《{安全生产管理}计算机信息网络安全》由会员分享,可在线阅读,更多相关《{安全生产管理}计算机信息网络安全(64页珍藏版)》请在金锄头文库上搜索。
1、计算机信息网络安全,2020年7月30日星期四,提 纲,一、互联网的安全形势 二、网络安全的法律法规 三、单位、网站信息网络安全要求 四、安全上网注意事项,第一节、互联网的安全形势,概 述,根据中国互联网络信息中心(CNNIC)统计数据显示,截至2009年12月30日,中国网民规模已达3.84亿人,手机网民规模一年内增加了1.2亿,已达到2.33亿人。截至2009年6月,中国域名的总数为1,626万个,其中CN域名1,296万个。,计算机信息网络常见安全风险,入侵计算机信息系统 破坏计算机信息系统功能 破坏计算机数据 破坏计算机应用程序 制作、传播计算机病毒、木马、蠕虫 利用计算机来实施诈骗、
2、赌博、造谣、传播黄色淫秽信息、宣传邪教和其他破坏国家法律法规的行为 窃取用户数据,包括 用户个人隐私 学术资料, 实验数据等 EMAIL账号、BBS论坛账号、网银账号、网游帐号等 作为跳板从事其它违法行为,互联网的安全形势,根据金山公司2009年中国电脑病毒疫情及互联网安全报告,互联网的安全形势,瑞星公司2009年上半年中国大陆地区互联网安全报告,互联网的安全形势,互联网的安全形势,瑞星公司数据,被感染(恶意网址)的台数,互联网的安全形势,不管从哪个方面看,我省的信息网络安全状况都不容乐观,第二节、网络安全的法律法规,计算机安全保护主管部门,法律法规对公安部门的授权: 计算机信息系统安全保护条
3、例 第六条 公安部主管全国计算机信息系统安全保护工作 中华人民共和国警察法 第六条 (十二)项,公安机关的人民警察按照职责分工 监督管理计算机信息系统的安全保护工作,计算机安全保护主管部门,中华人民共和国计算机信息系统安全保护条例 第六条公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。 第十七条公安机关对计算机信息系统安全保护工作行使下列监督职权: (一)监督、检查、指导计算机信息系统安全保护工作; (二)查处危害计算机信息系统安全的违法犯罪案件; (三)履行计算机信息系统安全保护工作的其他监督
4、职责。 第十八条公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。,其他计算机安全保护管理机构,通信管理部门 文化部门 工商部门 广电(版权)部门 国家安全部门 保密部门 密码管理部门,基本概念,计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。 计算机信息系统安全包括人的安全、实体安
5、全、信息安全、运行安全。,信息安全,信息安全的含义包括 安全法规 安全管理 安全技术 3 个方面。其中安全技术是信息安全的基础;安全管理是信息安全的关键;安全法规是信息安全的保证。,法律法规,刑法(1997年3月14日修订)第285、第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪,共两条四款。 第285条: 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”,法律法规,第286条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别
6、严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。,法律法规,问题: 近年来,计算机犯罪的特点已经超越了刑法第285和286条标注的范围。主要是通过,技术手段非法侵入法律规定以外的计算机信息系统,窃取他人账号、密码、虚拟财产(如 游戏装备)等信息,或者对大范围的他人计算机实施非法控制(如 僵尸网络)。 这些犯罪行为,都超出了285和286条管辖的范围,刑法原有的规定使司法机关在打击“黑客”犯罪
7、时面临法律困扰。,法律法规,2009年2月28日上午,十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会,以161票赞成、4票弃权表决通过中华人民共和国刑法修正案(七)。 对于惩治网络“黑客”的违法犯罪行为,刑法增加了相关条款,法律法规,鉴于之前所述情况,刑法修正案(七)在刑法第 条中增加两款(第二款、第三款): 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。,法律法规,鉴
8、于之前所述情况,刑法修正案(七)在刑法第 条中增加两款(第二款、第三款): 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。,法律法规,此次修订带来的变化如下: 1、范畴变化。对于军事、金融、政府以外的计算机系统,发生的计算机犯罪进行了界定,尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统,尤为重要。 2、刑罚变化。对于计算机犯罪的惩处量刑出现变化,比以前实施更大的惩罚力度。(处三年以上七年以下有期徒刑),法律法规,此次修订带来的变化如下:3、内容变化。 (1)在内容上与
