信息安全保障概述.ppt

信息安全保障概述 中国信息安全测评中心 课程内容 2 信息安全保障概述 信息安全保障框架 国家信息安全政策法规 知识体 信息安全保障框架 知识域 安全保障框架基础知识理解信息安全的基本概念理解信息安全保障的意义和内涵 了解信息安全保障工作的总体思路和基本实践方法 知识域 信息安全保障基本实践了解我国信息安全保障工作发展阶段 我国信息安全保障基本原则 我国信息安全保障建设主要内容 我国信息安全保障工作的基本内容 3 什么是安全 安全Security 事物保持不受损害 4 什么是信息安全 保密 不该知道的人 不让他知道 5 什么是信息安全 完整 信息不能追求残缺美 6 什么是信息安全 可用 信息要方便 快捷 不能像某国首都二环早高峰 也不能像春运的火车站 7 什么是信息安全 信息本身的机密性 Confidentiality 完整性 Integrity 和可用性 Availability 的保持 即防止防止未经授权使用信息 防止对信息的非法修改和破坏 确保及时可靠地使用信息 保密性 确保信息没有非授权的泄漏 不被非授权的个人 组织和计算机程序使用完整性 确保信息没有遭到篡改和破坏可用性 确保拥有授权的用户或程序可以及时 正常使用信息 8 为什么会有信息安全问题 因为有病毒吗 因为有黑客吗 因为有漏洞吗 这些都是原因 但没有说到根源 9 信息系统安全问题产生的根源与环节 内因复杂性导致脆弱性 过程复杂 结构复杂 使用复杂外因对手 威胁与破坏 10 内在复杂 过程 信息系统理论冯 诺伊曼机 在程序与数据的区分上没有确定性的原则设计从设计的角度看 在设计时考虑的优先级中安全性相对于易用性 代码大小 执行程度等因素被放在次要的位置实现由于人性的弱点和程序设计方法学的不完善 软件总是存在BUG生产与集成使用与运行维护 11 安全问题根源 内因系统越来越复杂 工作计算机 员工在使用 移动介质 内网中的其它系统 单位连接因特网 电话拨号上网 连接其它单位网络 无线网络 12 安全问题根源 内因我们使用的网络是开放的 内在复杂 使用 14 安全问题根源 外因来自对手的威胁 15 安全问题根源 外因来自自然的破坏 16 信息安全的范畴 信息技术问题 技术系统的安全问题组织管理问题 人 技术系统 组织内部环境社会问题 法制 舆论国家安全问题 信息战 虚拟空间 17 信息网络已逐渐成为经济繁荣 社会稳定和国家发展的基础信息化深刻影响着全球经济的整合 国家战略的调整和安全观念的转变从单纯的技术性问题变成事关国家安全的全球性问题 信息安全和信息安全保障适用于所有技术领域 硬件软件军事计算机通讯指挥控制和情报 C4I 系统 制造工艺控制系统 决策支持系统 电子商务 电子邮件 生物医学系统和智能运输系统 ITS 信息安全的地位和作用 18 信息安全发展阶段 19 COMSEC CommunicationSecurity20世纪 40年代 70年代核心思想 通过密码技术解决通信保密 保证数据的保密性和完整性主要关注传输过程中的数据保护安全威胁 搭线窃听 密码学分析安全措施 加密标志1949年 shannon发表 保密通信的信息理论 1977年 美国国家标准局公布数据加密标准DES1976年 Diffle和Hellman在 NewDirectionsinCryptography 一文中提出公钥密码体系 通信安全 20 COMPUSEC ComputerSecurity20世纪 70 90年代核心思想 预防 检测和减小计算机系统 包括软件和硬件 用户 授权和未授权用户 执行的未授权活动所造成的后果 主要关注于数据处理和存储时的数据保护 安全威胁 非法访问 恶意代码 脆弱口令等安全措施 安全操作系统设计技术 TCB 标志 1985年 美国国防部的可信计算机系统评估保障 TCSEC 橙皮书 将操作系统安全分级 D C1 C2 B1 B2 B3 A1 后补充红皮书TNI 1987 和TDI 1991 发展为彩虹 rainbow 系列 计算机安全 21 INFOSEC InformationSecurity20世纪 90年代后核心思想 综合通信安全和计算机安全安全重点在于保护比 