信息安全標(biāo)準(zhǔn)與法律法規(guī)課件

1、信息安全標(biāo)準(zhǔn)與法律法規(guī),信息安全標(biāo)準(zhǔn)與法律法規(guī),數(shù)計(jì)/軟件學(xué)院 鐘尚平,信息安全標(biāo)準(zhǔn)與法律法規(guī),講授內(nèi)容,第一部分 總論 第1章 信息安全概述與涉及的法律問題 第2章 立法，司法和執(zhí)法組織 第3章 信息安全法律規(guī)范 第二部分 信息安全法律法規(guī) 第4章 信息系統(tǒng)安全保護(hù)相關(guān)法律法規(guī) 第5章 互聯(lián)網(wǎng)絡(luò)管理相關(guān)法律法規(guī) 第6章 其它有關(guān)信息安全的法律法規(guī) 第7章 依法實(shí)踐，保障信息安全 第三部分 信息安全標(biāo)準(zhǔn) 第8章 我國的信息安全標(biāo)準(zhǔn) 第9章 信息安全國際標(biāo)準(zhǔn) 第四部分 中華人民共和國網(wǎng)絡(luò)安全法,信息安全標(biāo)準(zhǔn)與法律法規(guī),課程教學(xué)目的,信息安全專業(yè)的畢業(yè)生作為網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)者，使用者或管理者，

2、除了開發(fā)和運(yùn)用先進(jìn)的信息安全技術(shù)外，還應(yīng)認(rèn)真學(xué)習(xí)和充分利用相關(guān)法律知識來保護(hù)網(wǎng)絡(luò)，信息和信息系統(tǒng)的安全，學(xué)會依照信息安全標(biāo)準(zhǔn)來建立，實(shí)施和改進(jìn)組織的信息安全管理。學(xué)習(xí)本課程的目的就是要讓學(xué)生充分了解我國的信息安全法律法規(guī)以及國內(nèi)外的信息安全標(biāo)準(zhǔn)，以便為未來的信息安全實(shí)踐更好地服務(wù)。,信息安全標(biāo)準(zhǔn)與法律法規(guī),教材或參考書 :,1.陳忠文，麥永浩.信息安全標(biāo)準(zhǔn)與法律法規(guī)，武漢：武漢大學(xué)出版社（第二版），2011. 2.相關(guān)網(wǎng)站.如： 國際信息安全學(xué)習(xí)聯(lián)盟： 中國互聯(lián)網(wǎng)絡(luò)信息中心 ：,信息安全標(biāo)準(zhǔn)與法律法規(guī),信息安全標(biāo)準(zhǔn)與法律法規(guī),講課方式：課堂講授 學(xué)期成績評定方式： 1.出勤等平時(shí)表現(xiàn):20%，

3、2分/每次課 2.期末考: 80% (開或閉卷考試),信息安全標(biāo)準(zhǔn)與法律法規(guī),目前相關(guān)熱點(diǎn)話題,區(qū)塊鏈！區(qū)塊鏈！區(qū)塊鏈！ 充其量只是個(gè)保證信息安全的加密共享系統(tǒng) ,信息安全標(biāo)準(zhǔn)與法律法規(guī),第一部分 總論第1章 信息安全概述與涉及的法律問題1.1 信息安全概述,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.1 信息的概念與特征,信息、材料和能源是人類社會賴以生存和發(fā)展的基礎(chǔ)。 所謂信息，科學(xué)家說：信息是不確定性的減少，是負(fù)熵.安全專家說：信息是一種資產(chǎn)，它意味著一種風(fēng)險(xiǎn).教科書上的定義“就是客觀世界中各種事物的變化和特征的最新反映，是客觀事物之間聯(lián)系的表征，也是客觀事物狀態(tài)經(jīng)過傳遞后的再現(xiàn)”。 （包括三點(diǎn)：差

