信息安全法规论文

题目信息产业法律法规授课老师学生姓名学号专业电子信息工程教学单位德州学院完成时间2013年11月16日一、摘要····················································2二、引言·····················································2三、网络信息安全的脆弱性····································23.1互联网的开放性，TCP/IP的通用性·······················33.2互联网安全脆弱性的根本原因····························33.3互联网威胁的普遍性····································33.4管理方面的困难性······································4四、信息产业法律法规的重要性··································4五、信息安全保护规范化与法制化·······························55.1国外面对网络威胁采取的主要对策我国面对网络威胁采取的主要对策如何逐步消除网络安全隐患建立网络安全长效机制的重要手段·引发网络安全事件的原因·6.3保障信息安全任重道远··7七、案例及其分析··············································7八、结论······················································10参考文献······················································10成为我国经济发展的“宠儿”已是不争的事实，我们在信息产业获得收益的同时不应忽视信息产业的脆弱性所引发的信息产业的安全性问题给我们带来的巨大挑战。信息产业法律法规的规范化与法制化五、信息安全保护规范化与法制化在信息化的潮流中，在信息化与否之间没有第二种选择，只有选择如何更好地让信息化为提高单位工作效率，为增强企业竞争力服务。如何让信息化建设真正有效地为单位或企业服务，是个颇费心思的问题；这也是一个不断尝试，不断改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移，运作非常依赖信息资产前，企业管理层安全意识薄弱的问题是有一定的客观原因的；随着企业信息化水平的不断加深，管理层网络安全意识应该会逐步得到增强，并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点，从电信、金融、电力等极度依赖信息系统的领域可以看出来。5.1国外面对网络威胁采取的主要对策鉴于当前世界网络面临如此多的安全隐患，世界各国均十分重视，纷纷采取对策。5.1.1美国的网络安全建设1998年5月22日，美国政府颁发了《保护美国关键基础设施》总统令（PDD-63），围绕“信息保障”成立了多个组织，其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。1998年美国国家安全局（NSA）又制定了《信息保障技术框架》（IATF），提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御战略目标2000年1月，美国又发布了《保卫美国的计算机空间──保护信息系统的国家计划》。该计划分析了美国关键基础设施所面临的威胁，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划（其中包括民用机构的基础设施保护方案和国防部基础设施保护计划）以及私营部门、州和地方政府的关键基础设施保障框架。5.1.2俄罗斯的网络安全建设1995年颁布了《联邦信息、信息化和信息保护法》，1997年出台的《俄罗斯国家安全构想》，2000年普京总统批准了《国家信息安全学说》，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任；明确提出：“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重”；明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。