1、信息安全标准与法律法规,数计/软件学院 钟尚平,讲授内容,第一部分 总论第1章 信息安全概述与涉及的法律问题第2章 立法,司法和执法组织第3章 信息安全法律规范 第二部分 信息安全法律法规第4章 信息系统安全保护相关法律法规第5章 互联网络管理相关法律法规第6章 其它有关信息安全的法律法规第7章 依法实践,保障信息安全 第三部分 信息安全标准第8章 我国的信息安全标准第9章 信息安全国际标准 第四部分 中华人民共和国网络安全法,课程教学目的,信息安全专业的毕业生作为网络和信息系统的建设者,使用者或管理者,除了开发和运用先进的信息安全技术外,还应认真学习和充分利用相关法律知识来保护网络,信息和信
2、息系统的安全,学会依照信息安全标准来建立,实施和改进组织的信息安全管理。学习本课程的目的就是要让学生充分了解我国的信息安全法律法规以及国内外的信息安全标准,以便为未来的信息安全实践更好地服务。,教材或参考书 :,1.陈忠文,麦永浩.信息安全标准与法律法规,武汉:武汉大学出版社(第二版),2011. 2.相关网站.如:国际信息安全学习联盟:http:/ 中国互联网络信息中心 :http:/ 1.出勤等平时表现:20%,2分/每次课 2.期末考: 80% (开或闭卷考试),目前相关热点话题,区块链!区块链!区块链!充其量只是个保证信息安全的加密共享系统 ,第一部分 总论 第1章 信息安全概述与涉及
3、的法律问题 1.1 信息安全概述,1.1.1 信息的概念与特征,信息、材料和能源是人类社会赖以生存和发展的基础。 所谓信息,科学家说:信息是不确定性的减少,是负熵.安全专家说:信息是一种资产,它意味着一种风险.教科书上的定义“就是客观世界中各种事物的变化和特征的最新反映,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现”。 (包括三点:差异、特征、传递) 信息自身不能独立存在,必须依附于某种物质载体。信源、信宿、信道是信息的三大要素。 信息可以被创建,输入,存储,输出,传输(发送,接收,截取),处理(编码,解码,计算),销毁。 信息系统是信息采集、存储、加工、分析和传输的工具,它是各
4、种方法、过程、技术按一定规律构成的一个有机整体。,1.1.2 网络的简单概念,网络-确保信息按需有序流动的基础设施。网络既包含了组成网络的硬件设备和线路,也包含了网络设备运行的软件系统。 传输网络-基础电信网、基础广电网等 互联网络-互联网(因特网)、内联网、外联网 人际网络-关系网、销售网、间谍网 互联网的特点:开放性,国际性和自由性.互联网是扁平结构的,平等的,而这个社会是树型结构的,分等级的.,1.1.3 安全的简单概念,Security: 信息的安全Safety: 物理的安全 Security的含义:在有敌人(Enemy)/对手(Adversary)/含敌意的主体(Hostile Ag
5、ent)存在的网络空间中,确保己方的信息、信息系统和通信不受窃取和破坏,按照需要对敌方的信息、信息系统和通信进行窃取和破坏的“机制”(Mechanism),1.1.4 网络信息安全提出的背景,网络的普及 对网络的依赖加深 攻击的门槛降低 -攻击资源的广泛存在 -实施攻击的难度大大降低 维护国家主权和社会稳定、打击网上犯罪、引导青少年健康上网(过滤与监控) 网络信息资源的综合利用(情报获取与分析) 网络信息对抗和网络信息战,1.1.4 网络信息安全基本概念,什么是网络信息安全?这样一个看似简单的问题却难有令人满意的答案。目前业界、学术界、政策部门对信息安全的定义似乎还没有形成统一的认识。所以也衍
6、生出了许多不同的概念,比如网络安全、计算机安全、系统安全、应用安全、运行安全、媒体安全、内容安全等等;教科书上的定义:网络安全从其本质上来讲是网络上的信息安全. 它涉及的领域相当广泛. 从广义来说,凡是涉及到网络上信息的保密性完整性可用性真实性和可控性的相关技术与原理,都是网络安全所要研究的领域,1.1.4 网络信息安全基本概念,信息安全的一般内涵的定义是确保以电磁信号为主要形式的,在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性、可认证性和抗抵赖性的,与人、网络、环境有关的技术和管
7、理规程的有机集成。信息安全主要涉及到信息存储的安全、信息传输的安全以及对网络传输信息内容的审计三方面。 从不同的角度或从不同的环境和应用中,网络信息安全有不同的含义,1.1.4 网络信息(空间)安全,网络空间安全研究内容主要包括网络空间安全基础、密码学及其应用、系统安全、网络安全与应用安全五个方向(引自2015年9月第九届中国网络空间安全学科专业建设与人才培养研讨会上,国家信息化专家咨询委委员、信息安全教指委名誉主任沈昌祥院士代表信息安全教指委所做报告) ,具体如下图所示:,1.1.4 网络信息(空间)安全,1.1.4 网络信息(空间)安全,由此可见,网络空间安全的内涵远远超出通常意义上的计算
8、机网络安全,而是涵盖数学、计算机、通信、电子以及管理、法律等的综合学科。可以说网络空间安全学科在追求自身建设的同时,更重要的作用体现在对整个社会的网络化和信息化建设提供基础性的安全保障,没有网络空间安全保障的“电子商务”、“数字城市”、“互联网+”、“云计算”和“物联网”等是不可想象的。,1.1.5 网络信息系统安全的基本属性,完整性(integrity)指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。 保密性(confidentiality)是指严密控制各个可能泄密的环节,使信息在产生、传输、处理和存储的各个环节不泄漏给非授权的个人和实体。 可用性(a
