網絡安全法律法規
主 要 内 容
一(yī)、我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架 二、計算機犯罪的防範和打擊 三、網絡安全管理要求 四、安全産品及服務的管理要求 五、信息系統安全等級保護的基本技術要求 六、中(zhōng)華人民共和國電(diàn)子簽名法
一(yī)、我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
一(yī)、我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架分(fēn)爲四個層面:
---- 法律
---- 行政法規
---- 地方性法規、規章
---- 規範性文件
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
法律:是指由全國人民代表大(dà)會及其
常委會通過的法律規範。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
法 律
我(wǒ)(wǒ)國與網絡安全相關的法律主要有:
《憲法》 《人民警察法》
《刑法》 《治安管理處罰條例》
《刑事訴訟法》 《國家安全法》
《保守國家秘密法》 《行政處罰法》
《行政訴訟法》 《行政複議法》
《國家賠償法》 《立法法》
《中(zhōng)華人民共和國電(diàn)子簽名法》 《全國人大(dà)常委會關于維護互聯網安全的決定》等
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
法 律
1、《中(zhōng)華人民共和國人民警察法》
第六條第十二款明确規定,公安機關的 人民警察依法“履行監督管理計算機信息系 統的安全保護工(gōng)作”職責。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
法 律
2、《全國人大(dà)常委會關于維護互聯網安全的決定》 (2000年12月28日)
這是我(wǒ)(wǒ)國第一(yī)部關于互聯網安全的法律。該法分(fēn)别從
(1)保障互聯網的運行安全;
(2)維護國家安全和社會穩定;
(3)維護社會主義市場經濟秩序和社會管理秩序;
(4)保護個人、法人和其他組織的人身、财産等 合法權利等四個方面,共15款,明确規定了對構成犯 罪的行爲,依照刑法有關規定追究刑事責任。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
法 律
3、《刑法》(1997年3月14日修訂)
1997年《刑法》修改後,除了分(fēn)則規定的大(dà)多數 犯罪罪種(包括危害國家安全罪,危害公共安全罪、 破壞社會主義市場經濟秩序罪,侵犯公民人身權利、 民主權利罪、侵犯财産罪,妨害社會管理秩序罪)都 适用于利用計算機網絡實施的犯罪以外(wài),還專門在第 285條和第286條分(fēn)别規定了非法入侵計算機信息系統 罪和破壞計算機信息系統罪,共兩條四款。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行政法規:是指國務院爲執行憲法和法律而制定的法律規範。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
與網絡安全有關的行政法規主要有:
國務院令147号:《中(zhōng)華人民共和國計算機信息系統安全保護條例》
國務院令195号:《中(zhōng)華人民共和國計算機信息網絡國際聯網管理暫行規定》
公安部令33号:《計算機信息網絡國際聯網安全保護管理辦法》
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
與網絡安全有關的行政法規主要有:
國務院令273号:《商(shāng)用密碼管理條例》
國務院令291号:《中(zhōng)華人民共和國電(diàn)信條例》
國務院令292号:《互聯網信息服務管理辦法》
國務院令339号:《計算機軟件保護條例》等。
名 詞 解 釋
計算機信息系統: 由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一(yī)定的應用目 标和規則對信息進行采集、加工(gōng)、存儲、傳輸、檢 索等處理的人機系統。
