1、信息安全標準與法律法規(guī),信息安全標準與法律法規(guī),數(shù)計/軟件學院 鐘尚平,信息安全標準與法律法規(guī),講授內(nèi)容,第一部分 總論 第1章 信息安全概述與涉及的法律問題 第2章 立法，司法和執(zhí)法組織 第3章 信息安全法律規(guī)范 第二部分 信息安全法律法規(guī) 第4章 信息系統(tǒng)安全保護相關法律法規(guī) 第5章 互聯(lián)網(wǎng)絡管理相關法律法規(guī) 第6章 其它有關信息安全的法律法規(guī) 第7章 依法實踐，保障信息安全 第三部分 信息安全標準 第8章 我國的信息安全標準 第9章 信息安全國際標準 第四部分 中華人民共和國網(wǎng)絡安全法,信息安全標準與法律法規(guī),課程教學目的,信息安全專業(yè)的畢業(yè)生作為網(wǎng)絡和信息系統(tǒng)的建設者，使用者或管理者，

2、除了開發(fā)和運用先進的信息安全技術外，還應認真學習和充分利用相關法律知識來保護網(wǎng)絡，信息和信息系統(tǒng)的安全，學會依照信息安全標準來建立，實施和改進組織的信息安全管理。學習本課程的目的就是要讓學生充分了解我國的信息安全法律法規(guī)以及國內(nèi)外的信息安全標準，以便為未來的信息安全實踐更好地服務。,信息安全標準與法律法規(guī),教材或參考書 :,1.陳忠文，麥永浩.信息安全標準與法律法規(guī)，武漢：武漢大學出版社（第二版），2011. 2.相關網(wǎng)站.如： 國際信息安全學習聯(lián)盟： 中國互聯(lián)網(wǎng)絡信息中心 ：,信息安全標準與法律法規(guī),信息安全標準與法律法規(guī),講課方式：課堂講授 學期成績評定方式： 1.出勤等平時表現(xiàn):20%，

3、2分/每次課 2.期末考: 80% (開或閉卷考試),信息安全標準與法律法規(guī),目前相關熱點話題,區(qū)塊鏈！區(qū)塊鏈！區(qū)塊鏈！ 充其量只是個保證信息安全的加密共享系統(tǒng) ,信息安全標準與法律法規(guī),第一部分 總論第1章 信息安全概述與涉及的法律問題1.1 信息安全概述,信息安全標準與法律法規(guī),1.1.1 信息的概念與特征,信息、材料和能源是人類社會賴以生存和發(fā)展的基礎。 所謂信息，科學家說：信息是不確定性的減少，是負熵.安全專家說：信息是一種資產(chǎn)，它意味著一種風險.教科書上的定義“就是客觀世界中各種事物的變化和特征的最新反映，是客觀事物之間聯(lián)系的表征，也是客觀事物狀態(tài)經(jīng)過傳遞后的再現(xiàn)”。 （包括三點：差

4、異、特征、傳遞） 信息自身不能獨立存在，必須依附于某種物質(zhì)載體。信源、信宿、信道是信息的三大要素。 信息可以被創(chuàng)建,輸入,存儲,輸出,傳輸（發(fā)送，接收，截?。?處理（編碼，解碼，計算）,銷毀。 信息系統(tǒng)是信息采集、存儲、加工、分析和傳輸?shù)墓ぞ?，它是各種方法、過程、技術按一定規(guī)律構成的一個有機整體。,信息安全標準與法律法規(guī),1.1.2 網(wǎng)絡的簡單概念,網(wǎng)絡-確保信息按需有序流動的基礎設施。網(wǎng)絡既包含了組成網(wǎng)絡的硬件設備和線路，也包含了網(wǎng)絡設備運行的軟件系統(tǒng)。 傳輸網(wǎng)絡-基礎電信網(wǎng)、基礎廣電網(wǎng)等 互聯(lián)網(wǎng)絡-互聯(lián)網(wǎng)（因特網(wǎng)）、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng) 人際網(wǎng)絡-關系網(wǎng)、銷售網(wǎng)、間諜網(wǎng) 互聯(lián)網(wǎng)的特點:開放性,國

5、際性和自由性.互聯(lián)網(wǎng)是扁平結構的,平等的,而這個社會是樹型結構的,分等級的.,信息安全標準與法律法規(guī),1.1.3 安全的簡單概念,Security: 信息的安全 Safety:物理的安全 Security的含義:在有敵人（Enemy）/對手（Adversary）/含敵意的主體（Hostile Agent）存在的網(wǎng)絡空間中，確保己方的信息、信息系統(tǒng)和通信不受竊取和破壞，按照需要對敵方的信息、信息系統(tǒng)和通信進行竊取和破壞的“機制”（Mechanism）,信息安全標準與法律法規(guī),1.1.4 網(wǎng)絡信息安全提出的背景,網(wǎng)絡的普及 對網(wǎng)絡的依賴加深 攻擊的門檻降低 -攻擊資源的廣泛存在 -實施攻擊的難度大

