信息安全标准与法律法规课件.ppt

绪论,1,问题？,1、什么是信息安全？2、安全的信息与信息系统有什么特征？3、站在国家的角度怎样保证信息安全？（法律、技术、标准规则）,2,1、信息安全管理指南对信息的解释是：信息是通过在数据上施加某些约定而赋子这些数据的特殊含义。一般意义上的信息概念是指事物运动的状态和方式，是事物的种属性，在引入必要的约束条件后可以形成特定的概念体系。通常情况下，我们可以把信息理解为消息、信号、数据、情报和知识。对于现代企业：信息是一种资产信息是有生命周期的，,3,信息安全概述,2、信息安全信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是:保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。,4,信息安全基本属性,完整性完整性是指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。对于军用信息来讲，完整性被破坏可能就意味着延误战机、自相残杀或闲置战斗力。破坏信息的完整性是对信息安全发动攻击的最终目的。,5,可用性可用性是指信息可被合法用户访问并能按要求顺序使用的特性，即在需要时就可以取用所需的信息。对可用性的攻击就是阻断信息的可用性，例如破坏网络和有关系统的正常运行就属于这种类型的攻击。,6,保密性保密性是指信息不泄露给非授权的个人和实体，或供其使用的特性。军用信息的安全尤其注重信息的保密性(相比较而言，商用信息则更注重于信息的完整性)。,7,可控性可控性是指授权机构可以随时控制信息的机密性。美国政府所提倡的“密钥托管”、“密钥恢复”等措施就是实现信息安全可控性的例子。,8,可靠性可靠性必指信息以用户认可的质量连续服务于用户的特性(包括信息的迅速、 准确和连续地转移等)。“信息安全”的内在含义就是指采取一切可能的方法和手段，来千方百计保住信息的上述“五性”的安全。,9,保障信息安全三大支柱,1、信息安全技术各种信息安全技术的应用主要在技术层面上为信息安全提供具体保障。目前主要采用的信息安全技术有:数据加密技术、防火墙技术、网络入侵检测技术、网络安全扫描技术、黑客诱骗技术、病毒诊断与防治技术等。值得一提的是尽管信息安全技术的应用在一定程度上对信息的安全起了很好的保护作用，但它并不是万能的，由于疏于管理等原因而引起的安全事故任然不断发生。,10,2、信息安全法律法规国家、地方以及相关部门针对信息安全的需求，制定与信息安全相关的法律法规，从法律层面上来规范人们的行为，使信息安全工作有法可依，使相关违法犯罪能得到处罚，促使组织和个人依法制作、发布、传播和使用信息，从而达到保障信息安全的目的。目前，我国已建立起了基本的信息安全法律法规体系，但随着信息安全形势的发展，信息安全立法的任务还非常艰巨，许多相关法规还有待建立或进一步完善 。,11,3、信息安全标准建立统-的信息安全标准，其目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据。目前信息安全标准大致可分为信息安全产品标准、信息安全技术标准和信息安全管理标准三大类，国际标准的制定主要侧重于信息安全管理，而国内标准的制定则主要侧重于信息安全产品和信息安全技术。随着信息技术的不断发展和信息安全形势的变化，不但信息安全标准的数量在不断增加，而且许多标准的版本也在不断更新。,12,信息安全的法律问题,1.犯罪的概念中华人民共和国刑法第二章第13条对犯罪做了如下的定义:一切危害国家主权、领土完整和安全，分裂国家，颠覆人民民主专政的政权和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或者劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都属于犯罪。,13,但是，刑法又规定下列两种情况不认为是犯罪:(1)情节显著轻微且危害不大的，不认为是犯罪(刑法第13条)。(2)行为在客观上虽然造成了损害结果，但是不是出于故意或者过失，而是由于不能抗拒或者不能预见的原因所引起的，不是犯罪(刑法第16条)。,14,2.犯罪的基本特征,犯罪具有以下三个基本特征:(1)犯罪是危害社会的行为，即具有社会危害性，这是犯罪的本质特性。(2)犯罪是触犯刑法的行为，即具有刑事违法性。(3)犯罪是应当受刑罚处罚的行为，即具有应受刑罚处罚性。,15,3.犯罪构成要件,(1)犯罪客体，即指我国刑法所保护的而被犯罪侵犯的社会主义社会关系。2)犯罪客观方面，即指我国刑法规定的犯罪活动的客观外在表现，包括危害行为、危害结果、危害行为与危害结果之间的因果关系等，其中危害行为是一切犯罪不可缺少的要件。