計算機病毒: 計算機病毒是指編制或者在計算 機程序中(zhōng)插入的破壞計算機功能或者毀壞數據,影 響計算機使用,并能自我(wǒ)(wǒ)複制的一(yī)組計算機指令或 者程序代碼。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
1、《中(zhōng)華人民共和國計算機信息系統安全保護條例》(1994年2月18日)
這是我(wǒ)(wǒ)國第一(yī)部涉及計算機信息系統安全的行政法規。
《條例》賦予“公安部主管全國計算機信息系統安全保護工(gōng)作”的職能。主管權體(tǐ)現在:
(1)監督、檢查、指導權;
(2)計算機違法犯罪案件查處權;
(3)其他監督職權。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
-------《中(zhōng)華人民共和國計算機信息系統安全保護條例》
計算機信息系統安全保護的基本制度:
1、計算機信息系統建設和使用制度
2、安全等級保護制度
3、計算機機房及其環境管理制度
4、國際聯網備案制度 (進行計算機國際聯網的單位和個人要向公安機關備案)
5、計算機信息系統使用單位的安全管理制度
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
-------《中(zhōng)華人民共和國計算機信息系統安全保護條例》
計算機信息系統安全保護的基本制度:
6、信息媒體(tǐ)進出境申報制度
7、案件強制報告制度 (對計算機信息系統中(zhōng)發生(shēng)的案件,有關單位應當在24小(xiǎo)時内向當地縣級以上人民政府公安機關報告)
8、計算機病毒防治專管制度 (即計算機病毒和危害社會公共安全的其他有害數據的防治工(gōng)作,由公安部歸口管理)
9、對計算機信息系統安全專用産品的銷售實行許可證制度。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
2、《中(zhōng)華人民共和國計算機信息網絡國際聯網管理暫行規定》
計算機信息網絡進行國際聯網的原則:
1、必須使用郵電(diàn)部國家公用電(diàn)信網提供的國際出入口信道。
2、接入網絡必須通過互聯網絡進行國際聯網。
3、用戶的計算機或計算機信息網絡必須通過接入網絡進行國際聯網。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
------《中(zhōng)華人民共和國計算機信息網絡國際聯網管理暫行規定》
《規定》對互聯網接入單位實行國際聯網經營許可證制度(經營性)和審批制度(非經營性),限定了接入單位的資(zī)質條件、 服務能力及其法律責任。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
《中(zhōng)華人民共和國計算機信息網絡國際聯網管理暫行規定對違反《規定》第六條、第八條和第十條的行爲,即:
(1)自行建立或者使用其他信道進行國際聯網的;
(2)未按規定通過互聯網絡進行國際聯網的;
(3)未按規定通過接入網絡進行國際聯網;
(4)未經許可和審批從事國際聯網經營業務的。 由公安機關責令停止聯網,給予警告,可以并處15000元以下(xià)的罰款;有違法所得的,沒收違法所得。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
3、《計算機信息網絡國際聯網安全保
護管理辦法》 (公安部令33号)
1997年12月11日國務院批準、1997年12月30日公 安部第33号令發布,是我(wǒ)(wǒ)國第一(yī)部全面調整互聯網絡 安全的行政法規,不僅對我(wǒ)(wǒ)國互聯網的初期發展起到 了重要的保障作用,而且爲後續有關網絡安全的法規、 規章的出台起到了重要的指導作用。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
------《計算機信息網絡國際聯網安全保護管理辦法》
(1)任何單位和個人不得利用國際聯網危害國家安全、洩露國家秘密, 不得侵犯國家的、社會的、集體(tǐ)的利益和公民的合法權益,不得從事違法犯罪活動。
(2)任何單位和個人不得利用國際聯網制作、複制、查閱和傳播有害信息。
(3)任何單位和個人不得從事危害計算機信息網絡安全的活動 。