4、異、特征、傳遞） 信息自身不能獨(dú)立存在，必須依附于某種物質(zhì)載體。信源、信宿、信道是信息的三大要素。 信息可以被創(chuàng)建,輸入,存儲,輸出,傳輸（發(fā)送，接收，截?。?處理（編碼，解碼，計(jì)算）,銷毀。 信息系統(tǒng)是信息采集、存儲、加工、分析和傳輸?shù)墓ぞ?，它是各種方法、過程、技術(shù)按一定規(guī)律構(gòu)成的一個(gè)有機(jī)整體。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.2 網(wǎng)絡(luò)的簡單概念,網(wǎng)絡(luò)-確保信息按需有序流動的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)既包含了組成網(wǎng)絡(luò)的硬件設(shè)備和線路，也包含了網(wǎng)絡(luò)設(shè)備運(yùn)行的軟件系統(tǒng)。 傳輸網(wǎng)絡(luò)-基礎(chǔ)電信網(wǎng)、基礎(chǔ)廣電網(wǎng)等 互聯(lián)網(wǎng)絡(luò)-互聯(lián)網(wǎng)（因特網(wǎng)）、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng) 人際網(wǎng)絡(luò)-關(guān)系網(wǎng)、銷售網(wǎng)、間諜網(wǎng) 互聯(lián)網(wǎng)的特點(diǎn):開放性,國

5、際性和自由性.互聯(lián)網(wǎng)是扁平結(jié)構(gòu)的,平等的,而這個(gè)社會是樹型結(jié)構(gòu)的,分等級的.,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.3 安全的簡單概念,Security: 信息的安全 Safety:物理的安全 Security的含義:在有敵人（Enemy）/對手（Adversary）/含敵意的主體（Hostile Agent）存在的網(wǎng)絡(luò)空間中，確保己方的信息、信息系統(tǒng)和通信不受竊取和破壞，按照需要對敵方的信息、信息系統(tǒng)和通信進(jìn)行竊取和破壞的“機(jī)制”（Mechanism）,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.4 網(wǎng)絡(luò)信息安全提出的背景,網(wǎng)絡(luò)的普及 對網(wǎng)絡(luò)的依賴加深 攻擊的門檻降低 -攻擊資源的廣泛存在 -實(shí)施攻擊的難度大

6、大降低 維護(hù)國家主權(quán)和社會穩(wěn)定、打擊網(wǎng)上犯罪、引導(dǎo)青少年健康上網(wǎng)（過濾與監(jiān)控） 網(wǎng)絡(luò)信息資源的綜合利用（情報(bào)獲取與分析） 網(wǎng)絡(luò)信息對抗和網(wǎng)絡(luò)信息戰(zhàn),信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.4 網(wǎng)絡(luò)信息安全基本概念,什么是網(wǎng)絡(luò)信息安全？這樣一個(gè)看似簡單的問題卻難有令人滿意的答案。目前業(yè)界、學(xué)術(shù)界、政策部門對信息安全的定義似乎還沒有形成統(tǒng)一的認(rèn)識。所以也衍生出了許多不同的概念，比如網(wǎng)絡(luò)安全、計(jì)算機(jī)安全、系統(tǒng)安全、應(yīng)用安全、運(yùn)行安全、媒體安全、內(nèi)容安全等等； 教科書上的定義:網(wǎng)絡(luò)安全從其本質(zhì)上來講是網(wǎng)絡(luò)上的信息安全. 它涉及的領(lǐng)域相當(dāng)廣泛. 從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性完整性可用性真實(shí)性和可控性

7、的相關(guān)技術(shù)與原理,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.4 網(wǎng)絡(luò)信息安全基本概念,信息安全的一般內(nèi)涵的定義是確保以電磁信號為主要形式的，在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行獲取、處理、存儲、傳輸和利用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中，處于動態(tài)和靜態(tài)過程中的機(jī)密性、完整性、可用性、可審查性、可認(rèn)證性和抗抵賴性的，與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機(jī)集成。信息安全主要涉及到信息存儲的安全、信息傳輸?shù)陌踩约皩W(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面。 從不同的角度或從不同的環(huán)境和應(yīng)用中,網(wǎng)絡(luò)信息安全有不同的含義,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.4 網(wǎng)絡(luò)信息(空間)安全,網(wǎng)絡(luò)

