《网络安全立法的探讨》由会员分享,可在线阅读,更多相关《网络安全立法的探讨(21页珍藏版)》请在金锄头文库上搜索。
1、网络安全立法的探讨 与网络信息安全等级保护班级: 姓名: 学号:网络安全立法的探讨 在席卷全球的信息化浪潮中,网络已经渗 透到政府、企业以及人们生活的方方面面 。与此同时,网络犯罪也不断出现,网络 信息安全问题日益凸显出来,信息安全已 经成为一个关系到国家经济、政治、军事 等多方面的重要问题。 一、对网络犯罪的认识 谈到州络犯罪,不能不首先提及计算机犯罪。,近年来我 国的计算机违法犯罪案件一直呈上升趋势:1998年、L案 侦查计算机违法犯罪案什仅为百余起;而2001年已上升到 4000多起。其巾90以上的案件牵涉网络。从公安部门 的统计情况来看,去年计算机违法犯罪出现五个值得注意 的动向:一是
2、利用计算机制作、复制、传播色情、淫秽物 品的案件十分突出;二是利用计箅机网络侵犯公私财物的 案件星多发趋势;三是危害计算机信息网络安伞的案件增 幅较大;四是侵犯公民人身权利和民主权利的案件增多; 五是利用互联网危害国家安全的案件持续上升,危害性大 。从一般意义上而言,网络犯罪的表现形式有以下十种: 色情网站;网络贩卖盗版光碟;贩卖违禁、管制物品;出 售赃物;电子商务诈欺;妨害名誉;入侵他人网站阻断眼 务;电脑埔毒;网络赌博;散播个人资料。 二、侦破网络犯罪的困难性 然而,网络犯罪作为与传统犯罪截然不同的犯罪 形式其自身特点决定了对网络犯罪的预防、调 在及侦破的艰难性,简单来蜕有以下几个特点特
3、点:速度奇快;角色模糊,身份易藏;蛮征全无 ,证据有限;毁证容易;立法不易执法困准; 无分疆界,跨国管辖。 高智商犯罪分子和高科技违法犯罪手段的结合 带给执法机关的幽难较大。调查显示,网络犯罪 作案人员大多数具有大号以上学历,智商较高, 计算机网络方面的知识和技能更为突出。而在网 上不但有黑客学校、黑客组织,还有任何人都 可以轻松得到的黑客工具。这些都让网络变得更 加简单,而让侦查工作变得更为繁杂。 三、构建反网络犯罪的立法体系 在反网络犯罪立法方面,美国为全世界作出了榜样。第一 个计算机犯罪法是美国1975年起草的联邦计算机系统保 护法),该法案规定:利用计算机进行犯罪者,将构成重 罪犯,可
4、处15年以下的监禁或5万美元以下的罚金或二 者并罚。1987年,叉通过了电脑诈骗和滥用法案),以 打击计算机犯罪。此外,德国、加拿大、日本、法国和英 国等国家都分别制定丁有关惩治计算机犯罪的法律。据不 完令统计。到目前为止至少已有37个国家先后制定了有关 计算机安全方面的刑事法律。在国际上,加强惩治计算机 (网络)犯罪、加强全球领域内的合作的呼声越来越高, 2000年4月15目第10届联合国预防犯罪和罪犯待遇大会 高级别会议通过了(关于犯罪与司法:迎接21世纪挑战的 维也纳宣言),)承诺采取更加有效的措旌预防和控制计算 机犯罪,并加强在这些领域的国际合作与法律互助。 自1994年我国颁布第一部
5、有关信息网络安 全的行政法规中华人民共和国计算机信息 系统安伞保护条例)以来,与信息网络及其 安全有关的包括法律、行政法规、部规章 及萁规范性政策文件在内的法律政镱体系 已经基本形成。 我现行的有关信息网络安全的法律体系框架分为 三个个层面: 法律。主要包括:中华人民共和国宪法、 刑法、(治安管理处罚条例、刑喜诉讼法 、(全国人大常委会关于维护互联刚安全的决定 ,1990年9月通过的中华人民戈和同著作权法 首次将“计算机软件”列入了著作权的保护范嗣 ,打开了我国为IT业妒法的序幕。这些基本法, 为我国建立和完善信息网络霞全法律体系奠定了 良好的基础。 部门规章及规范性文件。主要包括计荫机信息系