(4)任何單位和個人不得違反法律規定,利用國際聯網侵犯用戶的通信自由和通信秘密。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
行 政 法 規
------《計算機信息網絡國際聯網安全保護管理辦法》
《辦法》規定了六項安全保護責任:
(1)國際聯網單位和個人應當接受公安機關的安全監
督、檢查和指導,提供有關安全保護的資(zī)料并協
助公安機關查處違法犯罪的責任。
(2)國際出入口信道提供單位、互聯單位的主管部門
或者主管單位的安全保護管理責任。
(3)互聯單位、接入單位及聯網單位的安全保護責任。
(4)備案責任。
(5)使用公用帳号的注冊者的責任。
(6)重要領域采取安全保護措施的責任。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章:是指國務院各部、委根據法律和國
務院行政法規,在本部門的權限範圍内 制定的法律規範,以及省、自治區、直 轄市和較大(dà)的市的人民政府根據法律、 行政法規和本省、自治區、直轄市的地 方性法規制定的法律規範。
規範性文件:俗稱“紅頭文件”
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件
------與網絡安全相關的部門規章和規範性文件
公安部----
? 《計算機信息系統安全專用産品檢測
和銷售許可證管理辦法》
? 《計算機病毒防治管理辦法》
? 《金融機構計算機信息系統安全保護工(gōng)作暫行規定》
? 《關于開(kāi)展計算機安全員(yuán)培訓工(gōng)作的通知(zhī)》等。
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件
------與網絡安全相關的部門規章和規範性文件
信息産業部----
《互聯網電(diàn)子公告服務管理規定》
《軟件産品管理辦法》
《計算機信息系統集成資(zī)質管理辦法》
《國際通信出入口局管理辦法》
《國際通信設施建設管理規定》
《中(zhōng)國互聯網絡域名管理辦法》
《電(diàn)信網間互聯管理暫行規定》
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件
------與網絡安全相關的部門規章和規範性文件
國務院新聞辦----
《互聯網站從事登載新聞業務管理暫行規定》
教育部----
《中(zhōng)國教育和科研計算機網暫行管理辦法》
《教育網站和網校暫行管理辦法》
新聞出版署----
《電(diàn)子出版物(wù)管理規定》
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件
------與網絡安全相關的部門規章和規範性文件
國家保密局---
《計算機信息系統保密管理暫行規定》
《計算機信息系統國際聯網保密管理規定》
《涉及國家秘密的通信、辦公自動化和計算機 信息系統審批暫行辦法》
《涉密計算機信息系統建設資(zī)質審查和管理暫行辦法》
《關于加強政府上網信息保密管理的通知(zhī)》
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件------與網絡安全相關的部門規章和規範性文件
中(zhōng)國證監會----《網上證券委托暫行管理辦法》
國家廣播電(diàn)影電(diàn)視總局----《關于加強通過信息網絡向公衆傳播廣播電(diàn)影電(diàn)視類節目管理的通告》
國家藥品監督管理局----《互聯網藥品信息服務管理暫行規定》
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件
------與網絡安全相關的部門規章和規範性文件
原電(diàn)子部、郵電(diàn)部----
《中(zhōng)國金橋信息網公衆多媒體(tǐ)信息服務管理辦法》
《計算機信息網絡國際聯網出入口信道管理辦法》
《中(zhōng)國公用計算機互聯網絡國際聯網管理辦法》
《中(zhōng)國公衆多媒體(tǐ)通信管理辦法》
《專用網與公用網聯通的暫行規定》
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件
地方規章和規範性文件----
《廣東省計算機信息系統安全保護管理規定》
2003年3月31日廣東省人民政府第十屆4次常務會議通過
2003年6月1日起實施
