1、信息安全标准与法律法规数计/软件学院 钟尚平讲授内容n第一部分第一部分 总论总论 第第1 1章章 信息安全概述与涉及的法律问题信息安全概述与涉及的法律问题 第第2 2章章 立法,司法和执法组织立法,司法和执法组织 第第3 3章章 信息安全法律规范信息安全法律规范n第二部分第二部分 信息安全法律法规信息安全法律法规 第第4 4章章 信息系统安全保护相关法律法规信息系统安全保护相关法律法规 第第5 5章章 互联网络管理相关法律法规互联网络管理相关法律法规 第第6 6章章 其它有关信息安全的法律法规其它有关信息安全的法律法规 第第7 7章章 依法实践,保障信息安全依法实践,保障信息安全n第三部分第三
2、部分 信息安全标准信息安全标准 第第8 8章章 我国的信息安全标准我国的信息安全标准 第第9 9章章 信息安全国际标准信息安全国际标准n第四部分第四部分 中华人民共和国网络安全法中华人民共和国网络安全法 课程教学目的 n信息安全专业的毕业生作为网络和信息系统的建设者,使用者或管理者,除了开发和运用先进的信息安全技术外,还应认真学习和充分利用相关法律知识来保护网络,信息和信息系统的安全,学会依照信息安全标准来建立,实施和改进组织的信息安全管理。学习本课程的目的就是要让学生充分了解我国的信息安全法律法规以及国内外的信息安全标准,以便为未来的信息安全实践更好地服务。教材或参考书:1.陈忠文,麦永浩.
3、信息安全标准与法律法规,武汉:武汉大学出版社(第二版),2011.2.相关网站.如:国际信息安全学习联盟:http:/ 中国互联网络信息中心:http:/ 2分分/每次课每次课2.2.期末考期末考:80%(:80%(开或闭卷考试开或闭卷考试)目前相关热点话题区块链!区块链!区块链!区块链!区块链!区块链!充其量只是个保证信息安全的加密保证信息安全的加密共享系统共享系统 第一部分第一部分 总论总论第第1 1章章 信息安全概述与涉及的法律问题信息安全概述与涉及的法律问题1.1 信息安全概述信息安全概述1.1.11.1.1 信息的概念与特征信息的概念与特征n信息、材料和能源是人类社会赖以生存和发展的
4、基础。n所谓信息,科学家说:信息是不确定性的减少,是负熵.安全专家说:信息是一种资产,它意味着一种风险.教科书上的定义“就是客观世界中各种事物的变化和特征的最新反映,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现”。(包括三点:差异、特征、传递)n信息自身不能独立存在,必须依附于某种物质载体。信源、信宿、信道是信息的三大要素。n信息可以被创建,输入,存储,输出,传输(发送,接收,截取),处理(编码,解码,计算),销毁。n信息系统是信息采集、存储、加工、分析和传输的工具,它是各种方法、过程、技术按一定规律构成的一个有机整体。1.1.2 1.1.2 网络的简单概念网络的简单概念n网络网
5、络-确保信息按需有序流动的基础设施确保信息按需有序流动的基础设施。网络既网络既包含了组成网络的硬件设备和线路,也包含了网包含了组成网络的硬件设备和线路,也包含了网络设备运行的软件系统。络设备运行的软件系统。n传输网络传输网络-基础电信网、基础广电网等基础电信网、基础广电网等n互联网络互联网络-互联网(因特网)、内联网、外联网互联网(因特网)、内联网、外联网n人际网络人际网络-关系网、销售网、间谍网关系网、销售网、间谍网n互联网的特点互联网的特点:开放性开放性,国际性和自由性国际性和自由性.互联网是互联网是扁平结构的扁平结构的,平等的平等的,而这个社会是树型结构的而这个社会是树型结构的,分分等级
6、的等级的.1.1.31.1.3 安全的简单概念 nSecurity:Security:信息的安全信息的安全n Safety:Safety:物理的安全物理的安全nSecuritySecurity的含义的含义:在有敌人(在有敌人(EnemyEnemy)/对手对手(AdversaryAdversary)/含敌意的主体(含敌意的主体(Hostile Hostile AgentAgent)存在的网络空间中,确保己方的信)存在的网络空间中,确保己方的信息、信息系统和通信不受窃取和破坏,按息、信息系统和通信不受窃取和破坏,按照需要对敌方的信息、信息系统和通信进照需要对敌方的信息、信息系统和通信进行窃取和破坏
