信息安全概论优秀课件.ppt

《信息安全概论优秀课件.ppt》由会员分享，可在线阅读，更多相关《信息安全概论优秀课件.ppt（105页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全概论第1页，本讲稿共105页内容提要n 世界范围内的信息安全法规内容。世界范围内的信息安全法规内容。n 国际相关法律法规现状与特点，相关国际相关法律法规现状与特点，相关政策法规的现状及特点政策法规的现状及特点n 部分相关法律法规简介，立法方面存部分相关法律法规简介，立法方面存在的问题以及信息安全犯罪案例分析在的问题以及信息安全犯罪案例分析第2页，本讲稿共105页信息安全相关法律法规现状 n从20世纪60年代后期起，西方30多个国家先后根据各自的实际情况，制定了相应的计算机和网络法规。瑞典1973年就颁布了数据法，涉及到计算机犯罪问题，这是世界上第一部保护计算机数据的法律。1978年，美

2、国弗罗里达州通过了弗罗里达计算机犯罪法；随后，美国50个州中的47个州相继颁布了计算机犯罪法。1991年，欧共体12个成员国批准了软件版权法。同年，国际信息处理联合会计算机安全法律工作组召开首届世界计算机安全法律大会。新加坡1996年颁布了管理条例，要求提供互联网服务的公司对进入网络的信息内容进行监督，以防止色情和容易引发宗教和政治动荡的信息传播。迄今为止，已有30多个国家先后从不同侧面制定了有关计算机及网络犯罪的法律和法规，这些法规对于预防、打击计算机及网络犯罪，提供了必要的依据和权力。同时也是我国计算机及网络立法的可以借鉴的资料。第3页，本讲稿共105页美国计算机犯罪立法 n美国第一个有影

3、响的计算机犯罪立法提案是美国参议院议员RIBIKOFF在1977年提出的，虽然未获通过，却对全世界是影响巨大。计算机发明于美国，如今计算机已广泛应用于美国经济、信息、防卫系统，然而亦随着计算机的开发，计算机犯罪案件也激剧上升。针对这种情况，美国联邦及各州大多均有关于计算机犯罪的立法。1984年由里根总统签署了美国第一部联邦计算机犯罪成文法伪装进入设施和计算机欺诈及滥用法。该法颁布不久，舆论界抱怨该法定规定模棱两可且保护范围过于狭窄，不能有效地打击计算机犯罪。1986年又颁布了计算机欺诈和滥用法，对1984年法进行了修订。与1984年法相比，1986年法显得更严谨，适用面更广，并且作了较为清晰的

4、分类。第4页，本讲稿共105页n1986年计算机欺诈和滥用法打击重点在于未经许可而故意进入联邦利益计算机的行为。主要包括以下六类：n（1）在未经授权或超出授权范围的情况下故意地进入计算机，并通过上述行为获取了政府因国防和外交需要而通过行政命令或法令规定不得泄露的信息、或依1954年原子能法第11条规定应属受限制的数据，并且有理由相信，此信息将用于损害美国的国家利益或有利别国的国家利益。n（2）在未经授权或超出授权范围的情况下故意地进入计算机，并因此获取了包含在美国法典第15篇规定的金融机构或磁卡发行人的金融记录内的信息，或者获取了公平信用报告法所规定的消费者报告机构文件中有关消费者的信息。其保

5、护的客体是财产隐私权及公正信用报告法所规定之信息。第5页，本讲稿共105页n（3）在未经授权或超出授权范围的情况下故意地进入美国政府所属部门或机构的任一计算机，并因此妨碍了政府对计算机的操作。n（4）以行骗为目的，未经授权或超出授权范围明知地进入与联邦利益相关的计算机，并获取有价利益。n（5）在未经授权的情况下故意地进入联邦利益相关的某一计算机，并修改、损坏、损毁存于与联邦利益相关的任意的计算机中的信息，或者妨碍对此类计算机或信息的有权使用。本行为必须是A.在一年内造成1000美元的总损失；B.修改、破坏或是潜在地修改或破坏体检、诊断、治疗或护理信息。n（6）以欺骗为意图，故意骗取可以进入政府

6、计算机或影响州际贸易或对外贸易的计算机的通行口令。第6页，本讲稿共105页n根据美国法典第18篇编第1030节规定，第一种行为，初犯处罚金或10年以下监禁或者二者并处，再犯处罚金或20年以下监禁或者二者并处。第二、第三和第六种行为，初犯处罚金或1 年以下监禁或者二者并处，再犯处罚金或5年以下监禁或者二者并处。第四或第五种行为，初犯处罚金或5年以下监禁或者二者并处，再犯处罚金或10年以下监禁或者二者并处。1986年法对一些关键概念作了界定：n（1）计算机是指执行逻辑、数字或存储功能的各种电子、磁性、光学、电化学或其他高速编码处理设备，还包括其他各种与该种设备直接相关或与其相联接操作的数据存储设施

