信息网络安全态势和等级保护法律法规专题讲座.ppt

1、单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,1,我们的世界，什么改变了？,信息网络安全态势和等级保护法律法规专题讲座,一、信息安全的态势介绍,3,目录,二、信息系统等级保护的相关法律法规,三、个人信息安全保护,如何做好管理工作：读好三本书,孙子兵法,三国演义,西游记,4,一、安全等级保护工作情况,一、信息网络安全态势简介,5,采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和

2、交换的数据不会发生增加、修改、丢失和泄露等,6,7,8,-project work,-,学习额外知识,-,音乐,-,电影,-,游戏,-QQ,-MSN,-,微信,-,网上购物,-,网上登记或缴交费用,-,新闻,-,各个地方的风土人情,9,e,可以做什么？“互联网,+,”,记忆中的重大安全事件,百度被黑,3Q,大战、棱镜门,1,、数千万社保用户信息泄露,2015,年,4,月，从补天漏洞响应平台获得的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞的省市就已经超过,30,个，仅社保类信息安全漏洞统计就达到,5279.4,万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信

3、息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗用信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪,2,、酒店住房信息泄露,信息安全存在方式：与每个人都息息相关,1,、每个人都接到过各式各样的广告电话、短信,2,、在互联网上输入你的名字、身份证号码、手机号码、家庭住址搜索一下,11,我们身边的重大,安全事件案例,深圳市,10,万孕妇信息泄露,1.2,万元一张光盘贩卖,怀疑卫生局、计生委,广州市政府机关网络信息中心,UPS,电池火灾,瘫痪,72,小时,广州市越秀区教育局门户网站域名过期抢注变色情网站,广州市破获省出入境管理处网站网

4、站漏洞。,伊拉克、南联盟、阿富汗战争的思考,伊朗离心机问题,13,钓鱼网站,真正的中国工商银行网站,假冒的中国工商银行网站,扬州市城乡建设局网站,(,/),16,17,成都被打女司机,1,、根据这女的网络开房记录,2,、按照常理如果她不是变态的话，一般不会经期开房,3,、一般女性经期是,5-7,天，鉴于她私生活有点丰富，可能激素有点紊乱，因此初步判断她是,7,天 以上是基本假设 根据开房记录，选取样本连续的,2014,年,1,月和,4,月作为样本,1,月有四次，,1,、,7,、,15,、,22,根据上述信息，可以排除,1-7,号（间隔,5,天），,7-15,号有可能（间隔,7,天），,15-2

5、2,号可能很小（间隔,6,天），那么最大可能就是,23-30,号这,8,天！我们再来看,4,月的样本，刚好也是,4,次，,4,、,9,、,10,、,21,，根据,1,月样本的推算，并结合,1,月的成果可基本确定是,23-30,号 再用,2014,年,6,月和,7,月的几个零星样本检验一下，基本上是合适的。至于,2010.2011.2013,年的样本，由于时间久远，不具备推算最近经期的参考价值，故不予选取计入样本。因此初步推算此女经期是每月,23,号到,30,号,安全期在,1-5,号,19-23,号，排卵期在,9-15,号。,一、安全等级保护工作情况,二、信息系统安全等级保护相关法律法规,18,

6、计算机信息系统，是指由计算机及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统或者网络。,互联网是由一些使用公用语言互相通信的计算机连接而成的网络，即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络。,19,信息安全等级保护管理办法,指出,:,信息安全等级保护是以信息为核心的。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对最核心的信息和信

7、息系统划分为五个安全保护和监管等级，实行分级保护。,20,行政法规,中华人民共和国计算机信息系统安全保护条例,1994,年国务院行政法规，规定计算机信息系统实行安全等级保护。,地方法规,广东省计算机信息系统安全保护条例,，,2007,年广东地方法规，系统规定了等级保护，并设置了法律责任。,21,22,23,信息系统是指：成网络结构的（终端不属于、单机不属于），产权自己的或自己使用的。,监督指导检查部门：保密局、科信局、公安局,24,25,等级保护,的分级,对公民、法人和其他组织的合法权益,对社会秩序和公共利益,对国家安全,第一级,损害,第二级,严重损害,损害,第三级,严重损害,损害,第四级,特

