《信息安全法律法规》由会员分享,可在线阅读,更多相关《信息安全法律法规(66页珍藏版)》请在金锄头文库上搜索。
1、安全操作课程之 -法律法规国际法律法规概要国内法律法规概要我国信息安全法律法规简介法律前沿法律法规国际法律法规n美国信息安全法律法规n欧洲信息安全法律法规n亚洲信息安全法律法规n各国的密码政策美国信息安全法律法规n信息大国,信息技术国际领先n信息安全立法活动较早n安全管理部门NSA/CIA/FBI总统关键设施保护委员会国家设施保护中心国家计算机中心设施威胁评估中心n制定的信息安全有关法律信息自由法个人隐私法反腐败行经法伪造访问设备和计算机欺骗滥用法电子通讯隐私法计算机欺骗滥用法计算机安全法(Computer Security Act) 1987电讯法等美国信息安全法律参考n计算机犯罪计算机诈骗
2、和滥用法案CFAA(1984,86,94)计算机安全法案CSA(1987)国家信息基础设施保护法案(1996)政府信息安全改革法案(2000)n知识产权(版权,商标,专利,贸易机密)数字千禧年版权法案DMCA(1998)商标TM,1996年经济间谍法案-保护贸易机密许可证颁发(统一计算机信息处理法案UCITA)n合同许可证n收缩性薄膜包装的许可证协议n单击包装许可证协议美国信息安全法律参考(续)n美国隐私法1974年隐私法案电子通信隐私法案ECPA(1986)健康保险易移植性和责任性法案HIPAA(1996)儿童在线隐私保护法律COPPA(1998)Gramm-Leach-Bliley Act
3、(1999)美国爱国者法案USA Patriot Act of 2001子女教育权利和隐私法案FERPA身份偷窃和冒用阻止法案ITADA(1998)欧洲信息安全法律法规n德国信息和通信服务规范法电讯服务数据保护法1996成立了联邦信息技术安全局n法国1996对一部有关通讯自由的法律进行补充并提出了n英国1996颁布了亚洲信息安全法律法规n新加坡SBA1996宣布对互联网络实行管制并实施分类许可证制度n日本通产省编制出一套准则:防止越权访问计算机网络各国的密码政策n多边出口控制协调委员会(COCOM)控制敏感技术的出口和处理n包括计算机/快速DSP芯片/密码/激光/等17个成员国主要目标n防止密
4、码技术出口到他们认为的某些”危险”国家1994解散n1995年,28个国家建立COCOM的后续组织:常规武器和双重用途物品及技术出口控制wassenaar协议控制武器和双重用途物品的出口密码技术是一种双重用途的物品各国的密码政策n美国进口不限,出口受限n法国从EU/EEA范围内的进口不限制从EU/EEA范围外进口和出口受限n加拿大按照wassenaar协议限制出口,但对美国不限制n德国按EU规定和wassenaar协议限制出口n日本wassenaar协议出口受限,许可证n俄罗斯国企开发、实现、运行加密技术受限,需要许可证进口和出口受限n韩国进口受限,加密政策未公开n中国进口、出口受限,开发、实
5、现加密技术受限n新加坡出口不限,进口需许可美对华高科技出口限制n美出口管理法规把其他国家列为7个级别:Z(全面禁运),S,Y,W,Q,T,V(中国)n1949,Y(高科技产品禁运组)n1950,Zn1980,p(单独为中国建立)n1983,Vn1989,V国际法律法规概要国内法律法规概要我国信息安全法律法规简介法律前沿法律法规国内常用法律法规n计算机安全中华人民共和国计算机信息系统安全保护条例(1994)计算机病毒防治管理办法(2000)计算机信息系统国际联网保密管理规定(2000)国内常用法律法规n知识产权中华人民共和国著作权法(2001)计算机软件保护条例(2001)国家版权局关于不得使用
6、非法复制的计算机软件的通知(1995)计算机软件著作权登记办法(2002)最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释(2000)国内常用法律法规n网络管理互联网信息服务管理办法(2000)计算机信息网络国际联网出入口信道管理办法(1996)中华人民共和国计算机信息网络国际联网管理暂行规定实施办法(1998)电信网间互联争议处理办法(2001)国内的信息安全法律法规概要n国家法律人大讨论通过,国家主席发布n行政法规国务院令,国务院总理发布n部门规章各级部门/行业批准发布n地方法规地方政府批准发布我国信息网络安全立法体系框架 自1994年我国颁布第一部有关信息安全的行政