数据 更精炼的 信息 确保信息在存储 处理和传输过程中免受偶然或恶意的非法泄密 转移或破坏 安全威胁 网络入侵 病毒破坏 信息对抗等安全措施 防火墙 防病毒 漏洞扫描 入侵检测 PKI VPN等标志安全评估保障CC ISO15408 GB T18336 信息系统安全 22 信息安全保障发展历史 第一次定义 在1996年美国国防部DoD指令5 3600 1 DoDD5 3600 1 中 美国信息安全界第一次给出了信息安全保障的标准化定义现在 信息安全保障的概念已逐渐被全世界信息安全领域所接受 中国 中办发27号文 国家信息化领导小组关于加强信息安全保障工作的意见 是信息安全保障工作的纲领性文件信息安全保障发展历史从通信安全 COMSEC 计算机安全 COMPUSEC 信息系统安全 INFOSEC 信息安全保障 IA 网络空间安全 信息安全保障 CS IA 23 IA InformationAssurance今天 将来 核心思想 保障信息和信息系统资产 保障组织机构使命的执行 综合技术 管理 过程 人员 确保信息的保密性 完整性和可用性 安全威胁 黑客 恐怖分子 信息战 自然灾难 电力中断等安全措施 技术安全保障体系 安全管理体系 人员意识 培训 教育 认证和认可标志 技术 美国国防部的IATF深度防御战略管理 BS7799 ISO17799系统认证 美国国防部DITSCAP 信息安全保障 24 网络空间安全 信息安全保障 CS IA CyberSecurity InformationAssurance2009年 在美国带动下 世界各国信息安全政策 技术和实践等发生重大变革 共识 网络安全问题上升到国家安全的重要程度核心思想 从传统防御的信息保障 IA 发展到 威慑 为主的防御 攻击和情报三位一体的信息保障 网络安全 IA CS 的网空安全网络防御 Defense 运维 网络攻击 Offense 威慑 网络利用 Exploitation 情报 25 2008年1月 布什政府发布了国家网络安全综合倡议 CNCI 号称网络安全 曼哈顿项目 提出威慑概念 其中包括爱因斯坦计划 情报对抗 供应链安全 超越未来 Leap Ahead 技术战略2009年5月29日发布了 网络空间政策评估 确保信息和通讯系统的可靠性和韧性 报告2009年6月25日 英国推出了首份 网络安全战略 并将其作为同时推出的新版 国家安全战略 的核心内容2009年6月 美国成立网络战司令部12月22日 奥巴马任命网络安全专家担任 网络沙皇 26 网络空间安全 信息安全保障 从技术角度看信息安全 27 组织机构的使命 业务目标实现越来越依赖于信息系统信息系统成为组织机构生存和发展的关键因素信息系统的安全风险也成为组织风险的一部分为了保障组织机构完成其使命 必须加强信息安全保障 抵抗这些风险 为什么需要信息安全保障 28 信息安全保障的意义 29 信息安全保障的意义 30 信息安全保障是一种立体保障 31 信息系统安全保障是在信息系统的整个生命周期中 通过对信息系统的风险分析 制定并执行相应的安全保障策略 从技术 管理 工程和人员等方面提出安全保障要求 确保信息系统的保密性 完整性和可用性 降低安全风险到可接受的程度 从而保障系统实现组织机构的使命 信息安全保障定义 32 国家标准 GB T20274 1 2006信息安全技术信息系统安全保障评估框架第一部分 简介和一般模型 信息系统安全保障模型 保障评估框架 33 信息系统安全保障模型 IATF 34 安全保障的目标是支持业务 信息安全保障是为了支撑业务高效稳定运行要以安全促发展 在发展中求安全 35 信息安全保障需要持续进行 时时刻刻不放松 如钻石历久弥新 36 信息安全 系统及业务关系 37 信息安全保障 通信安全 数据安全 网络安全 现在人们意识到 技术很重要 但技术不是一切 信息系统很重要 只有服务于组织业务使命才有意义 个人信息可能面临的安全威胁 1 外部人员通过互联网利用木马等攻击手段窃取 篡改或破坏个人计算机中存放的敏感信息 2 外部人员非法接入税务系统内网或直接操作内网计算机窃取 篡改或破坏敏感信息 3 外部人员盗窃笔记本电脑 