XXXX年网络及信息安全培训考核(ppt 66)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,安全操作课程之 -法律法规,1,国际法律法规概要,国内法律法规概要,我国信息安全法律法规简介,法律前沿,法律法规,2,国际法律法规,美国信息安全法律法规,欧洲信息安全法律法规,亚洲信息安全法律法规,各国的密码政策,3,美国信息安全法律法规,信息大国,信息技术国际领先,信息安全立法活动较早,安全管理部门,NSA/CIA/FBI,总统关键设施保护委员会,国家设施保护中心,国家计算机中心,设施威胁评估中心,制定的信息安全有关法律,信息自由法,个人隐私法,反腐败行经法,伪造访问设备和计算机欺骗滥用法,电子通讯隐私法,计算机欺骗滥用法,计算机安全法（Computer Security Act) 1987,电讯法,等,4,美国信息安全法律参考,计算机犯罪,计算机诈骗和滥用法案CFAA(1984,86,94),计算机安全法案CSA(1987),国家信息基础设施保护法案(1996),政府信息安全改革法案(2000),知识产权(版权,商标,专利,贸易机密),数字千禧年版权法案DMCA(1998),商标,TM,1996年经济间谍法案-保护贸易机密,许可证颁发(统一计算机信息处理法案UCITA),合同许可证,收缩性薄膜包装的许可证协议,单击包装许可证协议,5,美国信息安全法律参考(续),美国隐私法,1974年隐私法案,电子通信隐私法案ECPA(1986),健康保险易移植性和责任性法案HIPAA(1996),儿童在线隐私保护法律COPPA(1998),Gramm-Leach-Bliley Act(1999),美国爱国者法案USA Patriot Act of 2001,子女教育权利和隐私法案FERPA,身份偷窃和冒用阻止法案ITADA(1998),6,欧洲信息安全法律法规,德国,信息和通信服务规范法,电讯服务数据保护法,1996成立了联邦信息技术安全局,法国,1996对一部有关通讯自由的法律进行补充并提出了,英国,1996颁布了,7,亚洲信息安全法律法规,新加坡,SBA1996宣布对互联网络实行管制并实施分类许可证制度,日本,通产省编制出一套准则:防止越权访问计算机网络,8,各国的密码政策,多边出口控制协调委员会(COCOM),控制敏感技术的出口和处理,包括计算机/快速DSP芯片/密码/激光/等,17个成员国,主要目标,防止密码技术出口到他们认为的某些”危险”国家,1994解散,1995年,28个国家建立COCOM的后续组织:常规武器和双重用途物品及技术出口控制wassenaar协议,控制武器和双重用途物品的出口,密码技术是一种双重用途的物品,9,各国的密码政策,美国,进口不限，出口受限,法国,从EU/EEA范围内的进口不限制,从EU/EEA范围外进口和出口受限,加拿大,按照wassenaar协议限制出口，但对美国不限制,德国,按EU规定和wassenaar协议限制出口,日本,wassenaar协议,出口受限，许可证,俄罗斯,国企开发、实现、运行加密技术受限，需要许可证,进口和出口受限,韩国,进口受限，加密政策未公开,中国,进口、出口受限，开发、实现加密技术受限,新加坡,出口不限，进口需许可,10,美对华高科技出口限制,美出口管理法规把其他国家列为7个级别：Z（全面禁运），S，Y，W，Q，T，V（中国）,1949，Y(高科技产品禁运组),1950，Z,1980，p（单独为中国建立）,1983，V,1989，V,11,国际法律法规概要,国内法律法规概要,我国信息安全法律法规简介,法律前沿,法律法规,12,国内常用法律法规,计算机安全,中华人民共和国计算机信息系统安全保护条例(1994),计算机病毒防治管理办法(2000),计算机信息系统国际联网保密管理规定(2000),13,国内常用法律法规,知识产权,中华人民共和国著作权法(2001),计算机软件保护条例(2001),国家版权局关于不得使用非法复制的计算机软件的通知(1995),计算机软件著作权登记办法(2002),最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释(2000),14,国内常用法律法规,网络管理,互联网信息服务管理办法(2000),计算机信息网络国际联网出入口信道管理办法(1996),中华人民共和国计算机信息网络国际联网管理暂行规定实施办法(1998),电信网间互联争议处理办法(2001),15,国内的信息安全法律法规概要,国家法律,人大讨论通过,国家主席发布,行政法规,国务院令,国务院总理发布,部门规章,各级部门/行业批准发布,地方法规,地方政府批准发布,16,我国信息网络安全立法体系框架,自1994年我国颁布第一部有关信息安全的行政法规中华人民共和国计算机信息系统安全保护条例以来，伴随信息技术特别是互联网技术的飞速发展，我国在信息安全领域的法制建设工作取得了令人瞩目的成绩。