《廣東省計算機信息系統安全保護管理規定實施細則》
2003年7月1日起實施
四川省計算機信息系統安全保護管理辦法
(1996年3月28日四川省人民政府令第79号發布 自1996年5月1施行)
我(wǒ)(wǒ)國網絡安全立法體(tǐ)系框架
規章及規範性文件
《廣東省計算機信息系統安全保護管理規定》要求:
縣以上公安機關主管本行政區域内的計算機信息系 統安全保護工(gōng)作公安機關、國家安全機關,在緊急情況下(xià),可采取 24小(xiǎo)時内暫時停機、暫停聯網、備份數據等措施地級以上市公安機關應有專門機構負責計算機信息系統發生(shēng)的案件和重大(dà)安全事故報警的接受和處理地級以上公安機關應爲計算機信息系統使用單位和 個人提供安全指導,并向社會公布舉報電(diàn)話(huà)和電(diàn)子郵箱
二、計算機犯罪的防範和打擊
計算機犯罪的防範和打擊
計算機犯罪的種類及特征
分(fēn)類标準
特點
常見形式
以互聯網絡作爲生(shēng) 被動性質,引誘一(yī) 1、 色情網站
存空間 般人進入 2、 六合彩站點
以互聯網作爲犯罪 針對特定目标進行 1、 在網絡上進行
工(gōng)具 侵害,使用網絡作 恐吓、诽謗
爲犯罪工(gōng)具 2、 網絡詐騙
3、傳播有害信息
以互聯網作爲犯罪 對網絡或計算機信 1、 入侵網絡
客體(tǐ) 息系統進行破壞、 2、 散布病毒
攻擊
計算機犯罪的防範和打擊
《中(zhōng)華人民共和國刑法》
第二百八十五條 違反國家規定,侵入國家 事務、國防建設、尖端科學技術領域的計算 機信息系統的,處三年以下(xià)有期徒刑或者拘 役。
計算機犯罪的防範和打擊
《中(zhōng)華人民共和國刑法》
第二百八十六條 違反國家規定,對計算機信息系統
功能進行删除、修改、增加、幹擾,造成計算機信 息系統不能正常運行,後果嚴重的,處五年以下(xià)有 期徒刑。
違反國家規定,對計算機信息系統中(zhōng)存儲、處 理或者傳播的數據和應用程序進行删除、修改、增 加的操作,後果嚴重的,依照前款處罰。
故意制作、傳播計算機病毒等破壞性程序,影 響計算機系統正常運行,後果嚴重的,依照第一(yī)款 處罰。
《四川省計算機信息系統安全保護管理辦法》
第三十二條 有下(xià)列行爲之一(yī)的,由公安機關給予警告或者處以 1000元以上5000元以下(xià)罰款;構成犯罪,依法追究刑事責任:
(一(yī))未經批準,研究、收集或者保存計算機病毒的;
(二)未經批準,公開(kāi)發布計算機病毒疫情的;
(三)未經批準,開(kāi)展涉及計算機病毒機理的活動的;
(四)制造、銷售、出租、維修的計算機軟件、硬件産品中(zhōng)含有計 算機病毒和其他有害數據的。
第三十三條 有下(xià)列行爲之一(yī)的,由公安機關給予警告或者對個人
處以2000元以上5000元以下(xià)罰款,對單位處以5000元以上15000元以下(xià) 罰款;有違法所得的,除予以沒收外(wài),可處違法所得:至3倍的罰款
(一(yī))制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(二)非法複制、截收、竄改計算機信息系統中(zhōng)的數據危害計算機信息系統安全的;
(三)未經許可銷售計算機信息系統安全專用産品的。
計算機犯罪的防範和打擊
計算機犯罪現場證據保全
計算機犯罪現場:發Th計算機犯罪的計算機應
用環境及系統。 保護現場:關鍵是保持發Th犯罪後的第一(yī)狀态。
最好有備份系統支持運行,将關鍵數據備份下(xià)來。
教訓:深圳某銀行:發Th案件後,懷疑是内外(wài)勾結, 但沒有采取必要的人員(yuán)隔離(lí)措施和計算機備份,談 話(huà)後第二天,所有操作記錄全部删除,無從查起。
計算機犯罪的防範和打擊
案 件 報 告
一(yī)、報告
《中(zhōng)華人民共和國計算機信息系統安全保護條例》規定了案件強制報告制度。
二、發Th計算機犯罪案件後如何報案
向誰報案:發Th計算機犯罪案件後,立即向當地公安機關、 派出所或公共網絡安全監察部門報案。
報案材料:
(一(yī))基本事實----何時、何事、後果、現狀、可能原因等;
(二)提取的初步證據----破壞的結果、破壞行爲的計算機 記錄、日志(zhì)審計記錄等;
(三)以上材料及打印的文字材料必須加蓋公章及騎縫章。
三、網絡安全管理要求
網絡安全管理要求
