《信息法教程第十八章课件.ppt》由会员分享,可在线阅读,更多相关《信息法教程第十八章课件.ppt(27页珍藏版)》请在金锄头文库上搜索。
1、第第18章章 信息系统安全法律规范信息系统安全法律规范学习要求学习要求: 了解信息系统安全的目标、任务及基本概念、影响信息系统安全的因素和危害信息系统安全的行为,理解信息系统安全问题的迫切性及信息系统安全的保护措施,熟知我国保护信息系统安全的法律规范,可以灵活地运用“法律”手段保护信息系统安全。本章导语本章导语v信息系统即计算机信息系统,是指由计算机及其信息系统即计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系
2、统。工、存储、传输、检索等处理的人机系统。v广义的信息系统包括的范围很广,各种处理信息广义的信息系统包括的范围很广,各种处理信息的系统都可算作信息系统,包括人体本身和各种的系统都可算作信息系统,包括人体本身和各种人造系统;狭义理解的信息系统仅指基于计算机人造系统;狭义理解的信息系统仅指基于计算机的系统,是入、规程、数据库、硬件和软件等各的系统,是入、规程、数据库、硬件和软件等各种设备、工具的有机集合,它突出的是计算机和种设备、工具的有机集合,它突出的是计算机和网络通信等技术的应用。网络通信等技术的应用。v信息系统的广泛应用,极大地促进了社会经济的信息系统的广泛应用,极大地促进了社会经济的发展,
3、但是随着计算机技术的进步、信息系统范发展,但是随着计算机技术的进步、信息系统范围的扩大,信息系统受到攻击的可能性也越来越围的扩大,信息系统受到攻击的可能性也越来越大,信息系统安全问题也就成为非常重要的信息大,信息系统安全问题也就成为非常重要的信息问题。问题。本章概要本章概要第一节第一节 信息系统安全概述信息系统安全概述 1第二节第二节 信息系统安全的保护措施信息系统安全的保护措施2第三节第三节 信息系统安全保护的法律规范信息系统安全保护的法律规范3第一节第一节 个人信息保护的相关概念个人信息保护的相关概念 一、信息系统安全问题的迫切性三、影响信息系统安全的因素五、信息系统安全的目标与任务二、信
4、息系统安全的基本概念四、危害信息系统安全的行为一、信息系统安全问题的迫切性一、信息系统安全问题的迫切性 v随着互联网的飞速发展,越来越多的信息系统和随着互联网的飞速发展,越来越多的信息系统和互联网实现互联,计算机病毒或非法侵入信息系互联网实现互联,计算机病毒或非法侵入信息系统的案件也越来越多,造成的损失也越来越大。统的案件也越来越多,造成的损失也越来越大。计算机病毒,是指编制或者在计算机程序中插入计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代用,并能自我复制的一组计算机指令
5、或者程序代码。码。 v由于危害信息系统案件的增多和造成的损失越来由于危害信息系统案件的增多和造成的损失越来越大,信息系统安全受到世界上大多数国家或地越大,信息系统安全受到世界上大多数国家或地区的高度重视,采取了众多措施来维护信息系统区的高度重视,采取了众多措施来维护信息系统的安全。的安全。 v近年来,我国信息系统安全形势也异常严峻。近年来,我国信息系统安全形势也异常严峻。 二、信息系统安全的基本概念二、信息系统安全的基本概念 v一般来说,信息系统安全主要涉及信息在系统中一般来说,信息系统安全主要涉及信息在系统中存储和传输的安全。信息系统不仅指计算机本身存储和传输的安全。信息系统不仅指计算机本身