,涉及信息安全的法律法规体系已经基本形成,。,我国信息网络安全立法体系框架分为个层面,法律,行政法规,地方性法规、规章,规范性文件,17,信息安全相关法律,法律是指由全国人民代表大会及其常委会通过的法律规范。,与信息网络安全相关的法律主要包括：,宪法 人民警察法,刑法 治安管理处罚条例,刑事诉讼法 国家安全法,保守国家秘密法 行政处罚法,行政诉讼法 行政复议法,国家赔偿法 立法法,专利法 著作权法,反不正当竞争法 科学进步法,政府采购法 行政许可法,全国人大常委会关于维护互联网安全的决定,中华人民共和国电子签名法,等。,18,信息安全相关国家法律,中华人民共和国宪法【1982-12-04】（1999年3月15日修正）,中华人民共和国刑法【1979-07-01】（1999年12月25日修正）,中华人民共和国专利法【1985-04-01】（1992-09-04修正）,中华人民共和国保守国家秘密法【1988-09-05】,中华人民共和国标准化法【1989-04-01】,中华人民共和国著作权法【1991-06-01】（2001-10-27修正）,中华人民共和国国家安全法【1993-02-22】,中华人民共和国产品质量法【1993-02-22】（2000-07-08修正）,中华人民共和国反不正当竞争法【1993-09-02】,中华人民共和国科学技术进步法【1993-10-01】,中华人民共和国立法法【2000-07-01】,中华人民共和国维护互联网安全的决定【2000-12-28】,中华人民共和国政府采购法【2003-01-01】,中华人民共和国行政许可法【2004-07-01】,19,信息安全相关行政法规,行政法规,是指国务院为执行宪法和法律而制定的法律规范。,与信息网络安全有关的行政法规,主要包括：,国务院令147号：中华人民共和国计算机信息系统安全保护条例,国务院令195号：中华人民共和国计算机信息网络国际联网管理暂行规定,国务院令273号：商用密码管理条例,国务院令291号：中华人民共和国电信条例,国务院令292号：互联网信息服务管理办法,国务院令339号：计算机软件保护条例,国务院令363号：互联网上网服务营业场所管理条例,国务院令390号： 中华人民共和国认证认可条例等。,20,信息安全相关部门规章,科学技术保密规定【1995-01-06】国家保密局/国家科学技术委员会,计算机信息系统安全专用产品检测和销售许可证管理办法【1997-12-12】公安部,计算机信息网络国际联网安全保护管理办法【1997-12-30】-公安部,计算机信息系统保密管理暂行规定【1998-02-26】-国家保密局,计算机信息系统集成资质管理办法【1999-12-07】信息产业部,计算机信息系统国际联网保密管理规定【2000-01-01】-国家保密局,网上证券委托暂行管理办法【2000-03-30】证券监督管理委员会,计算机病毒防治管理办法【2000-04-26】 公安部,互联网电子公告服务管理规定【2000-11-07】信息产业部,互联网站从事登载新闻业务管理暂行规定【2000-11-17】国务院新闻办公室/信息产业部,关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释【2000-11-22】（2004-01-07修正）高法,关于选择我国计算机网络安全服务试点单位的公告【2001-04-26】-国家信息化工作领导小组、计算机网络与信息安全管理工作办公室,公用电信网间互联管理规定【2001-04-29】 