U盘等移动计算和存储设备窃取敏感信息 4 病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏 5 内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏 6 内部工作人员由于利益驱使 利用工作之便窃取他人个人计算机中工作敏感信息 39 案例1 国内最大的影音播放软件暴风影音爆出存在安全漏洞 该漏洞发生在暴风影音II的一个activex控件上 当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后 会下载木马病毒 并以当前用户权限自动运行 某公司员工违反规定在工作用计算机及上安装了 暴风影音 上班时间上网浏览新闻 黑客利用木马窃取了该员工计算机及该公司局域网中的部分公司机密 个人计算机作为税务信息系统的一个组成部分 如果出现安全漏洞 就可能成为信息安全防护的薄弱环节 被窃密或破坏分子利用对整个系统造成破坏 40 案例2 2001年初 查处了陈学军团伙虚开增值税专用发票案件 主犯套购增值税专用发票10900份 为数百家企业虚开增值税专用发票2800余份 虚开税款共计人民币3 93亿元 陈学军以虚开增值税专用发票罪被判处并已执行死刑 吴芝刚以虚开增值税专用发票罪 巨额财产来源不明罪两罪并罚 一审判处死刑 二审改判死刑缓期执行 宣判现场 41 案例2 续 3名工作人员在案发过程中 由于思想疏忽大意 没有严格保护个人工作计算机和应用系统的密码和使用权限 为吴芝刚趁工作之便 非法获得计算机密码 为作案行提供了便利 这3名工作人员 因工作严重违规失职也受到严厉的法律追究 根据情节轻重 分别被处以不同程度的刑事处罚 42 单位信息系统面临的主要安全威胁 网络窃密系统故障 网络攻击和病毒造成系统运行中断系统故障或人为误操作造成数据丢失 43 电话线或其它非法外联 窃密者 个人办公用计算机或外网服务器 风险四 硬件故障或误操作造成数据丢失 风险一 通过互联网搜集我有价值的数据 风险三 病毒泛滥影响正常办公 风险二 利用非法外联或网络控制不严为跳板窃取核心机密 内部核心系统 信息系统面临的典型安全威胁 内往U盘接入互联网 44 案例1 违规上网造成重大失泄密 违规操作泄密 敌对势力窃密 互联网 部队失密案 2003年初 军队某参谋违反规定 使用涉密计算机上因特网 一次窃走1000多份文档资料 影响和损失极为严重 45 IIS存在unicode漏洞 穿过防火墙 外部网络 内部网络 案例2 某重要网络系统被控制 46 案例3 网络故障造成航班延误和旅客滞留 2006年10月10日13时32分 某公司运营的离港系统发生主机系统文件损坏 导致使用离港系统的航空公司和机场的正常运行产生不同程度影响 经过排查后故障系统于14时16分恢复正常 此次故障造成首都机场 广州机场 深圳机场等机场部分航班延误 47 什么是信息安全风险 信息和其它资产一样是具有价值的 48 什么是信息安全风险 信息面临着外在的威胁 49 什么是信息安全风险 信息系统存在着脆弱性 50 什么是信息安全风险 外在威胁利用信息系统存在的脆弱性 致其损失或破坏对系统价值造成损害的可能性 51 信息系统安全保障含义总结 出发点和核心在信息系统所处的运行环境里 以风险和策略为出发点 即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略 信息系统生命周期通过在信息系统生命周期中从技术 管理 工程和人员等方面提出安全保障要求 52 信息系统安全保障含义总结 确保信息的安全特征确保信息的保密性 完整性和可用性特征 从而实现和贯彻组织机构策略并将风险降低到可接受的程度 保护资产达到保护组织机构信息和信息系统资产 最终保障使命从而保障组织机构实现其使命的最终目的 53 如何保障信息安全 信息是依赖与承载它的信息技术系统存在的需要在技术层面部署完善的控制措施 信息系统是由人来建设使用和维护的需要通过有效的管理手段约束人 今天系统安全了明天未必安全需要贯穿系统生命周期的工程过程 信息安全的对抗 归根结底是人员知识 