《中(zhōng)華人民共和國計算機信息系統安全保護條例》
《計算機信息網絡國際聯網安全保護管理辦 法》
各個地方性的計算機信息系統安全保護管 理規定網絡安全管理要求
《計算機信息網絡國際聯網安全保護管理辦法》
第五條 任何單位和個人不得利用國際聯網制作、複制、查閱
和傳播下(xià)列信息:
(一(yī)) 煽動抗拒、破壞憲法和法律、行政法規實施的;
(二) 煽動颠覆國家政權,推翻社會主義制度的;
(三) 煽動分(fēn)裂國家、破壞國家統一(yī)的;
(四) 煽動民族仇恨、民族歧視,破壞民族團結的;
(五) 捏造或者歪曲事實,散布謠言,擾亂社會秩序的;
(六) 宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
(七) 公然侮辱他人或者捏造事實诽謗他人的;
(八) 損害國家機關信譽的;
(九) 其他違反憲法和法律、行政法規的。
網絡安全管理要求
《計算機信息網絡國際聯網安全保護管理辦法》
第六條 任何單位和個人不得從事下(xià)列危害計算機網絡安全的活動:
(一(yī))未經允許,進入計算機信息網絡或者使用計算機 信息網絡資(zī)源的;
(二)未經允許,對計算機信息網絡功能進行删除、修改或者增加的;
(三)未經允許,對計算機信息網絡中(zhōng)存儲、處理或者
傳輸的數據和應用程序進行删除、修改或增加的; (四)故意制作、傳播計算機病毒等破壞性程序的; (五)其他危害計算機網絡安全的。
網絡安全管理要求
《計算機信息網絡國際聯網安全保護管理辦法》
第十條 互聯單位、接入單位及使用計算機信息網絡國際聯網的法人和其他組織應當履行下(xià)列安全保護職責:
(一(yī))負責本網絡的安全保護管理工(gōng)作,建立健全安全 保護管理制度;
(二)落實安全保護技術措施,保障本網絡的運行安全和信息安全;
(三)負責對本網絡用戶的安全教育和培訓; (四)對委托發布信息的單位和個人進行登記,并對所提供的信息内容按照本辦法第五條進行審核。
網絡安全管理要求
《計算機信息網絡國際聯網安全保護管理辦法》
(五)建立計算機信息網絡電(diàn)子公告系統的用戶
登記和信息管理制度; (六)發現有本辦法第四條、第五條、第六條、
第七條所列情形之一(yī)的,應當保留有關原始記錄, 并在二十四小(xiǎo)時内向當地公安機關報告;
(七)按照國家有關規定,删除本網絡中(zhōng)含有本 辦法第五條内容的地址、目錄或者關閉服務器。
網絡安全管理要求
四川省計算機信息系統安全保護管理辦法辦法
第四條 計算機信息系統的安全保護,應當保障計算機 及其配套的和相關的設備、設施(含網絡)和運行環 境的安全,以及計算機信息的安全,确保計算機功能 的正常發揮,維護計算機信息系統的安全運行。
計算機信息系統安全保護工(gōng)作,重點維護國家事 務、經濟建設、國防建設、尖端科學技術等重要領域 的計算機信息系統的安全。
網絡安全管理要求
《廣東省計算機信息系統安全保護管理規定》
第八條 計算機信息系統使用單位應當建立并執行以下(xià)
安全保護制度:
(一(yī))計算機機房安全管理制度;
(二)安全管理責任人、信息審查員(yuán)的任免和安全責
任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息發布審查、登記、保存、清除和備份制度, 信息群發服務管理制度。
網絡安全管理要求
《廣東省計算機信息系統安全保護管理規定》
第九條 計算機信息系統使用單位應當落實以下(xià)安全保護技術
措施:
(一(yī)) 系統重要部分(fēn)的冗餘或備份措施;
(二) 計算機病毒防治措施;
(三) 網絡攻擊防範、追蹤措施;
(四) 安全審計和預警措施;
(五)系統運行和用戶使用日志(zhì)記錄保存60日以上措施;
(六)記錄用戶主叫電(diàn)話(huà)号碼和網絡地址的措施;
(七)身份登記和識别确認措施;
(八)信息群發限制和有害數據防治措施。
向公衆提供上網服務的場所以及其他從事國際聯 網業務的單位應當安裝符合國家規定的安全管理軟件。
網絡安全管理要求
管 理 要 求
(一(yī))安全保護組織
建立計算機信息系統安全保護組織,由 單位行政領導人擔任安全保護組織的領導。
網絡安全管理要求
管 理 要 求
(二)計算機安全員(yuán)
計算機應用單位應當按照計算機安全管 理行業技術規範要求,配備計算機安全技術 人員(yuán)。計算機安全技術人員(yuán)必須經過市主管 部門認可的安全技術培訓,考核合格後持證 上崗。
