信息安全法规知识简介
发布时间:2020-07-23 作者:广汇联合 来源:广汇联合
信息安全法规知识简介
1、信息网络相关的问题
1.1计算机犯罪
计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪产生于20世纪60年代,到本世纪初已呈猖獗之势,并为各国所重视。计算机犯罪实质特征主要表现在:计算机本身的不可或缺性和不可替代性,在某种意义上作为犯罪对象出现的特性,明确了计算机犯罪侵犯的客体,计算机犯罪可以分为两大类型:一类是行为人利用计算机操作实施的非法侵入或破坏计算机信息系统安全,从而给社会造成严重危害的并应处以刑罚的行为;另一类是利用计算机操作实施的初非法侵入或破坏计算机信息系统安全以外的其他严重危害社会的并应处以刑罚的行为。
1.2信息网络相关的民事问题
在计算机安全使用方面,不仅存在犯罪问题,也存在民事问题。任何人都可以对任何人任何事提取民事诉讼。网络管理方面的漏洞、人为的误操作都可能造成信息安全相关的民事问题。
1.3信息网络相关的隐私问题
隐私问题是信息安全和保密中所设计到的非常重要的一个问题,隐私问题在个人、组织中都存在。利用法律手段有效保护组织和个人的隐私具有非常重要意义。信息安全隐私越来越受到人们的关注。
2、信息安全法
2.1信息安全法的概念
信息安全法律法规:信息安全法律法规泛指用于规范信息系统或与信息系统相关行为的法律法规,信息安全法律法规具有命令性、禁止性和强制性。命令性和禁止性要求法律关系主体应当从事一定行为的规范,其规定的行为规则的内容是确定的,不允许主体一方或双方任意改变或违反,具体强制性。如果不执行,就要受到一定的法律制裁。仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(着作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务。
2.2 信息安全法的特点
a.综合法:既有单行法律法规,如《电子签名法》,《计算机信息系统安全保护条例》等,又有散见于各种法律和法规及部门规章之中。
b.主体多样性:法律法规本身的制定主体相对统一,但部门规章的制定者涉及多个部委。
c.保护客体的非物质性:信息的特性。
d.载体的丰富性:纸制、电子材料。
2.3信息安全法的保护对象
a.国家信息安全:突出表现为刑法,包括对国家重要信息资源的保护,对攻击和危害宣传的惩治。
b.社会信息安全:涉及社会的安全和稳定。
c.市场信息安全:保护涉及到维护经济秩序和市场的安全和稳定。
d.个人信息安全:公民人身、财产安全。
2.4 信息安全法的划分
2.4.1从信息的主体划分
政府相关,如《国家保守秘密法》、电子政务安全等。民事主体,知识产权、人格权法等。
2.4.2从信息载体不同划分
电信类,《关于维护互联网安全的决定》、《电子签名法》等。
非电信类,如《邮政法》、《统计法》、《气象法》等中关于信息的规定。
2.4.3从承担法律责任划分
刑事责任:《刑法》有关信息犯罪的条款。
民事责任:《合同法》、《民法通则》、知识产权相关法规等。
行政责任:国务院、部委制定的规章。
从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要,这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴。根据对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性。
2.5涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规。
2.5.1目的多样性
作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的。
2.5.2涉及领域的广泛性
随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域。
2.5.3技术的复杂性
信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
2.5.4信息安全法律优先地位
综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位。
3、网络信息安全等级保护制度
当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题,就是他们建设、管理或使用的信息系统是否是安全的?如何评价系统的安全性?这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。
3.1等级保护制度的意义
为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准,并于1999年9 月13日由国家质量技术监督局审查通过并正式批准发布,已于 2001年1月1日执行。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。
3.2等级化系统的建设
信息系统等级的划分方法(自主评级)
实施步骤:业务影响分析、划分子系统,确定子系统边界,确定安全保护等级,子系统间访问关系的模型化,安全风险分析与控制措施调整,确定系统保护安全计划,系统等级和安全计划的批准。
3.3中国的等级保护体系
1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和研究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题,对信息安全要实行等级保护制度。
3.4《计算机信息系统安全保护等级划分准则》意义
1.该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据
2.为安全产品的研制提供了技术支持
3.为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础
3.5计算机信息系统安全保护等级划分为五个级别
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
3.6需要实施安全等级保护的信息系统为
- 党政系统(党委、政府);
- 金融系统(银行、保险、证券);
- 财税系统(财政、税务、工商);
- 经贸系统(商业贸易、海关);
- 电信系统(邮电、电信、广播、电视);
- 能源系统(电力、热力、燃气、煤炭、油料);
- 交通运输系统(航空、航天、铁路、公路、水运、海运);
- 供水系统(水利及水源供给);
- 社会应急服务系统(医疗、消防、紧急救援);
- 教育科研系统(教育、科研、尖端科技);
- 国防建设系统;
-国有大中型企业系统;
-互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统.