7、或通讯设施，但不包括自动化打字机或排字机，手提便携式计算器或其他类似装置。n（2）与联邦利益相关的计算机是指财政机构联邦政府使用的计算机，或者用于财政机构或联邦事务有关的计算机，或者被用于两个以上的州实施犯罪的计算机，也即涉及州际贸易的计算机。n（3）越权进入指有进入计算机权利者从计算机中获取他无权获取的信息，或者变更了计算机中他无权变更的信息，也即是超越许可权限使用计算机。第7页，本讲稿共105页n根据美国法典规定，实施上述行为未遂也构成犯罪，并且与既遂受到相同的刑罚处罚。n由于1986年计算机欺诈和滥用法在司法实践中存在一些难以解决的问题，1994年美国议会通过计算机滥用法修正案以扩大计算

8、机犯罪的责任范围和为计算机犯罪的受害者提供民事补偿。1994年法对第五种计算机犯罪行为作出了三方面改动，以扩大刑事责任范围。首先，将适用范围从在联邦利益计算机实施犯罪行为或影响任何计算机使用修改为在州际贸易中或通信中使用计算机实施犯罪行为或影响任何计算机使用；其次，“未经授权进入”这一最初要件被删除；最后，在故意行为外，将某种轻率行为犯罪化。根据修正法，在州际计算机上实施故意犯罪是重罪，实施轻率行为是轻罪。1994年法允许遭受故意计算机犯罪的受害者获得民事补偿，从而为受害者向警方报案提供动力。此外，该法将第三种行为中“妨碍政府对计算机操作”前加上“敌对地”一词，暗示着非法侵入者可能因无危险地影

9、响计算机，而不受起诉。第8页，本讲稿共105页n美国1996年通过了电信法案，其中的第5篇“色情与暴力”规定：不论其是否预先知晓，允许他人使用自己控制的电信器材，根据当时公众标准显而易见地使用进攻性语言向特定的人或18岁以下的青少年描述性或排泄活动或器官的任何评论、要求、暗示、建议及图像等行为，均将根据美国法典第18章进行罚款，或判处入狱两年以下，或两罚并用。互联网络服务提供者或使用者出于善意，为了限制接触或利用他们认为猥亵的、粗鲁的、色情的、污秽的、极端暴力的、骚扰的或其它令人不快的资料采取的行动，不论这些资料是否受宪法保护，均不承担责任。第9页，本讲稿共105页n此外，儿童网上保护法已经获

10、得美国国会批准，并在1998年经美国前总统克林顿签署成为法律。该法要求商业网站的运营者在允许互联网用户浏览对未成年人有害的内容之前，先使用电子年龄验证系统对互联网用户的年龄进行鉴别。第一次违反者将面临最高6个月的监禁和50000美元的罚款。n但是，这条法律从未正式实施过。它一经颁布，就遭到了来自美国民权联盟以及包括杂志出版商和书商在内的17个组织和企业的强烈反对。这些反对者指控这条法律有违宪法第一修正案。美国一位联邦法官发布了初步裁决，认为这条法律侵犯了自由言论权，指出网站运营商缺乏有效的措施来阻止未成年人接触色情内容。网络法律问题专家称，该项判决意味着网上世界不再被视为一个特殊的领域，现实生

11、活中的法律同样适用于网络世界。第10页，本讲稿共105页 英国计算机犯罪法 n英国有关计算机犯罪之刑事立法，有伪造文书及货币法（1981年）、资料保护法（1984年）及警察及刑事证据法（1984年）。前二者是有关计算机犯罪之实体法，后者是规定有关计算机中所储存资料之扣押及其证据能力之程序法。以下仅就实体法规定部分略作说明。n伪造文书及货币法规定，“意图使人相信系真正者并实施对其本人或者第三人得利之作为或不作为，而制作虚伪文书者”为伪造文书罪（第一条），“基于同样之目的而复制虚伪文书”或“行使虚伪文书或复印本者”亦同（第二条）。该法除基于复制设备之发达而将复印本纳入伪造文书罪中予以规制外，并基于