6、大降低 維護國家主權和社會穩(wěn)定、打擊網(wǎng)上犯罪、引導青少年健康上網(wǎng)（過濾與監(jiān)控） 網(wǎng)絡信息資源的綜合利用（情報獲取與分析） 網(wǎng)絡信息對抗和網(wǎng)絡信息戰(zhàn),信息安全標準與法律法規(guī),1.1.4 網(wǎng)絡信息安全基本概念,什么是網(wǎng)絡信息安全？這樣一個看似簡單的問題卻難有令人滿意的答案。目前業(yè)界、學術界、政策部門對信息安全的定義似乎還沒有形成統(tǒng)一的認識。所以也衍生出了許多不同的概念，比如網(wǎng)絡安全、計算機安全、系統(tǒng)安全、應用安全、運行安全、媒體安全、內(nèi)容安全等等； 教科書上的定義:網(wǎng)絡安全從其本質(zhì)上來講是網(wǎng)絡上的信息安全. 它涉及的領域相當廣泛. 從廣義來說,凡是涉及到網(wǎng)絡上信息的保密性完整性可用性真實性和可控性

7、的相關技術與原理,都是網(wǎng)絡安全所要研究的領域,信息安全標準與法律法規(guī),1.1.4 網(wǎng)絡信息安全基本概念,信息安全的一般內(nèi)涵的定義是確保以電磁信號為主要形式的，在計算機網(wǎng)絡系統(tǒng)中進行獲取、處理、存儲、傳輸和利用的信息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中，處于動態(tài)和靜態(tài)過程中的機密性、完整性、可用性、可審查性、可認證性和抗抵賴性的，與人、網(wǎng)絡、環(huán)境有關的技術和管理規(guī)程的有機集成。信息安全主要涉及到信息存儲的安全、信息傳輸?shù)陌踩约皩W(wǎng)絡傳輸信息內(nèi)容的審計三方面。 從不同的角度或從不同的環(huán)境和應用中,網(wǎng)絡信息安全有不同的含義,信息安全標準與法律法規(guī),1.1.4 網(wǎng)絡信息(空間)安全,網(wǎng)絡

8、空間安全研究內(nèi)容主要包括網(wǎng)絡空間安全基礎、密碼學及其應用、系統(tǒng)安全、網(wǎng)絡安全與應用安全五個方向(引自2015年9月第九屆中國網(wǎng)絡空間安全學科專業(yè)建設與人才培養(yǎng)研討會上，國家信息化專家咨詢委委員、信息安全教指委名譽主任沈昌祥院士代表信息安全教指委所做報告) ，具體如下圖所示：,信息安全標準與法律法規(guī),1.1.4 網(wǎng)絡信息(空間)安全,信息安全標準與法律法規(guī),1.1.4 網(wǎng)絡信息(空間)安全,由此可見，網(wǎng)絡空間安全的內(nèi)涵遠遠超出通常意義上的計算機網(wǎng)絡安全，而是涵蓋數(shù)學、計算機、通信、電子以及管理、法律等的綜合學科。 可以說網(wǎng)絡空間安全學科在追求自身建設的同時，更重要的作用體現(xiàn)在對整個社會的網(wǎng)絡化和

9、信息化建設提供基礎性的安全保障，沒有網(wǎng)絡空間安全保障的“電子商務”、“數(shù)字城市”、“互聯(lián)網(wǎng)+”、“云計算”和“物聯(lián)網(wǎng)”等是不可想象的。,信息安全標準與法律法規(guī),1.1.5 網(wǎng)絡信息系統(tǒng)安全的基本屬性,完整性（integrity）指信息在存儲或傳輸過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。 保密性(confidentiality)是指嚴密控制各個可能泄密的環(huán)節(jié)，使信息在產(chǎn)生、傳輸、處理和存儲的各個環(huán)節(jié)不泄漏給非授權的個人和實體。 可用性(availability)是指保證信息確實能為授權使用者所用，即保證合法用戶在需要時可以使用所需信息，防止由于主客觀因素造成系統(tǒng)拒絕