8、别严重损害,严重损害,第五级,特别严重损害,26,1,、产权归谁谁来做等保,2,、谁使用谁负责,27,1,、从事计算机安全服务的公司可以参与整改,2,、有资质的第三方测评公司负责验收测评,28,3,、接受信息系统安全保护等级的备案。,5,、对安全保护等级为第三级以上信息系统选择使用信息安全产品的情况进行监督管理。,1,、指导信息系统运营使用单位及其主管部门确定系统安全保护等级。,2,、指导信息安全等级保护的建设、整改和管理。,4,、定期对受理备案的信息系统安全保护状况依法进行监督、检查。,6,、对信息安全等级保护检测评估服务机构的监督管理。,29,第二级以上计算机信息系统的运营、使用单位计算机

9、信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的，由公安机关责令限期改正，给予警告；,逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款。有违法所得的，没收违法所得；,广东省计算机信息系统安全保护条例,规定：,情节严重的，并给予六个月以内的停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。,30,已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后,30,日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。,新建第二级以上信息系统，应当在投入运行后,30,日内，由其运营、使用

10、单位到所在地设区的市级以上公安机关办理备案手续,补充备案。第三级以上信息系统还应当在系统整改、测评完成后,30,日内补交,备案表,表四及其有关材料。,变更备案。,备案表,所载事项发生变更，备案单位应当自变更之日起,30,日内重新填写,备案表,报公安机关网监部门备案。其中，变更事项涉及,备案证明,的，公机关网监部门应当重新颁布,备案证明,。,31,广东省计算机信息系统安全保护条例,规定：,计算机信息系统的运营、使用单位没有向地级市以上人民政府公安机关备案的，或者违反本条例第三十六条规定，接到公安机关要求整改的通知后拒不按要求整改的，由公安机关处以警告或者停机整顿。,32,计算机信息系统投入使用后

11、存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：,1,、变更关键部件；,2,、安全测评时间满一年；,3,、发生危害计算机信系统安全的案件或安全事故；,4,、公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评；,5,、其他应当进行安全自查和安全测评的情形。,33,第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。,自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

12、34,刑法,（,1997,年,3,月,14,日修订）第,285,、第,286,条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。,第,285,条：,违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。,35,相关法律法规,2009,年,2,月,28,日上午，十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会，以,161,票赞成、,4,票弃权表决通过,中华人民共和国刑法修正案,(,七,),。,对于惩治网络“黑客”的违法犯罪行为，刑法增加了相关条款,36,刑法修正案（七）在刑法第 条中增加两款（第二款、第三款）：,违反

13、国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。,提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,37,第,286,条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的

14、处五年以上有期徒刑。,违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。,故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,38,两高关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体解释,第四条 明知是淫秽电子信息而在自己所有、管理或者使用的网站或者网页上提供直接链接的，其数量标准根据所链接的淫秽电子信息的种类计算。,第五条 网站建立者、直接负责的管理者明知他人制作、复制、出版、贩卖、传播的是淫秽电子信息，允许或者放任他人在自

15、己所有、管理的网站或者网页上发布，以传播淫秽物品罪定罪处罚。,第七条 明知他人实施制作、复制、出版、贩卖、传播淫秽电子信息犯罪，为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算等帮助的，对直接负责的主管人员和其他直接责任人员，以共同犯罪论处。,39,计算机信息网络国际联网安全保护管理办法,第二十一条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原

16、发证、审批机构吊销经营许可可证或者取消联网资格。,（五）对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的；,40,计算机信息网络国际联网安全保护管理办法,第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：,（一）煽动抗拒、破坏宪法和法律、行政法规实施的；,（二）煽动颠覆国家政权，推翻社会主义制度的；,（三）煽动分裂国家、破坏国家统一的；,（四）煽动民族仇恨、民族歧视，破坏民族团结的；,（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；,（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；,（七）公然侮辱他人或者捏造事实诽谤他人的；,（八）损害国家机关信誉的；,（九）其他违反宪法和法律、行政法规的。,41,2,、经费保障不力或周期较长,3,、没有完善的法律支撑,1,、各单位领导重视程度不够,42,定级偏低,百害而无一利,:,1,、上级领导的重视程度自然减弱,2,、经费保障也不到位,3,、出了安全问题个人承担责任,信息安全等级保护工作温馨提示：,43,一、安全等级保护工作情况,三、网络时代，如何保护个人信息、隐私的安全。,44,45,46,1,、不设弱密码,2,、计算机设屏保密码,3,、手机,4,、个人信息安全,5,、无线网络安全,个人信息安全的保护技巧,47,祝大家都享有安全的信息网络,谢谢！,（欢迎提问）,48,