6、统安全 专用产品检测和销售许可证管理办法)、(计算机病毒防治 管理办法、互联脚电了公告服务管理规定等。 实践证明,这些法律法规的制定和实施,对保障和促进我 国信息网络的健康发展起到了积极怍用。但是,这蝼法规 规章中有关计算机犯罪的规定,但都比较原则,少有具体 的罪名。这些法规的出台,虽然结束了我国汁算机信息系 统无法可依的局面,但与一些发达国家相比还有很大的差 距,并存在着一些问题,如内容复交叉、同一行为有多个 行政处罚上体、引用法律不当,违法设定行政处罚的种类 、规章与行政法规相抵触、处罚幅度不一致,以及行政审 批部门及审批事项多等。因此,不断完善有关立法十分必 要。 四、建立网络安全立法应
7、注意的几个问题 第一加强反计算机犯罪的刑事司法力度。汁算机犯罪的 特性之一是风险小而收益大,发现和侦破此类犯罪案件有 相当的难度,需要刑事侦查技术部门配备专门设备要求 侦查技术人员具有相当程度的电脑操作及应用水甲。美国 的警察机关里有一批经过专门训练的深谙计算机网络的人 员实际E就是一批计算机网络专家。随着凶特网在我国 的不断深入发展,网上犯罪的专业性不断增强,“智能”化 程度越来越高,这就迫切要求我ffj培养一支具有嘲络专业 水平的网络警察队伍,维护网络运行止常秩序,将网E犯 罪带来的危害降到最低点,还网络一个清新、健康的“网 络时空”。 第二考虑网络安全立法还应防止“以罚代刑”。基于我同
8、现有网络法律环境的特点,若不采取相应的法律对策,“ 以罚代刑”现象可能会在我目网络环境下蔓延。 第三,加强打击网络犯罪的力度。电子商务是2l世纪贸易 的主导模式,以美国为代表的发达国家为了掌握国际电子 商务的主动权在律法的制定方面采取了一系列措施,意 图左右国际电子商务的立法。我国电子商务起步并不太晚 ,技术也非落后,但发展较缓慢。致使计算机普及率低, 信息网络系统设施相对落后,网络安全问题缺乏保障,程 序员缺乏职业道德等,无不使电子商务的主体企业和 服务商望而却步。因此加强打击网络犯罪的力度十分重要 。 第四,建立加密解密的法律规范。随着侵入计算 机信息系统及网络并导致巨额损失的事件不断发
9、生,如何利用加密技术以保护网络和交易安全, 近年来已经成为世界各国关切的焦点。经济台作 发展组织(OECD)为此制订资讯系统安全准则,美 国(全球电子商务框架也提出与OECD合作建立 更安全的全球资讯网络(G11)系统。但是,我国有 关计算机信息系统和网络安全的法规却至今尚术 对加密密标准和制度作出规定,而各国电子商务 法尽管规定加密技术方案,但对于采用加密技术 提高络安全系统的认识却是基本一致,特别在以 法律手段消除各种1;确定因素,防止网络犯罪的 发生,建妒消费青信心促进市场成长这一点上 几乎没有异议。 第五加强网络个人资料隐私权保护。随 着网络传输技术的发展,个凡资料被窃取 、泄露成为消
10、费者或网络使用人当前最为 关心的问题。侵犯他人隐私的行为也往往 会导致犯罪的发生。事实上消费者的担忧 是有根据的,因为在网络上使用最广泛的 伞球资讯网中,凡使用浏览器都面临一种 功能这种功能使阿站能够了解使用者的 相关资料而消费者却无法拒绝,也无法删 除该项功能。 我国法律对隐私权保护迄今没有任何规定,对网 络个人资料更束明确相应的保护。宪法第40条虽 规定“公民的通讯自由和通讯秘密受法律的保护” ,但此项并朱明确包括网络上的个人资料或隐私 。因此,在网络利用日趋便捷网络资料储存交 换日渐普及的今天,消费者的个人资料如何保护 ,服务商对取得的个人资料应如何利用和流通, 是我国网络立法必须面对的