12、计算机设备运用普及之考虑，而将“以机械，电子，或其它方法记录或记忆之磁盘，磁带，音带或其它设备”纳入文书这个范畴中，并于同法第十条第三、四两项规定“以对于机器行使上述文书为目的，而由机器予以识别，操作或不操作时，看作是人为”。“除将电磁记录纳入文书之保护外，并将对于机器所为之行为视同是对人所为”。第11页，本讲稿共105页n资料保护法则是为规范对计算机所处理记录的有关生存中个人资料之搜集、持有、公开等行为，以防止不当侵害个人的隐私权为目的。根据该法规定，未经登录者的允许而持有登录者已向资料保护登记处申报保护的资料，或明知或故意持有与上述资料内容相同的个人资料，可不遵从资料保护登记处对于违反资料

13、保护者所发布的命令的行为都属于犯罪行为。n针对日益泛滥的计算机犯罪，英国还于1990年颁布了计算机滥用法。计算机滥用法打击重点是未经许可而故意进入计算机的行为。主要包括以下二类：n（1）非法侵入计算机罪。根据计算机滥用法第一节，非法侵入计算机罪是指行为人：使计算机执行任何意图获取访问存于计算机内的程序或数据的功能；其意图获取的访问是未经授权的，而且当他使计算机执行该功能时知道自己的所为。n（2）非法修改计算机内程序或数据罪。根据计算机滥用法，非法修改计算机内程序或数据罪是指行为人：实施了引起未经授权对计算机内程序或数据进行修改的行为，并且；当他实施该行为时具备必备的意图和必备的认识。这里必备的

14、意图是指意图引起对任意计算机内容的修改，并由此损害计算机运行，妨碍或阻止对计算机内程序或数据的访问，或者损害了上述程序的执行或数据的可靠性。这里必备的认识是指行为人认识到他所意图进行的任何修改都是未经授权的。第12页，本讲稿共105页n英国还颁布了黄色出版物法、青少年保护法、录像制品法、禁止泛用电脑法和刑事司法与公共秩序修正法等来惩处利用电脑和互联网络进行犯罪的行为。1996年9月23日，英国政府颁布了第一个网络监管行业性法规3R安全规则。“3R”分别代表分级认定、举报告发、承担责任。n英国广播电视的主管机关独立电视委员会（ITC）公开宣称，依照英国1990年的广播法，它有权对因特网上的电视节

15、目以及包含静止或活动图像的广告进行管理，但它目前并不打算直接行使其对因特网的管理权力，而是致力于指导和协助网络行业建立一种自我管理的机制。n英国政府1999年公布了电子通信法案的征求意见稿。这一草案酝酿已久，其主要目的是为促进英国电子商务发展，并为社会各界树立对电子商务的信心提供法律上的保证。第13页，本讲稿共105页德国计算机犯罪法 n德国自1980年代以来，陆续发生一连串资料不正当取得及窃用计算机程序事件之后，计算机犯罪成为各界注目焦点。德国1986年8月1日施行第二次经济犯罪防治法即对该刑法加以修正，加入有关防治计算机犯罪之各项规定，其主要有计算机欺诈罪、资料伪造罪、资料刺探罪、资料变更

16、罪、计算机破坏罪等规定，并将计算机资料及程序纳入不正当竞争防止法中所谓“有关营业上或经营上秘密”之范畴加以保护，现分述如下：n（1）计算机欺诈。德国刑法第263条A规定，“意图为自己或第三人获得不法利益，而编制不正当之程序，使用不正确、不完全或无权限之信息，或以其他方法无权限地干预信息处理过程，影响信息处理之结果，因而损害他人之财产者，处五年以下自由刑或罚金。”n（2）资料伪造罪。德国刑法第269条规定，“意图在法律事务交往中进行欺骗而储存或变更辩识状态下为伪造或变更文书之重要证据资料，或使用在此种状态下所存储或变更之资料者，处五年以下自由刑或罚金。”第14页，本讲稿共105页n（3）刺探资料

17、罪。德国刑法第202条A规定，“为自己或他人而无权限取得为防止不被允许者不正接近设有特殊保护之数据者，处三年以下自由刑或罚金。”此处所称数据，仅指以电子、磁性或其他非可直接以感官辩识之方式所存储或传送者。n（4）变更资料罪。德国刑法第303条A规定，“非法删除、隐藏、使不能使用或变更资料者，处两年以下自由刑或罚金。本罪之未遂犯，处罚之。”n（5）妨害计算机罪。德国刑法第303条B规定，“对于其他经营体或企业或政府机构具有实质意义的数据处理有下列妨害行为者，处五年以下自由刑或罚金：（a）实行第303条A之行为；（b）毁弃、损坏、使不能使用、删除或变更数据处理设备或数据媒体。本罪之未遂犯，处罚之。