信息产业部,电网和电厂计算机监控系统及调度数据网络安全防护规定【2002-05-08】-经济贸易委员会,互联网出版管理暂行规定【2002-08-01】新闻出版总署和信息产业部,互联网等信息网络传播视听节目管理办法【2003-02-10】国家广播电影电视总局,互联网文化管理暂行规定【2003-07-01】文化部,21,国内信息安全主管机构,国务院,国家信息化领导小组,信息产业部国家计算机网络和信息安全管理中心,国务院新闻办公室,国家密码管理委员会,公安部计算机安全监察局,国家安全部,国家信息安全产品测评认证中心,国家保密局,22,信息安全相关地方法规,四川省计算机信息系统安全保护管理办法【1996-03-28】,成都市计算机信息系统安全保护办法【1996-12-25】,黑龙江省计算机信息系统安全管理规定【1997-08-05】,北京市计算机信息系统病毒预防和控制管理办法(修正)【1997-12-31】,山东省计算机信息系统安全管理办法【1998-04-20】,辽宁省计算机信息系统安全管理条例【1998-05-29】,宁夏回族自治区计算机信息系统保密工作管理规定【1998-07-11】,深圳经济特区计算机信息系统公共安全管理规定【1998-07-17】,河南省计算机信息系统安全保护暂行办法【1999-11-22】,北京市政务与公共服务信息化工程建设管理办法【2000-12-28】,北京市党政机关计算机网络与信息安全管理办法【2001-11-15】,重庆市计算机信息系统安全保护条例(修正)【2001-12-07】,淮南市计算机信息系统安全管理办法【2001-12-25】,重庆市电信条例【2002-03-27】,北京市关于发布北京市信息安全服务单位资质等级评定条件（试行）的通知【2002-09-18】,江西省电信条例【2003-03-31】,广东省计算机信息系统安全保护管理规定【2003-04-08】,23,国际法律法规概要,国内法律法规概要,我国信息安全法律法规简介,法律前沿,法律法规,24,我国信息安全法律法规简介,关于维护互联网安全的决定,刑法,保守国家秘密法,国家安全法,政府采购法,电子签名法,计算机信息系统安全保护条例,计算机信息网络国际联网管暂行规定,商用密码管理条例,电信条例,互联网信息服务管理办法,认证认可条例,27号文,科学技术保密规定,计算机信息系统安全专用产品检测和销售许可证管理办法,计算机信息系统国际联网保密管理规定,北京市有关信息系统建设的管理规定,25,法律1:全国人大常委会关于维护互联网安全的决定,（2000年12月28日）,这是我国第一部关于互联网安全的法律。该法分别从（1）保障互联网的运行安全；,（2）维护国家安全和社会稳定；,（3）维护社会主义市场经济秩序和社会管理秩序；,（4）保护个人、法人和其他组织的人身、财产等合法权利,等四个方面，共15款，明确规定了对构成犯罪的上述行为，依照刑法有关规定追究刑事责任。,26,法律2:刑法（,1999年12月25日修正）,刑法修改后，除了分则规定的大多数犯罪罪种（包括危害国家安全罪，危害公共安全罪，破坏社会主义市场经济秩序罪，侵犯公民人身权利、民主权利罪，侵犯财产罪，妨害社会管理秩序罪）都适用于利用计算机网络实施的犯罪以外，还专门在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。,27,刑法(续),第二百八十五条,违反国家规定，,侵入,国家事务、国防建设、尖端科学技术领域的,计算机信息系统,的，处三年以下有期徒刑或者拘役。,第二百八十六条,违反国家规定，对,计算机信息系统功能,进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对,计算机信息系统,中存储、处理或者传输的,数据和应用程序,进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意,制作,、,传播计算机病毒,等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,第二百八十七条,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,28,法律3. 保守国家秘密法（ 1988-09-05）,第三条,一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。,第九条,国家秘密的密级分为“,绝密”,、,“机密,”、,“秘密,”三级。,“绝密”,是最重要的国家秘密，泄露会使国家的安全和利益遭受特别严重的损害；,“机密”,是重要的国家秘密，泄露会使国家的安全和利益遭受严重的损害；,“秘密”,是一般的国家秘密，泄露会使国家的安全和利益遭受损害。