網絡安(ān)全法律法規
主 要 内 容
一、我國(guó)網絡安(ān)全立法體(tǐ)系框架 二、計算機犯罪的防範和打擊 三、網絡安(ān)全管理(lǐ)要求 四、安(ān)全産(chǎn)品及服務(wù)的管理(lǐ)要求 五、信息系統安(ān)全等級保護的基本技(jì )術要求 六、中(zhōng)華人民(mín)共和國(guó)電(diàn)子簽名(míng)法
一、我國(guó)網絡安(ān)全立法體(tǐ)系框架
一、我國(guó)網絡安(ān)全立法體(tǐ)系框架
我國(guó)網絡安(ān)全立法體(tǐ)系框架分(fēn)為(wèi)四個層面:
---- 法律
---- 行政法規
---- 地方性法規、規章
---- 規範性文(wén)件
我國(guó)網絡安(ān)全立法體(tǐ)系框架
法律:是指由全國(guó)人民(mín)代表大會及其
常委會通過的法律規範。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
法 律
我國(guó)與網絡安(ān)全相關的法律主要有(yǒu):
《憲法》 《人民(mín)警察法》
《刑法》 《治安(ān)管理(lǐ)處罰條例》
《刑事訴訟法》 《國(guó)家安(ān)全法》
《保守國(guó)家秘密法》 《行政處罰法》
《行政訴訟法》 《行政複議法》
《國(guó)家賠償法》 《立法法》
《中(zhōng)華人民(mín)共和國(guó)電(diàn)子簽名(míng)法》 《全國(guó)人大常委會關于維護互聯網安(ān)全的決定》等
我國(guó)網絡安(ān)全立法體(tǐ)系框架
法 律
1、《中(zhōng)華人民(mín)共和國(guó)人民(mín)警察法》
第六條第十二款明确規定,公(gōng)安(ān)機關的 人民(mín)警察依法“履行監督管理(lǐ)計算機信息系 統的安(ān)全保護工(gōng)作(zuò)”職責。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
法 律
2、《全國(guó)人大常委會關于維護互聯網安(ān)全的決定》 (2000年12月28日)
這是我國(guó)第一部關于互聯網安(ān)全的法律。該法分(fēn)别從
(1)保障互聯網的運行安(ān)全;
(2)維護國(guó)家安(ān)全和社會穩定;
(3)維護社會主義市場經濟秩序和社會管理(lǐ)秩序;
(4)保護個人、法人和其他(tā)組織的人身、财産(chǎn)等 合法權利等四個方面,共15款,明确規定了對構成犯 罪的行為(wèi),依照刑法有(yǒu)關規定追究刑事責任。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
法 律
3、《刑法》(1997年3月14日修訂)
1997年《刑法》修改後,除了分(fēn)則規定的大多(duō)數 犯罪罪種(包括危害國(guó)家安(ān)全罪,危害公(gōng)共安(ān)全罪、 破壞社會主義市場經濟秩序罪,侵犯公(gōng)民(mín)人身權利、 民(mín)主權利罪、侵犯财産(chǎn)罪,妨害社會管理(lǐ)秩序罪)都 适用(yòng)于利用(yòng)計算機網絡實施的犯罪以外,還專門在第 285條和第286條分(fēn)别規定了非法入侵計算機信息系統 罪和破壞計算機信息系統罪,共兩條四款。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行政法規:是指國(guó)務(wù)院為(wèi)執行憲法和法律而制定的法律規範。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
與網絡安(ān)全有(yǒu)關的行政法規主要有(yǒu):
國(guó)務(wù)院令147号:《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》
國(guó)務(wù)院令195号:《中(zhōng)華人民(mín)共和國(guó)計算機信息網絡國(guó)際聯網管理(lǐ)暫行規定》
公(gōng)安(ān)部令33号:《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn)法》
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
與網絡安(ān)全有(yǒu)關的行政法規主要有(yǒu):
國(guó)務(wù)院令273号:《商(shāng)用(yòng)密碼管理(lǐ)條例》
國(guó)務(wù)院令291号:《中(zhōng)華人民(mín)共和國(guó)電(diàn)信條例》
國(guó)務(wù)院令292号:《互聯網信息服務(wù)管理(lǐ)辦(bàn)法》
國(guó)務(wù)院令339号:《計算機軟件保護條例》等。
名(míng) 詞 解 釋
計算機信息系統: 由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用(yòng)目 标和規則對信息進行采集、加工(gōng)、存儲、傳輸、檢 索等處理(lǐ)的人機系統。
計算機病毒: 計算機病毒是指編制或者在計算 機程序中(zhōng)插入的破壞計算機功能(néng)或者毀壞數據,影 響計算機使用(yòng),并能(néng)自我複制的一組計算機指令或 者程序代碼。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
1、《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》(1994年2月18日)
這是我國(guó)第一部涉及計算機信息系統安(ān)全的行政法規。