合格證有效期爲四年。
網絡安全管理要求
管 理 要 求
計算機安全員(yuán)主要職責
1、執行本單位計算機安全管理的各項規章制度;
2、按照安全管理行業技術規範要求對計算機系統安 全運行情況進行檢查測試,即排除各種安全隐患;
3、發Th安全事故或計算機犯罪案例時,應當立即向 本單位安全管理責任人報告并采取妥善措施,保 護現場,保留有關原始記錄,在24小(xiǎo)時内向當地 公安機關報案,避免危害的擴大(dà)。
網絡安全管理要求
管 理 要 求
(三)交互式欄目管理要求
1、關鍵字過濾
1> 智能過濾;
2> 關鍵字應跟随形勢的變化而變化;
3> 關鍵字過濾掉的帖子,應另做保存;
2、作好審計工(gōng)作,記錄張貼人的IP地址。
3、認真落實“先審後發”的信息預審制度,把有 害信息扼殺在萌芽狀态。
網絡安全管理要求
管 理 要 求
交互式欄目中(zhōng)出現了有害信息時,應按以下(xià)工(gōng)作要求處理:
1、對有害信息進行備份。
1> 對有害信息進行拷屏;
2> 把有害信息的文字部分(fēn)拷貝到word中(zhōng);
3> 記錄張貼人、張貼人IP、張貼時間等;
2、删除有害信息;
3、報告。
1> 要在15分(fēn)鍾之内将有害信息的有關内容通過電(diàn)話(huà)和傳 真兩種方式通報市公安局網監處;
2> 及時報告本單位領導;
網絡安全管理要求
管 理 要 求
(四)交友網站管理要求
1、注冊信息進行審查;
2、日志(zhì)審計;
3、交友站點中(zhōng)往往存在多種信息服務方式, 例如:聊天室、BBS、短信等。應分(fēn)别針對不 同的服務欄目加強管理。
網絡安全管理要求
管 理 要 求
(五)互聯網短信安全管理要求
1、短信息平台服務商(shāng)必須按照國家的法律、法規建 立短信息關鍵字匹配過濾系統,删除、過濾和封 堵有害短信息;
2、短信息平台服務商(shāng)必須采取有效的技術安全措施,
建立限制群發和變相群發的系統,
3、對所發的短信息的日志(zhì)進行安全審計。
4、由公安機關要督促短信息服務商(shāng)必須建立健全安 全保護管理制度和落實安全保護技術措施,當出 現對社會穩定造成一(yī)定影響的大(dà)量有害信息時, 短信息服務商(shāng)必須配合公安機關處理有關問題。
網絡安全管理要求
管 理 要 求
(六)垃圾及有害電(diàn)子郵件管理要求
1、關閉郵件系統的匿名轉發服務;
網絡安全管理要求
關閉郵件系統的匿名轉信服務
Windows 2000 server版的用戶可按以下(xià)步驟操作:
1、打開(kāi)電(diàn)腦的 “開(kāi)始”--> “設置” --> “控制 面闆” --> “管理工(gōng)具” --> “Internet服務管理 器”
2、展開(kāi)左邊的樹(shù)形結構,選中(zhōng)其中(zhōng)的“默認SMTP虛
拟服務”項。 3、按鼠标右鍵,在彈出菜單中(zhōng)選中(zhōng)“屬性”項
4、在彈出窗口中(zhōng)選“訪問”頁,按“身份驗證”按 鈕,取消“匿名訪問”複選框,按“确定”即可禁 止匿名轉信。
網絡安全管理要求
禁止郵件服務步驟:
1、打開(kāi)電(diàn)腦的 “開(kāi)始” --> “設置” --> “控制
面闆” --> “管理工(gōng)具” --> “計算機管理”。
2、打開(kāi)左邊“服務和應用程序”,選其中(zhōng)的“服務” 項。
3、如果在右邊發現“Simple Mail Transport
Protocol (SMTP)”,則表明系統安裝有郵件服務。 4、可以直接雙擊該項,在彈出窗口中(zhōng)将“啓動類型”
改成“禁用”,按“确定”即禁止郵件服務。
網絡安全管理要求
管 理 要 求
(六)垃圾及有害電(diàn)子郵件管理要求
1、關閉郵件系統的匿名轉發服務(open relay); 2、要求所有郵件系統具有本地郵件服務器發送電(diàn)子 郵件帳号核實功能 、具有拒絕接受非本地郵件系
統以本地用戶名義自發自收郵件功能;
3、過濾
過濾技術是目前反垃圾郵件用到的主要技術。 電(diàn)子郵件通常具有幾個重要特征,标準電(diàn)子郵件 地址、主題、信件内容等相關字段,這些特征是 過濾技術判斷、分(fēn)析、統計和提取的依據。