,第二十四条,不准在私人交往和通信中泄露国家秘密。携带属于国家秘密的文件、资料和其他物品外出不得违反有关保密规定。不准在公共场所谈论国家秘密。,第二十五条,在有线、无线通信中传递国家秘密的，必须采取保密措施。不准使用明码或者未经中央有关机关审查批准的密码传递国家秘密。不准通过普通邮政传递属于国家秘密的文件、资料和其他物品。,第三十一条,违反本法规定，故意或者过失泄露国家秘密，情节严重的，依照刑法第一百八十六条的规定追究刑事责任。违反本法规定，泄露国家秘密，不够刑事处罚的，可以酌情给予行政处分。,29,法律4. 国家安全法（1993-02-22）,第一条,为了维护国家安全，保卫中华人民共和国人民民主专政的政权和社会主义制度，保障改革开放和社会主义现代化建设的顺利进行，根据宪法，制定本法。,第二条,国家安全机关是本法规定的国家安全工作的主管机关。国家安全机关按照国家规定的职权划分，各司其职，密切配合，维护国家安全。,第三条,中华人民共和国公民有维护国家的安全、荣誉和利益的义务，不得有危害国家的安全、荣誉和利益的行为。一切国家机关和武装力量、各政党和各社会团体及各企业事业组织，都有维护国家安全的义务。国家安全机关在国家安全工作中必须依靠人民的支持，动员、组织人民防范、制止危害国家安全的行为。,第十九条,任何公民和组织都应当保守所知悉的国家安全工作的国家秘密。,第二十条,任何个人和组织都不得非法持有属于国家秘密的文件、资料和其他物品。,30,法律5. 政府采购法(2003-01-01),共九章内容：,第一章总则、第二章政府采购当事人、第三章政府采购方式、第四章政府采购程序、第五章政府采购合同、第六章质疑与投诉、第七章监督检查、第八章法律责任、第九章附则,第一条,为了规范政府采购行为，提高政府采购资金的使用效益，维护国家利益和社会公共利益，保护政府采购当事人的合法权益，促进廉政建设，制定本法。,第二条,在中华人民共和国境内进行的政府采购适用本法。 本法所称政府采购，是指各级国家机关、事业单位和团体组织，使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的,货物,、,工程,和,服务,的行为。,第三条,政府采购应当遵循公开透明原则、公平竞争原则、公正原则和诚实信用原则。,第四条,政府采购工程进行招标投标的，适用招标投标法。,政府采购法也包含了对信息安全产品、工程、服务的采购,例如：金财工程、金税工程,31,法律6. 电子签名法(2004-08-31),总则、数据电文、电子签名和法律责任四大部分。,赋予电子签章和数据电文法律效力,防止了数据电文在传输过程中被他人篡改增删等进行一些违背当事人意思的行为；,避免了数据电文发送者不承认或随意修改文件，逃避应当履行义务的行为,法律责任,如果电子签名人在电子签名活动中有过错，应当依法承担相应的民事责任。,电子签名人或者电子签名依赖方在电子签名活动中依据电子认证服务提供者提供的服务从事商务活动，遭受损失的，电子认证服务提供者不能证明自己无过错时，应当依法承担相应的民事责任。,32,我国信息网络安全立法体系框架行政法规,行政法规,是指国务院为执行宪法和法律而制定的法律规范。,与信息网络安全有关的行政法规,主要包括：,国务院令147号：中华人民共和国计算机信息系统安全保护条例,国务院令195号：中华人民共和国计算机信息网络国际联网管理暂行规定,公安部令33号：计算机信息网络国际联网安全保护管理办法,国务院令273号：商用密码管理条例,国务院令291号：中华人民共和国电信条例,国务院令292号：互联网信息服务管理办法,国务院令339号：计算机软件保护条例等。,33,法规1. 中华人民共和国计算机信息系统安全保护条例,(1994年2月18日),这,是我国第一部涉及计算机信息系统安全的行政法规。条例赋予“公安部主管全国计算机信息系统安全保护工作”的职能。,主管权体现在,：,（1）,监督、检查、指导权；,（2）,计算机违法犯罪案件查处权；,（3）,其它监督职权。,此外，授权公安部在紧急情况下，就条例未作明确规定，但又涉及计算机信息系统安全的特定事项，发布专项通令。,34,中华人民共和国计算机信息系统安全保护条例(续),条例规定了九项安全保护制度：,（1）,计算机信息系统建设和使用制度；,（2）,安全等级保护制度；,（3）,计算机机房及其环境管理制度；,（4）,国际联网备案制度；,（5）,计算机信息媒体出入境海关申报制度；,（6）,计算机信息系统使用单位的安全管理制度；,（7）,案件报告制度；,（8）,计算机病毒和其它有害数据防治管理制度；,（9）计算机,安全专用产品销售许可证制度。