18、”第15页，本讲稿共105页n德国政府还出台了信息和通讯服务规范法，于1997年6月13日在联邦会议获得通过，自1997年8月1日生效。信息和通讯服务规范法规定：服务提供者根据一般法律对自己提供的内容负责；若提供的是他人的内容，服务提供者只有在了解这些内容、在技术上有可能阻止其传播的情况下对内容负责；他人提供的内容，在服务提供者的途径中传播，服务提供者不对其内容负责；根据用户要求自动和短时间地提供他人的内容被认为是传播途径的中介；若服务提供者在不违背电信法有关保守电信秘密规定的情况下了解这些内容、在技术上有可能阻止且进行阻止不超过其承受能力，则有义务按一般法律阻止利用违法的内容。n此外，德国政

19、府还通过了电信服务数据保护法，并根据发展信息和通讯服务的需要对刑法法典、传播危害青少年文字法、著作权法和报价法作了必要的修改和补充。第16页，本讲稿共105页法律法规的特点及现状 n对国际互联网进行必要的管制已成为当今的一种世界性趋势，具体管制方式各国有所不同。有的国家采取控制计算机网络国际联网出入口信道的方式，如沙特阿拉伯和新加坡，我国也采用了这种管制方式；有的国家通过制定专门调整计算机互联网络的国内立法的方式进行管制，如澳大利亚；还有的国家则积极尝试和推进网络业界的行业自律，以此实现网络管制的目的，英国就是这种做法的代表。计算机网络上日益增多的违法犯罪活动，促使人们在有关要不要对计算机网络

20、进行管制的问题上逐步达成了一种共识，即必须对计算机信息网络，特别是国际互联网络进行某种程度的管制，而网络技术的发展也为网络管制提供了客观的基础。曾经发生的法国巴黎法院判决责令著名国际网络服务商雅虎公司在规定时间内设计出一种软件，以阻止法国公民进入雅虎网页上拍卖纳粹物品的网站，使我们对国际互联网络是否具有绝对的无国界性也产生了怀疑。n国际互联网的跨国界性无疑增加了各国在其主权范围内独立调整和管制网上行为的困难，但这并不意味着国际互联网无法管制。各国不仅可以通过各种形式的国际合作联手打击网络犯罪行为，而且，由于出现了强烈的网络管制的社会要求，各种行之有效的网络管制技术也应运而生了。第17页，本讲稿

21、共105页n目前，世界各国有关信息犯罪的法律对策基本上是从两个方面入手的：一是修改现行法律，如对宪法、刑法、专利法、版权法、反不正当竞争法等进行修改和补充，使之适用于惩罚信息犯罪，如美国1984年通过的仿造信息存取手段及计算机欺诈与滥用法，就对联邦刑法进行了修改。1985年，加拿大通过刑法修正案，也将非法使用计算机和损害资料的行为归为犯罪。二是制定新的信息犯罪法规，通过单独立法来集中打击信息犯罪活动，这些法律就信息立法中的一些专门术语作了严格的定义，以杜绝罪犯借玩弄技术术语逍遥法外的现象。n过去，很多网络服务提供商都逃避了法律的制裁，因为他们仅仅是充当数据的载体的角色，而对他们所传递的信息与数

22、据并不参与编辑。一些律师和网络法律专家提醒网络公司不要忽视在国家法律的约束下所承担的责任。实际上，在互联网出现很久以前，在国家的法律中就有各种相应的规定，如果所拥有的信息属于违法信息，法律就有权力判决其交代信息的来源。第18页，本讲稿共105页我国政策法规的现状及特点 n我国现行的有关信息网络安全的法律体系框架分为三个层面：n1、法律。主要包括：中华人民共和国宪法、中华人民共和国刑法、中华人民共和国治安管理处罚条例、中华人民共和国刑事诉讼法、全国人大常委会关于维护互联网安全的决定等。这些基本法的规定，为我国建立和完善信息网络安全法律体系奠定了良好的基础。n2、行政法规。主要包括：计算机软件保护

23、条例、中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、互联网信息服务管理办法等。n3、部门规章及规范性文件。主要包括计算机信息系统安全专用产品检测和销售许可证管理办法、计算机病毒防治管理办法、互联网电子公告服务管理规定等。n在此应当特别指出的是2000年12月28日全国人大颁布的关于维护互联网安全的决定（以下简称决定），该决定系统总结了目前网络违法和犯罪的典型行为共6大类18项，对于保障互联网的运行安全，维护国家安全和社会稳定，维护社会主义市场经济秩序和社会管理秩序，保护公民、法人和其他组织的合法权益，具有重大意义，是中国网络安全立法的标志性法律。第