7、法规中华人民共和国计算机信息系统安全保护条例以来,伴随信息技术特别是互联网技术的飞速发展,我国在信息安全领域的法制建设工作取得了令人瞩目的成绩。 涉及信息安全的法律法规体系已经基本形成。 我国信息网络安全立法体系框架分为个层面 法律 行政法规 地方性法规、规章 规范性文件信息安全相关法律 法律是指由全国人民代表大会及其常委会通过的法律规范。 与信息网络安全相关的法律主要包括:宪法 人民警察法刑法 治安管理处罚条例刑事诉讼法 国家安全法保守国家秘密法 行政处罚法行政诉讼法 行政复议法国家赔偿法 立法法专利法 著作权法反不正当竞争法 科学进步法政府采购法 行政许可法全国人大常委会关于维护互联网安全
8、的决定中华人民共和国电子签名法等。 信息安全相关国家法律n中华人民共和国宪法【1982-12-04】(1999年3月15日修正)n中华人民共和国刑法【1979-07-01】(1999年12月25日修正)n中华人民共和国专利法【1985-04-01】(1992-09-04修正)n中华人民共和国保守国家秘密法【1988-09-05】n中华人民共和国标准化法【1989-04-01】n中华人民共和国著作权法【1991-06-01】(2001-10-27修正)n中华人民共和国国家安全法【1993-02-22】n中华人民共和国产品质量法【1993-02-22】(2000-07-08修正)n中华人民共和国反
9、不正当竞争法【1993-09-02】n中华人民共和国科学技术进步法【1993-10-01】n中华人民共和国立法法【2000-07-01】n中华人民共和国维护互联网安全的决定【2000-12-28】n中华人民共和国政府采购法【2003-01-01】n中华人民共和国行政许可法【2004-07-01】信息安全相关行政法规 行政法规是指国务院为执行宪法和法律而制定的法律规范。与信息网络安全有关的行政法规主要包括:国务院令147号:中华人民共和国计算机信息系统安全保护条例国务院令195号:中华人民共和国计算机信息网络国际联网管理暂行规定国务院令273号:商用密码管理条例国务院令291号:中华人民共和国电
10、信条例国务院令292号:互联网信息服务管理办法 国务院令339号:计算机软件保护条例国务院令363号:互联网上网服务营业场所管理条例国务院令390号: 中华人民共和国认证认可条例等。 信息安全相关部门规章n科学技术保密规定【1995-01-06】国家保密局/国家科学技术委员会n计算机信息系统安全专用产品检测和销售许可证管理办法【1997-12-12】公安部n计算机信息网络国际联网安全保护管理办法【1997-12-30】-公安部n计算机信息系统保密管理暂行规定【1998-02-26】-国家保密局n计算机信息系统集成资质管理办法【1999-12-07】信息产业部n计算机信息系统国际联网保密管理规定
11、【2000-01-01】-国家保密局n网上证券委托暂行管理办法【2000-03-30】证券监督管理委员会n计算机病毒防治管理办法【2000-04-26】 公安部n互联网电子公告服务管理规定【2000-11-07】信息产业部n互联网站从事登载新闻业务管理暂行规定【2000-11-17】国务院新闻办公室/信息产业部n关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释【2000-11-22】(2004-01-07修正)高法n关于选择我国计算机网络安全服务试点单位的公告【2001-04-26】-国家信息化工作领导小组、计算机网络与信息安全管理工作办公室n公用电信网间互联管理规定【2001-04
12、-29】 信息产业部n电网和电厂计算机监控系统及调度数据网络安全防护规定【2002-05-08】-经济贸易委员会n互联网出版管理暂行规定【2002-08-01】新闻出版总署和信息产业部n互联网等信息网络传播视听节目管理办法【2003-02-10】国家广播电影电视总局n互联网文化管理暂行规定【2003-07-01】文化部国内信息安全主管机构n国务院国家信息化领导小组n信息产业部国家计算机网络和信息安全管理中心n国务院新闻办公室n国家密码管理委员会n公安部计算机安全监察局n国家安全部n国家信息安全产品测评认证中心n国家保密局信息安全相关地方法规n四川省计算机信息系统安全保护管理办法【1996-03