,35,中华人民共和国计算机信息系统安全保护条例(续),条例规定,的处罚条款,：,第二十条 违反本条例规定，有下列行为之一的，由公安机关处以警告或者停机整顿：,(一)违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的；(二)违反计算机信息系统国际联网备案制度的；(三)不按规定时间报告计算机信息系统中发生的案件的；(四)接到公安机关要求改进安全状况的通知后，在期限内拒不改进的；(五)有危害计算机信息系统安全的其他行为的。,第二十一条 计算机机房不符合国家标准和国家其他有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公安机关会同有关部门进行处理。,第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下罚款；有违法所得得，除予以没收外，可以处以违法所得1至3倍得罚款。,36,法规2.,中华人民共和国计算机信息网络国际联网管理暂行规定,1996年2月1日中华人民共和国国务院令第195号发布，1997年5月20日修正。规定调整的对象是我国境内计算机信息网络与境外计算机信息网络的相互联接。国际联网的主管部门是原国务院信息化工作领导小组，管理原则为统筹规划、统一标准、分级管理、促进发展。规定对互联网接入单位实行国际联网经营许可证制度，限定了接入单位的资质条件及其法律责任。,37,中华人民共和国计算机信息网络国际联网管理暂行规定(续),规定赋予公安机关的处罚内容包括：,对违反第六、八、十条的行为：,（1）自行建立或者使用其他信道进行国际联网的；,（2）未按规定通过互联网络进行国际联网的；,（3）未按规定通过接入网络进行国际联网。,由公安机关责令停止联网，给予警告，可以并处,15000,元以下的罚款；有违法所得的，没收违法所得。,38,法规3. 商用密码管理条例,1999年10月7日发布。国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理：,1.商用密码产品由国家密码管理机构指定的单位进行科研、生产；,2.商用密码产品由国家密码管理机构许可的单位销售；,3.用户只能使用经国家密码管理机构认可的商用密码产品；,4.安全、保密管理：商用密码产品的科研、生产环境应当符合安全、保密要求，销售、运输、保管商用密码产品应当采取相应的安全措施；宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准；不得非法攻击商用密码，不得利用商用密码危害国家安全、利益，社会治安或进行其它违法犯罪活动。,39,商用密码管理条例(续),处罚:,违反上述管理规定，由国家密码管理机构根据不同情况分别,会同公安机关,、安全机关、工商、海关、保密部门依法给予行政处罚；构成犯罪的，依法追究刑事责任。,目前，商密办未就如何会同及处罚依据问题与公安部正式研究。,40,法规4. 中华人民共和国电信条例,2000年9月20日发布,条例调整的对象是中国境内的电信活动或与电信有关的活动。信息产业部是全国电信业的主管部门。条例对规范电信市场、电信服务、电信建设，保障电信安全作了明确的规定。其中，电信安全规定了,四项禁则和一项制度,：,四项禁则：,1、任何组织或个人不得利用电信网络制作、复制、发布、传播有害信息。,2、任何组织或个人不得有下列危害电信网络安全和信息安全的行为：,41,中华人民共和国电信条例(续),(1)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；,(2)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；,(3)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；,(4)危害电信网络安全和信息安全的其他行为。,3.任何组织或个人不得扰乱电信市场秩序。,4.除非因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者人民检察院依照法定程序对电信内容进行检查外，任何组织或者个人不得以任何理由对电信内容进行检查。