24、19页，本讲稿共105页n近年来，我国制定了相当数量的信息安全法律、法规，对维护国家信息安全起到了巨大的推动作用，下面是含有涉及信息安全方面条款的法律法规：n（1）中华人民共和国电信条例 n（2）互联网信息服务管理办法 n（3）全国人民代表大会常务委员会 n（4）计算机病毒防治管理办法 n（5）计算机信息系统国际联网保密管理规定 n（6）商用密码管理条例 n（7）中国公众多媒体通信管理办法 n（8）中国公用计算机互联网国际联网管理办法 n（9）计算机信息网络国际联网出入口信道管理办法 n（10）从事放开经营电信业务审批管理暂行办法 n（11）中国互联网络域名注册暂行管理办法 n（12）电子出版

25、物管理规定 n（13）科学技术保密规定 n（14）关于对中华人民共和国计算机信息系统安全保护条例的说明n（15）中华人民共和国标准化法 n（16）中华人民共和国海关法 n（17）中华人民共和国商标法 n（18）中华人民共和国反不正当竞争法 n（19）中华人民共和国专利法 n（20）中华人民共和国治安管理处罚条例 n（21）中华人民共和国人民警察法 n（22）中华人民共和国刑法n（23）中华人民共和国宪法n（24）互联网出版管理暂行规定n（25）计算机信息系统保密管理暂行规定 n（26）计算机病毒防治管理办法 n（27）计算机信息网络国际联网出入口信道管理办法 n（28）计算机信息网络国际联网安

26、全保护管理办法 n（29）公安部关于对与国际联网的计算机信息系统进行备案工作的通知 n（30）计算机信息系统安全专用产品检测和销售许可证管理办法 n（31）中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 n（32）中华人民共和国计算机信息系统安全保护条例 n（33）商用密码管理条例第20页，本讲稿共105页n在以上法律法规基础上，一些省市也相继制定了相关的地方法规。国家法规和地方法规的相互补充，将大大加强我国在计算机信息系统安全方面的管理，促进我国信息产业的发展。以上这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售等方面。n第八届全国

27、人民代表大会第五次会议在1997年3月13日通过对中华人民共和国刑法的修改，在分则第六章妨害社会管理秩序罪第一节扰乱公共秩序罪中，专列三个条文规定了计算机犯罪。这些规定填补了刑法在计算机犯罪领域的空白，结束了我国计算机信息系统领域无法可依的局面，为我国以刑罚手段惩治计算机犯罪提供了法律依据。n具体规定，“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的饿计算机信息系统的，处三年以下有期徒刑或者拘役”。还规定了“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑”。“违反

28、国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚”。“故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚”。法律规定了对破坏者行为的制裁。第21页，本讲稿共105页部分相关法律法规简介 n作为我国第一个关于信息系统安全方面的法规，中华人民共和国计算机信息系统安全保护条例是国务院于1994年2月18日发布的，分五章共三十一条，目的是保护信息系统的安全，促进计算机的应用和发展。其主要内容如下：n公安部主管全国的计算机信息系统安全保护工作；n计算机信息系统实行安全等级保护；n健全安全管

29、理制度；n国家对计算机信息系统安全专用产品的销售实行许可证制度；n公安机关行使监督职权，包括监督、检查、指导和查处危害信息系统安全的违法犯罪案件等。第22页，本讲稿共105页国际联网管理 n加强对计算机信息系统国际联网的管理，是保障信息系统安全的关键。因此，国务院、公安部等单位共同制定了下面六个关于国际联网的法规，这里先将法规中出现的名词术语作一个统一的简单说明：n国际联网国际联网，是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络，以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相联接。n互联网络互联网络，是指直接进行国际联网的计算机信息网络。n

30、互联单位互联单位，是指负责互联网络运行的单位。n接入网络接入网络，是指通过接入互联网络进行国际联网的计算机信息网络。n接入单位接入单位，是指负责接入网络运行的单位。n国际出入口信道国际出入口信道，是指国际联网所使用的物理信道。第23页，本讲稿共105页n中华人民共和国计算机信息网络国际联网管理暂行规定是国务院于1996年2月1日发布的，并根据1997年5月20日国务院关于修改的决定进行了修正，共17条。它体现了国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则，主要内容如下：n（1）国务院信息化工作领导小组负责协调、解决有关国际联网工作中的重大问题。n（2）互联网络必须使用邮电部国