13、-28】n成都市计算机信息系统安全保护办法【1996-12-25】n黑龙江省计算机信息系统安全管理规定【1997-08-05】n北京市计算机信息系统病毒预防和控制管理办法(修正)【1997-12-31】n山东省计算机信息系统安全管理办法【1998-04-20】n辽宁省计算机信息系统安全管理条例【1998-05-29】n宁夏回族自治区计算机信息系统保密工作管理规定【1998-07-11】n深圳经济特区计算机信息系统公共安全管理规定【1998-07-17】n河南省计算机信息系统安全保护暂行办法【1999-11-22】n北京市政务与公共服务信息化工程建设管理办法【2000-12-28】n北京市党政机
14、关计算机网络与信息安全管理办法【2001-11-15】n重庆市计算机信息系统安全保护条例(修正)【2001-12-07】n淮南市计算机信息系统安全管理办法【2001-12-25】n重庆市电信条例【2002-03-27】n北京市关于发布北京市信息安全服务单位资质等级评定条件(试行)的通知【2002-09-18】n江西省电信条例【2003-03-31】n广东省计算机信息系统安全保护管理规定【2003-04-08】国际法律法规概要国内法律法规概要我国信息安全法律法规简介法律前沿法律法规我国信息安全法律法规简介n关于维护互联网安全的决定n刑法n保守国家秘密法n国家安全法n政府采购法n电子签名法n计算机
15、信息系统安全保护条例n计算机信息网络国际联网管暂行规定n商用密码管理条例n电信条例n互联网信息服务管理办法n认证认可条例n27号文n科学技术保密规定n计算机信息系统安全专用产品检测和销售许可证管理办法n计算机信息系统国际联网保密管理规定n北京市有关信息系统建设的管理规定法律1:全国人大常委会关于维护互联网安全的决定 (2000年12月28日) 这是我国第一部关于互联网安全的法律。该法分别从(1)保障互联网的运行安全;(2)维护国家安全和社会稳定;(3)维护社会主义市场经济秩序和社会管理秩序;(4)保护个人、法人和其他组织的人身、财产等合法权利等四个方面,共15款,明确规定了对构成犯罪的上述行为
16、,依照刑法有关规定追究刑事责任。法律2:刑法(1999年12月25日修正)刑法修改后,除了分则规定的大多数犯罪罪种(包括危害国家安全罪,危害公共安全罪,破坏社会主义市场经济秩序罪,侵犯公民人身权利、民主权利罪,侵犯财产罪,妨害社会管理秩序罪)都适用于利用计算机网络实施的犯罪以外,还专门在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪,共两条四款。刑法(续)第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息
17、系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。法律3. 保守国家秘密法( 1988-09-05)第三条一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。第九条国家秘密的密级分为“绝
18、密”、“机密”、“秘密”三级。“绝密”是最重要的国家秘密,泄露会使国家的安全和利益遭受特别严重的损害;“机密”是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害;“秘密”是一般的国家秘密,泄露会使国家的安全和利益遭受损害。第二十四条不准在私人交往和通信中泄露国家秘密。携带属于国家秘密的文件、资料和其他物品外出不得违反有关保密规定。不准在公共场所谈论国家秘密。第二十五条在有线、无线通信中传递国家秘密的,必须采取保密措施。不准使用明码或者未经中央有关机关审查批准的密码传递国家秘密。不准通过普通邮政传递属于国家秘密的文件、资料和其他物品。第三十一条违反本法规定,故意或者过失泄露国家秘密,情节严
