第16讲-第八章--信息安全法规下

第16讲信息安全法规（二）,北京邮电大学计算机学院副教授徐国爱,我国信息安全保障体系我国信息安全法规体系我国重要信息安全法规,我国信息安全保障体系我国信息安全法规体系我国重要信息安全法规小结：我国信息安全法规分析,本讲提纲,1我国信息安全保障体系,1.1信息安全保障体系,信息安全法规与政策环境,信息安全组织机构及管理体系,公益性的信息安全基础设施,信息安全技术与产业支撑平台,信息化社会道德伦理体系,信息安全人才培训教育体系,国家信息安全管理体系,国家信息安全管理体系,组织管理,技术保障,基础设施,产业支撑,人才培养,法规标准,国家对信息安全保障工作的重视,国家高度重视信息安全保障工作，并将信息安全保障工作提高到国家安全的层面。2003年7月22日，国家信息化领导小组第三次会议通过了国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。非传统安全问题日益得到重视。,1.2我国信息安全管理机构,目前，我国信息安全管理格局是一个多方“齐抓共管”的体制。由国信办、信息产业部、公安部、国家安全部、国家保密局、国家密码管理委员会、总参分别执行各自的安全职能，共同维护国家的信息安全。这种“多头管理”的格局会维持一段时间，并逐步向“多层/面管理”转化,国务院信息化工作领导小组,国务院信息化工作领导小组及其办公室国家信息化领导小组，温总理任组长；国家信息化领导小组的日常办事机构为国务院信息化工作办公室（简称国信办，正部级单位），主任王旭东，副主任陈大卫、杨学山；国家信息化领导小组设立国家信息化咨询专家委员会，其中有网络与信息安全专业委员会，主任何德全院士，副主任刘小英（副部长）国家网络与信息安全协调小组及其办公室协调小组办公室设在国信办网络与信息安全组（司级单位）。,工业与信息化部,作为国家电信和信息化工作的主管部门，工信部负责保障电信、信息网络的运行安全；国务院信息化工作领导小组办公室设在信息产业部，负责网络安全管理方面的协调工作；国家授权信息产业部成立国家计算机网络与信息安全管理中心。注：信息产业部只从网络服务方面保障网络安全，并不负责对国家信息化进程中的安全保卫、监察和打击犯罪等执法管理。,信息产业部最新颁布的信息安全相关法律法规互联网电子邮件服务管理办法关于进一步加强移动通信网络不良信息传播治理的通知净化移动网络信息服务环境加强对移动通信网络不良信息传播的治理促进移动信息服务业务的持续健康有序发展互联网新闻信息服务管理规定（国务院新闻办公室、信息产业部联合制定）,公安机关,1994年国务院147号令规定：公安部负责管理计算机信息系统安全保护工作。公安机关负责防范和打击计算机犯罪。1997年经国务院批准，公安部发布第33号部长令：公安部负责计算机网络国际联网的安全保护管理工作。1998年国务院规定公安机关负责公共信息网络安全监察。,国家安全机关,依法打击利用信息网络从事的危害国家安全的犯罪活动负责通信及信息网络的技术侦察、反窃密和反间谍工作负责对国内通信信道及其设备的安全保密检测对党政机关信息网络的安全检查任务,国家保密工作部门,1988年全国人大通过中华人民共和国保守国家秘密法责成国家保密工作部门主管全国保守国家秘密的工作。1997年中共中央政法委以政法199712号文重申了国家保密工作部门对全国保密政策、制度的管理与指导职责。1998年国家保密主管部门发布计算机系统保密管理暂行规定（国保发19981号）。,国家密码主管部门,国家密码管理局：根据国家密码管理局公告（第1号），原国家密码管理委员会办公室更名为国家密码管理局，履行对全国的密码管理职能，商用密码管理条例和相关法规赋予原国家密码管理委员会办公室的各项管理职能由国家密码管理局行使。负责实施由中央统一制定的国家密码管理政策；负责密码算法的审批和商用密码产品许可证的管理；负责全国密码产品的研制、生产、销售与使用的管理。,国家信息安全基础设施,中国信息安全产品测评认证中心国家计算机网络与信息安全管理中心国家计算机病毒应急处理中心中国计算机网络安全应急处理协调中心,1.3学习信息安全法规的意义,公民基本义务和权利专业工作需要（如在信息安全咨询、方案设计和维护时要明确国家相关法律和行业规定）,我国信息安全保障体系我国信息安全法规体系我国重要信息安全法规小结：我国信息安全法规分析,本讲提纲,2我国信息安全法规体系,2.1我国信息安全法规概述,建设信息安全法律法规的意义信息安全保障体系的建设中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚等,信息安全立法的法治作用和目标保护国家信息主权和社会公共利益信息安全立法的首要目标。规范信息主体的信息活动信息安全立法规范作用的直接体现。保护信息主体的信息权利协调和解决信息社会产生的矛盾，打击、惩治信息空间的违法行为。