31、家公用电信网提供的国际出入口信道。n（3）接入网络必须通过互联网络进行国际联网。n（4）用户的计算机或者计算机信息网络必须通过接入网络进行国际联网。n（5）已经建立的四个互联网络，分别由原邮电部、原电子工业部、国家教委和中科院管理；新建互联网络，必须报经国务院批准。n（6）拟从事国际联网经营活动或非经营活动的接入单位应具备一定的条件并报批。n（7）国际出入口信道提供单位、互联单位和接入单位应建立相应的网管中心。第24页，本讲稿共105页n中华人民共和国计算机信息网络国际联网管理暂行规定实施办法是国务院信息化工作领导小组于1997年12月8日发布的，共二十五条。它是根据中华人民共和国计算机信息网

32、络国际联网管理暂行规定而制定的具体实施办法。其主要内容如下：n（1）国务院信息化工作领导小组办公室负责组织、协调和检查监督国际联网的有关工作。n（2）国际联网采用国家统一制定的技术标准、安全标准和资费政策。n（3）国际联网实行分级管理，即：对互联单位、接入单位、用户实行逐级管理；对国际出入口信道统一管理。n（4）对经营性接入单位实行经营许可证制度。n（5）中国互联网络信息中心提供互联网络地址、域名、网络资源目录管理和有关的信息服务。n（6）国际出入口信道提供单位提供国际出入口信道并收取信道使用费。n（7）国际出入口信道提供单位、互联单位和接入单位应保存与其服务相关的所有资料，配合主管部门进行的

33、检查。n（8）互联单位、接入单位和用户应当遵守国家有关法律、行政法规，严格执行国家安全保密制度。第25页，本讲稿共105页n计算机信息网络国际联网安全保护管理办法是1997年12月11日经国务院批准、公安部于1997年12月30日发布的，分五章共二十五条，目的是加强国际联网的安全保护。其主要内容如下：n（1）公安部计算机管理监察机构及各级公安机关相应机构应负责国际联网的安全保护管理工作，具体是：n保护国际联网的公共安全；n管理网上行为及传播信息；n防止出现利用国际联网危害国家安全等违法犯罪活动。n（2）国际出入口信道提供单位、互联单位的主管部门负责国际出入口信道、所属互联网络的安全保护管理工作

34、。n（3）互联单位、接入单位及使用国际联网的法人应办理备案手续并履行安全保护职责。n（4）从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，并协助查处网上违法犯罪行为。第26页，本讲稿共105页n中国公用计算机互联网国际联网管理办法是原邮电部在1996年发布的，共十七条，目的是加强对中国公用计算机互联网Chinanet国际联网的管理。其主要内容如下：n（1）Chinanet根据需要分级建立网管中心和信息服务中心；n（2）Chinanet的接入单位应具备一定的条件并经其主管部门批准；n（3）用户的计算机进行国际联网，必须通过接入网络进行；n（4）电信总局作为Chinanet的互

35、联单位，负责接入单位和用户的联网管理。n（5）接入单位和用户应遵守国家法律、法规。第27页，本讲稿共105页n计算机信息网络国际联网出入口信道管理办法是原邮电部在1996年发布的，共十一条，目的是加强计算机信息网络国际联网出入口的管理。其主要内容如下：n（1）直接进行国际联网必须使用原邮电部国家公用电信网提供的国际出入口信道。n（2）在中国邮电电信总局设置计算机信息网络国际联网出入口局及其网络管理中心，以负责国际联网出入口信道的提供和管理。n（3）中国邮电电信总局应加强对国际联网出入口局和出入口信道的管理。n（4）国际出入口局应配合国家有关部门依法实施的信息安全检查。第28页，本讲稿共105页

36、n计算机信息系统国际联网保密管理规定是由国家保密局发布并于2000年1月1日开始执行的，分四章共二十条，目的是加强国际联网的保密管理，确保国家秘密的安全。其主要内容如下：n（1）国际联网的保密管理，实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。国家保密工作部门主管全国的国际联网保密工作；地方各级保密工作部门主管本行政区域内的国际联网保密工作；中央国家机关在其职权范围内主管本系统的国际联网保密工作。n（2）保密制度。涉及国家秘密的计算机信息系统，必须实行物理隔离；涉及国家秘密的信息，不得在国际联网的计算机信息系统中存储、处理、传递；上网信息的保密管理坚持“谁上网谁负责”的原则。n（

37、3）保密监督。职责是保密检查；监督、检查保密管理制度规定的执行情况；依法查处各种泄密行为。第29页，本讲稿共105页商用密码管理 n商用密码管理条例是国务院在1999年10月7日发布的，分七章共二十七条，目的是加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益。其主要内容如下：n（1）国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作。n（2）商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理。n（3）商用密码的科研任务由密码管理机构指定的单位承担。n（4）商用密码产品由密码管理机构指定的单位生产，其品种和型号必