19、重的,依照刑法第一百八十六条的规定追究刑事责任。违反本法规定,泄露国家秘密,不够刑事处罚的,可以酌情给予行政处分。法律4. 国家安全法(1993-02-22)第一条为了维护国家安全,保卫中华人民共和国人民民主专政的政权和社会主义制度,保障改革开放和社会主义现代化建设的顺利进行,根据宪法,制定本法。第二条国家安全机关是本法规定的国家安全工作的主管机关。国家安全机关按照国家规定的职权划分,各司其职,密切配合,维护国家安全。第三条中华人民共和国公民有维护国家的安全、荣誉和利益的义务,不得有危害国家的安全、荣誉和利益的行为。一切国家机关和武装力量、各政党和各社会团体及各企业事业组织,都有维护国家安全的
20、义务。国家安全机关在国家安全工作中必须依靠人民的支持,动员、组织人民防范、制止危害国家安全的行为。第十九条任何公民和组织都应当保守所知悉的国家安全工作的国家秘密。第二十条任何个人和组织都不得非法持有属于国家秘密的文件、资料和其他物品。法律5. 政府采购法(2003-01-01)n共九章内容:第一章总则、第二章政府采购当事人、第三章政府采购方式、第四章政府采购程序、第五章政府采购合同、第六章质疑与投诉、第七章监督检查、第八章法律责任、第九章附则n第一条为了规范政府采购行为,提高政府采购资金的使用效益,维护国家利益和社会公共利益,保护政府采购当事人的合法权益,促进廉政建设,制定本法。n第二条在中华
21、人民共和国境内进行的政府采购适用本法。本法所称政府采购,是指各级国家机关、事业单位和团体组织,使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。n第三条政府采购应当遵循公开透明原则、公平竞争原则、公正原则和诚实信用原则。n第四条政府采购工程进行招标投标的,适用招标投标法。n政府采购法也包含了对信息安全产品、工程、服务的采购n例如:金财工程、金税工程法律6. 电子签名法(2004-08-31)n总则、数据电文、电子签名和法律责任四大部分。n赋予电子签章和数据电文法律效力防止了数据电文在传输过程中被他人篡改增删等进行一些违背当事人意思的行为;避免了数据电文
22、发送者不承认或随意修改文件,逃避应当履行义务的行为 n法律责任如果电子签名人在电子签名活动中有过错,应当依法承担相应的民事责任。电子签名人或者电子签名依赖方在电子签名活动中依据电子认证服务提供者提供的服务从事商务活动,遭受损失的,电子认证服务提供者不能证明自己无过错时,应当依法承担相应的民事责任。 我国信息网络安全立法体系框架行政法规 行政法规是指国务院为执行宪法和法律而制定的法律规范。与信息网络安全有关的行政法规主要包括:国务院令147号:中华人民共和国计算机信息系统安全保护条例 国务院令195号:中华人民共和国计算机信息网络国际联网管理暂行规定公安部令33号:计算机信息网络国际联网安全保护
23、管理办法国务院令273号:商用密码管理条例国务院令291号:中华人民共和国电信条例国务院令292号:互联网信息服务管理办法国务院令339号:计算机软件保护条例等。 法规1. 中华人民共和国计算机信息系统安全保护条例 (1994年2月18日) 这是我国第一部涉及计算机信息系统安全的行政法规。条例赋予“公安部主管全国计算机信息系统安全保护工作”的职能。主管权体现在:(1)监督、检查、指导权;(2)计算机违法犯罪案件查处权;(3)其它监督职权。此外,授权公安部在紧急情况下,就条例未作明确规定,但又涉及计算机信息系统安全的特定事项,发布专项通令。中华人民共和国计算机信息系统安全保护条例(续)条例规定了
24、九项安全保护制度:(1)计算机信息系统建设和使用制度;(2)安全等级保护制度;(3)计算机机房及其环境管理制度;(4)国际联网备案制度;(5)计算机信息媒体出入境海关申报制度;(6)计算机信息系统使用单位的安全管理制度;(7)案件报告制度;(8)计算机病毒和其它有害数据防治管理制度;(9)计算机安全专用产品销售许可证制度。中华人民共和国计算机信息系统安全保护条例(续)条例规定的处罚条款:第二十条 违反本条例规定,有下列行为之一的,由公安机关处以警告或者停机整顿:(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;(二)违反计算机信息系统国际联网备案制度的;(三)不按规定时间报告
25、计算机信息系统中发生的案件的;(四)接到公安机关要求改进安全状况的通知后,在期限内拒不改进的;(五)有危害计算机信息系统安全的其他行为的。第二十一条 计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关部门进行处理。第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下罚款;有违法所得得,除予以没收外,可以处以违法所得1至3倍得罚款。 法规2. 中华人民共和国计算机信息网络国际联网管理暂行规定