11、一个重要问题。由于 我国宪法中关于公民基本权利的名誉和人格尊严 均小包括隐私权,网络个人资讯和稳私保护的立 法所涉问题更为广泛,阻力也更大。然而互联 网超越时空的特点却时刻提醒我们必须鼋视与国 际立法趋同的取向。 网络信息安全等级保护 一、美国开发的计算机安全标准 根据美国国防部开发的计算机安全标准可信 任计算机标准评价准则即网络安全橙皮书,一些 计算机安全级别被用来评价一个计算机系统的安 全性。 自从1985年橙皮书成为美国国防部的标准以来, 就一直没有改变过,多年以来一直是评估多用户 主机和小型操作系统的主要方法。其他子系统( 如数据库和网络)也一直用橙皮书来解释评估。 橙皮书把安全的级别
12、从低到高分成4个类别:D类 、C类、B类和A类,每类又分几个级别,如表所 示。 D级是最低的安全级别,拥有这个级别的操作系统就像一 个门户大开的房子,任何人都可以自由进出,是完全不可 信任的。 C1是C类的一个安全子级。C1又称选择性安全保护系统 ,它描述了一个典型的用在UNIX系统上安全级别。这种 级别的系统对硬件又有某种程度的保护,如用户拥有注册 账号和口令,系统通过账号和口令来识别用户是否合法, 并决定用户对程序和信息拥有什么样的访问权,但硬件受 到损害的可能性仍然存在。 C2级除了包含C1级的特征外,应该具有访问控制环境权 力。该环境具有进一步限制用户执行某些命令或者访问某 些文件的权
13、限,而且还加入了身份认证等级。 B级中有三个级别,B1级即标志安全保护,是支持多级安 全(例如:秘密和绝密)的第一个级别,这个级别说明处 于强制性访问控制之下的对象,系统不允许文件的拥有者 改变其许可权限。 B2级,又叫结构保护级别,它要求计算机系统中所有的对 象都要加上标签,而且给设备(磁盘、磁带和终端)分配 单个或者多个安全级别。 B3级,又叫做安全域级别,使用安装硬件的方式来加强域 的安全,例如,内存管理硬件用于保护安全域免遭无授权 访问或更改其他安全域的对象。该级别也要求用户通过一 条可信任途径连接到系统上。 A级,又称验证设计级别,是当前橙皮书的最高级别,它 包含了一个严格的设计、控
14、制和验证过程。该级别包含较 低级别的所有的安全特性。 二、中国的等级保护体系 准则对计算机信息系统安全保护能力 划分了五个等级,计算机信息系统安全保 护能力随着安全保护等级的增高,逐渐增 强。高级别的安全要求是低级别要求的超 集。 准则将计算机安全保护划分为以下五 个级别: 第一级:用户自主保护级。它的安全保护机制使 用户具备自主安全保护的能力,保护用户的信息 免受非法的读写破坏。 第二级:系统审计保护级。除具备第一级所有的 安全保护功能外,要求创建和维护访问的审计跟 踪记录,是所有的用户对自己行为的合法性负责 。 第三级:安全标记保护级。除继承前一个级别的 安全功能外,还要求以访问对象标记的安全级别 限制访问者的访问权限,实现对访问对象的强制 访问。 第四级:结构化保护级。在继承前面安全 级别安全功能的基础上,将安全保护机制 划分为关键部分和非关键部分,对关键部 分直接控制访问者对访问对象的存取,从 而加强系统的抗渗透能力。 第五级:访问验证保护级。这一个级别特 别增设了访问验证功能,负责仲裁访问者 对访问对象的所有访问活动