法的法治作用和目标,信息安全法规分类从纵向的层次分：即按立法机关的权限和法律的效力层次来确定的宪法具有最高效力、法律、行政法规、行政规章、地方性法规从横向的领域、部门确定宪法和宪法性法律、行政法、民商法、经济法、刑法、社会法,从功能角度分类：18部全面规范信息安全的法律法规包括94年的中华人民共和国计算机信息系统安全保护条例等法规7部侧重于互联网安全的文件或部门规章包括2000年全国人民代表大会常务委员会关于维护互联网安全的决定等法律层面的文件包括97年的计算机信息网络国际联网安全保护管理办法等部门规章3部侧重于信息安全系统与产品的部门规章包括97年的计算机信息系统安全专用产品检测和销售许可证管理办法等部门规章,10部侧重于保密的法律和部门规章包括89年的中华人民共和国保守国家秘密法等法律包括2000年的计算机信息系统国际联网保密管理规定等部门规章5部侧重于密码管理及应用的法规和部门规章包括99年的商用密码管理条例等法规包括2005年的电子认证服务管理办法、电子认证服务密码管理办法等部门规章包括2002年的上海市数字认证管理办法、2001年的海南省数字证书认证管理试行办法等地方法规或规章,9部侧重于计算机病毒与危害性程序防治的规章和部门法规包括2000年的计算机病毒防治管理办法等部门规章包括94年的北京市计算机信息系统病毒预防和控制管理办法、2002年的天津市预防和控制计算机病毒办法等地方法规或规章9部侧重于特定领域信息安全的部门规章和法规包括98年的金融机构计算机信息安全保护工作暂行规定、2003年的铁路计算机信息系统安全保护办法、2005年的证券期货业信息安全保障管理暂行办法等部门规章包括2003年的广东省电子政务信息安全管理暂行办法等地方法规或规章,3部侧重于信息安全监管的地方法规或规章包括2004年的上海市信息系统安全测评管理办法等地方法规或规章9部侧重于特定领域信息安全的部门规章和法规侧重于信息安全犯罪处罚的主要是我国刑法第285条、286条、287条等相关规定,2.2我国信息安全法规体系,我国信息安全法规体系,2.2.1国家法律,法律：是指由全国人民代表大会及其常委会通过的法律规范。,中华人民共和国宪法中华人民共和国刑法中华人民共和国电子签名法治安管理处罚条例中华人民共和国刑事诉讼法中华人民共和国国家安全法中华人民共和国保守国家秘密法中华人民共和国行政处罚法全国人大常委会关于维护互联网安全的决定,2.2.2行政法规,行政法规：是指国务院为执行宪法和法律而制定的法律规范与信息网络安全有关的行政法规。,国务院令147号：中华人民共和国计算机信息系统安全保护条例国务院令195号：中华人民共和国计算机信息网络国际联网管理暂行规定公安部令33号：计算机信息网络国际联网安全保护管理办法国务院令273号：商用密码管理条例国务院令291号：中华人民共和国电信条例国务院令292号：互联网信息服务管理办法国务院令339号：计算机软件保护条例,2.2.3部门规章及规范性文件,规章：是指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范。规范性文件：俗称“红头文件”。,公安部计算机信息系统安全专用产品检测和销售许可证管理办法计算机病毒防治管理办法金融机构计算机信息系统安全保护工作暂行规定关于开展计算机安全员培训工作的通知,信息产业部互联网电子公告服务管理规定软件产品管理办法计算机信息系统集成资质管理办法国际通信出入口局管理办法国际通信设施建设管理规定中国互联网络域名管理办法电信网间互联管理暂行规定,国务院新闻办互联网站从事登载新闻业务管理暂行规定教育部中国教育和科研计算机网暂行管理办法教育网站和网校暂行管理办法新闻出版署电子出版物管理规定,国家保密局计算机信息系统保密管理暂行规定计算机信息系统国际联网保密管理规定涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法涉密计算机信息系统建设资质审查和管理暂行办法关于加强政府上网信息保密管理的通知,中国证监会网上证券委托暂行管理办法国家广播电影电视总局关于加强通过信息网络向公众传播广播电影电视类节目管理的通告国家药品监督管理局互联网药品信息服务管理暂行规定原电子部、邮电部中国金桥信息网公众多媒体信息服务管理办法计算机信息网络国际联网出入口信道管理办法中国公用计算机互联网络国际联网管理办法中国公众多媒体通信管理办法专用网与公用网联通的暂行规定,2.2.4地方性法律法规,北京市法律法规北京市计算机信息系统集成资质管理暂行办法北京市人民政府令北京市政务与公共服务信息化工程建设管理办法北京市公安局关于加强计算机信息系统国际联网备案管理的通告,2.3我国信息安全法规需求,需求之一：电子政务基础之一的信息公开法政府信息的公开与保护：政府信息公开制度，指的是一个国家的政府，有义务根据公众的要求，公开除国防、外交、司法等领域的机密以外的、不危及国家安全和国家利益的所有信息，并方便公众获取的制度各国政府在制订“信息公开法”时都同时规定了信息保护的相关条款。