26、1996年2月1日中华人民共和国国务院令第195号发布,1997年5月20日修正。规定调整的对象是我国境内计算机信息网络与境外计算机信息网络的相互联接。国际联网的主管部门是原国务院信息化工作领导小组,管理原则为统筹规划、统一标准、分级管理、促进发展。规定对互联网接入单位实行国际联网经营许可证制度,限定了接入单位的资质条件及其法律责任。 中华人民共和国计算机信息网络国际联网管理暂行规定(续)规定赋予公安机关的处罚内容包括:对违反第六、八、十条的行为:(1)自行建立或者使用其他信道进行国际联网的;(2)未按规定通过互联网络进行国际联网的;(3)未按规定通过接入网络进行国际联网。 由公安机关责令停止
27、联网,给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。 法规3. 商用密码管理条例 1999年10月7日发布。国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理:1.商用密码产品由国家密码管理机构指定的单位进行科研、生产;2.商用密码产品由国家密码管理机构许可的单位销售;3.用户只能使用经国家密码管理机构认可的商用密码产品;4.安全、保密管理:商用密码产品的科研、生产环境应当符合安全、保密要求,销售、运输、保管商用密码产品应当采取相应的安全措施;宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准;不得非法
28、攻击商用密码,不得利用商用密码危害国家安全、利益,社会治安或进行其它违法犯罪活动。商用密码管理条例(续)处罚: 违反上述管理规定,由国家密码管理机构根据不同情况分别会同公安机关、安全机关、工商、海关、保密部门依法给予行政处罚;构成犯罪的,依法追究刑事责任。 目前,商密办未就如何会同及处罚依据问题与公安部正式研究。法规4. 中华人民共和国电信条例 2000年9月20日发布 条例调整的对象是中国境内的电信活动或与电信有关的活动。信息产业部是全国电信业的主管部门。条例对规范电信市场、电信服务、电信建设,保障电信安全作了明确的规定。其中,电信安全规定了四项禁则和一项制度:四项禁则:1、任何组织或个人不
29、得利用电信网络制作、复制、发布、传播有害信息。2、任何组织或个人不得有下列危害电信网络安全和信息安全的行为: 中华人民共和国电信条例(续) (1)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改; (2)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动; (3)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施; (4)危害电信网络安全和信息安全的其他行为。3.任何组织或个人不得扰乱电信市场秩序。4.除非因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法定程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内
30、容进行检查。电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。一项安全制度:电信业务经营者的安全保障责任制。法规5. 互联网信息服务管理办法 2000年9月25日发布. 信息产业部牵头起草。该办法调整的对象是中国境内的互联网信息服务活动。国家对经营性互联网信息服务实行许可制度,由信息产业部颁发经营许可证;对非经营性互联网信息服务实行备案制度,向信息产业部办理备案手续。办法第十八条规定:信息产业部和地方电信管理机构依法对互联网信息服务实施监督管理;新闻、出版、教育、卫生、药品监督管理、工商和公安、国家安全等有关主管部门在各自职责范围内依法对互联网信息内容实施监督管
