信息安全标准与法律法规第二版 绪论1
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
情报和知识。
对于现代企业:信息是一种资产
信息是有生命周期的,
信息安全概述
2、信息安全
信息安全是一个广泛而抽象的概念,不同领域不同方面 对其概念的阐述都会有所不同。建立在网络基础之上的 现代信息系统,其安全定义较为明确,那就是:保护信息 系统的硬件、软件及相关数据,使之不因为偶然或者恶 意侵犯而遭受破坏、更改及泄露,保证信息系统能够连 续、可靠、正常地运行。
将犯罪划分为 十大类,它们是: C1)危害国家安全罪: 2)危害公共安全罪; 3)破坏社会主义市场经济秩序罪: C4)侵犯公民人身权利、民主权利罪; 5)侵犯财产罪; (6)妨害社会管理秩序罪: (7)危害国防利益罪: 8)贪污贿赂罪: 9)渎职罪: (10)军人违反职责罪
计算机犯罪的概念
罪的本质特性。 (2)犯罪是触犯刑法的行为,即具有刑事违法性。 (3)犯罪是应当受刑罚处罚的行为,即具有应受刑罚处罚
性。
3.犯罪构成要件
(1)犯罪客体,即指我国刑法所保护的而被犯罪侵犯的社会主义社 会关系。
2)犯罪客观方面,即指我国刑法规定的犯罪活动的客观外在表现, 包括危害行为、危害结果、危害行为与危害结果之间的因果关系 等,其中危害行为是一切犯罪不可缺少的要件。
故意制作、传播计算机病毒等破坏性程序,影响计算机 系统正常运行,后里严重的,照第一款的规定处罚.
第287条利用计算机实施金融诈骗、盗窃、贪污、擂用 公款、的国岁移密或者其 犯罪的,依照本法有关规定定 罪处罚。
以上三条分别对应非法侵入计算机信息系统罪、破 坏计算机信息系统罪和利用计算机犯 罪等三种计算 机犯罪的表现形式。其中第285、286条采用列举式, 是1997年新刑法新增加 的罪名(注:第285条中的第 二款、第三款为2009年2月28日十一届全国人大常 委会第七次 会议表决通过刑法修正案(七)增加的内 容),并规定了相应的刑罚。而第287条是对以计算 机 为犯罪工具的原则性规定,是指那些以计算机为 犯罪工具,通过计算机操作而获取非法利益 或机密 的犯罪行为,其刑罚由其他的相关条款规定。
(3)犯罪主体,即指达到法定刑事责任年龄、具有刑事责任能力、 实施了犯罪行为的自
然人和法律规定的犯罪单位。 (4)犯罪主观方面,即指犯罪主体对自己实施的犯罪行为造成危害
社会结果所持的 心理态度,如故意、过失。 据刑法规定,犯罪构成应具备以下四个要件:
4犯罪的分类 犯罪有故意犯罪和过失犯罪两种类型,另外,刑法分则根据犯罪的性质又
第286条违反国家规定,对计算机信息系统功能进行删 除、修改、增加、干扰,造成 计算机信息系统不能正常 运行,后果严重的,处五年以下有期徒刑或者拘役,后 果特别严觅的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传 输的数据和应用程序进行删除·修改、增加的操作,后果 严重的,依照前款的规定处罚。
保密性
保密性是指信息不泄露给非授权的个人和实体, 或供其使用的特性。军用信息的安全尤其注重 信息的保密性(相比较而言,商用信息则更注重 于信息的完整性)。
可控性
可控性是指授权机构可以随时控制信息的机密 性。美国政府所提倡的“密钥托管”、“密
钥恢复”等措施就是实现信息安全可控性的例 子。
信息安全的法律问题
1.犯罪的概念
《中华人民共和国刑法》第二章第13条对犯罪 做了如下的定义:一切危害国家主权、领土完整 和安全,分裂国家,颠覆人民民主专政的政权 和推翻社会主义制度,破坏社会秩序和经济秩 序,侵犯国有财产或者劳动群众集体所有的财 产,侵犯公民私人所有的财产,侵犯公民的人 身权利、民主权利和其他权利,以及其他危害 社会的行为,依照法律应当受刑罚处罚的,都 属于犯罪。
可靠性
可靠性必指信息以用户认可的质量连续服务于用户 的特性(包括信息的迅速、 准确和连续地转移等)。 “信息安全”的内在含义就是指采取一切可能的方 法和手段,来千方百计保住信息的上述“五性”的 安全。