例如，美国在“信息自由法”中规定，该法律不适用以下九种类型的信息：国防与外交，行政机关内部的规定或惯例，其他法律规定适用例外的信息，商业及金融信息，政府机关内部的备忘录或信函，个人隐私，执行部门的调查文件记录，关于金融机构的报告书，包括与油井有关的地图等地质学或地球物理学的信息和数据等,需求之二：国家正在制定信息安全条例国家统一信息安全管理权威的努力我国应确立信息安全的法律原则和基本制度，明确国家各部门以及社会各方面在信息安全保障的职责。例如建立和完善网络信息安全的监控、网络信息安全分析与共享、网络信息安全的评估、网络信息安全的应急保障、有害信息的防治、网络信息安全技术，特别是商业密码技术的管理、网络信息安全的人才培养和培训等制度。,需求之三：完善信息安全法律监管体系网络斗争形势要求加强对国家信息系统保护的立法；现行网络信息安全法制建设上存在一些问题，影响了国家信息安全行政管理和执法的整体效果；为适应WTO规则的要求，我国应尽快完善网络信息安全法律监管体系。若将近些年来在信息安全应急实践中总结出的成功经验与立法结合起来，如“谁主管、谁负责”，“谁经营，谁负责”等原则；将关键基础设施所有者、运营单位以及政府管理部门之间的安全应急协调机制、信息共享交流机制，以及监管制度以法律形式固定下来，将能有效地发挥各部门、各单位的作用，形成国家信息安全保障的工作机制。,需求之四：完善信息安全认证体系2001年9月，经国务院批准，中国国家认证认可监督管理委员会（国家认监委）正式成立。2004年10月18日，国家认监委在广泛征求了国务院各部门、相关省市信息安全主管部门、产品认证机构和检测机构、产品生产企业的意见的基础上，与公安部、安全部、信息产业部、保密局、密码局、国家质检总局和国信办等八个部门联合发出了关于建立国家信息安全产品认证认可体系的通知，为做好信息安全产品认证工作奠定了基础。,2.4我国信息安全法规发展,初步建设阶段1991年劳动部出台了全国劳动管理信息计算机系统病毒防治规定1994年2月18日国务院颁布了中华人民共和国计算机信息系统安全保护条例，该条例规定了计算机信息系统安全保护的主管机关、安全保护制度、安全监管等计算机信息网络国际联网安全保护管理办法、计算机信息系统保密管理暂行规定、商用密码管理条例、金融机构计算机信息安全保护工作暂行规定等,互联网安全阶段2000年12月28日全国人民代表大会常务委员会关于维护互联网安全的决定互联网信息服务管理办法、计算机信息系统国际联网保密管理规定（国家保密局）、计算机病毒防治管理办法（公安部）等,信息安全保障体系建设阶段2003年7月国家信息化领导小组第三次会议通过了国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）。该意见明确了加强信息安全保障工作的总体要求和主要原则，确定了实行信息安全等级保护、加强以密码技术为基础的信息保护和网络信任体系建设、建设和完善信息安全监控体系等工作重点电子签名法、电子认证服务管理办法、证券期货业信息安全保障管理暂行办法、广东省电子政务信息安全管理暂行办法、上海市信息系统安全测评管理办法、北京市信息安全服务单位资质等级评定条件（试行）等,当前发展关键需要一部信息安全的基本法与信息化相关的法律也亟待完善，如电信法、个人数据保护法等,2.5我国立法原则,谁主管、谁负责的原则突出重点的原则预防为主的原则安全审计的原则风险管理的原则,谁主管、谁负责的原则例如，互联网上网服务营业场所管理办法第三条规定如下：国务院信息产业部主管部门和省、自治区、直辖市电信管理机构负责，并有责任组织协调和督促检查同级有关部门，在各自职责范围内，依照本办法的规定，负责互联网上网服务营业场所的监督管理工作。省、自治区、直辖市电信管理机构，负责互联网上网服务营业场所经营许可审批和服务质量监督。公安部负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。文化部门负责管理互联网上网服务营业场所中含有色情、赌博、暴露、愚昧迷信等不健康电脑游戏的查处。工商行政管理部门负责核发互联网上网营业场所的营业制造和对无照经营、超范围经营等违法行为的查处。,突出重点的原则例如，中华人民共和国计算机信息系统安全保护条例第四条规定：计算机信息系统的安全保护工作，重点维护国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统的安全。,预防为主的原则如对病毒的预防，对非法入侵的防范等。