技能和素质的对抗需要建设高素质的人才队伍 信息安全保障体系构成的要素 信息安全技术体系信息安全管理体系信息安全工程过程高素质的人员队伍 55 Modem 56 完善的信息安全技术体系 策略体系 风险管理 系统测评 风险评估 生命周期安全管理 对手 动机和攻击 国家 业务 机构策略 规范 标准 使命要求 组织体系建设 业务持续性管理 应急响应管理 意识培训和教育 57 信息安全保障管理体系建设 相关方 信息安全需求 期待 设计和实施ISMS 改进ISMS Plan计划 Do实施 Act改进 Check检查 开发 维护 改进循环 相关方 管理的信息安全 Plan计划 建立ISMS环境 根据组织机构的整体策略和目标 建立同控制风险和改进信息安全相关的安全策略 目的 目标 过程和流程以交付结果 Do做 设计 实施 实施和操作策略 过程和流程 Check检查 监控 审核 通过策略 目的和实践经验测量和评估过程执行 并将结果汇报给决策人 Act行动 改进 建立纠正和预防行动以进一步改进过程的执行 建立ISMS环境 风险评估 监控 审核ISMS 管理体系建设 58 科学的信息安全工程过程 计划组织 开发采购 实施交付 运行维护 废弃 将安全措施融入信息系统生命周期 59 参见 中国信息安全产品测评认证中心的 国家信息安全测评认证 2004年第2期 P6 P14 信息系统安全工程保障 实施通用模型 60 高素质的人员队伍 信息安全对抗归根结底是人与人的对抗 保障信息安全不仅需要专业信息技术人员 还需要信息系统普通使用者提高安全意识 加强个人防范 61 知识体 信息安全保障框架 知识域 信息安全保障基本实践了解我国信息安全保障工作发展阶段 我国信息安全保障基本原则 我国信息安全保障建设主要内容 我国信息安全保障工作的基本内容 62 63 我国信息安全保障工作发展阶段我国信息安全保障基本原则我国信息安全保障建设主要内容我国信息安全保障工作的基本内容 我国信息安全保障实践 63 64 我国信息安全保障工作发展阶段 64 65 启动阶段 2001 2002 2001年至2002年 是我国网络与信息安全事件频发且性质严重的时期 鉴于严峻的信息安全形势 国家信息化领导小组重组 网络与信息安全协调小组成立 我国信息安全保障工作正式启动 2001年至2002年中国发生的网络和信息安全事件 来自境外邪教组织 敌对势力的破坏各种政治谣言 反动宣传和社会敏感热点问题日益增多网络系统 重要信息系统自身存在诸多安全隐患如深圳证券交易所因系统崩溃停市半天 造成直接经济损失和社会影响 北京首都国际机场信息系统出现故障 造成上百个航班延误 数万名旅客滞留 66 积极推进阶段 2003 2005 2003年至2005年 是国家信息安全保障体系建设逐步展开和推进的阶段 国家出台指导政策 召开第一次全国信息安全保障会议 发布国家信息安全战略 国家网络与信息安全协调小组召开了四次会议 信息安全保障各项工作积极推进 2003年7月 国家信息化领导小组 关于加强信息安全保障工作的意见 中办发27号文件件 2004年1月9日国家信息安全保障工作会议召开 2005年3月29日 国家网络与信息安全协调小组第四次会议召开 2005年12月16日 国家网络与信息安全协调小组第五次会议召开 会议主要关注 高度重视信息安全风险评估 网络信任体系以及保密和密码工作 进一步完善各项措施和政策规定 提高信息安全建设和管理水平 67 深化落实阶段 2006年至今 2006年至今 围绕27号文件开展的各项信息安全保障工作迈出了新的坚实步伐 信息安全法律法规 标准化和人才培养工作取得了新成果 指导政策从完善到落实等级保护工作取得重要进展信息安全风险评估工作更加深入推进机制从实践到成型标准规范从研究到实施在全国信息技术标准化技术委员会信息安全技术分委员会和各界 各部门的努力下 本着积极采用国际标准的原则 转化了一批国际信息安全基础技术标准 68 信息安全保障的基本原则 立足国情 以我为主 坚持管理与技术并重 正确处理安全与发展的关系 以安全保发展 在发展中求安全 统筹规划 突出重点 强化基础性工作 明确国家 企业 个人的责任和义务 充分发挥各方面的积极性 