保障信息安全三大支柱
1、信息安全技术
各种信息安全技术的应用主要在技术层面上为信息安全 提供具体保障。目前主要采用的信息安全技术有:数据加 密技术、防火墙技术、网络入侵检测技术、网络安全扫 描技术、黑客诱骗技术、病毒诊断与防治技术等。
信息安全基本属性
完整性
完整性是指信息在存储或传输过程中保持不被 修改、不被破坏、不被插入、不延迟、不乱序 和不丢失的特性。对于军用信息来讲,完整性 被破坏可能就意味着延误战机、自相残杀或闲 置战斗力。破坏信息的完整性是对信息安全发 动攻击的最终目的。
可用性
可用性是指信息可被合法用户访问并能按要求 顺序使用的特性,即在需要时就可以取用所需 的信息。对可用性的攻击就是阻断信息的可用 性,例如破坏网络和有关系统的正常运行就属 于这种类型的攻击。
(4)末经计算机软件著作权人授权,复制、发 行他人的软件作品,或制作、传播计算机 病毒, 或剂作传播有害信息等。
案例分析
1、民事问题还是刑事问题 2、犯罪的种类 3、犯罪方法
3、信息安全标准 建立统-的信息安全标准,其目的是为信息安全产品的制
造、安全的信息系统的构建、企业或组织安全策略的制 定、安全管理体系的构建以及安全工作评估等提供统一 的科学依据。 目前信息安全标准大致可分为信息安全产品标准、信息 安全技术标准和信息安全管理标准三大类,国际标准的 制定主要侧重于信息安全管理,而国内标准的制定则主 要侧重于信息安全产品和信息安全技术。随着信息技术 的不断发展和信息安全形势的变化,不但信息安全标准 的数量在不断增加,而且许多标准的版本也在不断更新。
计算机犯罪(Computer Crime)是指行为人 通过计算机操作所实施的危害计算机信息系 统 (包括内存致据及程序)安全以及其他严重危 害社会的并应当处以刑罚的行为。计算机犯 罪 产生于20世纪60年代,随着计算机技术的发展 和计算机应用的日益普及,到21世纪初, 计算 机犯罪已呈猖獗之势,并越来越受到各国的重 视。
从大的犯罪分类来看,计算机犯罪属于妨害社会管 理秩序罪中的扰乱公共秩序罪。
7.计算机犯罪的实质特征 从犯罪的实质含义上看,刑法第285、286条所规定
的犯罪可以称为狭义的计算机犯罪或 单纯的计算机 犯罪,加上第287条则称为广义的计算机犯罪。
单纯的计算机犯罪区别于其他犯罪具有以下三个实 质特征:
值得一提的是尽管信息安全技术的应用在一定程度上对 信息的安全起了很好的保护作用,但它并不是万能的, 由于疏于管理等原因而引起的安全事故任然不断发生。
2、信息安全法律法规
国家、地方以及相关部门针对信息安全的需求,制 定与信息安全相关的法律法规,从法律层面上来规 范人们的行为,使信息安全工作有法可依,使相关 违法犯罪能得到处罚,促使组织和个人依法制作、 发布、传播和使用信息,从而达到保障信息安全的 目的。目前,我国已建立起了基本的信息安全法律 法规体系,但随着信息安全形势的发展,信息安全 立法的任务还非常艰巨,许多相关法规还有待建立 或进一步完善 。
6。刑法中关于计算机犯罪的规定
《中华人民共和国刑法》中关于计算机犯罪的规定有三个条款: 第285条。违反国家规定,侵入国家事务、国防建设、尖端科学技
术领域的计算机信息 系统的,处三年以下有期徒刑或者拘役。 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其
他技术手段,获取该计 算机信息系统中存储、处理或者传输的数 据,或者对该计算机信息系统实施非法控制,情节 严重的,处三 年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的, 处三年以上 七年以下有期徒刑,并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或 者明知他人实施侵入、 非法控制计算机信息系统的违法犯罪行为 而为其提供程序、工具,情节严重的,依照前款的 规定处罚。
绪论
问题?