,安全审计的原则例如：在计算机信息系统安全保护等级划分准则的第4.4.6款中，有关审计的说明如下：计算机信息系统可信计算基能维护受保护的客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。对不能由计算机信息系统可信计算基独立分别的审计事件，审计机制提供审计记录接口，可由授权主体调用。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。,风险管理的原则任何信息系统中都存在的脆弱点，它可以存在于计算机系统和网络中或管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点很容易受到威胁或攻击，因此要识别出脆弱点，识别出威胁，从而进行有效的防范。因为有风险，要评估出威胁出现后或攻击成功时系统所遭受的损失，从而衡量风险，并对风险进行管理。,我国信息安全保障体系我国信息安全法规体系我国重要信息安全法规小结：我国信息安全法规分析,本讲提纲,3我国重要信息安全法规,3.1中华人民共和国宪法3.2中华人民共和国刑法3.3中华人民共和国国家安全法3.4中华人民共和国保守国家秘密法3.5中华人民共和国电子签名法3.6商用密码管理条例3.7全国人大常务委员会关于维护互联网安全的决定3.8中华人民共和国计算机信息系统安全保护条例3.9信息网络传播权保护条例3.10计算机病毒防治管理办法,3.1中华人民共和国宪法,宪法是依法治国的根本大法，是我国一切法律的基础依据。因此，信息化建设和信息安全都要从根本上遵循宪法。宪法中同信息安全相关的内容有：第二十八条：国家维护社会秩序，镇压叛国和其他反革命的活动，制裁危害社会治安、破坏社会主义经济和其他犯罪的活动，惩办和改造犯罪分子。第三十五条：中华人民共和国公民有言论、出版、集会、结社、游行和示威的自由。第三十八条：中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和造谣陷害。第四十条：中华人民共和国公民的通信自由和通信秘密受法律的保护。,3.2中华人民共和国刑法,中华人民共和国刑法的任务，是用刑罚同一切犯罪行为作斗争，以保卫国家安全，保卫人民民主专政的政权和社会主义制度，保护国有财产和劳动群众集体所有的财产，保护公民私人所有的财产，保护公民的人身权利、民主权利和其他权利，维护社会秩序、经济秩序，保障社会主义建设事业的顺利进行。它是为了惩罚犯罪，保护人民，根据宪法，结合我国同犯罪作斗争的具体经验及实际情况而制定。在1997年刑法重新修订时，为了加强对计算机犯罪的打击力度，加进了部分关于计算机犯罪的条款。现在刑法中涉及到信息安全的部分分别有第217、218、285、286、287、288条。,第217条规定：以营利为目的，有下列侵犯著作权情形之一，违法所得数额较大或者有其他严重情节的，处三年以下有期徒刑或者拘役，并处或者单处罚金；违法所得数额巨大或者有其他特别严重情节的，处三年以上七年以下有期徒刑，并处罚金：未经著作权人许可，复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的；出版他人享有专有出版权的图书的；未经录音录像制作者许可，复制发行其制作的录音录像的；制作、出售假冒他人署名的美术作品的。,第218条规定：以营利为目的，销售明知是本法第二百一十七条规定的侵权复制品，违法所得数额巨大的，处三年以下有期徒刑或者拘役，并处或者单处罚金。,第285条规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第286条规定：违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,第287条规定：利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。第288条规定：违反国家规定，擅自设置、使用无线电台（站），或者擅自占用频率，经责令停止使用后拒不停止使用，干扰无线电通讯正常进行，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。,3.3中华人民共和国国家安全法,第一章总则（1-5条）：本法所称危害国家安全的行为，是指境外机构、组织、个人实施或者指使、资助他人实施的，或者境内组织、个人与境外机构、组织、个人相勾结实施的下列危害中华人民共和国国家安全的行为：（一）阴谋颠覆政府，分裂国家，推翻社会主义制度的；（二）参加间谍组织或者接受间谍组织及其代理人的任务的；（三）窃取、刺探、收买、非法提供国家秘密的；（四）策动、勾引、收买国家工作人员叛变的；（五）进行危害国家安全的其他破坏活动的。