共同构筑国家信息安全保障体系 等级保护制度 根据应用系统 应用单位的重要程度 将信息系统划分为不同的重要级别 然后采用不同的技术和产品进行保护 国家信息安全保障基本原则 68 69 我国信息安全保障建设的主要内容 建立健全国家信息安全组织与管理体制机制 加强信息安全工作的组织保障建立健全信息安全法律法规体系 推进信息安全法制建设建立完善信息安全标准体系 加强信息安全标准化工作建立信息安全技术体系 实现国家信息化发展的自主可控建设信息安全基础设施 提供国家信息安全保障能力支撑建立信息安全人才培养体系 加快信息安全学科建设和信息安全人才培养 70 建立健全信息安全组织与管理体制机制 2002年 国家网络与信息安全协调小组成立 2003年前我国具备了一套分层次 分领域的信息安全相关法律法规 2003年第27号文件颁布推动我国信息安全法制建设进入一个新阶段 信息安全法律体系进一步深化和发展 信息安全法制建设工作的现状和发展 71 建设信息安全基础设施 提供国家信息安全保障能力支撑 建立信息安全通报和应急处置体系信息安全应急处理机制的建立信息安全通报机制的建立建立以密码技术为基础的网络信任体系建立信息安全等级保护和风险评估体系建立信息安全测评认证体系完善信息安全监控体系 72 建立信息安全人才培养体系 加快信息安全学科建设和信息安全人才培养 加强信息安全理论研究和信息安全学科 专业建设加强信息安全的本科 硕士和博士学历教育培养信息安全的 执法 人才 组织决策管理人才 安全技术开发人才和技术服务人才加强安全宣传教育 普及全民信息安全意识 73 信息安全保障的基本原则 信息安全的等级保护制度等级保护制度 根据应用系统 应用单位的重要程度 将信息系统划分为不同的重要级别 然后采用不同的技术和产品进行保护 国家信息安全保障基本原则 73 74 我国信息安全保障建设的主要内容 建立健全国家信息安全组织与管理体制机制 加强信息安全工作的组织保障建立健全信息安全法律法规体系 推进信息安全法制建设建立完善信息安全标准体系 加强信息安全标准化工作建立信息安全技术体系 实现国家信息化发展的自主可控建设信息安全基础设施 提供国家信息安全保障能力支撑建立信息安全人才培养体系 加快信息安全学科建设和信息安全人才培养 75 建立健全信息安全组织与管理体制机制 2002年 国家网络与信息安全协调小组成立 2003年前我国具备了一套分层次 分领域的信息安全相关法律法规 2003年第27号文件颁布推动我国信息安全法制建设进入一个新阶段 信息安全法律体系进一步深化和发展 信息安全法制建设工作的现状和发展 76 建设信息安全基础设施 提供国家信息安全保障能力支撑 建立信息安全通报和应急处置体系信息安全应急处理机制的建立信息安全通报机制的建立建立以密码技术为基础的网络信任体系建立信息安全等级保护和风险评估体系建立信息安全测评认证体系完善信息安全监控体系 77 建立信息安全人才培养体系 加快信息安全学科建设和信息安全人才培养 加强信息安全理论研究和信息安全学科 专业建设加强信息安全的本科 硕士和博士学历教育培养信息安全的 执法 人才 组织决策管理人才 安全技术开发人才和技术服务人才加强安全宣传教育 普及全民信息安全意识 78 我国在信息安全保障领域的国际合作 在信息安全领域开展国际合作 是充分利用我国战略发展的机遇期 营造和谐 和平的良好国际环境 谋求我更深更广发展的重要措施 严格遵守 联合国宪章 和国际公认的信息通信技术的使用准则 妥善解决信息安全问题 倡导加强各国在信息安全领域的交流与合作 79 制定信息安全保障需求的作用制定信息系统安全保障需求的方法和原则信息安全保障解决方案确定安全保障解决方案的原则实施信息安全保障解决方案的原则信息安全测评信息安全测评的重要性国内外信息安全测评现状产品 人员 商资 系统测评的方法和流程持续提高信息系统安全保障能力 信息系统安全监护和维护 确定需求 制定方案 开展测评 持续改进 信息安全保障工作基本内容 79 80 确定需求 制定方案 开展测评 持续改进 步骤一 确定信息系统安全保障需求 步骤二 规范化 结构化的描述信息系统安全保障具体需求 步骤三 