电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。,一项安全制度：电信业务经营者的安全保障责任制。,42,法规5. 互联网信息服务管理办法,2000年9月25日,发布.,信息产业部牵头起草。,该办法调整的对象是中国境内的互联网信息服务活动。国家对经营性互联网信息服务实行许可制度，由信息产业部颁发经营许可证；对非经营性互联网信息服务实行备案制度，向信息产业部办理备案手续。,办法第十八条规定：信息产业部和地方电信管理机构依法对互联网信息服务实施监督管理；新闻、出版、教育、卫生、药品监督管理、工商和公安、国家安全等有关主管部门在各自职责范围内依法对互联网信息内容实施监督管理。,43,互联网信息服务管理办法(续),第十四条规定：从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。,与公安机关有关的处罚内容：,制作、复制、发布、传播本第十五条所列内容之一的信息，由公安机关、国家安全机关依照中华人民共和国治安管理处罚条例、计算机信息网络国际联网安全保护管理办法等有关法律、行政法规的规定予以行政处罚。,44,法规6. 认证认可条例,共7章内容：,第一章 总 则，第二章 认证机构，第三章 认 证，第四章 认 可，第五章 监督管理，第六章 法律责任，第七章附则,第一条,为了规范认证认可活动，提高,产品,、服务的质量和,管理,水平，促进经济和社会的发展，制定本条例。,第二条,本条例所称认证，是指由认证机构证明,产品、服务、管理体系,符合相关技术规范、相关技术规范的强制性要求或者标准的,合格评定,活动。,本条例所称认可，是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。,第六条,认证认可活动应当遵循,客观独立,、,公开公正,、,诚实信用,的原则。,第八条,从事认证认可活动的机构及其人员，对其所知悉的国家秘密和商业秘密负有,保密,义务。,第十四条,认证机构不得与行政机关存在利益关系。,认证机构不得接受任何可能对认证活动的客观公正产生影响的资助；不得从事任何可能对认证活动的客观公正产生影响的产品开发、营销等活动。,认证机构不得与认证委托人存在资产、管理方面的利益关系。,第十七条,国家根据经济和社会发展的需要，推行产品、服务、管理体系认证。,第十八条,认证机构应当按照认证,基本规范,、,认证规则,从事认证活动。,第二十七条,认证机构应当对其认证的产品、服务、管理体系实施有效的,跟踪调查,，认证的产品、服务、管理体系不能,持续符合认证要求,的，认证机构应当暂停其使用直至撤销认证证书，并予公布。,2003年11月发布,45,部门规章及规范性文件,1.公安部令第32号：,计算机信息系统安全专用产品检测和销售许可证管理办法,（,1997年12月12日,）,办法规定,了在,中国境内的计算机信息系统安全专用产品进入市场销售，实行销售许可证制度。安全专用产品的生产者申领销售许可证，必须对其产品进行安全功能检测和认定。,公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作。地（市）级以上公安机关负责销售许可证的监督检查工作。,46,规章1.计算机信息系统安全专用产品检测和销售许可证管理办法,共六章内容：,第一章总则,第二章检测机构的申请与批准,第三章安全专用产品的检测,第四章销售许可证的审批与颁发,第五章罚则,第六章附则,第一条,为了加强计算机信息系统安全专用产品（以下简称安全专用产品）的管理，保证安全专用产品的,安全功能,，维护计算机,信息系统的安全,，根据中华人民共和国计算机信息系统安全保护条例第十六条的规定，制定本办法。,第三条,中华人民共和国境内的安全专用产品进入市场销售，实行,销售许可证,制度。,第五条,公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构（以下简称检测机构）的审批工作。,第二十二条,安全专用产品中含有,有害数据危害计算机信息系统安全,的，依据中华人民共和国计算机信息系统安全保护条例第二十三条的规定,处罚,；构成犯罪的，依法追究刑事责任。,47,规章2.