網絡安全管理要求
管 理 要 求
(七)下(xià)載服務管理要求
1 關閉匿名上傳FTP;
2 對下(xià)載内容進行審查;
(八)其他
參見相關法律法規。
四、安全服務及産品的管理要求
安全服務及産品的管理要求
用 語 含 義
網絡安全檢測産品:是指掃描、探測計算
機信息系統漏洞的安全專用産品。
計算機信息系統安全服務:是指從事計算 機信息系統(包括計算機機房)安全設計、 建設、檢測、維護、監理等業務。
安全服務及産品的管理要求
安全服務資(zī)質申請
《廣東省計算機信息系統安全保護管理規定》申請安全服務資(zī)質的機構或單位,應 具備相應的條件,持相關資(zī)料向地級以上的 市公安機關申請。
安全服務及産品的管理要求
對重點安全保護單位的要求
--- 安全管理責任人必須經培訓持證上崗
--- 計算機機房安全保障體(tǐ)系的設計、建 設和檢測應由有安全服務資(zī)質的機構承擔。
--- 計算機信息系統及計算機機房須經具 有安全服務資(zī)質的機構檢測合格後,方可 投入使用
安全服務及産品的管理要求
對安全專用産品的管理要求
公安部《計算機信息系統安全專用産品檢測和銷售許可證管理辦法》
第三條 中(zhōng)華人民共和國境内的安全專用産品進入市場銷售, 實行銷 售許可證制度。
安全專用産品的生(shēng)産者在其産品進入市場銷售之前, 必須申領《計 算機信息系統安全專用産品銷售許可證》(以下(xià)簡稱銷售許可 證)。
第四條 安全專用産品的生(shēng)産者申領銷售許可證, 必須對其産品進行安全功能檢測和認定。
第五條 公安部計算機管理監察部門負責銷售許可證的審批頒發 工(gōng)作和安全專用産品安全功能檢測機構(以下(xià)簡稱檢測機構) 的審批工(gōng)作。
安全服務及産品的管理要求
對安全專用産品的管理要求
——網絡安全檢測産品的購買使用單位:
1)應當持單位的證明文件到所在地地級以上市公安機關公共網 絡安全監察部門辦理備案手續,公安機關應當在15日内予以 辦理,發給《網絡安全檢測産品購買備案表》。
2)用戶應當憑《網絡安全檢測産品購買備案表》購買網絡安全檢測産品。
3)投入使用後,應當在10日内将本單位的《用戶IP地址配置備 案表》報送所在地地級以上市公安機關公共網絡安全監察部 門備案。
4)安全檢測産品隻限于單位購買使用。購買網絡安全檢測産品 的單位應當指定專人管理和使用,不得出租、出借、轉讓、 贈送,不得擅自用于檢測他人計算機信息系統。
安全服務及産品的管理要求
對安全服務機構的管理
《廣東省計算機信息系統安全保護管理規定實施細則》規定
安全服務機構的安全服務資(zī)質實行:
----服務資(zī)質的申請制
----分(fēn)級管理制
(分(fēn)四級,不同等級對應承擔不同工(gōng)程量資(zī)格)
----服務資(zī)質等級的條件劃分(fēn)
----服務資(zī)質的年審制
----安全審驗
五、信息系統安全等級保護的基本技術要求
信息系統安全等級保護的基本技術要求
安全保護技術要求及标準
GB 17859-1999 《計算機信息系統安全保護等級劃分(fēn)準則》
GB/T 387-2002 《計算機信息系統安全等級保護網絡技術要求》
GB/T 388-2002 《計算機信息系統安全等級保護操作系統技術要求》
GB/T 389-2002 《計算機信息系統安全等級保護數據庫管理技術要求》
GB/T 390-2002 《計算機信息系統安全等級保護通用技術要求》
GB/T 391-2002 《計算機信息系統安全等級保護管理要求》
GA 371-2001 《計算機信息系統實體(tǐ)安全技術要求》
第一(yī)部分(fēn):局域計算環境
信息系統安全等級保護的基本技術要求
需要實施安全等級保護的信息系統
1 黨政系統(黨委、政府);
2 金融系統(銀行、保險、證券)及财稅系統(财政、稅務、 工(gōng)商(shāng));
3 經貿系統(商(shāng)業貿易、海關);
4 電(diàn)信系統(郵電(diàn)、電(diàn)信、廣播、電(diàn)視);
5 能源系統(電(diàn)力、熱力、燃氣、煤炭、 油料);
6 交通運輸系統(航空、航天、鐵路、公路、水運、海運);
信息系統安全等級保護的基本技術要求
需要實施安全等級保護的信息系統
7 供水系統(水利及水源供給);
8 社會應急服務系統(醫療、消防、緊急救援);
9 教育科研系統(教育、科研、尖端科技);