7、的行窃取和破坏的“机制机制”(MechanismMechanism)1.1.4 网络信息安全提出的背景n网络的普及网络的普及n对网络的依赖加深对网络的依赖加深n攻击的门槛降低攻击的门槛降低n-攻击资源的广泛存在攻击资源的广泛存在n-实施攻击的难度大大降低实施攻击的难度大大降低n维护国家主权和社会稳定、打击网上犯罪、引导维护国家主权和社会稳定、打击网上犯罪、引导青少年健康上网(过滤与监控)青少年健康上网(过滤与监控)n网络信息资源的综合利用(情报获取与分析)网络信息资源的综合利用(情报获取与分析)n网络信息对抗和网络信息战网络信息对抗和网络信息战1.1.4 网络信息安全基本概念n什么是网络信息安
8、全?这样一个看似简单的问题却难有令什么是网络信息安全?这样一个看似简单的问题却难有令人满意的答案。目前业界、学术界、政策部门对信息安全人满意的答案。目前业界、学术界、政策部门对信息安全的定义似乎还没有形成统一的认识。所以也衍生出了许多的定义似乎还没有形成统一的认识。所以也衍生出了许多不同的概念,比如网络安全、计算机安全、系统安全、应不同的概念,比如网络安全、计算机安全、系统安全、应用安全、运行安全、媒体安全、内容安全等等;用安全、运行安全、媒体安全、内容安全等等;n教科书上的定义教科书上的定义:网络安全从其本质上来讲是网络上的信网络安全从其本质上来讲是网络上的信息安全息安全.它涉及的领域相当广
9、泛它涉及的领域相当广泛.从广义来说从广义来说,凡是涉及凡是涉及到网络上信息的保密性到网络上信息的保密性 完整性完整性 可用性可用性 真实性和可控性真实性和可控性的相关技术与原理的相关技术与原理,都是网络安全所要研究的领域都是网络安全所要研究的领域 1.1.4 网络信息安全基本概念n信息安全的一般内涵的定义是确保以电磁信号为主要形式信息安全的一般内涵的定义是确保以电磁信号为主要形式的,在计算机网络系统中进行获取、处理、存储、传输和的,在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位置、逻辑区域、存储和传利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态
10、和静态过程中的机密性、完整性、可输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性、可认证性和抗抵赖性的,与人、网络、用性、可审查性、可认证性和抗抵赖性的,与人、网络、环境有关的技术和管理规程的有机集成。信息安全主要涉环境有关的技术和管理规程的有机集成。信息安全主要涉及到信息存储的安全、信息传输的安全以及对网络传输信及到信息存储的安全、信息传输的安全以及对网络传输信息内容的审计三方面。息内容的审计三方面。n从不同的角度或从不同的环境和应用中从不同的角度或从不同的环境和应用中,网络信息安全有网络信息安全有不同的含义不同的含义1.1.4 网络信息(空间)安全 网络空间安全研究内容主要
11、包括网网络络空空间间安安全全基基础础、密密码码学学及及其其应应用用、系系统统安安全全、网网络络安安全全与与应应用用安安全全五个方向(引自2015年9月第九届中国网络空间安全学科专业建设与人才培养研讨会上,国家信息化专家咨询委委员、信息安全教指委名誉主任沈昌祥院士代表信息安全教指委所做报告),具体如下图所示:1.1.4 网络信息(空间)安全1.1.4 网络信息(空间)安全n 由由此此可可见见,网网络络空空间间安安全全的的内内涵涵远远远远超超出出通通常常意意义义上上的的计计算算机机网网络络安安全全,而而是是涵涵盖盖数数学学、计计算算机机、通信、电子以及管理、法律等的通信、电子以及管理、法律等的综合
12、综合学科学科。n 可可以以说说网网络络空空间间安安全全学学科科在在追追求求自自身身建建设设的的同同时时,更更重重要要的的作作用用体体现现在在对对整整个个社社会会的的网网络络化化和和信信息息化化建建设设提提供供基基础础性性的的安安全全保保障障,没没有有网网络络空空间间安安全全保保障障的的“电电子子商商务务”、“数数字字城城市市”、“互互联联网网+”、“云计算云计算”和和“物联网物联网”等是不可想象的。等是不可想象的。1.1.5 网络信息系统安全的基本属性 n完整性完整性(integrityintegrity)指信息在存储或传输过程中保持不被修改、不)指信息在存储或传输过程中保持不被修改、不被破坏