科学技术保密规定,共五章内容：,第一章 总 则、第二章 国家科学技术秘密的范围和密级、第三章 国家科学技术秘密密级的确定、变更及其解密、第四章 国家科学技术秘密保密管理、第五章 附 则,第七条,关系国家的安全和利益，一旦泄露会造成下列后果之一的科学技术，应当列入国家科学技术秘密范围：,（一）削弱国家的防御和治安能力；（二）影响我国技术在国际上的先进程度；（三）失去我国技术的独有性；（四）影响技术的国际竞争能力；（五）损害国家声誉、权益和对外关系。,第八条,国家科学技术秘密的密级：,绝密：（,三种情况）,机密：（,三种情况）,秘密：（,两种情况）,第十三条,国家科学技术秘密事项，有下列情形之一的，应当及时变更密级：,（,两种情况）,第十四条,国家科学技术秘密事项，有下列情形之一的，应当及时解密：,（,五种情况）,48,规章3.计算机信息系统国际联网保密管理规定,第一条,为了加强计算机信息系统国际联网的保密管理，确保国家秘密的安全，根据中华人民共和国,保守国家秘密法,和国家有关法规的规定，制定本规定。,第六条,涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行,物理隔离,。,第七条,涉及国家秘密的信息，包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息，不得在国际联网的计算机信息系统中存储、处理、传递。,第八条,上网信息的保密管理坚持“,谁上网谁负责”,的原则。 。,第十条,。任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。,第十四条,各级保密工作部门，应当加强计算机信息系统国际联网的,保密检查,，依法查处各种泄密行为。,第十六条,互联单位、接入单位和用户，发现国家秘密泄露或可能泄露情况时，应当立即向保密工作部门或机构,报告,。,49,27号文关于加强信息安全保障工作的意见,2003年7月22日，国家信息化领导小组第三次会议,中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝 主持,关于加强信息安全保障工作的意见,（中办、国办发2003年27号文）,意见中提出，加强信息安全保障工作，必须遵循以下原则：,立足国情，以我为主，坚持管理与技术并重；,正确处理安全与发展的关系，以安全保发展，从发展中求安全；,统筹规划，突出重点，强化基础性工作；,明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,50,27号文,（续）,对下一时期的信息安全保障工作提出了,九项,要求：,加强对信息安全工作的领导，建立健全信息安全责任制,实行信息安全等级保护,加强以密码技术为基础的信息保护和网络信任体系建设,建设和完善信息安全监控体系,重视信息安全应急处理工作,加强信息安全技术研究开发，推进信息安全产业发展,加强信息安全法制建设和标准化建设,加快信息安全人才培养，增强全民信息安全意识,保证信息安全资金,针对规范和加强中国信息安全产品,测评认证,工作，,意见,中专门提出“,推进信息安全的认证认可工作，规范和加强信息安全产品测评认证工作,”,意见,中指出，“使用国家财政资金建设的,信息化项目,，要遵照,中华人民共和国政府,采购法,的规定采用国产软件、设备和服务”。,51,国际法律法规概要,国内法律法规概要,我国信息安全法律法规简介,法律前沿,法律法规,52,法律前言,国家WLAN管理政策,知识产权保护,隐私保护,调查与取证,53,国家WLAN管理政策,2003年11月26日 ，国家质量监督检验检疫总局、国家标准化管理委员会关于无线局域网强制性国家标准实施的公告（2003年第110号）,于2003年5月12日发布，自2003年12月1日起实施：,GB15629.11-2003信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分：无线局域网媒体访问控制和物理层规范,GB15629.1102-2003信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分：无线局域网媒体访问控制和物理层规范：2.4GHz频段较高速物理层扩展规范,中国的WALN标准GB15629.11-2003与IEEE的802.11无线网络标准（也称无线保真度或Wi-Fi）,在很多地方都很相似，但有一个关键不同点是：,GB15629.11-2003-“无线局域网鉴别与保密基础结构”（WAPI）的安全协议，使WLAN更安全，采用双向认证,IEEE802.11标准-“有线等效保密”（WEP）安全协议。 