信息安全法规论文.doc

题 目 信息产业法律法规 授课老师 学生姓名 学 号 专 业 电子信息工程教学单位 德州学院 完成时间 2013年11月16日一、摘要2二、引言2三、网络信息安全的脆弱性 2 3.1互联网的开放性，TCP/IP的通用性3 3.2互联网安全脆弱性的根本原因3 3.3互联网威胁的普遍性3 3.4管理方面的困难性4四、信息产业法律法规的重要性4五、信息安全保护规范化与法制化 55.1 国外面对网络威胁采取的主要对策5 5.2 我国面对网络威胁采取的主要对策6六、如何逐步消除网络安全隐患6 6.1建立网络安全长效机制的重要手段6 6.2 引发网络安全事件的原因7 6.3保障信息安全任重道远 7七、案例及其分析7八、结论10参考文献10 信息产业法律法规一、摘要信息技术是当今世界经济社会发展的重要驱动力，电子信息产业是国民经济的战略性、基础性和先导性支柱产业，对于促进社会就业、拉动经济增长、调整产业结构、转变发展方式和维护国家安全具有十分重要的作用。为应对国际金融危机的影响，落实党中央、国务院保增长、扩内需、调结构的总体要求，确保电子信息产业稳定发展，信息产业的安全保障已迫在眉睫，面对高速发展的计算机技术信息产业随之崛起，不仅带来了经济发展的动力更增添了法律法规的压力，如何制定法律法规来确保信息产业安全快速发展便成为当前相当棘手的问题。 关键字：计算机信息系统 计算机信息网络 计算机病毒防治 信息系统安全 安全法规 密码管理 安全保护 联网管理 互联网络二、引言随着信息产业的迅速发展，在计算机上完成的工作已由基于单机的文件处理、自动化办公，发展到今天的企业内部网、企业外部网和国际互联网的世界范围内的信息共享和业务处理，也就是我们常常说的局域网、城域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时，也使人类面临着信息安全的巨大挑战。计算机网络操作的规范化以及信息产业的法律法规的健全不得不提上议事日程。由于 网络信息安全的脆弱性 使得一些不法分子钻了空档，利用计算机网络的弱点，强大侵略性的病毒以及信息产业法律法规的不健全性来获取非法利益，其中 组织和单位的计算机网络是黑客攻击的主要目标。如果黑客组织能攻破组织及单位的计算机网络防御系统，他就有访问成千上万计算机的可能性。据统计，近年来因网络安全事故造成的损失每年高达上千亿美元。计算机系统的脆弱已为各国政府与机构所认识1。三、网络信息安全的脆弱性 2因特网已遍及世界180多个国家，为亿万用户提供了多样化的网络与信息服务。在因特网上，除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外，网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统，使得秘密信息和财富高度集中于计算机中。另一方面，这些网络信息系统都依靠计算机网络接收和处理信息，实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式，成为当今社会发展的一个主题。 然而，伴随着信息产业发展而产生的互联网和网络信息的安全问题，也已成为各国政府有关部门、各大行业和企事业领导人关注的热点问题。目前，全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。面对这种现实，各国政府有关部门和企业不得不重视网络安全的问题。 互联网安全问题为什么这么严重？这些安全问题是怎么产生的呢？综合技术和管理等多方面因素，我们可以归纳为四个方面：互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。3.1互联网是一个开放的网络，TCP/IP是通用的协议 各种硬件和软件平台的计算机系统可以通过各种媒体接入进来，如果不加限制，世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束，迅速通过互联网影响到世界的每一个角落。 3.2互联网的自身的安全缺陷是导致互联网脆弱性的根本原因 互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段，由于最初的互联网只是用于少数可信的用户群体，因此设计时没有充分考虑安全威胁，互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。