38、须经国家密码管理机构批准，且必须经产品质量检测机构检测合格。n（5）商用密码产品由密码管理机构许可的单位销售。n（6）用户只能使用经密码管理机构认可的商用密码产品，且不得转让。第30页，本讲稿共105页计算机病毒防治 n计算机病毒防治管理办法是公安部于2000年4月26日发布执行的，共二十二条，目的是加强对计算机病毒的预防和治理，保护计算机信息系统安全。其主要内容如下：n（1）公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作，地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作。n（2）任何单位和个人应接受公安机关对计算机病毒防治工作的监督、检查和指导，不得制作、传播计算

39、机病毒。n（3）计算机病毒防治产品厂商，应及时向计算机病毒防治产品检测机构提交病毒样本。n（4）拥有计算机信息系统的单位应建立病毒防治管理制度并采取防治措施。n（5）病毒防治产品应具有计算机信息系统安全专用产品销售许可证，并贴有“销售许可”标记。第31页，本讲稿共105页安全产品检测与销售 n计算机信息系统安全专用产品检测和销售许可证管理办法是公安部于1997年12月12日发布并执行的，分六章共十九条，目的是加强计算机信息系统安全专用产品的管理，保证安全专用产品的安全功能，维护计算机信息系统的安全。其主要内容如下：n（1）我国境内的安全专用产品进入市场销售，实行销售许可证制度。n（2）颁发销售

40、许可证前，产品必须进行安全功能的检测和认定。一个典型的检测过程为：n生产商向检测机构申请安全功能检测；n检测机构检测样品是否具有信息系统安全保护功能；n检测机构完成检测后，将检测报告报送公安部计算机管理监察部门备案；n生产商申领销售许可证。n（3）公安部计算机管理监察部门负责销售许可证的审批颁发、检测机构的审批、定期发布安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录。n（4）销售许可证只对所申请销售的安全专用产品有效，有效期为两年。第32页，本讲稿共105页 中国人民解放军计算机信息系统安全保密规定 n经中央军委批准，四总部联合签署了中国人民解放军计算机信息系统安全保密规定。新颁

41、发的规定，共九章四十一条。它以中国人民解放军保密条例和中国人民解放军技术安全保密条例为依据，突出了网络安全保密这一重点。n规定首次以法规的形式明确规定，军队计算机信息系统的安全保密建设，应当与计算机信息系统的建设同步规划，同步发展。“先建网、后防护”、“重建设、轻防护”的现象应予以禁止。规定确立，计算机信息系统安全保密实行分级防护。按照系统所处理信息的秘密等级和遭受攻击后对军队安全利益造成的损害程度，将军队计算机系统的安全保密防护划分为五个等级，明确了不同防护等级所应采取的防护措施；同时对各职能部门在计算机系统的建设、使用、管理中的职责进行了明确划分，并制定了相应的奖励与处罚措施。n根据未来信

42、息战的要求和当前网络信息安全保密的现况，规定明确提出要建立计算机信息系统应急机制，成立应急组织，以应对突发事件，执行应急保障任务。n规定还特别强调了安全防护产品测评认证问题，要求对所有用于军队计算机信息系统的安全防护和检测产品都要经解放军信息安全测评认证中心测评认证，未经认证的产品不得选用。规定是中国军队信息安全保密建设上第一部具有权威性的法规，它的颁发施行为解放军确保信息安全提供了有力保障。第33页，本讲稿共105页刑法中规定的信息安全犯罪 n随着计算机信息系统的广泛应用，信息系统日益成为国家和社会各部门各单位的要害部位。特别是在实系到国计民生的国家事务管理、军事指挥控制、尖端科技研究开发领

43、域，这些计算机系统的正常运行，对于保障国家安全、经济发展以及人们生命财产安全等等方面，起着十分重要的作用。这些人机系统一旦成为犯罪对象而被非法侵入，就可能导致其中的重要数据遭到破坏，或某些重要敏感的信息被泄露，继而招致灾难性的边锁反应，造成经济、政治等等方面的重大损失，甚至危及国家和人民的生命财产安全。第34页，本讲稿共105页非法侵入计算机信息系统罪 n对非法侵入，必须给予严厉的打击，于是，刑法第二百八十五条明确规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”n非法侵入计算机信息系统罪的犯罪构成：本罪侵犯的对象是国家事务、国防建