31、理。互联网信息服务管理办法(续)第十四条规定:从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。 与公安机关有关的处罚内容: 制作、复制、发布、传播本第十五条所列内容之一的信息,由公安机关、国家安全机关依照中华人民共和国治安管理处罚条例、计算机信息网络国际联网安全保护管理办法等有关法律、行政法规的规定予以行政处罚。 法规6. 认证认可
32、条例n共7章内容:第一章总则,第二章认证机构,第三章认证,第四章认可,第五章监督管理,第六章法律责任,第七章附则n第一条为了规范认证认可活动,提高产品、服务的质量和管理水平,促进经济和社会的发展,制定本条例。n第二条本条例所称认证,是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。n本条例所称认可,是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。n第六条认证认可活动应当遵循客观独立、公开公正、诚实信用的原则。n第八条从事认证认可活动的机构及其人员,对其所知悉的国家秘密和商业
33、秘密负有保密义务。n第十四条认证机构不得与行政机关存在利益关系。认证机构不得接受任何可能对认证活动的客观公正产生影响的资助;不得从事任何可能对认证活动的客观公正产生影响的产品开发、营销等活动。认证机构不得与认证委托人存在资产、管理方面的利益关系。n第十七条国家根据经济和社会发展的需要,推行产品、服务、管理体系认证。n第十八条认证机构应当按照认证基本规范、认证规则从事认证活动。 n第二十七条认证机构应当对其认证的产品、服务、管理体系实施有效的跟踪调查,认证的产品、服务、管理体系不能持续符合认证要求的,认证机构应当暂停其使用直至撤销认证证书,并予公布。2003年年11月发布月发布部门规章及规范性文
34、件1.公安部令第32号:计算机信息系统安全专用产品检测和销售许可证管理办法(1997年12月12日) 办法规定了在中国境内的计算机信息系统安全专用产品进入市场销售,实行销售许可证制度。安全专用产品的生产者申领销售许可证,必须对其产品进行安全功能检测和认定。 公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作。地(市)级以上公安机关负责销售许可证的监督检查工作。 规章1.计算机信息系统安全专用产品检测和销售许可证管理办法n共六章内容:第一章总则第二章检测机构的申请与批准第三章安全专用产品的检测第四章销售许可证的审批与颁发第五章罚则第六章附则n第一条为了加
35、强计算机信息系统安全专用产品(以下简称安全专用产品)的管理,保证安全专用产品的安全功能,维护计算机信息系统的安全,根据中华人民共和国计算机信息系统安全保护条例第十六条的规定,制定本办法。n第三条中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。n第五条公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构(以下简称检测机构)的审批工作。n第二十二条安全专用产品中含有有害数据危害计算机信息系统安全的,依据中华人民共和国计算机信息系统安全保护条例第二十三条的规定处罚;构成犯罪的,依法追究刑事责任。规章2.科学技术保密规定n共五章内容:第一章总则、第二章国
36、家科学技术秘密的范围和密级、第三章国家科学技术秘密密级的确定、变更及其解密、第四章国家科学技术秘密保密管理、第五章附则n第七条关系国家的安全和利益,一旦泄露会造成下列后果之一的科学技术,应当列入国家科学技术秘密范围:(一)削弱国家的防御和治安能力;(二)影响我国技术在国际上的先进程度;(三)失去我国技术的独有性;(四)影响技术的国际竞争能力;(五)损害国家声誉、权益和对外关系。n第八条国家科学技术秘密的密级:绝密:(三种情况)机密:(三种情况)秘密:(两种情况)n第十三条国家科学技术秘密事项,有下列情形之一的,应当及时变更密级: (两种情况)n第十四条国家科学技术秘密事项,有下列情形之一的,应