一般认为，软件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所包含的安全漏洞也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制，但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素，这些安全机制并没有发挥有效作用。比如，系统的缺省安装和弱口令是大量攻击成功的原因之一。 3.3互联网威胁的普遍性是安全问题的另一个方面 随着互联网的发展，攻击互联网的手段也越来越简单、越来越普遍。目前攻击工具的功能却越来越强，而对攻击者的知识水平要求却越来越低，因此攻击者也更为普遍。 3.4管理方面的困难性也是互联网安全问题的重要原因 具体到一个企业内部的安全管理，受业务发展迅速、人员流动频繁、技术更新快等因素的影响，安全管理也非常复杂，经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间，虽然安全事件通常是不分国界的，但是安全管理却受国家、地理、政治、文化、语言等多种因素的限制。跨国界的安全事件的追踪就非常困难。四、信息产业法律法规的重要性在今年的政府工作报告中,物联网、三网融合、3G被明确提及。这意味着在中国经济形势最为复杂的2010年,在转变经济增长方式、发展新兴产业、扩大内需过程中,信息产业将发挥举足轻重的作用。而仅物联网一项,就将带来难以估量的巨大空间。与人们的普遍感知相反,物联网并不是一个遥不可及、不可触摸的概念,它已经悄无声息地潜入到我们的日常生活中:当我们在超市消费结账时,会享受到射频识别（RFID）服务,这是物联网;当我们使用汽车导航仪时,会享受到全球定位系统的服务,这也是物联网。简单来说,物联网就是一个“物物相联”的互联网,相比于“人人相联”的互联网,物联网也将呈几何级数的增长。值得注意的是,物联网还有着长长的产业链,云计算、三网融合和北斗系统这些技术均可纳入物联网的范畴。广州证券林穗林认为,在当今科技时代,随着居民消费水平的提高,新的信息需求将不断产生,信息技术产品将加快升级换代,信息产业将继续扮演推动产业升级、迈向信息社会的“发动机”角色。随着经济结构的改善,资本市场也已经提前做出了反映。目前,IT运维管理龙头神州泰岳取代贵州茅台成为资本市场第一高价股。据工信部预计,2010年电子信息产业的固定资产投资增长将快于2009年,预计增速为20%左右。有以上资料可知，信息产业在我国经济建设中所占比重日益增长，信息产业成为我国经济发展的“宠儿”已是不争的事实，我们在信息产业获得收益的同时不应忽视信息产业的脆弱性所引发的信息产业的安全性问题给我们带来的巨大挑战。信息产业法律法规的规范化与法制化五、信息安全保护规范化与法制化 在信息化的潮流中，在信息化与否之间没有第二种选择，只有选择如何更好地让信息化为提高单位工作效率，为增强企业竞争力服务。如何让信息化建设真正有效地为单位或企业服务，是个颇费心思的问题；这也是一个不断尝试，不断改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移，运作非常依赖信息资产前，企业管理层安全意识薄弱的问题是有一定的客观原因的；随着企业信息化水平的不断加深，管理层网络安全意识应该会逐步得到增强，并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点，从电信、金融、电力等极度依赖信息系统的领域可以看出来。 5.1国外面对网络威胁采取的主要对策 鉴于当前世界网络面临如此多的安全隐患，世界各国均十分重视，纷纷采取对策。 5.1.1 美国的网络安全建设 1998年5月22日，美国政府颁发了保护美国关键基础设施总统令（PDD-63），围绕“信息保障”成立了多个组织，其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。