《條例》賦予“公(gōng)安(ān)部主管全國(guó)計算機信息系統安(ān)全保護工(gōng)作(zuò)”的職能(néng)。主管權體(tǐ)現在:
(1)監督、檢查、指導權;
(2)計算機違法犯罪案件查處權;
(3)其他(tā)監督職權。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
-------《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》
計算機信息系統安(ān)全保護的基本制度:
1、計算機信息系統建設和使用(yòng)制度
2、安(ān)全等級保護制度
3、計算機機房及其環境管理(lǐ)制度
4、國(guó)際聯網備案制度 (進行計算機國(guó)際聯網的單位和個人要向公(gōng)安(ān)機關備案)
5、計算機信息系統使用(yòng)單位的安(ān)全管理(lǐ)制度
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
-------《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》
計算機信息系統安(ān)全保護的基本制度:
6、信息媒體(tǐ)進出境申報制度
7、案件強制報告制度 (對計算機信息系統中(zhōng)發生的案件,有(yǒu)關單位應當在24小(xiǎo)時内向當地縣級以上人民(mín)政府公(gōng)安(ān)機關報告)
8、計算機病毒防治專管制度 (即計算機病毒和危害社會公(gōng)共安(ān)全的其他(tā)有(yǒu)害數據的防治工(gōng)作(zuò),由公(gōng)安(ān)部歸口管理(lǐ))
9、對計算機信息系統安(ān)全專用(yòng)産(chǎn)品的銷售實行許可(kě)證制度。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
2、《中(zhōng)華人民(mín)共和國(guó)計算機信息網絡國(guó)際聯網管理(lǐ)暫行規定》
計算機信息網絡進行國(guó)際聯網的原則:
1、必須使用(yòng)郵電(diàn)部國(guó)家公(gōng)用(yòng)電(diàn)信網提供的國(guó)際出入口信道。
2、接入網絡必須通過互聯網絡進行國(guó)際聯網。
3、用(yòng)戶的計算機或計算機信息網絡必須通過接入網絡進行國(guó)際聯網。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
------《中(zhōng)華人民(mín)共和國(guó)計算機信息網絡國(guó)際聯網管理(lǐ)暫行規定》
《規定》對互聯網接入單位實行國(guó)際聯網經營許可(kě)證制度(經營性)和審批制度(非經營性),限定了接入單位的資質(zhì)條件、 服務(wù)能(néng)力及其法律責任。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
《中(zhōng)華人民(mín)共和國(guó)計算機信息網絡國(guó)際聯網管理(lǐ)暫行規定對違反《規定》第六條、第八條和第十條的行為(wèi),即:
(1)自行建立或者使用(yòng)其他(tā)信道進行國(guó)際聯網的;
(2)未按規定通過互聯網絡進行國(guó)際聯網的;
(3)未按規定通過接入網絡進行國(guó)際聯網;
(4)未經許可(kě)和審批從事國(guó)際聯網經營業務(wù)的。 由公(gōng)安(ān)機關責令停止聯網,給予警告,可(kě)以并處15000元以下的罰款;有(yǒu)違法所得的,沒收違法所得。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
3、《計算機信息網絡國(guó)際聯網安(ān)全保
護管理(lǐ)辦(bàn)法》 (公(gōng)安(ān)部令33号)
1997年12月11日國(guó)務(wù)院批準、1997年12月30日公(gōng) 安(ān)部第33号令發布,是我國(guó)第一部全面調整互聯網絡 安(ān)全的行政法規,不僅對我國(guó)互聯網的初期發展起到 了重要的保障作(zuò)用(yòng),而且為(wèi)後續有(yǒu)關網絡安(ān)全的法規、 規章的出台起到了重要的指導作(zuò)用(yòng)。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
------《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn)法》
(1)任何單位和個人不得利用(yòng)國(guó)際聯網危害國(guó)家安(ān)全、洩露國(guó)家秘密, 不得侵犯國(guó)家的、社會的、集體(tǐ)的利益和公(gōng)民(mín)的合法權益,不得從事違法犯罪活動。
(2)任何單位和個人不得利用(yòng)國(guó)際聯網制作(zuò)、複制、查閱和傳播有(yǒu)害信息。
(3)任何單位和個人不得從事危害計算機信息網絡安(ān)全的活動 。
(4)任何單位和個人不得違反法律規定,利用(yòng)國(guó)際聯網侵犯用(yòng)戶的通信自由和通信秘密。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
行 政 法 規
------《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn)法》
《辦(bàn)法》規定了六項安(ān)全保護責任:
(1)國(guó)際聯網單位和個人應當接受公(gōng)安(ān)機關的安(ān)全監
督、檢查和指導,提供有(yǒu)關安(ān)全保護的資料并協
助公(gōng)安(ān)機關查處違法犯罪的責任。
(2)國(guó)際出入口信道提供單位、互聯單位的主管部門
