信息安全标准与法规(1).ppt

资源描述

《信息安全标准与法规(1).ppt》由会员分享，可在线阅读，更多相关《信息安全标准与法规(1).ppt（229页珍藏版）》请在三一办公上搜索。

1、信息安全标准与法规,樊山,大纲,第一单元信息安全标准与法规的重要性（2学时）第二单元信息系统安全保护法规（12学时）第三单元信息安全系统管理评估标准（10学时）第四单元信息安全法规在实践中的应用（4学时）第五单元综合练习与复习（2学时）,第一单元信息安全标准与法规的重要性（2学时）,介绍信息安全的现状、存在的问题及可能的解决方案，介绍信息安全法规、标准等在实际的信息安全应用中的重要性。了解信息安全现状、信息安全标准与法规的重要性。,第一单元信息安全标准与法规的重要性,信息安全标准与法规,教学内容：1、什么是信息安全2、信息安全的意义与现状3、信息安全涉及的内容及简介4、讨论,什么

2、是信息安全,计算机安全,网络安全,信息安全,访问控制远程通信和网络安全信息安全和风险管理应用安全密码学安全体系结构和模型操作安全业务连续性计划和灾难恢复计划法律、调查和道德规范物理安全,信息安全的意义与现状,信息安全的意义与现状,信息安全的意义与现状,信息安全涉及的内容及简介,访问控制远程通信和网络安全信息安全和风险管理应用安全密码学安全体系结构和模型操作安全业务连续性计划（BCP）和灾难恢复计划（DRP）法律、调查和道德规范物理安全,信息安全涉及的内容及简介（1）,访问控制这个域研究审查机制和所使用的方法，使系统管理员和管理员控制什么对象可以存取的程度的能力后、授权和认证以及审计和监测这

3、些活动的情况。某些主题涵盖的范围包括：访问控制安全模型身份识别和认证的技术与技巧访问控制管理单点登录技术攻击方法,信息安全涉及的内容及简介（2）,远程通信和网络安全这一领域研究内部、外部、公共和私人通信系统、网络结构、设备、协议及远端访问和管理。一些主题涵盖的范围包括：OSI模型和分层局域网（LAN），城域网（MAN），广域网（WAN）技术互联网、企业内联网、外部网问题虚拟专用网络（VPN）、防火墙、路由器、桥接器和中继器网络拓扑和布线攻击方法,远程通信和网络安全,这一领域研究内部、外部、公共和私人通信系统、网络结构、设备、协议及远端访问和管理。一些主题涵盖的范围包括：OSI模型和分层局域网（

4、LAN），城域网（MAN），广域网（WAN）技术互联网、企业内联网、外部网问题虚拟专用网络（VPN）、防火墙、路由器、桥接器和中继器网络拓扑和布线攻击方法,信息安全涉及的内容及简介（3）,信息安全和风险管理这一领域是审查利用正确的方法识别公司资产，以确定必要的保护水平，需要什么类型的财政预算案，以实施安发展全，其目标是减少威胁和利益上的损失。一些主题涵盖的范围包括：数据分类策略、程序、标准和指引风险评估和风险管理人员的安全，培训和意识,信息安全涉及的内容及简介（4）,应用安全这一领域的研究是内部的操作系统和应用程序和如何以最佳方式制定和衡量其成效的安全元素。它注重软件的生命周期、变更控制及应用

5、的安全。一些主题涵盖的范围包括：数据库和数据挖掘不同的开发方法和他们的风险软件构成和脆弱性恶意代码,信息安全涉及的内容及简介（5）,密码学这一领域的研究出于保护数据目的的伪装方法和技术。这涉及到加密技术、方法和途径。一些主题涵盖的范围包括：对称与非对称算法和使用公钥加密体系（PKI）和哈希函数加密协议和实现攻击方法,信息安全涉及的内容及简介（6）,安全体系结构和模型这个领域研究制定和实施安全应用的原则和标准，审查的概念，操作系统和系统。它包括国际安全衡量标准和这些标准对于不同类型的平台。一些主题涵盖的范围包括：操作状态、内核功能，存储器映射企业架构安全模型、结构和评价评价标准：受信任的计算机安