8、空間安全研究內(nèi)容主要包括網(wǎng)絡(luò)空間安全基礎(chǔ)、密碼學(xué)及其應(yīng)用、系統(tǒng)安全、網(wǎng)絡(luò)安全與應(yīng)用安全五個(gè)方向(引自2015年9月第九屆中國網(wǎng)絡(luò)空間安全學(xué)科專業(yè)建設(shè)與人才培養(yǎng)研討會上，國家信息化專家咨詢委委員、信息安全教指委名譽(yù)主任沈昌祥院士代表信息安全教指委所做報(bào)告) ，具體如下圖所示：,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.4 網(wǎng)絡(luò)信息(空間)安全,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.4 網(wǎng)絡(luò)信息(空間)安全,由此可見，網(wǎng)絡(luò)空間安全的內(nèi)涵遠(yuǎn)遠(yuǎn)超出通常意義上的計(jì)算機(jī)網(wǎng)絡(luò)安全，而是涵蓋數(shù)學(xué)、計(jì)算機(jī)、通信、電子以及管理、法律等的綜合學(xué)科。 可以說網(wǎng)絡(luò)空間安全學(xué)科在追求自身建設(shè)的同時(shí)，更重要的作用體現(xiàn)在對整個(gè)社會的網(wǎng)絡(luò)化和

9、信息化建設(shè)提供基礎(chǔ)性的安全保障，沒有網(wǎng)絡(luò)空間安全保障的“電子商務(wù)”、“數(shù)字城市”、“互聯(lián)網(wǎng)+”、“云計(jì)算”和“物聯(lián)網(wǎng)”等是不可想象的。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.5 網(wǎng)絡(luò)信息系統(tǒng)安全的基本屬性,完整性（integrity）指信息在存儲或傳輸過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。 保密性(confidentiality)是指嚴(yán)密控制各個(gè)可能泄密的環(huán)節(jié)，使信息在產(chǎn)生、傳輸、處理和存儲的各個(gè)環(huán)節(jié)不泄漏給非授權(quán)的個(gè)人和實(shí)體。 可用性(availability)是指保證信息確實(shí)能為授權(quán)使用者所用，即保證合法用戶在需要時(shí)可以使用所需信息，防止由于主客觀因素造成系統(tǒng)拒絕

10、服務(wù)。 可控性（controllability）指信息和信息系統(tǒng)時(shí)刻處于合法所有者或使用者的有效掌握與控制之下 。 不可否認(rèn)性(incontestable)。是指保證信息行為人不能否認(rèn)自己的行為 。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.6 保障信息安全的三大支柱,1.信息安全技術(shù) 密碼技術(shù) 網(wǎng)絡(luò)安全防護(hù) 數(shù)據(jù)信息安全 認(rèn)證技術(shù) 病毒防治技術(shù) 防火墻與隔離技術(shù) 入侵檢測技術(shù), 等等,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.6 保障信息安全的三大支柱,2.信息安全法律法規(guī) 從法律層面上來規(guī)范人們的行為，使信息安全工作有法可依，使相關(guān)違法犯罪能得到處罰，促使組織和個(gè)人依法制作，發(fā)布，傳播和使用信息，從而達(dá)到保障

11、信息安全的目的。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.6 保障信息安全的三大支柱,3.信息安全標(biāo)準(zhǔn) 建立統(tǒng)一的信息安全標(biāo)準(zhǔn)，其目的是為信息安全產(chǎn)品的制造，安全的信息系統(tǒng)的構(gòu)建，企業(yè)或組織安全策略的制定，安全管理體系的構(gòu)建以及安全工作評估等提供統(tǒng)一的科學(xué)依據(jù)。 目前信息安全標(biāo)準(zhǔn)大致分為：信息安全產(chǎn)品標(biāo)準(zhǔn)，信息安全技術(shù)標(biāo)準(zhǔn)和信息安全管理標(biāo)準(zhǔn)等。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.1.6 保障信息安全的三大支柱,三分技術(shù)，七分管理。 網(wǎng)絡(luò)信息安全工作是一個(gè)過程，技術(shù)和產(chǎn)品的到位只是工作的開始，遠(yuǎn)遠(yuǎn)不是工作的結(jié)束。 因此，服務(wù)和管理在網(wǎng)絡(luò)信息安全中起著非常重要的作用。,信息安全標(biāo)準(zhǔn)與法律法規(guī),第一部分 總論第1