(3)犯罪主体，即指达到法定刑事责任年龄、具有刑事责任能力、实施了犯罪行为的自然人和法律规定的犯罪单位。 (4)犯罪主观方面，即指犯罪主体对自己实施的犯罪行为造成危害社会结果所持的心理态度，如故意、过失。据刑法规定，犯罪构成应具备以下四个要件:,16,4犯罪的分类犯罪有故意犯罪和过失犯罪两种类型，另外，刑法分则根据犯罪的性质又将犯罪划分为 十大类，它们是:C1）危害国家安全罪:2）危害公共安全罪;3）破坏社会主义市场经济秩序罪:C4）侵犯公民人身权利、民主权利罪;5）侵犯财产罪;（6）妨害社会管理秩序罪:(7）危害国防利益罪:8）贪污贿赂罪:9）渎职罪:(10）军人违反职责罪,17,计算机犯罪的概念,计算机犯罪（Computer Crime）是指行为人通过计算机操作所实施的危害计算机信息系 统（包括内存致据及程序）安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯 罪产生于20世纪60年代，随着计算机技术的发展和计算机应用的日益普及，到21世纪初， 计算机犯罪已呈猖獗之势，并越来越受到各国的重视。,18,6。刑法中关于计算机犯罪的规定,中华人民共和国刑法中关于计算机犯罪的规定有三个条款:第285条。违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息 系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计 算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节 严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上 七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、 非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,19,第286条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成 计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役，后果特别严觅的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除 修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后里严重的，照第一款的规定处罚.第287条利用计算机实施金融诈骗、盗窃、贪污、擂用公款、的国岁移密或者其 犯罪的，依照本法有关规定定罪处罚。,20,以上三条分别对应非法侵入计算机信息系统罪、破坏计算机信息系统罪和利用计算机犯 罪等三种计算机犯罪的表现形式。其中第285、286条采用列举式，是1997年新刑法新增加 的罪名(注:第285条中的第二款、第三款为2009年2月28日十一届全国人大常委会第七次 会议表决通过刑法修正案(七)增加的内容)，并规定了相应的刑罚。而第287条是对以计算机 为犯罪工具的原则性规定，是指那些以计算机为犯罪工具，通过计算机操作而获取非法利益 或机密的犯罪行为，其刑罚由其他的相关条款规定。从大的犯罪分类来看，计算机犯罪属于妨害社会管理秩序罪中的扰乱公共秩序罪。,21,7计算机犯罪的实质特征从犯罪的实质含义上看，刑法第285、286条所规定的犯罪可以称为狭义的计算机犯罪或 单纯的计算机犯罪，加上第287条则称为广义的计算机犯罪。单纯的计算机犯罪区别于其他犯罪具有以下三个实质特征:（1）计算机本身的不可或缺性和不可替代性。（2） 明确了计算机犯罪侵害的客体（即计算机信息系统）。（3）在某种意义上，计算机作为犯罪对象出现的特性。,22,8计算机犯罪的常用力法,计算机犯罪常用的方法主要有:（1）以合法手段为掩护，查询信息系统中不允许访问的文件，或者侵入重要领域的计算 信息系统。(2）利用技术手段（包括利用网页与邮件、破解账号和密码、设置木马程序、使用病毒 程序、利用系统漏洞、程序缺陷和网络缺陷等），非法侵入重要的计算机信息系统，破坏或窃 取计算机信息系统中的重要数据或程序文件，甚至删除数据文件或者破坏系统功能，直至使 整个统处于瘫痪。,23,（31在数据传输或者输入过程中，对数据的内容进行修改，干扰计算机信&系统。(4）末经计算机软件著作权人授权，复制、发行他人的软件作品，或制作、传播计算机 病毒，或剂作传播有害信息等。,24,案例分析,1、民事问题还是刑事问题2、犯罪的种类3、犯罪方法,25,