3.7等级保护是国家基本政策
信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度,具有强制性;以国家制度推进信息和信息系统安全保护责任的落实;符合客观实际,具有科学性;具有自我保护与国家保护相结合的长效保护机制;突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位,由点到面进行保护,逐步实现信息安全整体保障。
4、建立国家信息安全等级保护机制
4.1国家实行信息安全等级保护
必须紧紧抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成:
a.法律规范
b.管理与技术规范
c.实施过程控制
d.结果控制
e.监督管理。
4.2信息系统安全等级保护制度实施方法
首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。
其次,等级保护坚持“谁主管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负责。”的原则。
第三,等级保护实行“国家主导;重点单位强制,一般单位自愿;高保护级别强制,低保护级别自愿”的监管原则。
第四,信息网络安全状况等级的技术检测是等级保护的重点。由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后,方可从事信息网络安全等级保护的技术检测。
4.3计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度
1、准备阶段
2、试行阶段
3、全面实行阶段
5 我国信息安全法规概述
5.1建设信息安全法律法规的意义:
1、信息安全保障体系的建设中的必要环节
2、明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为,并对其行为进行相应的处罚等。
5.2信息安全立法的法治作用和目标是保护国家信息主权和社会公共利益
1、信息安全立法的首要目标是规范信息主体的信息活动
2、信息安全立法规范作用的直接体现。保护信息主体的信息权利,协调和解决信息社会产生的矛盾,打击、惩治信息空间的违法行为。
5.3信息安全法规分类
从纵向的层次分:即按立法机关的权限和法律的效力层次来确定的宪法具有最高效力、法律、行政法规、行政规章、地方性法规
从横向的领域、部门确定宪法和宪法性法律、行政法、民商法、经济法、刑法、社会法等。
5.4 我国立法原则
谁主管、谁负责的原则,突出重点的原则,预防为主的原则,安全审计的原则,风险管理的原则A谁主管、谁负责的原则例如,《互联网上网服务营业场所管理办法》第三条规定如下:
国务院信息产业部主管部门和省、自治区、直辖市电信管理机构负责,并有责任组织协调和督促检查同级有关部门,在各自职责范围内,依照本办法的规定,负责互联网上网服务营业场所的监督管理工作。
省、自治区、直辖市电信管理机构,负责互联网上网服务营业场所经营许可审批和服务质量监督。
公安部负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。
文化部门负责管理互联网上网服务营业场所中含有色情、赌博、暴露、愚昧迷信等不健康电脑游戏的查处。
工商行政管理部门负责核发互联网上网营业场所的营业制造和对无照经营、超范围经营等违法行为的查处。
B.突出重点的原则
例如,《中华人民共和国计算机信息系统安全保护条例》第四条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统的安全。
C.预防为主的原则
如对病毒的预防,对非法入侵的防范等。
D.安全审计的原则
例如:在《计算机信息系统安全保护等级划分准则》的第4.4.6款中,有关审计的说明如下:
计算机信息系统可信计算基能维护受保护的客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
对不能由计算机信息系统可信计算基独立分别的审计事件,审计机制提供审计记录接口,可由授权主体调用。
E.风险管理的原则
任何信息系统中都存在的脆弱点,它可以存在于计算机系统和网络中或管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点很容易受到威胁或攻击,因此要识别出脆弱点,识别出威胁,从而进行有效的防范。因为有风险,要评估出威胁出现后或攻击成功时系统所遭受的损失,从而衡量风险,并对风险进行管理。
总体看来,目前这些法律法规主要存在三个方面有待完善的地方:
第一,这些法律法规主要内容集中在对物理环 境的要求、行政管理的要求等方面,对于涉及信息安全的行 为规范一般都规定的比较简单 ,在具体执行上指引性还不是很强;
第二,目前这些法律法规普遍在处罚措施 方面规定得不够具体,导致在信息安全领域实施处罚时法律依据的不足;
第三,在一些特定的信息化应用领域,如 电子商务、电子政务、网上支付等 ,相应的信息安全 规范相对欠缺,有待于进一步发展。