13、、不被插入、不延迟、不乱序和不丢失的特性。被破坏、不被插入、不延迟、不乱序和不丢失的特性。n保密性保密性(confidentiality)(confidentiality)是指严密控制各个可能泄密的环节,使信是指严密控制各个可能泄密的环节,使信息在产生、传输、处理和存储的各个环节不泄漏给非授权的个人和实息在产生、传输、处理和存储的各个环节不泄漏给非授权的个人和实体。体。n可用性可用性(availability)(availability)是指保证信息确实能为授权使用者所用,即是指保证信息确实能为授权使用者所用,即保证合法用户在需要时可以使用所需信息,防止由于主客观因素造成保证合法用户在需要时可
14、以使用所需信息,防止由于主客观因素造成系统拒绝服务。系统拒绝服务。n可控性可控性(controllabilitycontrollability)指信息和信息系统时刻处于合法所有者)指信息和信息系统时刻处于合法所有者或使用者的有效掌握与控制之下或使用者的有效掌握与控制之下 。n不可否认性不可否认性(incontestable)(incontestable)。是指保证信息行为人不能否认自己。是指保证信息行为人不能否认自己的行为的行为 。1.1.6 保障信息安全的三大支柱1.信息安全技术n密码技术密码技术n网络安全防护网络安全防护n数据信息安全数据信息安全n认证技术认证技术n病毒防治技术病毒防治技术
15、n防火墙与隔离技术防火墙与隔离技术n入侵检测技术入侵检测技术,等等等等1.1.6 保障信息安全的三大支柱2.信息安全法律法规 从法律层面上来规范人们的行为,使信息安全工作有法可依,使相关违法犯罪能得到处罚,促使组织和个人依法制作,发布,传播和使用信息,从而达到保障信息安全的目的。1.1.6 保障信息安全的三大支柱3.信息安全标准 建立统一的信息安全标准,其目的是为信息安全产品的制造,安全的信息系统的构建,企业或组织安全策略的制定,安全管理体系的构建以及安全工作评估等提供统一的科学依据。目前信息安全标准大致分为:信息安全产品标准,信息安全技术标准和信息安全管理标准等。THANK YOUSUCCE
16、SS2024/3/1 周五21可编辑1.1.6 保障信息安全的三大支柱n三分技术,七分管理。三分技术,七分管理。n网络信息安全工作是一个过程,技术和产网络信息安全工作是一个过程,技术和产品的到位只是工作的开始,远远不是工作品的到位只是工作的开始,远远不是工作的结束。的结束。n因此,服务和管理在网络信息安全中起着因此,服务和管理在网络信息安全中起着非常重要的作用。非常重要的作用。第一部分第一部分 总论总论第第1 1章章 信息安全概述与涉及的法律问题信息安全概述与涉及的法律问题1.2 信息安全涉及的法律问题信息安全涉及的法律问题 网络引发的法律问题n攻击n恶意代码恶意代码n管理失误管理失误n泄密泄
17、密n传播不良信息传播不良信息n利用网络进行违法活利用网络进行违法活动的通信指挥动的通信指挥n散布谣言,制造恐慌散布谣言,制造恐慌动乱动乱n网络上实施经济犯罪网络上实施经济犯罪n网络上实施民事侵权网络上实施民事侵权针对针对网络的行为引发的法律问题利用利用网络的行为引发的法律问题1.2 信息安全涉及的法律问题信息安全涉及的法律问题n三种法律关系三种法律关系1.行政法律关系解决有关部门依法行政、依法管理网络的问题2.民事法律关系解决运营者与使用者、运营者与运营者、使用者与使用者之间的民事法律纠纷问题3.刑事法律关系解决网络犯罪的问题1.2 信息安全涉及的法律问题信息安全涉及的法律问题n中国的网络信息