或者主管單位的安(ān)全保護管理(lǐ)責任。
(3)互聯單位、接入單位及聯網單位的安(ān)全保護責任。
(4)備案責任。
(5)使用(yòng)公(gōng)用(yòng)帳号的注冊者的責任。
(6)重要領域采取安(ān)全保護措施的責任。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章:是指國(guó)務(wù)院各部、委根據法律和國(guó)
務(wù)院行政法規,在本部門的權限範圍内 制定的法律規範,以及省、自治區(qū)、直 轄市和較大的市的人民(mín)政府根據法律、 行政法規和本省、自治區(qū)、直轄市的地 方性法規制定的法律規範。
規範性文(wén)件:俗稱“紅頭文(wén)件”
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件
------與網絡安(ān)全相關的部門規章和規範性文(wén)件
公(gōng)安(ān)部----
? 《計算機信息系統安(ān)全專用(yòng)産(chǎn)品檢測
和銷售許可(kě)證管理(lǐ)辦(bàn)法》
? 《計算機病毒防治管理(lǐ)辦(bàn)法》
? 《金融機構計算機信息系統安(ān)全保護工(gōng)作(zuò)暫行規定》
? 《關于開展計算機安(ān)全員培訓工(gōng)作(zuò)的通知》等。
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件
------與網絡安(ān)全相關的部門規章和規範性文(wén)件
信息産(chǎn)業部----
《互聯網電(diàn)子公(gōng)告服務(wù)管理(lǐ)規定》
《軟件産(chǎn)品管理(lǐ)辦(bàn)法》
《計算機信息系統集成資質(zhì)管理(lǐ)辦(bàn)法》
《國(guó)際通信出入口局管理(lǐ)辦(bàn)法》
《國(guó)際通信設施建設管理(lǐ)規定》
《中(zhōng)國(guó)互聯網絡域名(míng)管理(lǐ)辦(bàn)法》
《電(diàn)信網間互聯管理(lǐ)暫行規定》
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件
------與網絡安(ān)全相關的部門規章和規範性文(wén)件
國(guó)務(wù)院新(xīn)聞辦(bàn)----
《互聯網站從事登載新(xīn)聞業務(wù)管理(lǐ)暫行規定》
教育部----
《中(zhōng)國(guó)教育和科(kē)研計算機網暫行管理(lǐ)辦(bàn)法》
《教育網站和網校暫行管理(lǐ)辦(bàn)法》
新(xīn)聞出版署----
《電(diàn)子出版物(wù)管理(lǐ)規定》
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件
------與網絡安(ān)全相關的部門規章和規範性文(wén)件
國(guó)家保密局---
《計算機信息系統保密管理(lǐ)暫行規定》
《計算機信息系統國(guó)際聯網保密管理(lǐ)規定》
《涉及國(guó)家秘密的通信、辦(bàn)公(gōng)自動化和計算機 信息系統審批暫行辦(bàn)法》
《涉密計算機信息系統建設資質(zhì)審查和管理(lǐ)暫行辦(bàn)法》
《關于加強政府上網信息保密管理(lǐ)的通知》
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件------與網絡安(ān)全相關的部門規章和規範性文(wén)件
中(zhōng)國(guó)證監會----《網上證券委托暫行管理(lǐ)辦(bàn)法》
國(guó)家廣播電(diàn)影電(diàn)視總局----《關于加強通過信息網絡向公(gōng)衆傳播廣播電(diàn)影電(diàn)視類節目管理(lǐ)的通告》
國(guó)家藥品監督管理(lǐ)局----《互聯網藥品信息服務(wù)管理(lǐ)暫行規定》
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件
------與網絡安(ān)全相關的部門規章和規範性文(wén)件
原電(diàn)子部、郵電(diàn)部----
《中(zhōng)國(guó)金橋信息網公(gōng)衆多(duō)媒體(tǐ)信息服務(wù)管理(lǐ)辦(bàn)法》
《計算機信息網絡國(guó)際聯網出入口信道管理(lǐ)辦(bàn)法》
《中(zhōng)國(guó)公(gōng)用(yòng)計算機互聯網絡國(guó)際聯網管理(lǐ)辦(bàn)法》
《中(zhōng)國(guó)公(gōng)衆多(duō)媒體(tǐ)通信管理(lǐ)辦(bàn)法》
《專用(yòng)網與公(gōng)用(yòng)網聯通的暫行規定》
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件
地方規章和規範性文(wén)件----
《廣東省計算機信息系統安(ān)全保護管理(lǐ)規定》
2003年3月31日廣東省人民(mín)政府第十屆4次常務(wù)會議通過
2003年6月1日起實施
《廣東省計算機信息系統安(ān)全保護管理(lǐ)規定實施細則》
2003年7月1日起實施
四川省計算機信息系統安(ān)全保護管理(lǐ)辦(bàn)法
(1996年3月28日四川省人民(mín)政府令第79号發布 自1996年5月1施行)
我國(guó)網絡安(ān)全立法體(tǐ)系框架
規章及規範性文(wén)件
《廣東省計算機信息系統安(ān)全保護管理(lǐ)規定》要求:
縣以上公(gōng)安(ān)機關主管本行政區(qū)域内的計算機信息系 統安(ān)全保護工(gōng)作(zuò)公(gōng)安(ān)機關、國(guó)家安(ān)全機關,在緊急情況下,可(kě)采取 24小(xiǎo)時内暫時停機、暫停聯網、備份數據等措施地級以上市公(gōng)安(ān)機關應有(yǒu)專門機構負責計算機信息系統發生的案件和重大安(ān)全事故報警的接受和處理(lǐ)地級以上公(gōng)安(ān)機關應為(wèi)計算機信息系統使用(yòng)單位和 個人提供安(ān)全指導,并向社會公(gōng)布舉報電(diàn)話和電(diàn)子郵箱
二、計算機犯罪的防範和打擊
計算機犯罪的防範和打擊
計算機犯罪的種類及特征
分(fēn)類标準
特點
常見形式
以互聯網絡作(zuò)為(wèi)生 被動性質(zhì),引誘一 1、 色情網站
存空間 般人進入 2、 六合彩站點
以互聯網作(zuò)為(wèi)犯罪 針對特定目标進行 1、 在網絡上進行
工(gōng)具(jù) 侵害,使用(yòng)網絡作(zuò) 恐吓、诽謗
為(wèi)犯罪工(gōng)具(jù) 2、 網絡詐騙
3、傳播有(yǒu)害信息
以互聯網作(zuò)為(wèi)犯罪 對網絡或計算機信 1、 入侵網絡
客體(tǐ) 息系統進行破壞、 2、 散布病毒
攻擊
計算機犯罪的防範和打擊
《中(zhōng)華人民(mín)共和國(guó)刑法》
第二百八十五條 違反國(guó)家規定,侵入國(guó)家 事務(wù)、國(guó)防建設、尖端科(kē)學(xué)技(jì )術領域的計算 機信息系統的,處三年以下有(yǒu)期徒刑或者拘 役。
計算機犯罪的防範和打擊
《中(zhōng)華人民(mín)共和國(guó)刑法》
第二百八十六條 違反國(guó)家規定,對計算機信息系統
功能(néng)進行删除、修改、增加、幹擾,造成計算機信 息系統不能(néng)正常運行,後果嚴重的,處五年以下有(yǒu) 期徒刑。
違反國(guó)家規定,對計算機信息系統中(zhōng)存儲、處 理(lǐ)或者傳播的數據和應用(yòng)程序進行删除、修改、增 加的操作(zuò),後果嚴重的,依照前款處罰。
故意制作(zuò)、傳播計算機病毒等破壞性程序,影 響計算機系統正常運行,後果嚴重的,依照第一款 處罰。
《四川省計算機信息系統安(ān)全保護管理(lǐ)辦(bàn)法》
第三十二條 有(yǒu)下列行為(wèi)之一的,由公(gōng)安(ān)機關給予警告或者處以 1000元以上5000元以下罰款;構成犯罪,依法追究刑事責任:
(一)未經批準,研究、收集或者保存計算機病毒的;
(二)未經批準,公(gōng)開發布計算機病毒疫情的;
(三)未經批準,開展涉及計算機病毒機理(lǐ)的活動的;
(四)制造、銷售、出租、維修的計算機軟件、硬件産(chǎn)品中(zhōng)含有(yǒu)計 算機病毒和其他(tā)有(yǒu)害數據的。
第三十三條 有(yǒu)下列行為(wèi)之一的,由公(gōng)安(ān)機關給予警告或者對個人
處以2000元以上5000元以下罰款,對單位處以5000元以上15000元以下 罰款;有(yǒu)違法所得的,除予以沒收外,可(kě)處違法所得:至3倍的罰款
(一)制造或者故意輸入、傳播計算機病毒以及其他(tā)有(yǒu)害數據的;
(二)非法複制、截收、竄改計算機信息系統中(zhōng)的數據危害計算機信息系統安(ān)全的;
(三)未經許可(kě)銷售計算機信息系統安(ān)全專用(yòng)産(chǎn)品的。
計算機犯罪的防範和打擊
計算機犯罪現場證據保全
計算機犯罪現場:發Th計算機犯罪的計算機應
用(yòng)環境及系統。 保護現場:關鍵是保持發Th犯罪後的第一狀态。
最好有(yǒu)備份系統支持運行,将關鍵數據備份下來。
教訓:深圳某銀行:發Th案件後,懷疑是内外勾結, 但沒有(yǒu)采取必要的人員隔離措施和計算機備份,談 話後第二天,所有(yǒu)操作(zuò)記錄全部删除,無從查起。
計算機犯罪的防範和打擊
案 件 報 告
一、報告
《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》規定了案件強制報告制度。
二、發Th計算機犯罪案件後如何報案
向誰報案:發Th計算機犯罪案件後,立即向當地公(gōng)安(ān)機關、 派出所或公(gōng)共網絡安(ān)全監察部門報案。
報案材料:
(一)基本事實----何時、何事、後果、現狀、可(kě)能(néng)原因等;
(二)提取的初步證據----破壞的結果、破壞行為(wèi)的計算機 記錄、日志(zhì)審計記錄等;
(三)以上材料及打印的文(wén)字材料必須加蓋公(gōng)章及騎縫章。
三、網絡安(ān)全管理(lǐ)要求
網絡安(ān)全管理(lǐ)要求
《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》
《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn) 法》
各個地方性的計算機信息系統安(ān)全保護管 理(lǐ)規定網絡安(ān)全管理(lǐ)要求
《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn)法》
第五條 任何單位和個人不得利用(yòng)國(guó)際聯網制作(zuò)、複制、查閱
和傳播下列信息:
(一) 煽動抗拒、破壞憲法和法律、行政法規實施的;
(二) 煽動颠覆國(guó)家政權,推翻社會主義制度的;
(三) 煽動分(fēn)裂國(guó)家、破壞國(guó)家統一的;
(四) 煽動民(mín)族仇恨、民(mín)族歧視,破壞民(mín)族團結的;
(五) 捏造或者歪曲事實,散布謠言,擾亂社會秩序的;
(六) 宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
(七) 公(gōng)然侮辱他(tā)人或者捏造事實诽謗他(tā)人的;
(八) 損害國(guó)家機關信譽的;