1、什么是信息安全? 2、安全的信息与信息系统有什么特征? 3、站在国家的角度怎样保证信息安全? (法律、技术、标准规则)
Leabharlann Baidu
1、信息
安全管理指南对信息的解释是:信息是通过在数据上 施加某些约定而赋子这些数据的特殊含义。一般意义上 的信息概念是指事物运动的状态和方式,是事物的种属 性,在引入必要的约束条件后可以形成特定的概念体系。 通常情况下,我们可以把信息理解为消息、信号、数据、
(1)计算机本身的不可或缺性和不可替代性。 (2) 明确了计算机犯罪侵害的客体(即计算机信
息系统)。
(3)在某种意义上,计算机作为犯罪对象出现的 特性。
8计算机犯罪的常用力法
计算机犯罪常用的方法主要有: (1)以合法手段为掩护,查询信息系统中不允许
访问的文件,或者侵入重要领域的计算 信息系统。 (2)利用技术手段(包括利用网页与邮件、破解账
但是,刑法又规定下列两种情况不认为是犯罪:
(1)情节显著轻微且危害不大的,不认为是犯罪 (刑法第13条)。
(2)行为在客观上虽然造成了损害结果,但是不 是出于故意或者过失,而是由于不能
抗拒或者不能预见的原因所引起的,不是犯罪 (刑法第16条)。
2.犯罪的基本特征
犯罪具有以下三个基本特征: (1)犯罪是危害社会的行为,即具有社会危害性,这是犯
号和密码、设置木马程序、使用病毒 程序、利用系 统漏洞、程序缺陷和网络缺陷等),非法侵入重要 的计算机信息系统,破坏或窃 取计算机信息系统中 的重要数据或程序文件,甚至删除数据文件或者破 坏系统功能,直至使 整个统处于瘫痪。
(31在数据传输或者输入过程中,对数据的内 容进行修改,干扰计算机信&系统。
对于现代企业:信息是一种资产
信息是有生命周期的,
信息安全概述
2、信息安全
信息安全是一个广泛而抽象的概念,不同领域不同方面 对其概念的阐述都会有所不同。建立在网络基础之上的 现代信息系统,其安全定义较为明确,那就是:保护信息 系统的硬件、软件及相关数据,使之不因为偶然或者恶 意侵犯而遭受破坏、更改及泄露,保证信息系统能够连 续、可靠、正常地运行。
将犯罪划分为 十大类,它们是: C1)危害国家安全罪: 2)危害公共安全罪; 3)破坏社会主义市场经济秩序罪: C4)侵犯公民人身权利、民主权利罪; 5)侵犯财产罪; (6)妨害社会管理秩序罪: (7)危害国防利益罪: 8)贪污贿赂罪: 9)渎职罪: (10)军人违反职责罪
计算机犯罪的概念
罪的本质特性。 (2)犯罪是触犯刑法的行为,即具有刑事违法性。 (3)犯罪是应当受刑罚处罚的行为,即具有应受刑罚处罚
性。
3.犯罪构成要件
(1)犯罪客体,即指我国刑法所保护的而被犯罪侵犯的社会主义社 会关系。
2)犯罪客观方面,即指我国刑法规定的犯罪活动的客观外在表现, 包括危害行为、危害结果、危害行为与危害结果之间的因果关系 等,其中危害行为是一切犯罪不可缺少的要件。
故意制作、传播计算机病毒等破坏性程序,影响计算机 系统正常运行,后里严重的,照第一款的规定处罚.