18、安全立法现状中国的网络信息安全立法现状 国际公约宪法法律行政法规司法解释部门规章地方性法规1.2 信息安全涉及的法律问题信息安全涉及的法律问题n国际公约国际公约:国际电信联盟组织法1992 世界贸易组织总协定2001n宪法宪法:中国1982年宪法n法律法律:人大常委会关于维护互联网安全的决定(2000年12月28日);中华人民共和国刑法第285、286、287条(1997年3月14日);中华人民共和国警察法(1995年2月28日)1.2 信息安全涉及的法律问题信息安全涉及的法律问题n行政法规行政法规互联网信息服务管理办法(2000年9月25日)中华人民共和国电信管理条例(2000年9月25日)
19、商用密码管理条例(1999年10月7日)计算机信息系统国际联网安全保护管理办法(1997年)中华人民共和国计算机信息网络国际联网管理暂行规定(1997年5月20日)中华人民共和国计算机信息系统安全保护条例(1994年)1.2 信息安全涉及的法律问题信息安全涉及的法律问题n司法解释司法解释最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释(2000年4月28日)关于著作权法“网络传播权”的司法解释 1.2 信息安全涉及的法律问题信息安全涉及的法律问题n部门规章部门规章公安部信息产业部国家保密局国务院新闻办国家出版署教育部国家药品质量监督管理局1.2 信息安全涉及的法律问题信息
20、安全涉及的法律问题n地方性法规和地方政府部门规章地方性法规和地方政府部门规章 很多,不一一列举.1.2 信息安全涉及的法律问题信息安全涉及的法律问题n罪与非罪罪与非罪刑法刑法285285条条 违反国家规定,侵入国家事务、国防建违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。三年以下有期徒刑或者拘役。1.2 信息安全涉及的法律问题信息安全涉及的法律问题n罪与非罪罪与非罪刑法刑法286286条条违反国家规定,对计算机信息系统功能进行删除、修改、违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰
21、,造成计算机信息系统不能正常运行,后果严增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严
22、重的,依照第一款的规定处罚。统正常运行,后果严重的,依照第一款的规定处罚。1.2 信息安全涉及的法律问题信息安全涉及的法律问题n罪与非罪罪与非罪刑法287条 利用计算机实施金融诈骗、盗窃、利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其它贪污、挪用公款、窃取国家秘密或者其它犯罪的,依照本法有关规定定罪处罚。犯罪的,依照本法有关规定定罪处罚。1.2 信息安全涉及的法律问题信息安全涉及的法律问题n网络传播权网络传播权作品的作者依法享有网络传播权作品的作者依法享有网络传播权未经作者及其委托出版机构同意在网上发行其作未经作者及其委托出版机构同意在网上发行其作品的,属于侵权行为品的,属于
23、侵权行为1.2 信息安全涉及的法律问题信息安全涉及的法律问题n网络域名争议网络域名争议域名同企业名称、商标一样,属于一种知识产权域名同企业名称、商标一样,属于一种知识产权域名争议目前已经有了独立仲裁机构域名争议目前已经有了独立仲裁机构1.2 信息安全涉及的法律问题信息安全涉及的法律问题n信息安全刑事案例信息安全刑事案例案例案例1.1.我国第一例电脑黑客刑事案件我国第一例电脑黑客刑事案件案例案例2.2.朱朱XXXX盗窃游戏充值卡案盗窃游戏充值卡案 1.2 信息安全涉及的法律问题信息安全涉及的法律问题n信息安全民事案例信息安全民事案例案例案例3.3.我国第一例网上著作权案我国第一例网上著作权案案例案例4.4.中宇建材集团有限公司吴中宇建材集团有限公司吴XXXX网络域名侵权网络域名侵权案案 1.2 信息安全涉及的法律问题信息安全涉及的法律问题n信息安全隐私问题案例信息安全隐私问题案例 案例案例5.5.女友提出分手,男友公布女友裸照被告上女友提出分手,男友公布女友裸照被告上法庭;法庭;案例分析案例分析1.1.陈冠希是否有罪?陈冠希是否有罪?第一部分第一部分 总论总论第第2 2章章 立法,司法和执法组织立法,司法和执法组织第第3 3章章 信息安全法律规范信息安全法律规范THANK YOUSUCCESS2024/3/1 周五41可编辑