6、全评价标准（TESEC），信息技术安全评估标准（ITSEC），和CC应用程序及系统的常见缺陷国家认证和监督,信息安全涉及的内容及简介（7）,操作安全这个领域研究对人员、硬件、系统和审计监测技术的控制。它也包括可能被滥用的途径和如何认识和解决这些问题。部分议题涵盖的范围包括：有关人员和工作职能的管理责任防毒、培训、审计和资源保护活动中维修的概念预防、检测、纠正和恢复控制标准、遵守和应有的注意的概念安全性和容错技术,信息安全涉及的内容及简介（8）,业务连续性计划（BCP）和灾难恢复计划（DRP）这一领域研究，商业活动时面临中断或灾难时的保存。它涉及到确定真正的风险，适当的风险评估及对策的执行情况。

7、某些议题涵盖的范围包括：企业资源鉴定和价值分配业务影响分析和预测可能的损失部门优先次序和危机管理起草计划，实施和维护。,信息安全涉及的内容及简介（9）,法律、调查和道德规范这一领域研究计算机犯罪、法律、法规。它包括为调查犯罪、搜集证据、及处理程序的技术。它也包括如何制定和执行意外事件的处理程序。某些议题涵盖的范围包括：法律、法规和罪行授权和软件盗版进出口的法律和问题证据的种类和获得法庭的认可事故的处理,信息安全涉及的内容及简介（10）,物理安全这个域研究通过对威胁的审查，风险和对策，以保护设施、硬件、数据、媒体和工作人员。这涉及到设备的选择，授权访问的方法，以及环境和安全步骤。某些议题涵盖的范

8、围包括：受限区域、授权方法和控制运动探测器、传感器和警报器入侵检测火灾的探测、预防和制止保卫、安全警卫和安全标志的种类,讨论,Q&A,第二单元信息系统安全保护法规（12学时）,介绍中华人民共和国计算机信息系统安全保护条例，中华人民共和国公安部令（第33号），计算机信息系统安全保护等级划分准则 GB 17859-1999，计算机病毒防治办法、互联网信息服务管理办法。理解信息安全相关法规。,第二单元信息系统安全保护法规（一）,信息安全标准与法规,教学内容：1、案例2、我国信息安全法律建设3、国际信息安全法律简介4、讨论,第二单元信息系统安全保护法规（一）,案列：2005年4月16日，通过某证

9、券营业部的电脑非法侵入该证券公司的内部计算机信息系统，对待发送的委托数据进行修改，造成当天下午开市后，“兴业房产”、“莲花味精”两种股票的价格被拉至涨停板价位，造成这家证券营业部遭受损失295万余元。结论被告人的行为已经构成操纵证券交易价格罪。法院根据刑法182条等条款，判处被告人有期徒刑三年，处罚金一万元并赔偿某证券公司损失249万元，同时追缴赵哲违法所得7277元,第二单元信息系统安全保护法规（一）,25岁的广州人吕X，高中毕业。吕X于1997年4月加入国内”黑客“组织。2006年1月至2月，他盗用他人网络账号以及使用非法账号上网活动，并攻击中国公众多媒体通信网广州主机（即“视聆通”广州

10、主机）。成功入侵后，吕X取得了该主机系统的最高权限，并非法开设了两个具有最高权限的账号。此后，他又多次非法入侵该主机，对其部分文件进行删除、修改、增加等一系列非法操作，包括非法开设四个账号作为自己上网之用和送给他人使用、安装并调试网络安全监测软件（未遂）。,第二单元信息系统安全保护法规（一）,同时，他为掩盖自己的行为，还将上网的部分记录删除、修改。更为严重的是，吕X于去年2月25日和26日，三次修改了该主机系统最高权限的密码，致使密码三次失效，造成主机系统管理失控共计15个小时的严重后果。此外，吕X还在去年2月12日对蓝天BBS主机进行攻击，获得该主机最高权限后又为自己非法开设一个最高权限用