5.2我国面对网络威胁采取的主要对策5.2.1加强对网络信息安全的重视国家有关部门建立了相应的机构，发布了有关的法规，以加强对网络信息安全的管理。2000年1月，国家保密局发布的《计算机信息系统国际联网保密管理规定》已开始实施；2000年3月，中国国家信息安全测评认证中心计算机测评中心宣告成立；2000年4月，公安部发布了《计算机病毒防治管理办法》；2000年7月，我国第一个国家信息安全产业基地在四川省成都高新技术产业开发区奠基；2000年10月，信息产业部成立了网络安全应急协调小组，国家计算机网络与信息安全管理工作办公室主办了“计算机网络应急工作企业级研讨会”，这一切都反映出我国对计算机网络与信息安全的高度重视，以及努力推动我国信息安全产业发展、提高我国信息安全技术水平的决心。5.2.2强化信息网络安全保障体系建设在十六大会议上，江泽民同志指出：“信息化是我国加快实现工业化和现代化的必然选择，坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高的路子大力推进信息化”。中央保密委员会、最高人民检察院也多次在2003年发文要求做好信息保密工作，切实防范外来的侵害和网络化带来业务的泄密，明确规定“计算机信息系统，不得与公网、国际互联网直接或间接的连接”，如要相连，“必须采取物理隔离的保密防范措施”。六、如何逐步消除网络安全隐患6.1建立网络安全长效机制的重要手段建立规范的网络秩序，需要不断完善法制，探索网络空间所体现的需求和原则，为规范网络空间秩序确定法律框架；建立规范的网络秩序，还要在道德和文化层面确定每个使用网络者的义务，每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则；建立规范的网络秩序，需要在法制基础上建立打击各类网络犯罪有效机制和手段。6.2引发网络安全事件的原因据调查，因“利用未打补丁或未受保护的软件漏洞”，占50．3％；对员工不充分的安全操作和流程的培训及教育占36．3％；紧随其后的是缺乏全面的网络安全意识教育，占28．7％。因此，要用直观、易懂、演示性的方式来加强员工的网络安全意识水平，降低企业面临的各种风险，提高竞争力。并且要像广告一样，经常提醒员工，才能达到更好的效果。6.3保障信息安全任重道远专家认为，我国目前网络安全的推进重点，已开始由物理层面的防毒向文化、思想、精神层面的防毒转变，倡导网络文明和净化网络环境内容。截至目前，信息产业部启动的“阳光绿色网络工程”系列活动，已经取得显著成果，并正在长期系统地净化着网络环境。与此同时，国内各大网站也开始倡导文明办网的良好风气。只有各方尽责，构筑一个长效机制，全球网络安全才有可能得到根本地改善。案例及其分析[3]金融计算机网络犯罪典型案例2003年11月14日，甘肃省破获首例利用邮政储蓄专用网络，进行远程金融盗窃的案件。这起发生在定西一个乡镇的黑客案件，值得我们多方面关注。他将犯罪的目光瞄准了邮政储蓄，利用网络窃取了83万余元，最终难逃法网……10月5日13时12分，定西地区临洮县太石镇邮政储蓄所的营业电脑一阵黑屏，随即死机。营业员不知何故，急忙将刚刚下班尚未走远的所长叫了回来。所长以为电脑出现了故障，向上级报告之后，没太放在心上。17日，电脑经过修复重新安装之后，工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现，5日13时发生了11笔交易、总计金额达83．5万元的异地账户系虚存（有交易记录但无实际现金）。当储蓄所几天之后进一步与开户行联系时，发现存款已经分别于6日、11日被人从兰州、西安两地取走37．81万元，他们意识到了问题的严重性，于10月28日向临洮县公安局报了案。县公安局经过初步调查，基本认定这是一起数额巨大的金融盗窃案，随即向定西公安处汇报。公安处十分重视，立即制定了详细的侦查计划，组成专案组，全力侦查此案，并上报省公安厅。面对特殊的侦破任务，专案组兵分两路，一方面在省、市邮政局业务领导和计算机专家的协助下，从技术的角度分析黑客作案的手段以及入侵的路径；另一方面，使用传统的刑侦方法，大范围调查取证专案组首先对有异常情况的8个活期账户进行了调查，发现都属假身份证储户。