根据信息系统安全保障需求编制具体的信息系统安全保障解决方案 步骤五 用户根据信息系统安全保障评估情况进行改进 形成满足安全保障需求的可持续改进的安全保障能力 步骤四 对信息系统安全保障进行评估 信息安全保障建设步骤 80 知识体 信息安全政策法规 知识域 有关重点法律法规解读了解 中华人民共和国保密法 了解 刑法 和 国家安全法 关于信息安全的重要条款 理解 信息安全等级保护管理办法 知识域 有关重点政策解读了解 国家信息化领导小组关于加强信息安全保障工作的意见 了解 关于加强政府信息系统安全和保密管理工作的通知 81 我国信息安全法治建设的发展历程 通信保密安全 计算机系统安全 网络信息系统安全 1994年 2000年 2003年 保守国家秘密法 1989 2010年修订 中央关于加强密码工作的决定计算机信息系统安全保护条例 草案 86 计算机信息系统安全保护条例 1994 计算机信息系统安全专用产品检测和销售许可证管理办法 97计算机信息网络国际联网安全保护管理办法 97计算机信息系统保密管理暂行规定 98商用密码管理条例 99 关于维护互联网安全的决定 2000 互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定 00 82 保守国家秘密法 保密法1 演进 保守国家秘密暂行条例 1951年 保守国家秘密法 1989年 保守国家秘密法 2010年修订 4月29日修订 10月1日施行 主旨 总则 目的 保守国家秘密 维护国家安全和利益 国家秘密是关系国家安全和利益 依照法定程序确定 在一定时间内只限一定范围的人员知悉的事项 国家秘密受法律保护 一切国家机关 武装力量 政党 社会团体 企业事业单位和公民都有保守国家秘密的义务 国家保密行政管理部门主管全国的保密工作 国家机关和涉及国家秘密的单位 以下简称机关 单位 管理本机关和本单位的保密工作 保密工作责任制 健全保密管理制度 完善保密防护措施 开展保密宣传教育 加强保密检查 法律 83 保守国家秘密法 保密法2 国家秘密的范围国家事务 国防武装 外交外事 政党秘密国民经济和社会发展 科学技术维护国家安全的活动 经保密主管部门确定的事项等国家秘密的密级绝密 是最重要的国家秘密 泄露会使国家安全和利益遭受特别严重的损害 保密期限不超过30年 机密 是重要的国家秘密 泄露会使国家安全和利益遭受严重的损害 保密期限不超过20年 秘密 是一般的国家秘密 泄露会使国家安全和利益遭受损害 保密期限不超过10年 国家秘密的其他基本属性定密权限 定密责任人 保密期限 解密条件 知悉范围国家秘密载体 国家秘密标志 法律 84 保守国家秘密法 保密法3 保密制度对国家秘密载体的行为要求 对属于国家秘密的设备 产品的行为要求 对存储 处理国家秘密的计算机信息系统的要求 分级保护 对组织和个人的行为要求 涉密信息系统管理 国家秘密载体管理 公开发布信息 各类涉密采购 涉密人员分类管理 保密教育培训 保密协议等 对公共信息网络及其他传媒的行为要求 对互联网及其他公共信息网络运营商 服务商的行为要求 监督管理国家保密行政管理部门依照法律 行政法规的规定 制定保密规章和国家保密标准 组织开展保密宣传教育 保密检查 保密技术防护和泄密案件查处工作 对机关 单位的保密工作进行指导和监督 法律 85 保守国家秘密法 保密法4 法律责任 第48条人员处分及追究刑责 一 非法获取 持有国家秘密载体的 二 买卖 转送或者私自销毁国家秘密载体的 三 通过普通邮政 快递等无保密措施的渠道传递国家秘密载体的 四 邮寄 托运国家秘密载体出境 或者未经有关主管部门批准 携带 传递国家秘密载体出境的 五 非法复制 记录 存储国家秘密的 六 在私人交往和通信中涉及国家秘密的 七 在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的 八 将涉密计算机 涉密存储设备接入互联网及其他公共信息网络的 九 在未采取防护措施的情况下 在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的 十 使用非涉密计算机 