1998年美国国家安全局（NSA）又制定了信息保障技术框架（IATF），提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御战略目标2000年1月，美国又发布了保卫美国的计算机空间保护信息系统的国家计划。该计划分析了美国关键基础设施所面临的威胁，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划（其中包括民用机构的基础设施保护方案和国防部基础设施保护计划）以及私营部门、州和地方政府的关键基础设施保障框架。 5.1.2 俄罗斯的网络安全建设 1995年颁布了联邦信息、信息化和信息保护法，1997年出台的俄罗斯国家安全构想，2000年普京总统批准了国家信息安全学说，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任；明确提出：“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重”；明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。 5.2我国面对网络威胁采取的主要对策 5.2.1 加强对网络信息安全的重视国家有关部门建立了相应的机构，发布了有关的法规，以加强对网络信息安全的管理。2000年1月，国家保密局发布的计算机信息系统国际联网保密管理规定已开始实施；2000年3月，中国国家信息安全测评认证中心计算机测评中心宣告成立；2000年4月，公安部发布了计算机病毒防治管理办法；2000年7月，我国第一个国家信息安全产业基地在四川省成都高新技术产业开发区奠基；2000年10月，信息产业部成立了网络安全应急协调小组，国家计算机网络与信息安全管理工作办公室主办了“计算机网络应急工作企业级研讨会”，这一切都反映出我国对计算机网络与信息安全的高度重视，以及努力推动我国信息安全产业发展、提高我国信息安全技术水平的决心。 5.2.2 强化信息网络安全保障体系建设 在十六大会议上，江泽民同志指出：“信息化是我国加快实现工业化和现代化的必然选择，坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高的路子大力推进信息化”。中央保密委员会、最高人民检察院也多次在2003年发文要求做好信息保密工作，切实防范外来的侵害和网络化带来业务的泄密，明确规定“计算机信息系统，不得与公网、国际互联网直接或间接的连接”，如要相连，“必须采取物理隔离的保密防范措施”。六、如何逐步消除网络安全隐患 6.1建立网络安全长效机制的重要手段 建立规范的网络秩序，需要不断完善法制，探索网络空间所体现的需求和原则，为规范网络空间秩序确定法律框架；建立规范的网络秩序，还要在道德和文化层面确定每个使用网络者的义务，每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则；建立规范的网络秩序，需要在法制基础上建立打击各类网络犯罪有效机制和手段。 6.2引发网络安全事件的原因 据调查，因“利用未打补丁或未受保护的软件漏洞”，占503；对员工不充分的安全操作和流程的培训及教育占363；紧随其后的是缺乏全面的网络安全意识教育，占287。因此，要用直观、易懂、演示性的方式来加强员工的网络安全意识水平，降低企业面临的各种风险，提高竞争力。并且要像广告一样，经常提醒员工，才能达到更好的效果。 6.3保障信息安全任重道远 专家认为，我国目前网络安全的推进重点，已开始由物理层面的防毒向文化、思想、精神层面的防毒转变，倡导网络文明和净化网络环境内容。截至目前，信息产业部启动的“阳光绿色网络工程”系列活动，已经取得显著成果，并正在长期系统地净化着网络环境。 与此同时，国内各大网站也开始倡导文明办网的良好风气。只有各方尽责，构筑一个长效机制，全球网络安全才有可能得到根本地改善。7、 案例及其分析3金融计算机网络犯罪典型案例2003年11月14日 ，甘肃省破获首例利用邮政储蓄专用网络，进行远程金融盗窃的案件。这起发生在定西一个乡镇的黑客案件，值得我们多方面关注。他将犯罪的目光瞄准了邮政储蓄，利用网络窃取了83万余元，最终难逃法网10月5日13时12分，定西地区临洮县太石镇邮政储蓄所的营业电脑一阵黑屏，随即死机。营业员不知何故，急忙将刚刚下班尚未走远的所长叫了回来。