44、设、尖端科学技术领域的计算机信息系统。所谓计算机信息系统，根据1994年国务院颁布的计算机信息系统安全保护条例第2条的规定，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人体系统。计算机信息系统的外延非常广，其表现形式也多种多样。按照系统内计算机的组成来划分，可将计算机信息系统分为两种：一种是只包括一台计算机系统的信息系统；另一种则是由多个计算机系统组成的分布式系统。无论是那一种系统都可能成为国家事务、国防建设和尖端科学计算机领域的计算机信息系统。第35页，本讲稿共105页n本罪侵犯的客体是国家事务、国防建设、尖

45、端科学技术领域的计算机信息系统安全。本罪的客观要件是，行为人实施了违反国家规定侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。就信息系统的完整保密安全性而言，侵入本身就是一种危害，这就意味着，只要是实施了违反规定的侵入，就构成本罪，就得承担相关的刑事责任。n条款中指称违反的“国家规定”，就是中华人民共和国计算机信息系统安全保护条例的第四条规定：“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全。”该条例的第24条同时载明：“违反本条例的规定，构成违反治安管理行为的，依照中华人民共和国治安管理处罚条例的有关规定处罚；构

46、成犯罪的，依法追究刑事责任。”第36页，本讲稿共105页n此外，我国有关计算机信息系统管理方面的其他法规如：计算机学习网络国际联网管理暂行规定、计算机信息网络国际联网出入信道管理办法、专用网与公用网联网的暂行规定等也有类似的规定。由此应该明了，刑法重于定罪和处罚，而相关的规定，一般都散布在各种类型的法律规范标准之中。各个法律规范标准之间，是互相紧扣、密切关联的。违反不同的规定，可认定为同一罪。违反同一规定，根据不同的情况，也可能会认定为不同罪。构架是一个疏而不散的法网系统，似乎相当繁杂琐碎。第37页，本讲稿共105页n本罪的客观方面表现为违反国家规定，侵入国家事务、国防建设、端科学技术领域的计

47、算机信息系统的行为。所谓侵入，就是用户没有取得国家有关主管部门的合法授权或批准，通过计算机终端非法访问国家事务、国防建设、尖端科学技术领域的计算机信息系统或者进行数据截收的行为。一般来说，所有的计算机信息系统都有自身的安全控制机制，可以决定哪些用户有访问权力并明确合法用户的访问权限。因此，非法侵入行为分为两类：非法用户侵入计算机系统和合法用户越权访问。通常，非法侵入方式有：n冒充合法用户进入计算机系统。使用非法手段获取口令或者许可证明，随后，冒充合法用户，进入国家事务，国家建设、尖端科学技术领域的计算机系统；更有甚者，有人把自己的计算机与国家事务、国防建设、尖端科学技术领域的计算机信息系统非法

48、联网；技术攻击、通过后门、陷阱门非法侵入也是常用的手段。第38页，本讲稿共105页n应该注意的是，经过加密处理的信息系统如果没有相应的加密措施“获得口令”是无法进入的。因此，侵入的第一步骤是解密，获得密码钥匙。而的密码的设置表明系统不允许随便进入，故解密本身是非法的，具有可罚性。侵入的第二步是进入该系统的总目录并伴有浏览行为，但仅限于浏览，若浏览后又实施了拷贝、打印等特为，则按刑法的有关规定定罪后，从重罪处罚。n本罪的主观方面应该是故意。也就是说，行为人清楚地知道，自己的行为是违反了国家的规定，会产生非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的危害后果，而这种结果是自己希望发

49、生的。其动机和目的是多种多样的，例如，好奇、炫耀、泄愤、报复、消遣等等，这些都不影响犯罪的构成。但若行为人具有其他可查证的目的，如非法窃取国家秘密、商业秘密等，不构成本罪，而应以其行为构成的具体犯罪追究刑事责任，如非法窃取国家秘密罪、侵犯商业秘密罪或以某种特定危害国家安全罪追究刑事责任。第39页，本讲稿共105页n由于过失而侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，不构成本罪。从司法实践来看，非法侵入一般情况只能是故意。因为各类计算机信息系统均有控制访问机制，本罪的犯罪对象更是如此，行为人不作技术方面的努力，不可能破译密码而突破系统的保护机制或成功地绕过此类安全保护机制。纯过

50、失的误入此类信息系统的行为是罕见的，甚至是不存在的。若有过失进入事件，行为人已经发现而不主动退出的，也应构成本罪。n本罪的主体是一般主体。他们往往具有相当高的计算机专业知识和操作技能水平，如程序设计人员，计算机管理、操作、维修人员等等。第40页，本讲稿共105页 破坏计算机信息系统罪 n刑法第286条明确规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役，后果特别严重的，处五年以上有期徒刑。”“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前