37、当及时解密:(五种情况)规章3.计算机信息系统国际联网保密管理规定第一条为了加强计算机信息系统国际联网的保密管理,确保国家秘密的安全,根据中华人民共和国保守国家秘密法和国家有关法规的规定,制定本规定。第六条涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。第七条涉及国家秘密的信息,包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息,不得在国际联网的计算机信息系统中存储、处理、传递。第八条上网信息的保密管理坚持“谁上网谁负责”的原则。第十条。任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。
38、第十四条各级保密工作部门,应当加强计算机信息系统国际联网的保密检查,依法查处各种泄密行为。第十六条互联单位、接入单位和用户,发现国家秘密泄露或可能泄露情况时,应当立即向保密工作部门或机构报告。27号文关于加强信息安全保障工作的意见n2003年7月22日,国家信息化领导小组第三次会议n中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持n关于加强信息安全保障工作的意见(中办、国办发2003年27号文)n意见中提出,加强信息安全保障工作,必须遵循以下原则:1.立足国情,以我为主,坚持管理与技术并重;2.正确处理安全与发展的关系,以安全保发展,从发展中求安全;3.统筹规划,突出重点,强化
39、基础性工作;4.明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。27号文(续)n对下一时期的信息安全保障工作提出了九项要求:1.加强对信息安全工作的领导,建立健全信息安全责任制2.实行信息安全等级保护3.加强以密码技术为基础的信息保护和网络信任体系建设4.建设和完善信息安全监控体系5.重视信息安全应急处理工作6.加强信息安全技术研究开发,推进信息安全产业发展7.加强信息安全法制建设和标准化建设8.加快信息安全人才培养,增强全民信息安全意识9.保证信息安全资金n针对规范和加强中国信息安全产品测评认证工作,意见中专门提出“推进信息安全的认证认可工作,规范和加
40、强信息安全产品测评认证工作” n意见中指出,“使用国家财政资金建设的信息化项目,要遵照中华人民共和国政府采购法的规定采用国产软件、设备和服务”。 国际法律法规概要国内法律法规概要我国信息安全法律法规简介法律前沿法律法规法律前言n国家WLAN管理政策n知识产权保护n隐私保护n调查与取证国家WLAN管理政策n2003年11月26日 ,国家质量监督检验检疫总局、国家标准化管理委员会关于无线局域网强制性国家标准实施的公告(2003年第110号)n于2003年5月12日发布,自2003年12月1日起实施: GB15629.11-2003信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11
41、部分:无线局域网媒体访问控制和物理层规范GB15629.1102-2003信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范:2.4GHz频段较高速物理层扩展规范n中国的WALN标准GB15629.11-2003与IEEE的802.11无线网络标准(也称无线保真度或Wi-Fi)在很多地方都很相似,但有一个关键不同点是:nGB15629.11-2003-“无线局域网鉴别与保密基础结构”(WAPI)的安全协议,使WLAN更安全,采用双向认证nIEEE802.11标准-“有线等效保密”(WEP)安全协议。 WEP协议很容易被攻击破坏, 准备开
42、发802.11i来修复原来标准存在的安全漏洞 n引发争论的焦点是:在Wi-Fi近距离无线电脑网络中加进中国设计的资料加密技术。n目前只有24家中国公司能够取得该技术,而外国Wi-Fi制造商则必须与中国企业合作才能分享此技术。 WEP与WAPI对比表WEPWAPI认证特征特征单向单向认证认证双向认证双向认证认证方法认证方法认证简单认证简单共享密钥认证共享密钥认证认证过程简单认证过程简单无线用户与无线接入点地位对等,不无线用户与无线接入点地位对等,不仅实现无线接入点的接入控制,而且仅实现无线接入点的接入控制,而且保证无线用户接入的安全性保证无线用户接入的安全性客户端支持多证书,方便用户多处使客户端