11、户账号。广州市中级人民法院经审理认为，被告人吕X已构成破坏计算机信息系统罪。,第二单元信息系统安全保护法规（一）,我国信息安全法律建设（一）宪法和法律宪法是国家的根本大法，规定了国家的根本制度、公民的基本权利和义务，是开展信息网络安全保护的根本依据。全国人民代表大会常务委员会关于维护互联网安全的决定,第二单元信息系统安全保护法规（一）,全国人民代表大会常务委员会关于维护互联网安全的决定列举了十五种通过互联网的违法犯罪行为，规定政府和公检法以及社会各界在维护互联网安全工作中的责任。是一个倡议和指导性的文件。保障互联网的运行安全 1、侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；2

12、、故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；3、违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。,第二单元信息系统安全保护法规（一）,维护国家安全和社会稳定 4、利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一；5、通过互联网窃取、泄露国家秘密、情报或者军事秘密；6、利用互联网煽动民族仇恨、民族歧视，破坏民族团结；7、利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。,第二单元信息系统安全保护法规（一）,维护社会

13、主义市场经济秩序和社会管理秩序 8、利用互联网销售伪劣产品或者对商品、服务作虚假宣传；9、利用互联网损害他人商业信誉和商品声誉；10、利用互联网侵犯他人知识产权；11、利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息；12、在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。,第二单元信息系统安全保护法规（一）,保护个人、法人和其他组织的人身、财产等合法权利 13、利用互联网侮辱他人或者捏造事实诽谤他人；14、非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；15、利用互联网进行盗窃、诈骗、敲诈勒索。,第二单

14、元信息系统安全保护法规（一）,刑法第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第二百八十七条利用计算机实施金融诈骗、盗窃

15、、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,第二单元信息系统安全保护法规（一）,中华人民共和国人民警察法第六条公安机关的人民警察按照职责分工，依法履行下列职责：（十二）监督管理计算机信息系统的安全保护工作；中华人民共和国电子签名法规范了电子签名行为，确立电子签名的法律效力第二条本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。第三十二条伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民

16、事责任。,第二单元信息系统安全保护法规（一）,（二）行政法规中华人民共和国计算机信息系统安全保护条例为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行计算机信息网络国际联网安全保护管理办法加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定商用密码管理条例加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益,第二单元信息系统安全保护法规（一）,中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定实施办法中华人民共和国电信条例互联网信息服务管理办法互联网上网服务营业场所管理

17、条例,第二单元信息系统安全保护法规（一）,（三）部门规章、地方性法规、地方政府规章。1、部门规章计算机信息系统安全专用产品检测和销售许可证管理办法计算机病毒防治管理办法金融机构计算机信息系统安全保护工作暂行规定计算机信息系统保密管理暂行规定计算机信息系统国际联网保密管理规定。,第二单元信息系统安全保护法规（一）,电子公告服务管理办法互联网从事登载新闻业务管理暂行规定教育网站和网校暂行管理办法互联网出版管理暂行规定信息网络传播广播电影电视类节目监督管理暂行办法互联网药品信息服务管理暂行规定互联网医疗卫生信息服务管理办法网上证券委托暂行管理办法中国公用计算机互联网国际联网管理办法中国公众多媒体

18、通信管理办法中国金桥信息网公众多媒体信息服务管理办法计算机信息网络国际联网出入口信道管理办法中有关计算机信息网络安全管理的条款（主要是有害信息问题）。,第二单元信息系统安全保护法规（一）,2、地方性法规广东省电子交易管理条例有关计算机信息网络安全管理的条款（主要是电子身份认证）。3、地方政府规章广东省计算机信息系统安全保护管理规定广东省电子政务信息安全管理暂行办法。深圳、汕头市制订的有关这方面的地方政府规章，在辖区内适用。,第二单元信息系统安全保护法规（一）,（四）规范性文件。省公安厅颁发的广东省计算机信息系统安全保护管理规定实施细则信息产业厅颁发的广东省电子商务认证机构资格认定和年审管理