非涉密存储设备存储 处理国家秘密信息的 十一 擅自卸载 修改涉密信息系统的安全技术程序 管理程序的 十二 将未经安全技术处理的退出使用的涉密计算机 涉密存储设备赠送 出售 丢弃或者改作其他用途的 有前款行为尚不构成犯罪 且不适用处分的人员 由保密行政管理部门督促其所在机关 单位予以处理 法律 86 刑法 中的有关规定 1 刑法 第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285 286 287条285条 非法侵入计算机信息系统罪 非法获取计算机信息系统数据 非法控制计算机信息系统罪 提供侵入 非法控制计算机信息系统程序 工具罪 违反国家规定 侵入国家事务 国防建设 尖端科学技术领域的计算机信息系统的 处三年以下有期徒刑或者拘役 违反国家规定 侵入前款规定以外的计算机信息系统或者采用其他技术手段 获取该计算机信息系统中存储 处理或者传输的数据 或者对该计算机信息系统实施非法控制 情节严重的 处三年以下有期徒刑或者拘役 并处或者单处罚金 情节特别严重的 处三年以上七年以下有期徒刑 并处罚金 提供专门用于侵入 非法控制计算机信息系统的程序 工具 或者明知他人实施侵入 非法控制计算机信息系统的违法犯罪行为而为其提供程序 工具 情节严重的 依照前款的规定处罚 法律 87 刑法 中的有关规定 2 刑法 第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285 286 287条286条 破坏计算机信息系统罪 违反国家规定 对计算机信息系统功能进行删除 修改 增加 干扰 造成计算机信息系统不能正常运行 后果严重的 处五年以下有期徒刑或者拘役 后果特别严重的 处五年以上有期徒刑 违反国家规定 对计算机信息系统中存储 处理或者传输的数据和应用程序进行删除 修改 增加的操作 后果严重的 依照前款的规定处罚 故意制作 传播计算机病毒等破坏性程序 影响计算机系统正常运行 后果严重的 依照第一款的规定处罚 287条 利用计算机实施犯罪的提示性规定 利用计算机实施金融诈骗 盗窃 贪污 挪用公款 窃取国家秘密或者其他犯罪的 依照本法有关规定定罪处罚 88 法律 国家安全法 中的有关规定 国家安全法 第二章国家安全机关在国家安全工作中的职权第10 11条第10条国家安全机关因侦察危害国家安全行为的需要 根据国家有关规定 经过严格的批准手续 可以采取技术侦察措施 第11条国家安全机关为维护国家安全的需要 可以查验组织和个人的电子通信工具 器材等设备 设施 法律 89 全国人大关于维护互联网安全的决定 背景互联网日益广泛的应用 对于加快我国国民经济 科学技术的发展和社会服务信息化进程具有重要作用 如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注 互联网安全的范畴 法律约束力 互联网的运行安全 侵入 破坏性程序 攻击 中断服务等 国家安全和社会稳定 有害信息 窃取 泄露国家秘密 煽动 非法组织等 市场经济秩序和社会管理秩序 销售伪劣产品 虚假宣传 损害商业信誉 侵犯知识产权 扰乱金融秩序 淫秽内容服务等 个人 法人和其他组织的人身 财产等合法权利 侮辱或诽谤他人 非法处理他人信息数据 侵犯通信自有和通信秘密 盗窃 诈骗 敲诈勒索等 法律责任构成犯罪的 依照刑法有关规定追究刑事责任构成民事侵权的 依法承担民事责任尚不构成犯罪的 治安管理处罚 行政处罚 行政处分或纪律处分 法律 90 关于信息安全等级保护工作的实施意见 公字通 2004 66号 1 信息安全等级保护是保障和促进信息化建设健康发展的一项基本制度核心是对信息安全分等级 按标准进行建设 管理和监督公安机关负责信息安全等级保护工作的监督 检查 指导保密 密码 信息化工作部门各自的职责分工信息和信息系统的安全保护等级 及其适用范围 第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全 经济建设 社会生活中的重要程度 遭到破坏后对国家安全 社会秩序 公共利益以及公民 法人和其他组织的合法权益的危害程度