WEP协议很容易被攻击破坏， 准备开发802.11i来修复原来标准存在的安全漏洞,引发争论的焦点是：在Wi-Fi近距离无线电脑网络中加进中国设计的资料加密技术。,目前只有24家中国公司能够取得该技术，而外国Wi-Fi制造商则必须与中国企业合作才能分享此技术。,54,WEP与WAPI对比表,55,WAPI和802.1X的对比表,项 目,WAPI,802.1X,认证机制（,MT,和,AP,）,双向认证,单向认证,密钥管理,全集中,AP,和,RADIUS,手工共享密钥,MT,漫游,支持,支持,认证对象,用户,用户,构建和扩展易用性,好,差,设计对象,WLAN,802,协议网络,认证协议完善性,完善，强度高,协议存在缺陷,会话密钥协商,终端和,AP,协商，,效率高,终端和认证服务器协商，,效率低,是否通过安全审查,通过,未通过,56,知识产权,2002年元旦,新版实施,与原比较,原软件条例第22条:“因课堂教学、科学研究、国家机关执行公务等非商业性目的的需要对软件进行少量的复制，可以不经软件著作权人或者其法定受让者的同意，不向其支付报酬。”,新软件条例第17条：“为了学习和研究软件内含的设计思想和原理，通过安装、显示、传输或者存储软件等方式使用软件的，可以不经软件著作权人许可，不向其支付报酬。”,最终用户使用未授权软件问题，法律保护水平3个台阶：,第一台阶：不将软件侵权的最终界限延伸到任何最终用户。WTO知识产权协定,第二台阶：将软件侵权的最终界限延伸到部分最终用户。一些发达国家和地区。区分营利性/非营利性，商业目的/非商业目的，单位使用/个人使用。（台湾、韩国、日本）,第三台阶：将软件侵权的最终界限延伸到所有最终用户。,57,案例,英国政府的知识产权报告，已经提醒发展中国家，在法律不配套情况下，要慎用知识产权法，就是指这种情况。新华社记者也已指出了这一点：“目前我国知识产权的保护，从著作权法计算机软件保护条例著作权法实施条例，对弱势一方消费者不断施加法律压力，对强势的权利人一方(企业)却缺乏应有的法律制约，尤其是对知识产权垄断力量的制约更是空白。,Adobe反盗版如虎入羊群,58,网络环境下隐私的保护,1）非法收集客户信息,2）SPAM,3）非法截取、篡改、监看他人电子邮件,4）擅自宣扬、公布他人隐私,59,调查与证据,调查,是否请求执法,实施调查,不要对被破坏的实际系统实施调查,不要试图”反黑”并报复,如果质疑,就请求专家的协助.,证据,文档证据的两种证据规则,最好的证据规则:必须提供原始文档.拷贝不能当证据.,口头证据规则:有书面协议时,口头协议不可以修改书面协议.,法庭采纳证据,须满足3个要求,证据须与事实相关,证据要确定的事实须与本案是必要的,证据必须有法定资格.,60,计算机取证,电子证据-电子化工具为主体组成的系统在运行过程中产生的以其记录的内容来证明案件事实的电磁记录物.,取证原则,及时性,合法性,全面性,专业人士取证,利用专门工具取证.,(2004年8月31日）,61,如何保护已得到的证据,对所有的介质进行写保护和病毒检查,保留监视链,监视链能从最初始的证据追踪到当庭提供的证据.需要证实下列内容,任何信息未被添加或更改,已制作了完整的拷贝,复制过程可靠,所有的介质都是安全的,对所有的介质进行写保护和病毒检测是保留监视链的众多环节中首要要求,其次就是要制作镜像拷贝。,62,司法解释,最高人民法院、最高人民检查院关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、转播淫秽电子信息刑事案件具体应用法律若干问题的解释,种情形：,1)制作、复制、出版、贩卖、转播淫秽制作、复制、出版、贩卖、转播淫秽音频文件个以上音频文件20个以上,2)制作、复制、出版、贩卖、转播淫秽音频文件个以上；,3)制作、复制、出版、贩卖、转播淫秽电子刊物、图片、文章、短信等件以上；,4)制作、复制、出版、贩卖、转播淫秽电子信息，实际被点击次数万次以上；,5)以会员制方式出版、贩卖、传播淫秽电子信息，注册会员达人以上；,6)违法所得万元以上；,7)数量或数额虽没达到上述项规定标准，但分别达到其中两项以上标准一半以上的；,8)造成后果严重的。,63,国际法律法规概要,国内法律法规概要,我国信息安全法律法规简介,法律前沿,总结,64,Any Questions?,65,谢谢大家,66,