43、支持多证书,方便用户多处使用,充分保证其漫游功能用,充分保证其漫游功能安全漏洞安全漏洞鉴别易于伪造鉴别易于伪造降低了总安全性降低了总安全性无无加密密钥密钥静态静态动态(基于用户、基于鉴别、通信过动态(基于用户、基于鉴别、通信过程中动态更新)程中动态更新)安全强度安全强度低低高高国家标准与法规不符合不符合符合符合WAPI和802.1X的对比表项 目WAPI802.1X认证机制(认证机制(MT和和AP)双向认证双向认证单向认证单向认证密钥管理密钥管理全集中全集中AP和和RADIUS手工共享手工共享密钥密钥MT漫游漫游支持支持支持支持认证对象认证对象用户用户用户用户构建和扩展易用性构建和扩展易用性好
44、好差差设计对象设计对象WLAN802协议网络协议网络认证协议完善性认证协议完善性完善,强度高完善,强度高协议存在缺陷协议存在缺陷会话密钥协商会话密钥协商终端和终端和AP协商,协商,效率高效率高终端和认证服务器协商,终端和认证服务器协商,效率低效率低是否通过安全审查是否通过安全审查通过通过未通过未通过知识产权n2002年元旦,新版实施,与原比较原软件条例第22条:“因课堂教学、科学研究、国家机关执行公务等非商业性目的的需要对软件进行少量的复制,可以不经软件著作权人或者其法定受让者的同意,不向其支付报酬。”新软件条例第17条:“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软
45、件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”n最终用户使用未授权软件问题,法律保护水平3个台阶:第一台阶:不将软件侵权的最终界限延伸到任何最终用户。WTO知识产权协定 第二台阶:将软件侵权的最终界限延伸到部分最终用户。一些发达国家和地区。区分营利性/非营利性,商业目的/非商业目的,单位使用/个人使用。(台湾、韩国、日本)第三台阶:将软件侵权的最终界限延伸到所有最终用户。案例n英国政府的知识产权报告,已经提醒发展中国家,在法律不配套情况下,要慎用知识产权法,就是指这种情况。新华社记者也已指出了这一点:“目前我国知识产权的保护,从著作权法计算机软件保护条例著作权法实施条例,对弱
46、势一方消费者不断施加法律压力,对强势的权利人一方(企业)却缺乏应有的法律制约,尤其是对知识产权垄断力量的制约更是空白。nAdobe反盗版如虎入羊群网络环境下隐私的保护n1)非法收集客户信息n2)SPAMn3)非法截取、篡改、监看他人电子邮件n4)擅自宣扬、公布他人隐私调查与证据n调查是否请求执法实施调查n不要对被破坏的实际系统实施调查n不要试图”反黑”并报复n如果质疑,就请求专家的协助.n证据文档证据的两种证据规则n最好的证据规则:必须提供原始文档.拷贝不能当证据.n口头证据规则:有书面协议时,口头协议不可以修改书面协议.法庭采纳证据,须满足3个要求n证据须与事实相关n证据要确定的事实须与本案
47、是必要的n证据必须有法定资格.计算机取证n电子证据-电子化工具为主体组成的系统在运行过程中产生的以其记录的内容来证明案件事实的电磁记录物.n取证原则及时性,合法性,全面性,专业人士取证,利用专门工具取证.n(2004年8月31日)如何保护已得到的证据n对所有的介质进行写保护和病毒检查n保留监视链监视链能从最初始的证据追踪到当庭提供的证据.需要证实下列内容任何信息未被添加或更改已制作了完整的拷贝复制过程可靠所有的介质都是安全的对所有的介质进行写保护和病毒检测是保留监视链的众多环节中首要要求,其次就是要制作镜像拷贝。司法解释最高人民法院、最高人民检查院关于办理利用互联网、移动通讯终端、声讯台制作、
48、复制、出版、贩卖、转播淫秽电子信息刑事案件具体应用法律若干问题的解释种情形:1)制作、复制、出版、贩卖、转播淫秽制作、复制、出版、贩卖、转播淫秽音频文件个以上音频文件20个以上2)制作、复制、出版、贩卖、转播淫秽音频文件个以上;3)制作、复制、出版、贩卖、转播淫秽电子刊物、图片、文章、短信等件以上;4)制作、复制、出版、贩卖、转播淫秽电子信息,实际被点击次数万次以上;5)以会员制方式出版、贩卖、传播淫秽电子信息,注册会员达人以上;6)违法所得万元以上;7)数量或数额虽没达到上述项规定标准,但分别达到其中两项以上标准一半以上的;8)造成后果严重的。国际法律法规概要国内法律法规概要我国信息安全法律法规简介法律前沿总结Any Questions? 谢谢大家谢谢大家