6、的软硬件资源,数据及接口设备,还包括计算机的软硬件资源,数据及接口设备,还包括计算机的一切外部设备和机房设施,其中包括电源设施的一切外部设备和机房设施,其中包括电源设施和网络通信设施等。和网络通信设施等。v信息系统安全一般包括物理安全和逻辑安全两方信息系统安全一般包括物理安全和逻辑安全两方面。物理安全包括:安全地放置设备,使之远离面。物理安全包括:安全地放置设备,使之远离火灾、水灾、电磁辐射等;物理访问控制,如口火灾、水灾、电磁辐射等;物理访问控制,如口令、指纹鉴别、视网膜鉴别等,确认身份;安全令、指纹鉴别、视网膜鉴别等,确认身份;安全管理,包括人事管理、门卫等措施。而逻辑安全管理,包括人事管
7、理、门卫等措施。而逻辑安全包括:信息的保密性,指高安全级的信息不会非包括:信息的保密性,指高安全级的信息不会非授权地流向低安全级的主体和客体;信息的完整授权地流向低安全级的主体和客体;信息的完整性,指信息不会被非授权地修改,保持信息一致性,指信息不会被非授权地修改,保持信息一致性等;信息的可用性,指合法用户的正常请求应性等;信息的可用性,指合法用户的正常请求应保证及时、正确、安全地得到服务。保证及时、正确、安全地得到服务。三、影响信息系统安全的因素三、影响信息系统安全的因素 v危害信息系统安全的因素主要有自然灾害和人为危害信息系统安全的因素主要有自然灾害和人为灾害两大类。灾害两大类。v自然灾害
8、是由一些人类不可控制的因素引起的。自然灾害是由一些人类不可控制的因素引起的。目前,由于科学技术水平所限,人类还不能完全目前,由于科学技术水平所限,人类还不能完全控制并消除自然灾害对信息系统安全的危害,但控制并消除自然灾害对信息系统安全的危害,但是可采取异地设立镜像服务器或异地存放备份数是可采取异地设立镜像服务器或异地存放备份数据等一些措施,把自然灾害给信息系统安全带来据等一些措施,把自然灾害给信息系统安全带来的损失降低到最小。的损失降低到最小。v人为灾害又可以分为有意灾害和无意灾害。有意人为灾害又可以分为有意灾害和无意灾害。有意灾害主要指一些人员违纪、违法和犯罪,非法侵灾害主要指一些人员违纪、
9、违法和犯罪,非法侵入或破坏信息系统安全,给信息系统安全带来的入或破坏信息系统安全,给信息系统安全带来的危害。无意危害主要指失误操作、故障及殃及池危害。无意危害主要指失误操作、故障及殃及池鱼的火灾等一些因素,给信息系统安全带来的危鱼的火灾等一些因素,给信息系统安全带来的危害。害。四、危害信息系统安全的行为四、危害信息系统安全的行为 (一)(一)种类(二)(二)特点(三)(三)手段四、危害信息系统安全的行为四、危害信息系统安全的行为 v(一)种类(一)种类根据造成的后果根据造成的后果根据动机根据动机(1 1)非法侵入信息系统;)非法侵入信息系统;(2 2)破坏信息系统安全;)破坏信息系统安全;(3
10、 3)窃取信息系统数据;)窃取信息系统数据;(4 4)滥用信息系统;)滥用信息系统;(5 5)窃用信息系统服务。)窃用信息系统服务。(1 1)为了达到某种政治、)为了达到某种政治、军事目的的行为;军事目的的行为;(2 2)为了谋取钱财而进行)为了谋取钱财而进行的行为;的行为;(3 3)为了报复和泄愤而进)为了报复和泄愤而进行的行为;行的行为;(4 4)出于好奇或为了炫耀)出于好奇或为了炫耀自己而实施的危害信息系统自己而实施的危害信息系统的行为的行为四、危害信息系统安全的行为四、危害信息系统安全的行为 v(二)特点(二)特点如下几个方面:如下几个方面:(1 1)行为人的智能性)行为人的智能性(2
11、 2)手法的隐蔽性)手法的隐蔽性(3 3)手段的多样性)手段的多样性(4 4)后果的严重性)后果的严重性(5 5)行为的复杂性)行为的复杂性(6 6)目的的多样化)目的的多样化四、危害信息系统安全的行为四、危害信息系统安全的行为 v(三)手段(三)手段(1 1)冒充合法用户。)冒充合法用户。(2 2)用某种方法跟踪享有特权的用户)用某种方法跟踪享有特权的用户(3 3)非法用户针对信息系统的身份识别机制采用计算机技术进行攻击进入系)非法用户针对信息系统的身份识别机制采用计算机技术进行攻击进入系统。统。(4 4)制作、传播计算机病毒。)制作、传播计算机病毒。(5 5)通过信息系统的)通过信息系统的