19、办法（暂行）和广东省电子交易服务提供商登记备案管理办法中有关计算机信息网络安全管理的条款。,第二单元信息系统安全保护法规（一）,国际信息安全法律简介与电子信息网络相关的立法从内容上看涉及面较为宽泛，大致可以分为：1、与民商法相关的电子信息网络法，主要是民商法原则在网络环境下的延伸，如电子商务合同法、互联网知识产权法、电子商务涉及的税法、网上支付的法律问题、安全与隐私权、电子证据、电子商务中的广告法律问题、电子商务的管辖权等等。2、与行政法相关的电子信息网络法，主要涉及政府、企业、社会组织和个人在电子信息网络安全方面的规则，网上统计调查法律规则，如政府网上统计规则和民间网上统计规则等。,第二单

20、元信息系统安全保护法规（一）,3、与证据法相关的电子信息网络法，既包括民事方面的电子商务证据，如数据电文、数字签名证据，也包括刑事电子证据的认定和保存规则。4、与程序法相关的电子信息网络法，主要是网络交易纠纷和网络犯罪的管辖权，侦察、监控规则，法庭辩论和调查规则等。5、与刑法相关的电子信息网络法，包括网络犯罪的定义、分类和刑罚。6、与国际公约相关的电子信息网络立法，主要是各国政府就已经加入或者将来有可能加入的国际公约，制定国内法。,第二单元信息系统安全保护法规（一）,主要的国际立法1996年12月联合国国际贸易法委员会制定了电子商务示范法，该示范法主要是解决电子合同、电子提单等的效力问题，

21、对各国合同法影响较大；1997年欧盟提出欧洲电子商务行动方案，为规范欧洲电子商务活动制定了框架；1998年欧盟颁布关于信息社会服务的透明机制的指令；1999年又通过了关于建立有关电子签名共同法律框架的指令；2001年欧洲理事会通过关于网络犯罪的公约，并实行开放签署，目前已有20多个国家加入该公约。,第二单元信息系统安全保护法规（一）,网络犯罪方面主要的国内立法世界各国从20世纪60年代就开始对计算机安全与犯罪进行立法保护。1970年美国颁布金融秘密权利法，对金融业计算机存储数据的保护作了规定；1984年通过伪造存取手段以及计算机诈骗与滥用法，并修改了美国刑法的相关内容；1986年美国相继通过

22、了计算机诈骗与滥用法、国家信息基础保护法，明确了对网络犯罪的处罚；1987年颁布联邦计算机安全处罚条例。,第二单元信息系统安全保护法规（一）,法国自1978年起就已经开始在全国范围内对记名信息进行法律保护,如关于信息、文档和自由的第7817号法律，法国刑法典第22616至22625条（侵犯信息处理或文档而对他人人身权利造成侵害的犯罪）；1980年关于司法档案自动化的法律；1994年关于在卫生领域以研究为目的的记名资料处理的法律，该法除规定了未经批准擅自处理信息的犯罪以外，还规定了几种专门的犯罪，如进行记名数据自动处理事先未向相对人告知访问全权、更正权、异议权，未向其告知传送信息的性质、接受数

23、据的自然人与法人情况的，处5年监禁和200万法郎罚金等。,讨论,Q&A,远程入侵服务器案例,Internet,时间检查,BIOS时间,标准时间,日志分析,安全性日志,系统日志,应用日志,其他日志,登录/注销主机IP,登录主机时间,登录主机用户,登录主机方式,硬盘分析,结论,文件分析,恢复文件,统计损失,相关法律问题,远程入侵服务器案例,法律问题第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役,后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进

24、行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,第二单元信息系统安全保护法规（二）,信息安全标准与法规,教学内容：1、中华人民共和国计算机信息系统安全保护条例2、计算机信息网络国际联网安全保护管理办法 3、讨论,第二单元信息系统安全保护法规（二）,中华人民共和国计算机信息系统安全保护条例1、目的为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设

25、的顺利进行 2、保护范围计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。,第二单元信息系统安全保护法规（二）,3、主管单位公安部国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好

26、计算机信息系统安全保护的有关工作。4、要求任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。,第二单元信息系统安全保护法规（二）,5、安全保护制度（1）计算机信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。（2）计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB17859（3）计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工，不得危害计算机信息系统的安全。（4）进行国际联网的计算机信息系统，由计算机信息系统的使用单位报省级以上人民政府公安机

27、关备案。,第二单元信息系统安全保护法规（二）,（5）运输、携带、邮寄计算机信息媒体进出境的，应当如实向海关申报。（6）计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。（7）对计算机信息系统中发生的案件，有关使用单位应当在小时内向当地县级以上人民政府公安机关报告。（8）对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由公安部归口管理。（9）国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。,第二单元信息系统安全保护法规（二）,6、安全监督（1）公安机关对计算机信息系统安全保护工作行使下列监督职权：A.