(九) 其他(tā)違反憲法和法律、行政法規的。
網絡安(ān)全管理(lǐ)要求
《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn)法》
第六條 任何單位和個人不得從事下列危害計算機網絡安(ān)全的活動:
(一)未經允許,進入計算機信息網絡或者使用(yòng)計算機 信息網絡資源的;
(二)未經允許,對計算機信息網絡功能(néng)進行删除、修改或者增加的;
(三)未經允許,對計算機信息網絡中(zhōng)存儲、處理(lǐ)或者
傳輸的數據和應用(yòng)程序進行删除、修改或增加的; (四)故意制作(zuò)、傳播計算機病毒等破壞性程序的; (五)其他(tā)危害計算機網絡安(ān)全的。
網絡安(ān)全管理(lǐ)要求
《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn)法》
第十條 互聯單位、接入單位及使用(yòng)計算機信息網絡國(guó)際聯網的法人和其他(tā)組織應當履行下列安(ān)全保護職責:
(一)負責本網絡的安(ān)全保護管理(lǐ)工(gōng)作(zuò),建立健全安(ān)全 保護管理(lǐ)制度;
(二)落實安(ān)全保護技(jì )術措施,保障本網絡的運行安(ān)全和信息安(ān)全;
(三)負責對本網絡用(yòng)戶的安(ān)全教育和培訓; (四)對委托發布信息的單位和個人進行登記,并對所提供的信息内容按照本辦(bàn)法第五條進行審核。
網絡安(ān)全管理(lǐ)要求
《計算機信息網絡國(guó)際聯網安(ān)全保護管理(lǐ)辦(bàn)法》
(五)建立計算機信息網絡電(diàn)子公(gōng)告系統的用(yòng)戶
登記和信息管理(lǐ)制度; (六)發現有(yǒu)本辦(bàn)法第四條、第五條、第六條、
第七條所列情形之一的,應當保留有(yǒu)關原始記錄, 并在二十四小(xiǎo)時内向當地公(gōng)安(ān)機關報告;
(七)按照國(guó)家有(yǒu)關規定,删除本網絡中(zhōng)含有(yǒu)本 辦(bàn)法第五條内容的地址、目錄或者關閉服務(wù)器。
網絡安(ān)全管理(lǐ)要求
四川省計算機信息系統安(ān)全保護管理(lǐ)辦(bàn)法辦(bàn)法
第四條 計算機信息系統的安(ān)全保護,應當保障計算機 及其配套的和相關的設備、設施(含網絡)和運行環 境的安(ān)全,以及計算機信息的安(ān)全,确保計算機功能(néng) 的正常發揮,維護計算機信息系統的安(ān)全運行。
計算機信息系統安(ān)全保護工(gōng)作(zuò),重點維護國(guó)家事 務(wù)、經濟建設、國(guó)防建設、尖端科(kē)學(xué)技(jì )術等重要領域 的計算機信息系統的安(ān)全。
網絡安(ān)全管理(lǐ)要求
《廣東省計算機信息系統安(ān)全保護管理(lǐ)規定》
第八條 計算機信息系統使用(yòng)單位應當建立并執行以下
安(ān)全保護制度:
(一)計算機機房安(ān)全管理(lǐ)制度;
(二)安(ān)全管理(lǐ)責任人、信息審查員的任免和安(ān)全責
任制度;
(三)網絡安(ān)全漏洞檢測和系統升級管理(lǐ)制度;
(四)操作(zuò)權限管理(lǐ)制度;
(五)用(yòng)戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度, 信息群發服務(wù)管理(lǐ)制度。
網絡安(ān)全管理(lǐ)要求
《廣東省計算機信息系統安(ān)全保護管理(lǐ)規定》
第九條 計算機信息系統使用(yòng)單位應當落實以下安(ān)全保護技(jì )術
措施:
(一) 系統重要部分(fēn)的冗餘或備份措施;
(二) 計算機病毒防治措施;
(三) 網絡攻擊防範、追蹤措施;
(四) 安(ān)全審計和預警措施;
(五)系統運行和用(yòng)戶使用(yòng)日志(zhì)記錄保存60日以上措施;
(六)記錄用(yòng)戶主叫電(diàn)話号碼和網絡地址的措施;
(七)身份登記和識别确認措施;
(八)信息群發限制和有(yǒu)害數據防治措施。
向公(gōng)衆提供上網服務(wù)的場所以及其他(tā)從事國(guó)際聯 網業務(wù)的單位應當安(ān)裝(zhuāng)符合國(guó)家規定的安(ān)全管理(lǐ)軟件。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(一)安(ān)全保護組織
建立計算機信息系統安(ān)全保護組織,由 單位行政領導人擔任安(ān)全保護組織的領導。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(二)計算機安(ān)全員
計算機應用(yòng)單位應當按照計算機安(ān)全管 理(lǐ)行業技(jì )術規範要求,配備計算機安(ān)全技(jì )術 人員。計算機安(ān)全技(jì )術人員必須經過市主管 部門認可(kě)的安(ān)全技(jì )術培訓,考核合格後持證 上崗。
合格證有(yǒu)效期為(wèi)四年。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
計算機安(ān)全員主要職責
1、執行本單位計算機安(ān)全管理(lǐ)的各項規章制度;
2、按照安(ān)全管理(lǐ)行業技(jì )術規範要求對計算機系統安(ān) 全運行情況進行檢查測試,即排除各種安(ān)全隐患;
3、發Th安(ān)全事故或計算機犯罪案例時,應當立即向 本單位安(ān)全管理(lǐ)責任人報告并采取妥善措施,保 護現場,保留有(yǒu)關原始記錄,在24小(xiǎo)時内向當地 公(gōng)安(ān)機關報案,避免危害的擴大。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(三)交互式欄目管理(lǐ)要求