,第二章国家安全机关在国家安全工作中的职权（6-14条）提醒：第七条，国家安全机关的工作人员依法执行国家安全工作任务时，经出示相应证件，有权查验中国公民或者境外人员的身分证明；向有关组织和人员调查、询问有关情况。第三章公民和组织维护国家安全的义务和权利（15-22条）提醒（针孔摄像头）：第二十一条任何个人和组织都不得非法持有、使用窃听、窃照等专用间谍器材。,第四章法律责任（23-32条）提醒（某客座教授）：第二十五条在境外受胁迫或者受诱骗参加敌对组织，从事危害中华人民共和国国家安全的活动，及时向中华人民共和国驻外机构如实说明情况的，或者入境后直接或者通过所在组织及时向国家安全机关或者公安机关如实说明情况的，不予追究。第五章附则（33-34条）,3.4中华人民共和国保守国家秘密法,第一章总则（1-7条）第二章国家秘密的范围和密级(8-16条)第三章保密制度（17-30条）第四章法律责任（31-32条）第五章附则（33-35条）,第二章国家秘密的范围和密级,第八条国家秘密包括符合本法第二条规定的下列秘密事项：(一)国家事务的重大决策中的秘密事项；(二)国防建设和武装力量活动中的秘密事项；(三)外交和外事活动中的秘密事项以及对外承担保密义务的事项；(四)国民经济和社会发展中的秘密事项；(五)科学技术中的秘密事项；(六)维护国家安全活动和追查刑事犯罪中的秘密事项；(七)其他经国家保密工作部门确定应当保守的国家秘密事项。不符合本法第二条规定的，属于国家秘密。政党的秘密事项中符合本法第二条规定的，属于国家秘密。第九条国家秘密的密级分为“秘密”、“机密”、“绝密”三级。,第三章保密制度,第十七条属于国家秘密的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁，由国家保密工作部门制定保密办法。采用电子信息等技术存取、处理、传递国家秘密的办法，由国家保密工作部门会同中央有关机关规定。第十八条对绝密级的国家秘密文件、资料和其他物品，必须采取以下保密措施：(一)非经原确定密级的机关、单位或者其上级批准，不得复制和摘抄；(二)收发、传递和外出携带，由指定人员担任，并采取必要的安全措施；(三)在设备完善的保险装置中保存。经批准复制、摘抄的绝密级的国家秘密文件、资料和其他物品，依照前款规定采取保密措施。第十九条属于国家秘密的设备或者产品的研制、生产、运输、使用、保存、维修和销毁，由国家保密工作部门会同中央有关机关制定保密办法。,3.5中华人民共和国电子签名法,中华人民共和国电子签名法由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过，自2005年4月1日起施行，其配套部门规章电子认证服务管理办法同时实施。电子签名法被喻为“我国首部真正意义的信息化法律”，也是我国首部真正意义上的电子商务立法。它是为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益而制定的。,根据我国电子商务发展的实际需要，借鉴联合国及有关国家和地区有关电子签名立法的做法，我国电子签名立法的重点为：确立电子签名的法律效力；规范电子签名的行为；明确认证机构的法律地位及认证程序；规定电子签名的安全保障措施。,电子签名法规定：民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书、不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。,电子签名法规定：电子签名必须同时符合“电子签名制作数据用于电子签名时，属于电子签名人专有”、“签署时电子签名制作数据仅由电子签名人控制”、“签署后对电子签名的任何改动能够被发现”、“签署后对数据电文内容和形式的任何改动能够被发现”等几种条件，才能被视为可靠的电子签名。当事人也可以选择使用符合其约定的可靠条件的电子签名。,电子签名法规定：伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担相应的民事责任。,电子签名法的意义：电子签名法赋予电子签章与数据电文以法律效力，将在很大程度上消除网络信用危机。可以设想这样一种情景：一个完全数字化的环境，所有的交流都由数字间的传输来完成，人们用微型电脑处理以前必须存于在实体介质上的工作，并用网络来传递这些信息。从一定意义上说，电子签名法拉开了信息数字化时代的立法序幕而且也将大大促进和规范我国电子交易的发展。,3.6商用密码管理条例,第一章总则（1-4条）第二条本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。第三条商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。第四条国家密码管理委员会及其办公室（以下简称国家密码管理机构）主管全国的商用密码管理工作。