28、监督、检查、指导计算机信息系统安全保护工作；B.查处危害计算机信息系统安全的违法犯罪案件；C.履行计算机信息系统安全保护工作的其他监督职责。（2）公安机关发现影响计算机信息系统安全的隐患时，应当及时通知使用单位采取安全保护措施。（3）公安部在紧急情况下，可以就涉及计算机信息系统安全的特定事项发布专项通令。,第二单元信息系统安全保护法规（二）,7、法律责任（1）违反本条例的规定，有下列行为之一的，由公安机关处以警告或者停机整顿：A.违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的；B.违反计算机信息系统国际联网备案制度的；C.不按照规定时间报告计算机信息系统中发生的案件的；D.接到

29、公安机关要求改进安全状况的通知后，在限期内拒不改进的；E.有危害计算机信息系统安全的其他行为的。（2）计算机机房不符合国家标准和国家其他有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公安机关会同有关单位进行处理。,第二单元信息系统安全保护法规（二）,（3）运输、携带、邮寄计算机信息媒体进出境，不如实向海关申报的，由海关依照中华人民共和国海关法和本条例以及其他有关法律、法规的规定处理。（4）故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以元以下的罚款、对单位处以元以下的罚款；有违法所得的

30、，除予以没收外，可以处以违法所得至倍的罚款。（5）违反本条例的规定，构成违反治安管理行为的，依照中华人民共和国治安管理处罚条例的有关规定处罚；构成犯罪的，依法追究刑事责任。,第二单元信息系统安全保护法规（二）,（6）任何组织或者个人违反本条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担民事责任。（7）当事人对公安机关依照本条例所作出的具体行政行为不服的，可以依法申请行政复议或者提起行政诉讼。（8）执行本条例的国家公务员利用职权，索取、收受贿赂或者有其他违法、失职行为，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，给予行政处分。,第二单元信息系统安全保护法规（二）,什么是“有害数

31、据”“有害数据”是指计算机信息系统及其存储介质中存在、出现的，以计算机程序、图象、文字、声音等多种形式表示的，含有攻击人民民主专政、社会主义制度，攻击党和国家领导人，破坏民族团结等危害国家安全内容的信息；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息；危害计算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和保密性，用于违法活动的计算机程序（含计算机病毒）。,第二单元信息系统安全保护法规（二）,8、附则计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机信息系统安全专用产品，是指

32、用于保护计算机信息系统安全的专用硬件和软件产品。,第二单元信息系统安全保护法规（二）,计算机信息网络国际联网安全保护管理办法 1、目的加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定 2、监管机构公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益和公众利益。3、范围（1）任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。,第二单元信息系统安全保护法规（二）,（2）任何

33、单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：A.煽动抗拒、破坏宪法和法律、行政法规实施的；B.煽动颠覆国家政权，推翻社会主义制度的；C.动分裂国家、破坏国家统一的；D.煽动民族仇恨、民族歧视，破坏民族团结的；E.捏造或者歪曲事实，散布谣言，扰乱社会秩序的；F.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；G.公然侮辱他人或者捏造事实诽谤他人的；H.损害国家机关信誉的；I.其他违反宪法和法律、行政法规的。,第二单元信息系统安全保护法规（二）,（3）任何单位和个人不得从事下列危害计算机信息网络安全的活动：A.未经允许，进入计算机信息网络或者使用计算机信息网络资源的；

34、B.未经允许，对计算机信息网络功能进行删除、修改或者增加的；C.未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；D.故意制作、传播计算机病毒等破坏性程序的；E.其他危害计算机信息网络安全的。（4）用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。,第二单元信息系统安全保护法规（二）,4、安全保护职责（1）从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。（2）国际