此时，技术分析的结果也出来了，经过大量网络数据资料的分析，发现作案人首先是以会宁邮政局的身份登录到了永登邮政局，然后再以永登邮政局的名义登入了临洮太石邮政储蓄所。专案组对会宁邮政局进行了调查，发现该局系统维护人员张少强最近活动异常。暗查发现，其办公桌上有一条电缆线连接在了不远处的邮政储蓄专用网络上。专案组基本确认，张少强正是这起金融盗窃案的主谋。11月14日22时，张少强在其住所被专案组抓获。经过审问，张少强交待了全部犯罪事实。10月5日，张少强在会宁利用笔记本电脑侵入邮政储蓄网络后，非法远程登录访问临洮太石邮政储蓄所的计算机，破译对方密码之后进入操作系统，以营业员身份向自己8月末预先在兰州利用假身份证开设的8个活期账户存入了11笔共计83．5万元的现金，并在退出系统前，删除了营业计算机的打印操作系统，造成机器故障。第二天，他在兰州10个储蓄网点提取现金5．5万元，并将30．5万元再次转存到他所开设的虚假账户上。10月11日，张少强乘车到西安，利用6张储蓄卡又提取现金1．8万元。至此，这件远程金融盗窃案告破，83．5万元完璧归赵。案例分析：分析整个案例，不难看出，是管理上存在的漏洞、工作人员安全意识的淡薄，才造成了如此严重的局面。案发前，张少强私搭电缆，从来没有人过问，更没有人阻止，让他轻易地将邮政储蓄专用网络置于自己的掌握之中。而另一方面，临洮县太石镇的邮政储蓄网点竟然一直使用原始密码，不仅没有定期更改，也没有在工作人员之间互相保密，于是张少强很轻松地就突破了数道密码关，直接进入了操作系统，盗走了83．5万元。而且，当工作人员发现已经出了问题时，还认为是内部网络系统出了故障，根本没有想到会有网络犯罪的情况发生。在这些网络犯罪案件中，很大一部分是因为使用者安全意识淡薄造成的。在张少强案结案之后，甘肃省公安厅网监处的叶弘副处长曾经感叹道：“我们处总共只有60多个网络警察，负责全省的网络安全工作，但是一多半的警力都浪费在抓一些简单的案子上面。”公众缺乏网络安全防范意识，重应用轻管理，尤其不重视网络安全问题。即使是某些涉及到民生的行业也是如此，制定的安全规章制度不执行，负责的管理人员保密意识不强，普通的工作人员又缺乏专门的安全防范知识，当犯罪发生时不能及时发现并制止。这些都造成了网络领域内犯罪现象的急剧增长。网络安全专家把网络犯罪归纳为五性：隐蔽性、智能性、连续性、无国界性和巨大的危害性。张少强案也告诉我们，网络联结的广阔性一旦管理不善，可能就成了它的弱点，即使这种管理不善是在一个偏僻乡村的网点，它也可能成为黑客进入网络核心的一条捷径。黑客入侵并进行非法交易—网上非法购物案例洛杉矶的一个联邦大陪审团指控一名罗马尼亚计算机黑客和5名美国人阴谋从世界上最大的技术分销商那里偷到价值1千万美元的计算机设备。起诉指控CalinMateias非法入侵IngramMicro的在线订单系统，并且在计算机诈骗下单定购计算机和计算机设备。作为互联网诈骗圈的一环，他指导让这些设备被发送到被散布在美国各地的10多个地址。根据起诉，1999年Mateias开始非法入侵Ingrammicro公司的订单系统。利用它非法入侵所得到的信息，他绕过IngramMicro公司的安全保护，假装成合法用户，订购计算机设备，要求被送往罗马尼亚。当1999年早些时候，Ingrammicro公司将打包好的全部设备运输到东欧国家的时候，Meteias从互联网聊天时征募到Tinubu，Crisovan，Long和Bailey，要求他们提供地址给他，作为诈骗订购的设备“落单“的地址。反过来，四个人有招募其他人，包括高中生，提供更多地址来接受盗骗来的商品。在美国的被告们每个人都买点设备并且发送收入给Mateias，或者他们又重新包装这些，并把他们在发送到罗马尼亚。案例分析：这是一起非常典型的跨国网上电子购物诈骗案件，案犯充分利用了互联网所提供的通信和联系上的极大方便，组织多人共同从事犯罪活动，指挥严密。这种行为给供货企业带来了极大的损害，产生巨大的损失。推广、网上购物和支付认证，是一个解决问题的较好办法。八、结论计算机信息安全是一门边缘性、交叉性学科，我国除了密码学研究开展较早，有较好的基础和积累外，很多方面与国际差距较大。我们要积极吸取借鉴国际上住处网络安全的先进技术和经验，并在此基础上不断创新。信息安全有它的特殊性，他与国家安全息息相关，各国的关键技术是不会公开的；有的国家对出口的密码产品做出了