,第二章科研、生产管理（5-9条）第五条商用密码的科研任务由国家密码管理机构指定的单位承担。第七条商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或者个人不得生产商用密码产品。第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。,第三章销售管理（10-13条）第十条商用密码产品由国家密码管理机构许可的单位销售。未经许可，任何单位或者个人不得销售商用密码产品。第十二条销售商用密码产品，必须如实登记直接使用商用密码产品的用户的名称（姓名）、地址（住址）、组织机构代码（居民身份证号码）以及每台商用密码产品的用途，并将登记情况报国家密码管理机构备案。第十三条进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。,第四章使用管理（14-16条）第十四条任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。第十五条境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准；但是，外国驻华外交代表机构、领事机构除外。第十六条商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障，必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品，应当向国家密码管理机构备案。,第五章安全、保密管理（17-19条）第十九条任何单位和个人不得非法攻击商用密码，不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动。第六章罚则（第20-25条）第七章附则（第26-27条）,3.7全国人大常务委员会关于维护互联网安全的决定,全国人大常务委员会关于维护互联网安全的决定于2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过。它是为了兴利除弊，促进我国互联网的健康发展，维护国家安全和社会公共利益，保护个人、法人和其他组织的合法权益而做的决定，从四个角度界定了犯罪行为。,1）为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。,2）为了维护国家安全和社会稳定，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一；通过互联网窃取、泄露国家秘密、情报或者军事秘密；利用互联网煽动民族仇恨、民族歧视，破坏民族团结；利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。,3）为了维护社会主义市场经济秩序和社会管理秩序，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：利用互联网销售伪劣产品或者对商品、服务作虚假宣传；利用互联网损害他人商业信誉和商品声誉；利用互联网侵犯他人知识产权；利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息；在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。,4）为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：利用互联网侮辱他人或者捏造事实诽谤他人；非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；利用互联网进行盗窃、诈骗、敲诈勒索。,并且，还补充说明：利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为，构成犯罪的，依照刑法有关规定追究刑事责任。利用互联网实施违法行为，违反社会治安管理，尚不构成犯罪的，由公安机关依照治安管理处罚条例予以处罚；违反其他法律、行政法规，尚不构成犯罪的，由有关行政管理部门依法给予行政处罚；对直接负责的主管人员和其他直接责任人员，依法给予行政处分或者纪律处分。利用互联网侵犯他人合法权益，构成民事侵权的，依法承担民事责任。,3.8中华人民共和国计算机信息系统安全保护条例,1994年2月18日国务院147号令发布了中华人民共和国计算机信息系统安全保护条例，条例是为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行而制定。,条例规定了计算机信息系统的范围：由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。