35、出入口信道提供单位、互联单位的主管部门或者主管单位，应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。,第二单元信息系统安全保护法规（二）,（3）互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：A.负责本网络的安全保护管理工作，建立健全安全保护管理制度；B.落实安全保护技术措施，保障本网络的运行安全和信息安全；C.负责对本网络用户的安全教育和培训；D.对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核；E.建立计算机信息网络电子公告系统的用户登记和信息管理制度；F.对于有范围所包含情况的内容，应

36、当保留有关原始记录，并在二十四小时内向当地公安机关报告；G.按照国家有关规定，删除本网络中含有煽动抗拒、破坏宪法和法律、行政法规实施的；煽动颠覆国家政权，推翻社会主义制度的；煽动分裂国家、破坏国家统一的；煽动民族仇恨、民族歧视，破坏民族团结的；捏造或者歪曲事实，散布谣言，扰乱社会秩序的；宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；公然侮辱他人或者捏造事实诽谤他人的；损害国家机关信誉的；其他违反宪法和法律、行政法规的。内容的地址、目录或者关闭服务器。,第二单元信息系统安全保护法规（二）,（4）用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。（5）互联单位

37、、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。（6）使用公用帐号的注册者应当加强对公用帐号的管理，建立帐号使用登记制度。用户帐号不得转借、转让。（7）涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时，应当出具其行政主管部门的审批证明。前款所列单位的计算机信息网络与国际联网，应当采取相应

38、的安全保护措施。,第二单元信息系统安全保护法规（二）,5、安全监督（1）省、自治区、直辖市公安厅(局)，地(市)、县(市)公安局，应当有相应机构负责国际联网的安全保护管理工作。（2）公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况，建立备案档案，进行备案统计，并按照国家有关规定逐级上报。（3）公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。公安机关计算机管理监察机构在组织安全检查时，有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题，应当提出改进意见，作出详细记录，

39、存档备查。,第二单元信息系统安全保护法规（二）,（4）公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时，应当通知有关单位关闭或者删除。（5）公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件，对违反本办法第四条、第七条规定的违法犯罪行为，应当按照国家有关规定移送有关部门或者司法机关处理。,第二单元信息系统安全保护法规（二）,6、法律责任（1）违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚

40、款，情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。,第二单元信息系统安全保护法规（二）,（2）有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。A.未建立安全保护

41、管理制度的；B.未采取安全技术保护措施的；C.未对网络用户进行安全教育和培训的；D.未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的；E.对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的；F.未建立电子公告系统的用户登记和信息管理制度的；G.未按照国家有关规定，删除网络地址、目录或者关闭服务器的；H.未建立公用帐号使用登记制度的；I.转借、转让用户帐号的。,第二单元信息系统安全保护法规（二）,第二十二条违反本办法第四条、第七条规定的，依照有关法律、法规予以处罚。第二十三条违反本办法第十一条、第十二条规定，不履行备案职责的，由公安机关给予警告或者停机整顿不

42、超过六个月的处罚。,讨论,Q&A,第二单元信息系统安全保护法规（三）,信息安全标准与法规,1、计算机病毒防治管理办法2、互联网信息服务管理办法3、讨论,第二单元信息系统安全保护法规（三）,计算机病毒防治管理办法1、目的加强对计算机病毒的预防和治理，保护计算机信息系统安全，保障计算机的应用与发展 2、颁布机构公安部 3、管理机构公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作。地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作。,第二单元信息系统安全保护法规（三）,4、概念计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自

43、我复制的一组计算机指令或者程序代码。计算机病毒疫情，是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。5、约束任何单位和个人不得制作计算机病毒。任何单位和个人不得有下列传播计算机病毒的行为：（一）故意输入计算机病毒，危害计算机信息系统安全；（二）向他人提供含有计算机病毒的文件、软件、媒体；（三）销售、出租、附赠含有计算机病毒的媒体；（四）其他传播计算机病毒的行为。任何单位和个人不得向社会发布虚假的计算机病毒疫情。,第二单元信息系统安全保护法规（三）,从事计算机病毒防治产品生产的单位，应当及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交病