1、關鍵字過濾
1> 智能(néng)過濾;
2> 關鍵字應跟随形勢的變化而變化;
3> 關鍵字過濾掉的帖子,應另做保存;
2、作(zuò)好審計工(gōng)作(zuò),記錄張貼人的IP地址。
3、認真落實“先審後發”的信息預審制度,把有(yǒu) 害信息扼殺在萌芽狀态。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
交互式欄目中(zhōng)出現了有(yǒu)害信息時,應按以下工(gōng)作(zuò)要求處理(lǐ):
1、對有(yǒu)害信息進行備份。
1> 對有(yǒu)害信息進行拷屏;
2> 把有(yǒu)害信息的文(wén)字部分(fēn)拷貝到word中(zhōng);
3> 記錄張貼人、張貼人IP、張貼時間等;
2、删除有(yǒu)害信息;
3、報告。
1> 要在15分(fēn)鍾之内将有(yǒu)害信息的有(yǒu)關内容通過電(diàn)話和傳 真兩種方式通報市公(gōng)安(ān)局網監處;
2> 及時報告本單位領導;
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(四)交友網站管理(lǐ)要求
1、注冊信息進行審查;
2、日志(zhì)審計;
3、交友站點中(zhōng)往往存在多(duō)種信息服務(wù)方式, 例如:聊天室、BBS、短信等。應分(fēn)别針對不 同的服務(wù)欄目加強管理(lǐ)。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(五)互聯網短信安(ān)全管理(lǐ)要求
1、短信息平台服務(wù)商(shāng)必須按照國(guó)家的法律、法規建 立短信息關鍵字匹配過濾系統,删除、過濾和封 堵有(yǒu)害短信息;
2、短信息平台服務(wù)商(shāng)必須采取有(yǒu)效的技(jì )術安(ān)全措施,
建立限制群發和變相群發的系統,
3、對所發的短信息的日志(zhì)進行安(ān)全審計。
4、由公(gōng)安(ān)機關要督促短信息服務(wù)商(shāng)必須建立健全安(ān) 全保護管理(lǐ)制度和落實安(ān)全保護技(jì )術措施,當出 現對社會穩定造成一定影響的大量有(yǒu)害信息時, 短信息服務(wù)商(shāng)必須配合公(gōng)安(ān)機關處理(lǐ)有(yǒu)關問題。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(六)垃圾及有(yǒu)害電(diàn)子郵件管理(lǐ)要求
1、關閉郵件系統的匿名(míng)轉發服務(wù);
網絡安(ān)全管理(lǐ)要求
關閉郵件系統的匿名(míng)轉信服務(wù)
Windows 2000 server版的用(yòng)戶可(kě)按以下步驟操作(zuò):
1、打開電(diàn)腦的 “開始”--> “設置” --> “控制 面闆” --> “管理(lǐ)工(gōng)具(jù)” --> “Internet服務(wù)管理(lǐ) 器”
2、展開左邊的樹形結構,選中(zhōng)其中(zhōng)的“默認SMTP虛
拟服務(wù)”項。 3、按鼠标右鍵,在彈出菜單中(zhōng)選中(zhōng)“屬性”項
4、在彈出窗口中(zhōng)選“訪問”頁(yè),按“身份驗證”按 鈕,取消“匿名(míng)訪問”複選框,按“确定”即可(kě)禁 止匿名(míng)轉信。
網絡安(ān)全管理(lǐ)要求
禁止郵件服務(wù)步驟:
1、打開電(diàn)腦的 “開始” --> “設置” --> “控制
面闆” --> “管理(lǐ)工(gōng)具(jù)” --> “計算機管理(lǐ)”。
2、打開左邊“服務(wù)和應用(yòng)程序”,選其中(zhōng)的“服務(wù)” 項。
3、如果在右邊發現“Simple Mail Transport
Protocol (SMTP)”,則表明系統安(ān)裝(zhuāng)有(yǒu)郵件服務(wù)。 4、可(kě)以直接雙擊該項,在彈出窗口中(zhōng)将“啓動類型”
改成“禁用(yòng)”,按“确定”即禁止郵件服務(wù)。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(六)垃圾及有(yǒu)害電(diàn)子郵件管理(lǐ)要求
1、關閉郵件系統的匿名(míng)轉發服務(wù)(open relay); 2、要求所有(yǒu)郵件系統具(jù)有(yǒu)本地郵件服務(wù)器發送電(diàn)子 郵件帳号核實功能(néng) 、具(jù)有(yǒu)拒絕接受非本地郵件系
統以本地用(yòng)戶名(míng)義自發自收郵件功能(néng);
3、過濾
過濾技(jì )術是目前反垃圾郵件用(yòng)到的主要技(jì )術。 電(diàn)子郵件通常具(jù)有(yǒu)幾個重要特征,标準電(diàn)子郵件 地址、主題、信件内容等相關字段,這些特征是 過濾技(jì )術判斷、分(fēn)析、統計和提取的依據。
網絡安(ān)全管理(lǐ)要求
管 理(lǐ) 要 求
(七)下載服務(wù)管理(lǐ)要求
1 關閉匿名(míng)上傳FTP;
2 對下載内容進行審查;
(八)其他(tā)
參見相關法律法規。
四、安(ān)全服務(wù)及産(chǎn)品的管理(lǐ)要求
安(ān)全服務(wù)及産(chǎn)品的管理(lǐ)要求
用(yòng) 語 含 義
網絡安(ān)全檢測産(chǎn)品:是指掃描、探測計算
機信息系統漏洞的安(ān)全專用(yòng)産(chǎn)品。
計算機信息系統安(ān)全服務(wù):是指從事計算 機信息系統(包括計算機機房)安(ān)全設計、 建設、檢測、維護、監理(lǐ)等業務(wù)。