12、“漏洞漏洞”、“后门后门”或或“陷阱门陷阱门”非法入侵。非法入侵。(6 6)通过伪造信用卡、存折、磁卡等,利用计算机新系统进行诈骗、盗窃。)通过伪造信用卡、存折、磁卡等,利用计算机新系统进行诈骗、盗窃。(7 7)用专门的设备从计算机信息系统中直接截取信息,或者接受计算机设备)用专门的设备从计算机信息系统中直接截取信息,或者接受计算机设备和通信线路辐射出来的电磁波信号,并将它们用于犯罪。和通信线路辐射出来的电磁波信号,并将它们用于犯罪。(8 8)有意设置并插入某种程序或利用特殊程序在数据传输或者输入过程中,)有意设置并插入某种程序或利用特殊程序在数据传输或者输入过程中,对数据进行修改,干预信息系
13、统的运行,从而达到删除数据、破坏系统功能对数据进行修改,干预信息系统的运行,从而达到删除数据、破坏系统功能或进行盗窃、贪污等目的。或进行盗窃、贪污等目的。(9 9)截留、积累。采用不易侦查的手段,使客户自动作出细小的让步,最后)截留、积累。采用不易侦查的手段,使客户自动作出细小的让步,最后达到盗窃或其他犯罪目的。达到盗窃或其他犯罪目的。(1010)监守自盗。)监守自盗。五、信息系统安全的目标与任务五、信息系统安全的目标与任务 v信息系统安全的目标主要包括:信息安全信息系统安全的目标主要包括:信息安全和系统安全。信息安全是保证所属组织的和系统安全。信息安全是保证所属组织的秘密信息和系统运行中有关
14、信息的机密性、秘密信息和系统运行中有关信息的机密性、完整性、可用性和可控性。系统安全是保完整性、可用性和可控性。系统安全是保证所属组织的技术系统的可靠性、完整性证所属组织的技术系统的可靠性、完整性和可用性。和可用性。v信息系统安全的任务是要保障信息系统安信息系统安全的任务是要保障信息系统安全有效地运行,也就是保障信息在系统中全有效地运行,也就是保障信息在系统中能安全有效地存储和传输。能安全有效地存储和传输。五、信息系统安全的目标与任务五、信息系统安全的目标与任务 v信息系统安全的任务信息系统安全的任务v具体可以归纳为以下几个方面:具体可以归纳为以下几个方面:v(1 1)只有合法的用户才能接入并
15、对信息系统的资源进行操)只有合法的用户才能接入并对信息系统的资源进行操作。作。v(2 2)合法用户必须能够接入他们所被授权接入的资源进行)合法用户必须能够接入他们所被授权接入的资源进行操作。操作。v(3 3)所有的用户必须并且只对他自己在信息系统中的行为)所有的用户必须并且只对他自己在信息系统中的行为负责。负责。v(4 4)系统应当能够拒绝未经授权的接入或操作。)系统应当能够拒绝未经授权的接入或操作。v(5 5)应当可以从系统中获取与安全管理有关的信息。)应当可以从系统中获取与安全管理有关的信息。v(6 6)如果一个对安全的侵害被检测出来,有可控制的办法)如果一个对安全的侵害被检测出来,有可控
16、制的办法来处理,从而使造成的损失降到最小的程度。来处理,从而使造成的损失降到最小的程度。v(7 7)在一个对安全的破坏被检测出来后,系统可以恢复到)在一个对安全的破坏被检测出来后,系统可以恢复到正常的安全等级。正常的安全等级。v(8 8) 系统的结构应当具备一定的灵活性,以支持不同的系统的结构应当具备一定的灵活性,以支持不同的安全管理策略。安全管理策略。第二节第二节 信息系统安全的保护措施信息系统安全的保护措施 一、技术措施二、法律措施四、教育措施三、管理措施一、技术措施一、技术措施v影响信息系统安全的技术问题包括通信安影响信息系统安全的技术问题包括通信安全技术和计算机安全技术两个方面。全技术