条例规定了安全保护应达到的标准：应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。,条例中指出计算机信息系统的安全保护工作，是重点维护国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统的安全。条例还指出了计算机信息系统安全保护工作由公安部主管，中华人民共和国境内的计算机信息系统，均受限与此条例，在保护条例的第二章中制定了安全保护制度，第三章中制定了安全监督制度，并于第四章规定了相应的法律责任。,3.9信息网络传播权保护条例,信息网络传播权保护条例是为保护著作权人、表演者、录音录像制作者（以下统称权利人）的信息网络传播权，鼓励有益于社会主义精神文明、物质文明建设的作品的创作和传播，根据中华人民共和国著作权法（以下简称著作权法）而制定的，它于2006年5月10日国务院第135次常务会议通过，自2006年7月1日起施行。,条例中主要就如何实现权利人、网络服务提供者、作品使用者的利益平衡，正确的处理三者之间的关系而展开，对权利保护、权利限制以及网络服务提供者责任免除等作了规定。,根据信息网络传播权的特点，条例主要从以下方面对权利人权益规定了保护措施：保护信息网络传播权。除法律、行政法规另有规定的外，通过信息网络向公众提供权利人作品，应当取得权利人许可，并支付报酬。保护为保护权利人信息网络传播权采取的技术措施。条例不仅禁止故意避开或者破坏技术措施的行为，而且还禁止制造、进口或者向公众提供主要用于避开、破坏技术措施的装置、部件或者为他人避开或者破坏技术措施提供技术服务的行为。保护用来说明作品权利归属或者使用条件的权利管理电子信息。条例不仅禁止故意删除或者改变权利管理电子信息的行为，而且禁止提供明知或者应知未经权利人许可被删除或者改变权利管理电子信息的作品。建立处理侵权纠纷的“通知与删除”简便程序。,条例以著作权法的有关规定为基础，在不低于相关国际公约最低要求的前提下，对信息网络传播权作了合理限制：一是，合理使用。条例结合网络环境的特点，将著作权法规定的合理使用情形合理延伸到网络环境，规定为课堂教学、国家机关执行公务等目的在内通过信息网络提供权利人作品，可以不经权利人许可、不向其支付报酬。此外，考虑到我国图书馆、档案馆等机构已购置了一批数字作品，对一些损毁、丢失或者存储格式已过时的作品进行了合法数字化，为了借助信息网络发挥这些数字作品的作用，条例还规定，图书馆、档案馆等机构可以通过信息网络向馆舍内服务对象提供这些作品。二是，法定许可。为了发展社会公益事业，条例结合我国实际，规定了两种法定许可：其一，为发展教育设定的法定许可。为通过信息网络实施九年制义务教育或者国家教育规划，可以使用权利人作品的片段或者短小的文字作品、音乐作品或者单幅的美术作品、摄影作品制作课件，由法定教育机构通过信息网络向注册学生提供，但应当支付报酬。其二，为扶助贫困设定的法定许可。为扶助贫困，通过信息网络向农村地区的公众免费提供中国公民、法人或者其他组织已经发表的与扶助贫困有关的作品和适应基本文化需求的作品，网络服务提供者可以通过公告的方式征询权利人的意见，并支付报酬，但不得直接或者间接获取经济利益。,网络服务提供者作为作品传播的中间环节，也负有相应的法律责任，网络服务提供者包括网络信息服务提供者和网络接入服务提供者，是权利人和作品使用者之间的桥梁。为了促进网络产业发展，有必要降低网络服务提供者通过信息网络提供作品的成本和风险。而且，网络服务提供者对服务对象提供侵权作品的行为，往往不具有主观过错。为此，条例借鉴一些国家的有效做法，对网络服务提供者提供服务规定了四种免除赔偿责任的情形。,一是，网络服务提供者提供自动接入服务、自动传输服务的，只要按照服务对象的指令提供服务，不对传输的作品进行修改，不向规定对象以外的人传输作品，不承担赔偿责任。二是，网络服务提供者为了提高网络传输效率自动存储信息向服务对象提供的，只要不改变存储的作品、不影响提供该作品网站对使用该作品的监控、并根据该网站对作品的处置而做相应的处置，不承担赔偿责任。三是，网络服务提供者向服务对象提供信息存储空间服务的，只要标明是提供服务、不改变存储的作品、不明知或者应知存储的作品侵权、没有从侵权行为中直接获得利益、接到权利人通知书后立即删除侵权作品，不承担赔偿责任。四是，网络服务提供者提供搜索、链接服务的，在接到权利人通知书后立即断开与侵权作品的链接，不承担赔偿责任。但是，如果明知或者应知作品侵权仍链接的，应承担共同侵权责任。,四种免除赔偿责任的情形：,3.10计算机病毒防治管理办法,计算机病毒防治管理办法是公安部于2000年4月26日发布执行的，共22条。目的是加强对计算机病毒的预防和治理。,其主要内容如下：公安部公共信息网络安全监察部门主管全国的计