10 國防建設系統;
11 國有大(dà)中(zhōng)型企業系統;
12 互聯單位、接入單位、重點網站及向公衆提供
上網服務場所的計算機信息系統。
信息系統安全等級保護的基本技術要求
計算機安全保護等級劃分(fēn)
–第一(yī)級爲用戶自主保護級。它的安全保護機制使用 戶具備自主安全保護的能力,保護用戶的信息免受 非法的讀寫破壞。
–第二級爲系統審計保護級。除具備第一(yī)級所有的安 全保護功能外(wài),要求創建和維護訪問的審計跟蹤記 錄,使所有的用戶對自己的行爲的合法性負責。
–第三級爲安全标記保護級。除繼承前一(yī)個級别的安 全功能外(wài),還要求以訪問對象标記的安全級别限制 訪問者的訪問權限,實現對訪問對象的強制保護。
信息系統安全等級保護的基本技術要求
計算機安全保護等級劃分(fēn)
–第四級爲結構化保護級。在繼承前面安全級别安全 功能的基礎上,将安全保護機制劃分(fēn)爲關鍵部分(fēn)和 非關鍵部分(fēn),對關鍵部分(fēn)直接控制訪問者對訪問對 象的存取,從而加強系統的抗滲透能力。
–第五級爲訪問驗證保護級。這一(yī)個級别特别增設了 訪問認證功能,負責仲裁訪問者對訪問對象的所有 訪問活動。
六、中(zhōng)華人民共和國電(diàn)子簽名法
《中(zhōng)華人民共和國電(diàn)子簽名法》已由中(zhōng)華人民共和國第十屆全國人民 代表大(dà)會常務委員(yuán)會第十一(yī)次會議于2004年8月28日通過,現予公布,自 2005年4月1日起施行
第二條本法所稱電(diàn)子簽名,是指數據電(diàn)文中(zhōng)以電(diàn)子形式所含、所附 用于識别簽名人身份并表明簽名人認可其中(zhōng)内容的數據。
本法所稱數據電(diàn)文,是指以電(diàn)子、光學、磁或者類似手段生(shēng)成、發送、 接收或者儲存的信息。
第三條民事活動中(zhōng)的合同或者其他文件、單證等文書(shū),當事人可以約 定使用或者不使用電(diàn)子簽名、數據電(diàn)文。
當事人約定使用電(diàn)子簽名、數據電(diàn)文的文書(shū),不得僅因爲其采用電(diàn)子簽 名、數據電(diàn)文的形式而否定其法律效力。
前款規定不适用下(xià)列文書(shū):
(一(yī))涉及婚姻、收養、繼承等人身關系的;
(二)涉及土地、房屋等不動産權益轉讓的;
(三)涉及停止供水、供熱、供氣、供電(diàn)等公用事業服務的;
(四)法律、行政法規規定的不适用電(diàn)子文書(shū)的其他情形。
第四條能夠有形地表現所載内容,并可以随時調取查用的數據電(diàn)文,視爲符合法律、法規要求的書(shū)面 形式。
第八條審查數據電(diàn)文作爲證據的真實性,應當考慮以下(xià)因素:
(一(yī))生(shēng)成、儲存或者傳遞數據電(diàn)文方法的可靠性;
(二)保持内容完整性方法的可靠性;
(三)用以鑒别發件人方法的可靠性;
(四)其他相關因素。
第十三條電(diàn)子簽名同時符合下(xià)列條件的,視爲可靠的電(diàn)子簽名:
(一(yī))電(diàn)子簽名制作數據用于電(diàn)子簽名時,屬于電(diàn)子簽名人專有;
(二)簽署時電(diàn)子簽名制作數據僅由電(diàn)子簽名人控制;
(三)簽署後對電(diàn)子簽名的任何改動能夠被發現;
(四)簽署後對數據電(diàn)文内容和形式的任何改動能夠被發現。
當事人也可以選擇使用符合其約定的可靠條件的電(diàn)子簽名。
第十四條可靠的電(diàn)子簽名與手寫簽名或者蓋章具有同等的法律效力。
第二十一(yī)條電(diàn)子認證服務提供者簽發的電(diàn)子簽
名認證證書(shū)應當準确無誤,并應當載明下(xià)列内容:
(一(yī))電(diàn)子認證服務提供者名稱;
(二)證書(shū)持有人名稱;
(三)證書(shū)序列号;
(四)證書(shū)有效期;
(五)證書(shū)持有人的電(diàn)子簽名驗證數據;
(六)電(diàn)子認證服務提供者的電(diàn)子簽名;
(七)國務院信息産業主管部門規定的其他内容。
結 束 語
網絡安全工(gōng)作任重道遠,在日常 工(gōng)作中(zhōng),隻有認真貫徹執行各項法 律、法規和政策,堅持以預防爲主,以管理爲輔,打防相結合的工(gōng)作原則,才能始終與安全同行。