第287条利用计算机实施金融诈骗、盗窃、贪污、擂用 公款、的国岁移密或者其 犯罪的,依照本法有关规定定 罪处罚。
以上三条分别对应非法侵入计算机信息系统罪、破 坏计算机信息系统罪和利用计算机犯 罪等三种计算 机犯罪的表现形式。其中第285、286条采用列举式, 是1997年新刑法新增加 的罪名(注:第285条中的第 二款、第三款为2009年2月28日十一届全国人大常 委会第七次 会议表决通过刑法修正案(七)增加的内 容),并规定了相应的刑罚。而第287条是对以计算 机 为犯罪工具的原则性规定,是指那些以计算机为 犯罪工具,通过计算机操作而获取非法利益 或机密 的犯罪行为,其刑罚由其他的相关条款规定。
(3)犯罪主体,即指达到法定刑事责任年龄、具有刑事责任能力、 实施了犯罪行为的自
然人和法律规定的犯罪单位。 (4)犯罪主观方面,即指犯罪主体对自己实施的犯罪行为造成危害
社会结果所持的 心理态度,如故意、过失。 据刑法规定,犯罪构成应具备以下四个要件:
4犯罪的分类 犯罪有故意犯罪和过失犯罪两种类型,另外,刑法分则根据犯罪的性质又
第286条违反国家规定,对计算机信息系统功能进行删 除、修改、增加、干扰,造成 计算机信息系统不能正常 运行,后果严重的,处五年以下有期徒刑或者拘役,后 果特别严觅的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传 输的数据和应用程序进行删除·修改、增加的操作,后果 严重的,依照前款的规定处罚。
保密性
保密性是指信息不泄露给非授权的个人和实体, 或供其使用的特性。军用信息的安全尤其注重 信息的保密性(相比较而言,商用信息则更注重 于信息的完整性)。
可控性
可控性是指授权机构可以随时控制信息的机密 性。美国政府所提倡的“密钥托管”、“密
钥恢复”等措施就是实现信息安全可控性的例 子。
信息安全的法律问题
1.犯罪的概念
《中华人民共和国刑法》第二章第13条对犯罪 做了如下的定义:一切危害国家主权、领土完整 和安全,分裂国家,颠覆人民民主专政的政权 和推翻社会主义制度,破坏社会秩序和经济秩 序,侵犯国有财产或者劳动群众集体所有的财 产,侵犯公民私人所有的财产,侵犯公民的人 身权利、民主权利和其他权利,以及其他危害 社会的行为,依照法律应当受刑罚处罚的,都 属于犯罪。
可靠性
可靠性必指信息以用户认可的质量连续服务于用户 的特性(包括信息的迅速、 准确和连续地转移等)。 “信息安全”的内在含义就是指采取一切可能的方 法和手段,来千方百计保住信息的上述“五性”的 安全。
保障信息安全三大支柱
1、信息安全技术
各种信息安全技术的应用主要在技术层面上为信息安全 提供具体保障。目前主要采用的信息安全技术有:数据加 密技术、防火墙技术、网络入侵检测技术、网络安全扫 描技术、黑客诱骗技术、病毒诊断与防治技术等。
信息安全基本属性
完整性
完整性是指信息在存储或传输过程中保持不被 修改、不被破坏、不被插入、不延迟、不乱序 和不丢失的特性。对于军用信息来讲,完整性 被破坏可能就意味着延误战机、自相残杀或闲 置战斗力。破坏信息的完整性是对信息安全发 动攻击的最终目的。
可用性
可用性是指信息可被合法用户访问并能按要求 顺序使用的特性,即在需要时就可以取用所需 的信息。对可用性的攻击就是阻断信息的可用 性,例如破坏网络和有关系统的正常运行就属 于这种类型的攻击。
(4)末经计算机软件著作权人授权,复制、发 行他人的软件作品,或制作、传播计算机 病毒, 或剂作传播有害信息等。
案例分析
1、民事问题还是刑事问题 2、犯罪的种类 3、犯罪方法
3、信息安全标准 建立统-的信息安全标准,其目的是为信息安全产品的制
造、安全的信息系统的构建、企业或组织安全策略的制 定、安全管理体系的构建以及安全工作评估等提供统一 的科学依据。 目前信息安全标准大致可分为信息安全产品标准、信息 安全技术标准和信息安全管理标准三大类,国际标准的 制定主要侧重于信息安全管理,而国内标准的制定则主 要侧重于信息安全产品和信息安全技术。随着信息技术 的不断发展和信息安全形势的变化,不但信息安全标准 的数量在不断增加,而且许多标准的版本也在不断更新。
