定不同安全保護(hù)等級和實施不同的監(jiān)督管理措施,既包括依法進(jìn)行行政監(jiān)督、檢查和指導(dǎo),也包括依據(jù)國家技術(shù)標(biāo)準(zhǔn)進(jìn)行的技術(shù)檢查和評估。
其次,等級保護(hù)堅持“誰主管、誰負(fù)責(zé);誰經(jīng)營、誰負(fù)責(zé);誰建設(shè)、誰負(fù)責(zé);誰使用、誰負(fù)責(zé)。”的原則。
第三,等級保護(hù)實行“國家主導(dǎo);重點單位強(qiáng)制,一般單位自愿;高保護(hù)級別強(qiáng)制,低保護(hù)級別自愿”的監(jiān)管原則。
第四,信息網(wǎng)絡(luò)安全狀況等級的技術(shù)檢測是等級保護(hù)的重點。由國家授權(quán)的技術(shù)檢測機(jī)構(gòu)通過技術(shù)檢測來進(jìn)行評定。技術(shù)檢測機(jī)構(gòu)需取得國家主管部門的技術(shù)資質(zhì)和授權(quán)后,方可從事信息網(wǎng)絡(luò)安全等級保護(hù)的技術(shù)檢測。
4.3計劃在五年左右的時間在全國范圍內(nèi)分三個階段實施信息安全等級保護(hù)制度
1、準(zhǔn)備階段
2、試行階段
3、全面實行階段
5 我國信息安全法規(guī)概述
5.1建設(shè)信息安全法律法規(guī)的意義:
1、信息安全保障體系的建設(shè)中的必要環(huán)節(jié)
2、明確信息安全的基本原則和基本制度、信息安全保障體系的建設(shè)、信息安全相關(guān)行為的規(guī)范、信息安全中各方權(quán)利義務(wù)明確違反信息安全的行為,并對其行為進(jìn)行相應(yīng)的處罰等。
5.2信息安全立法的法治作用和目標(biāo)是保護(hù)國家信息主權(quán)和社會公共利益
1、信息安全立法的首要目標(biāo)是規(guī)范信息主體的信息活動
2、信息安全立法規(guī)范作用的直接體現(xiàn)。保護(hù)信息主體的信息權(quán)利,協(xié)調(diào)和解決信息社會產(chǎn)生的矛盾,打擊、懲治信息空間的違法行為。
5.3信息安全法規(guī)分類
從縱向的層次分:即按立法機(jī)關(guān)的權(quán)限和法律的效力層次來確定的憲法具有最高效力、法律、行政法規(guī)、行政規(guī)章、地方性法規(guī)
從橫向的領(lǐng)域、部門確定憲法和憲法性法律、行政法、民商法、經(jīng)濟(jì)法、刑法、社會法等。
5.4 我國立法原則
誰主管、誰負(fù)責(zé)的原則,突出重點的原則,預(yù)防為主的原則,安全審計的原則,風(fēng)險管理的原則A誰主管、誰負(fù)責(zé)的原則例如,《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理辦法》第三條規(guī)定如下:
國務(wù)院信息產(chǎn)業(yè)部主管部門和省、自治區(qū)、直轄市電信管理機(jī)構(gòu)負(fù)責(zé),并有責(zé)任組織協(xié)調(diào)和督促檢查同級有關(guān)部門,在各自職責(zé)范圍內(nèi),依照本辦法的規(guī)定,負(fù)責(zé)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所的監(jiān)督管理工作。
省、自治區(qū)、直轄市電信管理機(jī)構(gòu),負(fù)責(zé)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營許可審批和服務(wù)質(zhì)量監(jiān)督。
公安部負(fù)責(zé)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所安全審核和對違反網(wǎng)絡(luò)安全管理規(guī)定行為的查處。
文化部門負(fù)責(zé)管理互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所中含有色情、賭博、暴露、愚昧迷信等不健康電腦游戲的查處。
工商行政管理部門負(fù)責(zé)核發(fā)互聯(lián)網(wǎng)上網(wǎng)營業(yè)場所的營業(yè)制造和對無照經(jīng)營、超范圍經(jīng)營等違法行為的查處。
B.突出重點的原則
例如,《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》第四條規(guī)定:計算機(jī)信息系統(tǒng)的安全保護(hù)工作,重點維護(hù)國家事務(wù)、經(jīng)濟(jì)建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機(jī)信息系統(tǒng)的安全。
C.預(yù)防為主的原則
如對病毒的預(yù)防,對非法入侵的防范等。
D.安全審計的原則
例如:在《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》的第4.4.6款中,有關(guān)審計的說明如下:
計算機(jī)信息系統(tǒng)可信計算基能維護(hù)受保護(hù)的客體的訪問審計跟蹤記錄,并能阻止非授權(quán)的用戶對它訪問或破壞。
對不能由計算機(jī)信息系統(tǒng)可信計算基獨立分別的審計事件,審計機(jī)制提供審計記錄接口,可由授權(quán)主體調(diào)用。
E.風(fēng)險管理的原則
任何信息系統(tǒng)中都存在的脆弱點,它可以存在于計算機(jī)系統(tǒng)和網(wǎng)絡(luò)中或管理過程中。脆弱點可以利用它的技術(shù)難度和級別來表征。脆弱點很容易受到威脅或攻擊,因此要識別出脆弱點,識別出威脅,從而進(jìn)行有效的防范。因為有風(fēng)險,要評估出威脅出現(xiàn)后或攻擊成功時系統(tǒng)所遭受的損失,從而衡量風(fēng)險,并對風(fēng)險進(jìn)行管理。
總體看來,目前這些法律法規(guī)主要存在三個方面有待完善的地方:
第一,這些法律法規(guī)主要內(nèi)容集中在對物理環(huán) 境的要求、行政管理的要求等方面,對于涉及信息安全的行 為規(guī)范一般都規(guī)定的比較簡單 ,在具體執(zhí)行上指引性還不是很強(qiáng);
第二,目前這些法律法規(guī)普遍在處罰措施 方面規(guī)定得不夠具體,導(dǎo)致在信息安全領(lǐng)域?qū)嵤┨幜P時法律依據(jù)的不足;
第三,在一些特定的信息化應(yīng)用領(lǐng)域,如 電子商務(wù)、電子政務(wù)、網(wǎng)上支付等 ,相應(yīng)的信息安全 規(guī)范相對欠缺,有待于進(jìn)一步發(fā)展。