9、时俱进,兼顾了对新型计算机犯罪行为的界定和内容描述。关注点从以前的关注入侵,转到新型犯罪行为的描述。(2)对提供黑客工具,编写黑客工具行为,界定为违法行为。总体看这次刑法的变更,解决了长期以来“计算机(互联网)犯罪成本”的问题,为行政司法处罚提供了依据。,法律法规,前款都是 “后果严重的” 那情节轻微的呢?,法律法规,中华人民共和国治安管理处罚法 (年月日起施行) 第二十九条 有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:(一)违反国家规定,侵入计算机信息系统,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行
10、的;,法律法规,第二十九条 有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。,法律法规,第二十九条 有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。,案 例,某网络游戏公司游戏源代码被盗案 嫌疑人先通过木马病毒盗取该公司
11、某职员的泡泡帐号及密码,冒用该帐号与掌握服务器高级权限的职员沟通并盗取其泡泡帐号及密码,以至最终与该公司核心程序员沟通,成功窃取了该程序员的VPN(远程控制)密码,并通过远程登录该公司的服务器,拷贝、窃取了相关核心数据。,案 例,某政府主管部门被黑客入侵案 政务公开的网站数据库内容被更改,网站被链接到2个虚假的“职称信息库”,造成全国各地大量群众纷纷致电投诉。黑客的非法入侵不仅影响了该政务网站的正常浏览和权威性,更有可能被不法分子利用虚假职称信息的查询验证功能,达到制贩虚假专业资格证书的目的。,我省的地方法规,广东省计算机信息系统安全保护条例 2007年12月20日省第十届人民代表大会常务委员
12、会第三十六次会议通过了广东省计算机信息系统安全保护条例(以下简称条例),并将于2008年4月1日正式实施。条例适应了当前互联网发展和信息安全的新形势,结合我省实际情况对国家的有关规定作了细化和补充,对于全面加强信息系统安全保护,进一步维护人民群众的合法权益有着深远意义。,我省的地方法规,广东省计算机信息系统安全保护条例的特点: 一是 全面规定了对信息系统实行分等级保护。 二是 建立了突发事件应急处置制度。 三是 规定了对新出现的危害行为的处罚。 四是 规定了用户资料保密制度。 五是 对特种信息安全技术实行备案制度。,条例特点,条例特点,我省的地方法规,广东省计算机信息系统安全保护条例第四十一条
13、 违反本条例第二十五条、第二十六条第(一)项、第(二)项、第(五)项、第(六)项、第(七)项、第(八)项、第(九)项规定的,违反第二十六条第(三)项、第(四)项规定窃取他人账号和密码、以营利或者非正当使用为目的擅自向第三方公开他人电子邮箱地址和其他个人信息资料、以非正当使用为目的擅自向第三方公开他人账号和密码的,,我省的地方法规,由公安机关给予警告,有违法所得的,没收违法所得;对个人可以并处五千元以下罚款,对单位可以并处一万五千元以下罚款;情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚;必要时公安机关可以建议原许可机构撤销许可或者取消联网资格;违反中华人民共和国治安管理处罚法的,依法
14、予以处罚;构成犯罪的,依法追究刑事责任。 第二节完,第三节、单位、网站信息网络安全要求,相关单位要履行的义务责任,首先明确关于各个类型单位的定义: 互联网安全保护技术措施规定(公安部第82号令)中 本规定所称互联网服务提供者,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。 本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。 本规定所称提供互联网数据中心服务的单位,是指提供主机托管、租赁和虚拟空间租用等服务的单位。,计算机信息网络国际联网安全保护管理办法 第十一条 用户在接入单位办理入网手续时,应填写用户备案表。备案表由公安部监制。 第
15、十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。,相关单位要履行的义务责任 国际联网安全备案,网站(ICP)需落实的责任,计算机信息网络国际联网安全保护管理办法 第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息: (一)煽动抗拒、破坏宪法和法律、行政法规实施的; (二)煽动颠覆国家政权,推翻社会主义制度的; (三)煽动分裂国家、破坏国家统一的; (四)煽动民族仇恨、民族歧视,破坏民族团结的;
16、(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的; (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; (七)公然侮辱他人或者捏造事实诽谤他人的; (八)损害国家机关信誉的; (九)其他违反宪法和法律、行政法规的。,网站(ICP)需落实的责任,计算机信息网络国际联网安全保护管理办法 第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当覆行下列安全保护职责: (一)负责本网络的安全保护管理工作,建立健全安全保护管理制度; (二)落实安全保护技术措施,保障本网络的运行安全和信息安全; (三)负责对本网络用户的安全教育和培训;-,网站(ICP)需落实的责任,计算机信息网络国际联网安全保护管理办法 (四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核; (五)建立计算机信息网络电子公告系统的用户登记和信息管理制度; (六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小