计算机犯罪(Computer Crime)是指行为人 通过计算机操作所实施的危害计算机信息系 统 (包括内存致据及程序)安全以及其他严重危 害社会的并应当处以刑罚的行为。计算机犯 罪 产生于20世纪60年代,随着计算机技术的发展 和计算机应用的日益普及,到21世纪初, 计算 机犯罪已呈猖獗之势,并越来越受到各国的重 视。
从大的犯罪分类来看,计算机犯罪属于妨害社会管 理秩序罪中的扰乱公共秩序罪。
7.计算机犯罪的实质特征 从犯罪的实质含义上看,刑法第285、286条所规定
的犯罪可以称为狭义的计算机犯罪或 单纯的计算机 犯罪,加上第287条则称为广义的计算机犯罪。
单纯的计算机犯罪区别于其他犯罪具有以下三个实 质特征:
值得一提的是尽管信息安全技术的应用在一定程度上对 信息的安全起了很好的保护作用,但它并不是万能的, 由于疏于管理等原因而引起的安全事故任然不断发生。
2、信息安全法律法规
国家、地方以及相关部门针对信息安全的需求,制 定与信息安全相关的法律法规,从法律层面上来规 范人们的行为,使信息安全工作有法可依,使相关 违法犯罪能得到处罚,促使组织和个人依法制作、 发布、传播和使用信息,从而达到保障信息安全的 目的。目前,我国已建立起了基本的信息安全法律 法规体系,但随着信息安全形势的发展,信息安全 立法的任务还非常艰巨,许多相关法规还有待建立 或进一步完善 。
6。刑法中关于计算机犯罪的规定
《中华人民共和国刑法》中关于计算机犯罪的规定有三个条款: 第285条。违反国家规定,侵入国家事务、国防建设、尖端科学技
术领域的计算机信息 系统的,处三年以下有期徒刑或者拘役。 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其
他技术手段,获取该计 算机信息系统中存储、处理或者传输的数 据,或者对该计算机信息系统实施非法控制,情节 严重的,处三 年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的, 处三年以上 七年以下有期徒刑,并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或 者明知他人实施侵入、 非法控制计算机信息系统的违法犯罪行为 而为其提供程序、工具,情节严重的,依照前款的 规定处罚。
绪论
问题?
1、什么是信息安全? 2、安全的信息与信息系统有什么特征? 3、站在国家的角度怎样保证信息安全? (法律、技术、标准规则)
Leabharlann Baidu
1、信息
安全管理指南对信息的解释是:信息是通过在数据上 施加某些约定而赋子这些数据的特殊含义。一般意义上 的信息概念是指事物运动的状态和方式,是事物的种属 性,在引入必要的约束条件后可以形成特定的概念体系。 通常情况下,我们可以把信息理解为消息、信号、数据、
(1)计算机本身的不可或缺性和不可替代性。 (2) 明确了计算机犯罪侵害的客体(即计算机信
息系统)。
(3)在某种意义上,计算机作为犯罪对象出现的 特性。
8计算机犯罪的常用力法
计算机犯罪常用的方法主要有: (1)以合法手段为掩护,查询信息系统中不允许
访问的文件,或者侵入重要领域的计算 信息系统。 (2)利用技术手段(包括利用网页与邮件、破解账
但是,刑法又规定下列两种情况不认为是犯罪:
(1)情节显著轻微且危害不大的,不认为是犯罪 (刑法第13条)。
(2)行为在客观上虽然造成了损害结果,但是不 是出于故意或者过失,而是由于不能
抗拒或者不能预见的原因所引起的,不是犯罪 (刑法第16条)。
2.犯罪的基本特征
犯罪具有以下三个基本特征: (1)犯罪是危害社会的行为,即具有社会危害性,这是犯
号和密码、设置木马程序、使用病毒 程序、利用系 统漏洞、程序缺陷和网络缺陷等),非法侵入重要 的计算机信息系统,破坏或窃 取计算机信息系统中 的重要数据或程序文件,甚至删除数据文件或者破 坏系统功能,直至使 整个统处于瘫痪。
(31在数据传输或者输入过程中,对数据的内 容进行修改,干扰计算机信&系统。