44、毒样本。计算机病毒防治产品检测机构应当对提交的病毒样本及时进行分析、确认，并将确认结果上报公安部公共信息网络安全监察部门。,第二单元信息系统安全保护法规（三）,6、计算机病毒的认定机构对计算机病毒的认定工作，由公安部公共信息网络安全监察部门批准的机构承担。7、管理责任计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责：（一）建立本单位的计算机病毒防治管理制度；（二）采取计算机病毒安全技术防治措施；（三）对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训；（四）及时检测、清除计算机信息系统中的计算机病毒，并备有检测、清除的记录；（五）使用具有计算机信息系统安全专用产品销售许

45、可证的计算机病毒防治产品；（六）对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告，并保护现场。,第二单元信息系统安全保护法规（三）,任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时，应当进行计算机病毒检测。任何单位和个人销售、附赠的计算机病毒防治产品，应当具有计算机信息系统安全专用产品销售许可证，并贴有“销售许可”标记。从事计算机设备或者媒体生产、销售、出租、维修行业的单位和个人，应当对计算机设备或者媒体进行计算机病毒检测、清除工作，并备有检测、清除的记录。任何单位和个人应当接受公安机关对计算机病毒防治工作的监督、检查和指

46、导。,第二单元信息系统安全保护法规（三）,8、罚则在非经营活动中有制作、传播计算机病毒的行为；向他人提供含有计算机病毒的文件、软件、媒体；销售、出租、附赠含有计算机病毒的媒体；其他传播计算机病毒的行为之一的，由公安机关处以一千元以下罚款。在经营活动中有制作、传播计算机病毒的行为；向他人提供含有计算机病毒的文件、软件、媒体；销售、出租、附赠含有计算机病毒的媒体；其他传播计算机病毒的行为之一，没有违法所得的，由公安机关对单位处以一万元以下罚款，对个人处以五千元以下罚款；有违法所得的，处以违法所得三倍以下罚款，但是最高不得超过三万元。故意输入计算机病毒，危害计算机信息系统安全，依照中华人民共和国计

47、算机信息系统安全保护条例第二十三条的规定由公安机关处以警告或者对个人处以元以下的罚款、对单位处以元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得至倍的罚款。处罚。,第二单元信息系统安全保护法规（三）,向社会发布虚假的计算机病毒疫情、从事计算机病毒防治产品生产的单位，未向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交病毒样本，由公安机关对单位处以一千元以下罚款，对单位直接负责的主管人员和直接责任人员处以五百元以下罚款；对个人处以五百元以下罚款。计算机病毒防治产品检测机构应当对提交的病毒样本未将确认结果上报公安部公共信息网络安全监察部门。由公安机关处以警告，并责令其

48、限期改正；逾期不改正的，取消其计算机病毒防治产品检测机构的检测资格。,第二单元信息系统安全保护法规（三）,计算机信息系统的使用单位有下列行为之一的，由公安机关处以警告，并根据情况责令其限期改正；逾期不改正的，对单位处以一千元以下罚款，对单位直接负责的主管人员和直接责任人员处以五百元以下罚款：（一）未建立本单位计算机病毒防治管理制度的；（二）未采取计算机病毒安全技术防治措施的；（三）未对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训的；（四）未及时检测、清除计算机信息系统中的计算机病毒，对计算机信息系统造成危害的；（五）未使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产

49、品，对计算机信息系统造成危害的。,第二单元信息系统安全保护法规（三）,违反从事计算机设备或者媒体生产、销售、出租、维修行业的单位和个人，应当对计算机设备或者媒体进行计算机病毒检测、清除工作，并备有检测、清除的记录。规定，没有违法所得的，由公安机关对单位处以一万元以下罚款，对个人处以五千元以下罚款；有违法所得的，处以违法所得三倍以下罚款，但是最高不得超过三万元。,第二单元信息系统安全保护法规（三）,互联网信息服务管理办法1、目的规范互联网信息服务活动，促进互联网信息服务健康有序发展 2、互联网服务分类经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互

50、联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。,第二单元信息系统安全保护法规（三）,3、备案制度国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的，不得从事互联网信息服务。从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。从事非经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时，应当提交下列材料：(一)

展开阅读全文