信息法教程第2版朱庆华第18章节

第18章 信息系统安全法律规范,学习要求：了解信息系统安全的目标、任务及基本概念、影响信息系统安全的因素和危害信息系统安全的行为，理解信息系统安全问题的迫切性及信息系统安全的保护措施，熟知我国保护信息系统安全的法律规范，可以灵活地运用“法律”手段保护信息系统安全。,本章导语,信息系统即计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 广义的信息系统包括的范围很广，各种处理信息的系统都可算作信息系统，包括人体本身和各种人造系统；狭义理解的信息系统仅指基于计算机的系统，是入、规程、数据库、硬件和软件等各种设备、工具的有机集合，它突出的是计算机和网络通信等技术的应用。 信息系统的广泛应用，极大地促进了社会经济的发展，但是随着计算机技术的进步、信息系统范围的扩大，信息系统受到攻击的可能性也越来越大，信息系统安全问题也就成为非常重要的信息问题。,本章概要,第一节 个人信息保护的相关概念,一、信息系统安全问题的迫切性,三、影响信息系统安全的因素,五、信息系统安全的目标与任务,二、信息系统安全的基本概念,四、危害信息系统安全的行为,一、信息系统安全问题的迫切性,随着互联网的飞速发展，越来越多的信息系统和互联网实现互联，计算机病毒或非法侵入信息系统的案件也越来越多，造成的损失也越来越大。计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 由于危害信息系统案件的增多和造成的损失越来越大，信息系统安全受到世界上大多数国家或地区的高度重视，采取了众多措施来维护信息系统的安全。 近年来，我国信息系统安全形势也异常严峻。,二、信息系统安全的基本概念,一般来说，信息系统安全主要涉及信息在系统中存储和传输的安全。信息系统不仅指计算机本身的软硬件资源，数据及接口设备，还包括计算机的一切外部设备和机房设施，其中包括电源设施和网络通信设施等。 信息系统安全一般包括物理安全和逻辑安全两方面。物理安全包括：安全地放置设备，使之远离火灾、水灾、电磁辐射等；物理访问控制，如口令、指纹鉴别、视网膜鉴别等，确认身份；安全管理，包括人事管理、门卫等措施。而逻辑安全包括：信息的保密性，指高安全级的信息不会非授权地流向低安全级的主体和客体；信息的完整性，指信息不会被非授权地修改，保持信息一致性等；信息的可用性，指合法用户的正常请求应保证及时、正确、安全地得到服务。,三、影响信息系统安全的因素,危害信息系统安全的因素主要有自然灾害和人为灾害两大类。 自然灾害是由一些人类不可控制的因素引起的。目前，由于科学技术水平所限，人类还不能完全控制并消除自然灾害对信息系统安全的危害，但是可采取异地设立镜像服务器或异地存放备份数据等一些措施，把自然灾害给信息系统安全带来的损失降低到最小。 人为灾害又可以分为有意灾害和无意灾害。有意灾害主要指一些人员违纪、违法和犯罪，非法侵入或破坏信息系统安全，给信息系统安全带来的危害。无意危害主要指失误操作、故障及殃及池鱼的火灾等一些因素，给信息系统安全带来的危害。,四、危害信息系统安全的行为,四、危害信息系统安全的行为,（一）种类,（1）非法侵入信息系统； （2）破坏信息系统安全； （3）窃取信息系统数据； （4）滥用信息系统； （5）窃用信息系统服务。,（1）为了达到某种政治、军事目的的行为； （2）为了谋取钱财而进行的行为； （3）为了报复和泄愤而进行的行为； （4）出于好奇或为了炫耀自己而实施的危害信息系统的行为,四、危害信息系统安全的行为,（二）特点,（1）行为人的智能性 （2）手法的隐蔽性 （3）手段的多样性 （4）后果的严重性 （5）行为的复杂性 （6）目的的多样化,四、危害信息系统安全的行为,（三）手段,（1）冒充合法用户。 （2）用某种方法跟踪享有特权的用户 （3）非法用户针对信息系统的身份识别机制采用计算机技术进行攻击进入系统。 （4）制作、传播计算机病毒。 （5）通过信息系统的“漏洞”、“后门”或“陷阱门”非法入侵。 （6）通过伪造信用卡、存折、磁卡等，利用计算机新系统进行诈骗、盗窃。 （7）用专门的设备从计算机信息系统中直接截取信息，或者接受计算机设备和通信线路辐射出来的电磁波信号，并将它们用于犯罪。 （8）有意设置并插入某种程序或利用特殊程序在数据传输或者输入过程中，对数据进行修改，干预信息系统的运行，从而达到删除数据、破坏系统功能或进行盗窃、贪污等目的。 （9）截留、积累。采用不易侦查的手段，使客户自动作出细小的让步，最后达到盗窃或其他犯罪目的。 （10）监守自盗。,五、信息系统安全的目标与任务,信息系统安全的目标主要包括：信息安全和系统安全。信息安全是保证所属组织的秘密信息和系统运行中有关信息的机密性、完整性、可用性和可控性。系统安全是保证所属组织的技术系统的可靠性、完整性和可用性。 信息系统安全的任务是要保障信息系统安全有效地运行，也就是保障信息在系统中能安全有效地存储和传输。,五、信息系统安全的目标与任务,信息系统安全的任务 具体可以归纳为以下几个方面： （1）只有合法的用户才能接入并对信息系统的资源进行操作。 （2）合法用户必须能够接入他们所被授权接入的资源进行操作。 （3）所有的用户必须并且只对他自己在信息系统中的行为负责。 （4）系统应当能够拒绝未经授权的接入或操作。 （5）应当可以从系统中获取与安全管理有关的信息。 （6）如果一个对安全的侵害被检测出来，有可控制的办法来处理，从而使造成的损失降到最小的程度。 （7）在一个对安全的破坏被检测出来后，系统可以恢复到正常的安全等级。 （8） 系统的结构应当具备一定的灵活性，以支持不同的安全管理策略。,第二节 信息系统安全的保护措施,一、技术措施,二、法律措施,四、教育措施,三、管理措施,一、技术措施,影响信息系统安全的技术问题包括通信安全技术和计算机安全技术两个方面。 通信安全所涉及的技术有： 信息加密技术；信息确认技术；网络控制技术。 计算机安全所涉及的技术主要有： 容错计算机技术；安全操作系统；计算机反病毒技术。 信息系统安全防护技术主要有： （1）信道防泄露。（2）加密防泄露。（3）隔离防泄露。（4）检测防泄露。,二、法律措施,为了保障信息系统安全，必须依靠必要的法律建设。若没有必要的法律建设和实施，病毒的制造者、传播者和黑客的攻击将得不到应有的惩罚，就会助长危害信息系统安全的行为，信息系统的数据与信息安全就不能得到有效的保护。为此，必须制订保障信息系统安全的法律、法规，对违规进行严惩，从而为保障信息系统安全构筑起第一道防线。,三、管理措施,组织建设,制度建设,人员意识,有关信息系统安全管理机构的建设,制订切实可行的规章制度，以保障信息系统安全,通过对领导和管理人员进行信息技术安全教育，增强领导和管理人员的安全意识，使他们真正重视信息系统安全,四、教育措施,人是信息系统的研制者，也是信息系统安全的捍卫者，还是信息系统安全的危害者。因此，进行信息技术安全教育是保障信息系统安全的根本措施。 教育措施主要包括对全体公民的信息系统安全法律教育、对信息技术人员的信息系统安全技术教育和对信息技术人员的职业道德教育。 维护信息系统安全是一项复杂的系统工程，需要我国政府部门、企业和个人齐心协力来实现，也需要信息技术企业和信息技术应用部门的共同努力来保障。,第三节 信息系统安全保护的法律规范,一、信息系统类法规,二、联网管理类法规,四、其它法律法规,三、安全等级类法规,一、信息系统类法规,1994.02,2000.04,2000.09,1997.04,中华人民共和国计算机信息系统安全保护条例,计算机病毒防治管理办法,中华人民共和国电信条例,计算机信息系统安全专用产品分类原则,二、联网管理类法规,三、安全等级类法规,三、安全等级类法规,四、我国保护信息系统安全的其它法律法规,1995,2005,2008,2010,中华人民共和国人民警察法,中华人民共和国治安管理处罚法,含有密码技术的信息产品政府采购规定,中华人民共和国保守国家秘密法,本章小结,随着更多的信息系统接入互联网和互联网用户越来越多，危害信息系统安全的事例屡见不鲜，信息系统安全问题也引起了人们的高度重视。影响信息系统安全的因素主要有自然灾害和人为灾害两大类，危害信息系统安全行为的种类、特征和手段也是多种多样的。为了保障信息系统安全，我们需要从技术措施、法律措施、管理措施和教育措施等方面入手，以保障信息系统的安全。 重点介绍了我国现行的有关信息系统安全的法律法规，从信息系统类、互联网管理类和安全等级类三个方面对计算机信息系统安全保护条例、计算机病毒防治管理办法、中华人民共和国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法、信息安全等级保护管理办法等进行了解读。,思考与练习,1影响信息系统安全的因素有哪些？ 2危害信息系统安全的行为有哪些？ 3可以通过哪些措施来保障信息系统安全？ 4我国在保障信息系统安全上有哪些法律法规？ 5我国信息系统安全保护等级分为哪五级？ 6以侵犯信息系统安全为对象的犯罪常采用的主要手段有哪些？ 7. 危害信息系统安全的行为具有哪些特点？,结 束,结束,