12、章 信息安全概述與涉及的法律問題1.2 信息安全涉及的法律問題,信息安全標(biāo)準(zhǔn)與法律法規(guī),網(wǎng)絡(luò)引發(fā)的法律問題,攻擊 惡意代碼 管理失誤,泄密 傳播不良信息 利用網(wǎng)絡(luò)進(jìn)行違法活動的通信指揮 散布謠言，制造恐慌動亂 網(wǎng)絡(luò)上實(shí)施經(jīng)濟(jì)犯罪 網(wǎng)絡(luò)上實(shí)施民事侵權(quán),針對網(wǎng)絡(luò)的行為引發(fā)的法律問題,利用網(wǎng)絡(luò)的行為引發(fā)的法律問題,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,三種法律關(guān)系 1.行政法律關(guān)系 解決有關(guān)部門依法行政、依法管理網(wǎng)絡(luò)的問題 2.民事法律關(guān)系 解決運(yùn)營者與使用者、運(yùn)營者與運(yùn)營者、使用者與使用者之間的民事法律糾紛問題 3.刑事法律關(guān)系 解決網(wǎng)絡(luò)犯罪的問題,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2

13、 信息安全涉及的法律問題,中國的網(wǎng)絡(luò)信息安全立法現(xiàn)狀 國際公約 憲法 法律 行政法規(guī) 司法解釋 部門規(guī)章 地方性法規(guī),信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,國際公約:國際電信聯(lián)盟組織法1992 世界貿(mào)易組織總協(xié)定2001 憲法:中國1982年憲法 法律:人大常委會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定（2000年12月28日）;中華人民共和國刑法第285、286、287條（1997年3月14日）; 中華人民共和國警察法（1995年2月28日）,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,行政法規(guī) 互聯(lián)網(wǎng)信息服務(wù)管理辦法（2000年9月25日） 中華人民共和國電信管理?xiàng)l例 （20

14、00年9月25日） 商用密碼管理?xiàng)l例（1999年10月7日） 計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)安全保護(hù)管理辦法(1997年) 中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定（1997年5月20日） 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994年）,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,司法解釋 最高人民法院關(guān)于審理擾亂電信市場管理秩序案件具體應(yīng)用法律若干問題的解釋（2000年4月28日） 關(guān)于著作權(quán)法“網(wǎng)絡(luò)傳播權(quán)”的司法解釋,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,部門規(guī)章 公安部 信息產(chǎn)業(yè)部 國家保密局 國務(wù)院新聞辦 國家出版署 教育部 國家藥品質(zhì)量監(jiān)督管理局

15、,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,地方性法規(guī)和地方政府部門規(guī)章 很多，不一一列舉.,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,罪與非罪刑法285條 違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,罪與非罪刑法286條 違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。 違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)

16、用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。 故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,罪與非罪刑法287條 利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其它犯罪的，依照本法有關(guān)規(guī)定定罪處罰。,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,網(wǎng)絡(luò)傳播權(quán) 作品的作者依法享有網(wǎng)絡(luò)傳播權(quán) 未經(jīng)作者及其委托出版機(jī)構(gòu)同意在網(wǎng)上發(fā)行其作品的，屬于侵權(quán)行為,信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法律問題,網(wǎng)絡(luò)域名爭議 域名同企業(yè)名稱、商標(biāo)一樣，屬于一種知識產(chǎn)權(quán) 域名爭議目前已經(jīng)有了獨(dú)立仲裁機(jī)構(gòu),信息安全標(biāo)準(zhǔn)與法律法規(guī),1.2 信息安全涉及的法