17、和计算机安全技术两个方面。v通信安全所涉及的技术有:通信安全所涉及的技术有:v信息加密技术;信息加密技术;信息确认技术;信息确认技术;网网络控制技术。络控制技术。v计算机安全所涉及的技术主要有:计算机安全所涉及的技术主要有:v容错计算机技术;容错计算机技术;安全操作系统;安全操作系统;计算机反病毒技术。计算机反病毒技术。v信息系统安全防护技术主要有:信息系统安全防护技术主要有:v(1 1)信道防泄露。()信道防泄露。(2 2)加密防泄露。)加密防泄露。(3 3)隔离防泄露。()隔离防泄露。(4 4)检测防泄露。)检测防泄露。二、法律措施二、法律措施 v为了保障信息系统安全,必须依靠必要的为了保
18、障信息系统安全,必须依靠必要的法律建设。若没有必要的法律建设和实施,法律建设。若没有必要的法律建设和实施,病毒的制造者、传播者和黑客的攻击将得病毒的制造者、传播者和黑客的攻击将得不到应有的惩罚,就会助长危害信息系统不到应有的惩罚,就会助长危害信息系统安全的行为,信息系统的数据与信息安全安全的行为,信息系统的数据与信息安全就不能得到有效的保护。为此,必须制订就不能得到有效的保护。为此,必须制订保障信息系统安全的法律、法规,对违规保障信息系统安全的法律、法规,对违规进行严惩,从而为保障信息系统安全构筑进行严惩,从而为保障信息系统安全构筑起第一道防线。起第一道防线。三、管理措施三、管理措施组织建设组
19、织建设制度建设制度建设人员意识人员意识有关信息系有关信息系统安全管理统安全管理机构的建设机构的建设 制订切实可制订切实可行的规章制行的规章制度,以保障度,以保障信息系统安信息系统安全全 通过对领导和通过对领导和管理人员进行管理人员进行信息技术安全信息技术安全教育,增强领教育,增强领导和管理人员导和管理人员的安全意识,的安全意识,使他们真正重使他们真正重视信息系统安视信息系统安全全 四、教育措施四、教育措施v人是信息系统的研制者,也是信息系统安全的捍人是信息系统的研制者,也是信息系统安全的捍卫者,还是信息系统安全的危害者。因此,进行卫者,还是信息系统安全的危害者。因此,进行信息技术安全教育是保障
20、信息系统安全的根本措信息技术安全教育是保障信息系统安全的根本措施。施。v教育措施主要包括对全体公民的信息系统安全法教育措施主要包括对全体公民的信息系统安全法律教育、对信息技术人员的信息系统安全技术教律教育、对信息技术人员的信息系统安全技术教育和对信息技术人员的职业道德教育。育和对信息技术人员的职业道德教育。v维护信息系统安全是一项复杂的系统工程,需要维护信息系统安全是一项复杂的系统工程,需要我国政府部门、企业和个人齐心协力来实现,也我国政府部门、企业和个人齐心协力来实现,也需要信息技术企业和信息技术应用部门的共同努需要信息技术企业和信息技术应用部门的共同努力来保障。力来保障。第三节第三节 信息
21、系统安全保护的法律规范信息系统安全保护的法律规范 一、信息系统类法规二、联网管理类法规四、其它法律法规 三、安全等级类法规一、信息系统类法规一、信息系统类法规 1994.022000.042000.091997.04中华人中华人民共和国民共和国计算机信计算机信息系统安息系统安全保护条全保护条例例计算机计算机病毒防治病毒防治管理办法管理办法中华人中华人民共和国民共和国电信条例电信条例计算机计算机信息系统信息系统安全专用安全专用产品分类产品分类原则原则二、联网管理类法规二、联网管理类法规 1中华人民共中华人民共和国计算机信和国计算机信息网络国际联息网络国际联网管理暂行规网管理暂行规定定2中华人民共