9、vailability)是指保证信息确实能为授权使用者所用,即保证合法用户在需要时可以使用所需信息,防止由于主客观因素造成系统拒绝服务。 可控性(controllability)指信息和信息系统时刻处于合法所有者或使用者的有效掌握与控制之下 。 不可否认性(incontestable)。是指保证信息行为人不能否认自己的行为 。,1.1.6 保障信息安全的三大支柱,1.信息安全技术 密码技术 网络安全防护 数据信息安全 认证技术 病毒防治技术 防火墙与隔离技术 入侵检测技术, 等等,1.1.6 保障信息安全的三大支柱,2.信息安全法律法规从法律层面上来规范人们的行为,使信息安全工作有法可依,使相
10、关违法犯罪能得到处罚,促使组织和个人依法制作,发布,传播和使用信息,从而达到保障信息安全的目的。,1.1.6 保障信息安全的三大支柱,3.信息安全标准建立统一的信息安全标准,其目的是为信息安全产品的制造,安全的信息系统的构建,企业或组织安全策略的制定,安全管理体系的构建以及安全工作评估等提供统一的科学依据。目前信息安全标准大致分为:信息安全产品标准,信息安全技术标准和信息安全管理标准等。,1.1.6 保障信息安全的三大支柱,三分技术,七分管理。 网络信息安全工作是一个过程,技术和产品的到位只是工作的开始,远远不是工作的结束。 因此,服务和管理在网络信息安全中起着非常重要的作用。,第一部分 总论
11、 第1章 信息安全概述与涉及的法律问题 1.2 信息安全涉及的法律问题,网络引发的法律问题,攻击 恶意代码 管理失误,泄密 传播不良信息 利用网络进行违法活动的通信指挥 散布谣言,制造恐慌动乱 网络上实施经济犯罪 网络上实施民事侵权,针对网络的行为引发的法律问题,利用网络的行为引发的法律问题,1.2 信息安全涉及的法律问题,三种法律关系 1.行政法律关系 解决有关部门依法行政、依法管理网络的问题 2.民事法律关系 解决运营者与使用者、运营者与运营者、使用者与使用者之间的民事法律纠纷问题 3.刑事法律关系 解决网络犯罪的问题,1.2 信息安全涉及的法律问题,中国的网络信息安全立法现状 国际公约
12、宪法 法律 行政法规 司法解释 部门规章 地方性法规,1.2 信息安全涉及的法律问题,国际公约:国际电信联盟组织法1992 世界贸易组织总协定2001 宪法:中国1982年宪法 法律:人大常委会关于维护互联网安全的决定(2000年12月28日);中华人民共和国刑法第285、286、287条(1997年3月14日); 中华人民共和国警察法(1995年2月28日),1.2 信息安全涉及的法律问题,行政法规 互联网信息服务管理办法(2000年9月25日) 中华人民共和国电信管理条例 (2000年9月25日) 商用密码管理条例(1999年10月7日) 计算机信息系统国际联网安全保护管理办法(1997年
13、) 中华人民共和国计算机信息网络国际联网管理暂行规定(1997年5月20日) 中华人民共和国计算机信息系统安全保护条例(1994年),1.2 信息安全涉及的法律问题,司法解释 最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释(2000年4月28日) 关于著作权法“网络传播权”的司法解释,1.2 信息安全涉及的法律问题,部门规章 公安部 信息产业部 国家保密局 国务院新闻办 国家出版署 教育部 国家药品质量监督管理局,1.2 信息安全涉及的法律问题,地方性法规和地方政府部门规章很多,不一一列举.,1.2 信息安全涉及的法律问题,罪与非罪刑法285条违反国家规定,侵入国家事务
14、、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。,1.2 信息安全涉及的法律问题,罪与非罪刑法286条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。,1.2 信息安全涉及的法律问题,罪与非罪刑法287条利用计算机实施金融
15、诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其它犯罪的,依照本法有关规定定罪处罚。,1.2 信息安全涉及的法律问题,网络传播权作品的作者依法享有网络传播权 未经作者及其委托出版机构同意在网上发行其作品的,属于侵权行为,1.2 信息安全涉及的法律问题,网络域名争议域名同企业名称、商标一样,属于一种知识产权 域名争议目前已经有了独立仲裁机构,1.2 信息安全涉及的法律问题,信息安全刑事案例案例1. 我国第一例电脑黑客刑事案件 案例2. 朱XX盗窃游戏充值卡案,1.2 信息安全涉及的法律问题,信息安全民事案例案例3. 我国第一例网上著作权案 案例4. 中宇建材集团有限公司吴XX网络域名侵权案,1.2 信息安全涉及的法律问题,信息安全隐私问题案例案例5.女友提出分手,男友公布女友裸照被告上法庭;案例分析1.陈冠希是否有罪?,第一部分 总论 第2章 立法,司法和执法组织 第3章 信息安全法律规范,