所长以为电脑出现了故障，向上级报告之后，没太放在心上。17日，电脑经过修复重新安装之后，工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现，5日13时发生了11笔交易、总计金额达835万元的异地账户系虚存（有交易记录但无实际现金）。当储蓄所几天之后进一步与开户行联系时，发现存款已经分别于6日、11日被人从兰州、西安两地取走3781万元，他们意识到了问题的严重性，于10月28日向临洮县公安局报了案。县公安局经过初步调查，基本认定这是一起数额巨大的金融盗窃案，随即向定西公安处汇报。公安处十分重视，立即制定了详细的侦查计划，组成专案组，全力侦查此案，并上报省公安厅。面对特殊的侦破任务，专案组兵分两路，一方面在省、市邮政局业务领导和计算机专家的协助下，从技术的角度分析黑客作案的手段以及入侵的路径；另一方面，使用传统的刑侦方法，大范围调查取证专案组首先对有异常情况的8个活期账户进行了调查，发现都属假身份证储户。此时，技术分析的结果也出来了，经过大量网络数据资料的分析，发现作案人首先是以会宁邮政局的身份登录到了永登邮政局，然后再以永登邮政局的名义登入了临洮太石邮政储蓄所。专案组对会宁邮政局进行了调查，发现该局系统维护人员张少强最近活动异常。暗查发现，其办公桌上有一条电缆线连接在了不远处的邮政储蓄专用网络上。专案组基本确认，张少强正是这起金融盗窃案的主谋。11月14日22时，张少强在其住所被专案组抓获。经过审问，张少强交待了全部犯罪事实。10月5日，张少强在会宁利用笔记本电脑侵入邮政储蓄网络后，非法远程登录访问临洮太石邮政储蓄所的计算机，破译对方密码之后进入操作系统，以营业员身份向自己8月末预先在兰州利用假身份证开设的8个活期账户存入了11笔共计835万元的现金，并在退出系统前，删除了营业计算机的打印操作系统，造成机器故障。第二天，他在兰州10个储蓄网点提取现金55万元，并将305万元再次转存到他所开设的虚假账户上。10月11日，张少强乘车到西安，利用6张储蓄卡又提取现金18万元。至此，这件远程金融盗窃案告破，835万元完璧归赵。 案例分析：分析整个案例，不难看出，是管理上存在的漏洞、工作人员安全意识的淡薄，才造成了如此严重的局面。案发前，张少强私搭电缆，从来没有人过问，更没有人阻止，让他轻易地将邮政储蓄专用网络置于自己的掌握之中。而另一方面，临洮县太石镇的邮政储蓄网点竟然一直使用原始密码，不仅没有定期更改，也没有在工作人员之间互相保密，于是张少强很轻松地就突破了数道密码关，直接进入了操作系统，盗走了835万元。而且，当工作人员发现已经出了问题时，还认为是内部网络系统出了故障，根本没有想到会有网络犯罪的情况发生。在这些网络犯罪案件中，很大一部分是因为使用者安全意识淡薄造成的。在张少强案结案之后，甘肃省公安厅网监处的叶弘副处长曾经感叹道：“我们处总共只有60多个网络警察，负责全省的网络安全工作，但是一多半的警力都浪费在抓一些简单的案子上面。”公众缺乏网络安全防范意识，重应用轻管理，尤其不重视网络安全问题。即使是某些涉及到民生的行业也是如此，制定的安全规章制度不执行，负责的管理人员保密意识不强，普通的工作人员又缺乏专门的安全防范知识，当犯罪发生时不能及时发现并制止。这些都造成了网络领域内犯罪现象的急剧增长。网络安全专家把网络犯罪归纳为五性：隐蔽性、智能性、连续性、无国界性和巨大的危害性。张少强案也告诉我们，网络联结的广阔性一旦管理不善，可能就成了它的弱点，即使这种管理不善是在一个偏僻乡村的网点，它也可能成为黑客进入网络核心的一条捷径。黑客入侵并进行非法交易网上非法购物案例 洛杉矶的一个联邦大陪审团指控一名罗马尼亚计算机黑客和5名美国人阴谋从世界上最大的技术分销商那里偷到价值1千万美元的计算机设备。起诉指控Calin Mateias非法入侵Ingram Micro的在线订单系统，并且在计算机诈骗下单定购计算机和计算机设备。作为互联网诈骗圈的一环，他指导让这些设备被发送到被散布在美国各地的10多个地址。根据起诉，1999年Mateias开始非法入侵Ingram micro 公司的订单系统。利用它非法入侵所得到的信息，他绕过Ingram Micro公司的安全保护，假装成合法用户，订购计算机设备，要求被送往罗马尼