22、中华人民共和国计算机信和国计算机信息网络国际联息网络国际联网管理暂行规网管理暂行规定实施办法定实施办法3计算机信息计算机信息网络国际联网网络国际联网安全保护管理安全保护管理办法办法三、安全等级类法规三、安全等级类法规 (一)(一)中华人民共和国计算机信息系中华人民共和国计算机信息系统安全保护条例统安全保护条例(二)(二)计算机信息系统安全保护等级计算机信息系统安全保护等级划分准则划分准则(三)(三)国家信息化领导小组关于加强国家信息化领导小组关于加强信息安全保障工作的意见信息安全保障工作的意见(四)(四)关于信息安全等级保护工作的关于信息安全等级保护工作的实施意见实施意见(五)(五)信息安全等
23、级保护管理办法信息安全等级保护管理办法(六)(六)信息安全等级保护管理办法信息安全等级保护管理办法三、安全等级类法规三、安全等级类法规 1等级划分等级划分与保护与保护2等级保护等级保护的实施与的实施与管理管理3涉及国家涉及国家秘密信息秘密信息系统的分系统的分级保护管级保护管理理4信息安全信息安全等级保护等级保护的密码管的密码管理理四、我国保护信息系统安全的其它法律法规四、我国保护信息系统安全的其它法律法规 1995200520082010中华人中华人民共和国民共和国人民警察人民警察法法中华人中华人民共和国民共和国治安管理治安管理处罚法处罚法含有密含有密码技术的码技术的信息产品信息产品政府采购政
24、府采购规定规定中华人中华人民共和国民共和国保守国家保守国家秘密法秘密法本章小结本章小结v随着更多的信息系统接入互联网和互联网用户越随着更多的信息系统接入互联网和互联网用户越来越多,危害信息系统安全的事例屡见不鲜,信来越多,危害信息系统安全的事例屡见不鲜,信息系统安全问题也引起了人们的高度重视。影响息系统安全问题也引起了人们的高度重视。影响信息系统安全的因素主要有自然灾害和人为灾害信息系统安全的因素主要有自然灾害和人为灾害两大类,危害信息系统安全行为的种类、特征和两大类,危害信息系统安全行为的种类、特征和手段也是多种多样的。为了保障信息系统安全,手段也是多种多样的。为了保障信息系统安全,我们需要
25、从技术措施、法律措施、管理措施和教我们需要从技术措施、法律措施、管理措施和教育措施等方面入手,以保障信息系统的安全。育措施等方面入手,以保障信息系统的安全。v重点介绍了我国现行的有关信息系统安全的法律重点介绍了我国现行的有关信息系统安全的法律法规,从信息系统类、互联网管理类和安全等级法规,从信息系统类、互联网管理类和安全等级类三个方面对类三个方面对计算机信息系统安全保护条例计算机信息系统安全保护条例、计算机病毒防治管理办法计算机病毒防治管理办法、中华人民共和中华人民共和国计算机信息网络国际联网管理暂行规定国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法计算机信息网络
26、国际联网安全保护管理办法、信息安全等级保护管理办法信息安全等级保护管理办法等进行了解读。等进行了解读。思考与练习思考与练习v1 1影响信息系统安全的因素有哪些?影响信息系统安全的因素有哪些?v2 2危害信息系统安全的行为有哪些?危害信息系统安全的行为有哪些?v3 3可以通过哪些措施来保障信息系统安全?可以通过哪些措施来保障信息系统安全?v4 4我国在保障信息系统安全上有哪些法律法规我国在保障信息系统安全上有哪些法律法规?v5 5我国信息系统安全保护等级分为哪五级?我国信息系统安全保护等级分为哪五级?v6 6以侵犯信息系统安全为对象的犯罪常采用的以侵犯信息系统安全为对象的犯罪常采用的主要手段有哪些?主要手段有哪些?v7. 7. 危害信息系统安全的行为具有哪些特点?危害信息系统安全的行为具有哪些特点?结束结束