安(ān)全服務(wù)及産(chǎn)品的管理(lǐ)要求
安(ān)全服務(wù)資質(zhì)申請
《廣東省計算機信息系統安(ān)全保護管理(lǐ)規定》申請安(ān)全服務(wù)資質(zhì)的機構或單位,應 具(jù)備相應的條件,持相關資料向地級以上的 市公(gōng)安(ān)機關申請。
安(ān)全服務(wù)及産(chǎn)品的管理(lǐ)要求
對重點安(ān)全保護單位的要求
--- 安(ān)全管理(lǐ)責任人必須經培訓持證上崗
--- 計算機機房安(ān)全保障體(tǐ)系的設計、建 設和檢測應由有(yǒu)安(ān)全服務(wù)資質(zhì)的機構承擔。
--- 計算機信息系統及計算機機房須經具(jù) 有(yǒu)安(ān)全服務(wù)資質(zhì)的機構檢測合格後,方可(kě) 投入使用(yòng)
安(ān)全服務(wù)及産(chǎn)品的管理(lǐ)要求
對安(ān)全專用(yòng)産(chǎn)品的管理(lǐ)要求
公(gōng)安(ān)部《計算機信息系統安(ān)全專用(yòng)産(chǎn)品檢測和銷售許可(kě)證管理(lǐ)辦(bàn)法》
第三條 中(zhōng)華人民(mín)共和國(guó)境内的安(ān)全專用(yòng)産(chǎn)品進入市場銷售, 實行銷 售許可(kě)證制度。
安(ān)全專用(yòng)産(chǎn)品的生産(chǎn)者在其産(chǎn)品進入市場銷售之前, 必須申領《計 算機信息系統安(ān)全專用(yòng)産(chǎn)品銷售許可(kě)證》(以下簡稱銷售許可(kě) 證)。
第四條 安(ān)全專用(yòng)産(chǎn)品的生産(chǎn)者申領銷售許可(kě)證, 必須對其産(chǎn)品進行安(ān)全功能(néng)檢測和認定。
第五條 公(gōng)安(ān)部計算機管理(lǐ)監察部門負責銷售許可(kě)證的審批頒發 工(gōng)作(zuò)和安(ān)全專用(yòng)産(chǎn)品安(ān)全功能(néng)檢測機構(以下簡稱檢測機構) 的審批工(gōng)作(zuò)。
安(ān)全服務(wù)及産(chǎn)品的管理(lǐ)要求
對安(ān)全專用(yòng)産(chǎn)品的管理(lǐ)要求
——網絡安(ān)全檢測産(chǎn)品的購(gòu)買使用(yòng)單位:
1)應當持單位的證明文(wén)件到所在地地級以上市公(gōng)安(ān)機關公(gōng)共網 絡安(ān)全監察部門辦(bàn)理(lǐ)備案手續,公(gōng)安(ān)機關應當在15日内予以 辦(bàn)理(lǐ),發給《網絡安(ān)全檢測産(chǎn)品購(gòu)買備案表》。
2)用(yòng)戶應當憑《網絡安(ān)全檢測産(chǎn)品購(gòu)買備案表》購(gòu)買網絡安(ān)全檢測産(chǎn)品。
3)投入使用(yòng)後,應當在10日内将本單位的《用(yòng)戶IP地址配置備 案表》報送所在地地級以上市公(gōng)安(ān)機關公(gōng)共網絡安(ān)全監察部 門備案。
4)安(ān)全檢測産(chǎn)品隻限于單位購(gòu)買使用(yòng)。購(gòu)買網絡安(ān)全檢測産(chǎn)品 的單位應當指定專人管理(lǐ)和使用(yòng),不得出租、出借、轉讓、 贈送,不得擅自用(yòng)于檢測他(tā)人計算機信息系統。
安(ān)全服務(wù)及産(chǎn)品的管理(lǐ)要求
對安(ān)全服務(wù)機構的管理(lǐ)
《廣東省計算機信息系統安(ān)全保護管理(lǐ)規定實施細則》規定
安(ān)全服務(wù)機構的安(ān)全服務(wù)資質(zhì)實行:
----服務(wù)資質(zhì)的申請制
----分(fēn)級管理(lǐ)制
(分(fēn)四級,不同等級對應承擔不同工(gōng)程量資格)
----服務(wù)資質(zhì)等級的條件劃分(fēn)
----服務(wù)資質(zhì)的年審制
----安(ān)全審驗
五、信息系統安(ān)全等級保護的基本技(jì )術要求
信息系統安(ān)全等級保護的基本技(jì )術要求
安(ān)全保護技(jì )術要求及标準
GB 17859-1999 《計算機信息系統安(ān)全保護等級劃分(fēn)準則》
GB/T 387-2002 《計算機信息系統安(ān)全等級保護網絡技(jì )術要求》
GB/T 388-2002 《計算機信息系統安(ān)全等級保護操作(zuò)系統技(jì )術要求》
GB/T 389-2002 《計算機信息系統安(ān)全等級保護數據庫管理(lǐ)技(jì )術要求》
GB/T 390-2002 《計算機信息系統安(ān)全等級保護通用(yòng)技(jì )術要求》
GB/T 391-2002 《計算機信息系統安(ān)全等級保護管理(lǐ)要求》
GA 371-2001 《計算機信息系統實體(tǐ)安(ān)全技(jì )術要求》
第一部分(fēn):局域計算環境
信息系統安(ān)全等級保護的基本技(jì )術要求
需要實施安(ān)全等級保護的信息系統
1 黨政系統(黨委、政府);
2 金融系統(銀行、保險、證券)及财稅系統(财政、稅務(wù)、 工(gōng)商(shāng));
3 經貿系統(商(shāng)業貿易、海關);
4 電(diàn)信系統(郵電(diàn)、電(diàn)信、廣播、電(diàn)視);
5 能(néng)源系統(電(diàn)力、熱力、燃氣、煤炭、 油料);
6 交通運輸系統(航空、航天、鐵路、公(gōng)路、水運、海運);
信息系統安(ān)全等級保護的基本技(jì )術要求
需要實施安(ān)全等級保護的信息系統
7 供水系統(水利及水源供給);
8 社會應急服務(wù)系統(醫(yī)療、消防、緊急救援);
9 教育科(kē)研系統(教育、科(kē)研、尖端科(kē)技(jì ));