10、服務。 可控性（controllability）指信息和信息系統(tǒng)時刻處于合法所有者或使用者的有效掌握與控制之下 。 不可否認性(incontestable)。是指保證信息行為人不能否認自己的行為 。,信息安全標準與法律法規(guī),1.1.6 保障信息安全的三大支柱,1.信息安全技術 密碼技術 網(wǎng)絡安全防護 數(shù)據(jù)信息安全 認證技術 病毒防治技術 防火墻與隔離技術 入侵檢測技術, 等等,信息安全標準與法律法規(guī),1.1.6 保障信息安全的三大支柱,2.信息安全法律法規(guī) 從法律層面上來規(guī)范人們的行為，使信息安全工作有法可依，使相關違法犯罪能得到處罰，促使組織和個人依法制作，發(fā)布，傳播和使用信息，從而達到保障

11、信息安全的目的。,信息安全標準與法律法規(guī),1.1.6 保障信息安全的三大支柱,3.信息安全標準 建立統(tǒng)一的信息安全標準，其目的是為信息安全產(chǎn)品的制造，安全的信息系統(tǒng)的構建，企業(yè)或組織安全策略的制定，安全管理體系的構建以及安全工作評估等提供統(tǒng)一的科學依據(jù)。 目前信息安全標準大致分為：信息安全產(chǎn)品標準，信息安全技術標準和信息安全管理標準等。,信息安全標準與法律法規(guī),1.1.6 保障信息安全的三大支柱,三分技術，七分管理。 網(wǎng)絡信息安全工作是一個過程，技術和產(chǎn)品的到位只是工作的開始，遠遠不是工作的結束。 因此，服務和管理在網(wǎng)絡信息安全中起著非常重要的作用。,信息安全標準與法律法規(guī),第一部分 總論第1

12、章 信息安全概述與涉及的法律問題1.2 信息安全涉及的法律問題,信息安全標準與法律法規(guī),網(wǎng)絡引發(fā)的法律問題,攻擊 惡意代碼 管理失誤,泄密 傳播不良信息 利用網(wǎng)絡進行違法活動的通信指揮 散布謠言，制造恐慌動亂 網(wǎng)絡上實施經(jīng)濟犯罪 網(wǎng)絡上實施民事侵權,針對網(wǎng)絡的行為引發(fā)的法律問題,利用網(wǎng)絡的行為引發(fā)的法律問題,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,三種法律關系 1.行政法律關系 解決有關部門依法行政、依法管理網(wǎng)絡的問題 2.民事法律關系 解決運營者與使用者、運營者與運營者、使用者與使用者之間的民事法律糾紛問題 3.刑事法律關系 解決網(wǎng)絡犯罪的問題,信息安全標準與法律法規(guī),1.2

13、 信息安全涉及的法律問題,中國的網(wǎng)絡信息安全立法現(xiàn)狀 國際公約 憲法 法律 行政法規(guī) 司法解釋 部門規(guī)章 地方性法規(guī),信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,國際公約:國際電信聯(lián)盟組織法1992 世界貿(mào)易組織總協(xié)定2001 憲法:中國1982年憲法 法律:人大常委會關于維護互聯(lián)網(wǎng)安全的決定（2000年12月28日）;中華人民共和國刑法第285、286、287條（1997年3月14日）; 中華人民共和國警察法（1995年2月28日）,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,行政法規(guī) 互聯(lián)網(wǎng)信息服務管理辦法（2000年9月25日） 中華人民共和國電信管理條例 （20

14、00年9月25日） 商用密碼管理條例（1999年10月7日） 計算機信息系統(tǒng)國際聯(lián)網(wǎng)安全保護管理辦法(1997年) 中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定（1997年5月20日） 中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年）,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,司法解釋 最高人民法院關于審理擾亂電信市場管理秩序案件具體應用法律若干問題的解釋（2000年4月28日） 關于著作權法“網(wǎng)絡傳播權”的司法解釋,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,部門規(guī)章 公安部 信息產(chǎn)業(yè)部 國家保密局 國務院新聞辦 國家出版署 教育部 國家藥品質(zhì)量監(jiān)督管理局

15、,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,地方性法規(guī)和地方政府部門規(guī)章 很多，不一一列舉.,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,罪與非罪刑法285條 違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,罪與非罪刑法286條 違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。 違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應

16、用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰。 故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰。,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,罪與非罪刑法287條 利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其它犯罪的，依照本法有關規(guī)定定罪處罰。,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,網(wǎng)絡傳播權 作品的作者依法享有網(wǎng)絡傳播權 未經(jīng)作者及其委托出版機構同意在網(wǎng)上發(fā)行其作品的，屬于侵權行為,信息安全標準與法律法規(guī),1.2 信息安全涉及的法律問題,網(wǎng)絡域名爭議 域名同企業(yè)名稱、商標一樣，屬于一種知識產(chǎn)權 域名爭議目前已經(jīng)有了獨立仲裁機構,信息安全標準與法律法規(guī),1.2 信息安全涉及的法