10 國(guó)防建設系統;
11 國(guó)有(yǒu)大中(zhōng)型企業系統;
12 互聯單位、接入單位、重點網站及向公(gōng)衆提供
上網服務(wù)場所的計算機信息系統。
信息系統安(ān)全等級保護的基本技(jì )術要求
計算機安(ān)全保護等級劃分(fēn)
–第一級為(wèi)用(yòng)戶自主保護級。它的安(ān)全保護機制使用(yòng) 戶具(jù)備自主安(ān)全保護的能(néng)力,保護用(yòng)戶的信息免受 非法的讀寫破壞。
–第二級為(wèi)系統審計保護級。除具(jù)備第一級所有(yǒu)的安(ān) 全保護功能(néng)外,要求創建和維護訪問的審計跟蹤記 錄,使所有(yǒu)的用(yòng)戶對自己的行為(wèi)的合法性負責。
–第三級為(wèi)安(ān)全标記保護級。除繼承前一個級别的安(ān) 全功能(néng)外,還要求以訪問對象标記的安(ān)全級别限制 訪問者的訪問權限,實現對訪問對象的強制保護。
信息系統安(ān)全等級保護的基本技(jì )術要求
計算機安(ān)全保護等級劃分(fēn)
–第四級為(wèi)結構化保護級。在繼承前面安(ān)全級别安(ān)全 功能(néng)的基礎上,将安(ān)全保護機制劃分(fēn)為(wèi)關鍵部分(fēn)和 非關鍵部分(fēn),對關鍵部分(fēn)直接控制訪問者對訪問對 象的存取,從而加強系統的抗滲透能(néng)力。
–第五級為(wèi)訪問驗證保護級。這一個級别特别增設了 訪問認證功能(néng),負責仲裁訪問者對訪問對象的所有(yǒu) 訪問活動。
六、中(zhōng)華人民(mín)共和國(guó)電(diàn)子簽名(míng)法
《中(zhōng)華人民(mín)共和國(guó)電(diàn)子簽名(míng)法》已由中(zhōng)華人民(mín)共和國(guó)第十屆全國(guó)人民(mín) 代表大會常務(wù)委員會第十一次會議于2004年8月28日通過,現予公(gōng)布,自 2005年4月1日起施行
第二條本法所稱電(diàn)子簽名(míng),是指數據電(diàn)文(wén)中(zhōng)以電(diàn)子形式所含、所附 用(yòng)于識别簽名(míng)人身份并表明簽名(míng)人認可(kě)其中(zhōng)内容的數據。
本法所稱數據電(diàn)文(wén),是指以電(diàn)子、光學(xué)、磁或者類似手段生成、發送、 接收或者儲存的信息。
第三條民(mín)事活動中(zhōng)的合同或者其他(tā)文(wén)件、單證等文(wén)書,當事人可(kě)以約 定使用(yòng)或者不使用(yòng)電(diàn)子簽名(míng)、數據電(diàn)文(wén)。
當事人約定使用(yòng)電(diàn)子簽名(míng)、數據電(diàn)文(wén)的文(wén)書,不得僅因為(wèi)其采用(yòng)電(diàn)子簽 名(míng)、數據電(diàn)文(wén)的形式而否定其法律效力。
前款規定不适用(yòng)下列文(wén)書:
(一)涉及婚姻、收養、繼承等人身關系的;
(二)涉及土地、房屋等不動産(chǎn)權益轉讓的;
(三)涉及停止供水、供熱、供氣、供電(diàn)等公(gōng)用(yòng)事業服務(wù)的;
(四)法律、行政法規規定的不适用(yòng)電(diàn)子文(wén)書的其他(tā)情形。
第四條能(néng)夠有(yǒu)形地表現所載内容,并可(kě)以随時調取查用(yòng)的數據電(diàn)文(wén),視為(wèi)符合法律、法規要求的書面 形式。
第八條審查數據電(diàn)文(wén)作(zuò)為(wèi)證據的真實性,應當考慮以下因素:
(一)生成、儲存或者傳遞數據電(diàn)文(wén)方法的可(kě)靠性;
(二)保持内容完整性方法的可(kě)靠性;
(三)用(yòng)以鑒别發件人方法的可(kě)靠性;
(四)其他(tā)相關因素。
第十三條電(diàn)子簽名(míng)同時符合下列條件的,視為(wèi)可(kě)靠的電(diàn)子簽名(míng):
(一)電(diàn)子簽名(míng)制作(zuò)數據用(yòng)于電(diàn)子簽名(míng)時,屬于電(diàn)子簽名(míng)人專有(yǒu);
(二)簽署時電(diàn)子簽名(míng)制作(zuò)數據僅由電(diàn)子簽名(míng)人控制;
(三)簽署後對電(diàn)子簽名(míng)的任何改動能(néng)夠被發現;
(四)簽署後對數據電(diàn)文(wén)内容和形式的任何改動能(néng)夠被發現。
當事人也可(kě)以選擇使用(yòng)符合其約定的可(kě)靠條件的電(diàn)子簽名(míng)。
第十四條可(kě)靠的電(diàn)子簽名(míng)與手寫簽名(míng)或者蓋章具(jù)有(yǒu)同等的法律效力。
第二十一條電(diàn)子認證服務(wù)提供者簽發的電(diàn)子簽
名(míng)認證證書應當準确無誤,并應當載明下列内容:
(一)電(diàn)子認證服務(wù)提供者名(míng)稱;
(二)證書持有(yǒu)人名(míng)稱;
(三)證書序列号;
(四)證書有(yǒu)效期;
(五)證書持有(yǒu)人的電(diàn)子簽名(míng)驗證數據;
(六)電(diàn)子認證服務(wù)提供者的電(diàn)子簽名(míng);
(七)國(guó)務(wù)院信息産(chǎn)業主管部門規定的其他(tā)内容。
結 束 語
網絡安(ān)全工(gōng)作(zuò)任重道遠(yuǎn),在日常 工(gōng)作(zuò)中(zhōng),隻有(yǒu)認真貫徹執行各項法 律、法規和政策,堅持以預防為(wèi)主,以管理(lǐ)為(wèi)輔,打防相結合的工(gōng)作(zuò)原則,才能(néng)始終與安(ān)全同行。