信息安全法规论文

《信息安全法规论文》由会员分享，可在线阅读，更多相关《信息安全法规论文（11页珍藏版）》请在装配图网上搜索。

1、题 目 信息产业法律法规授课老师学生姓名 学 号 专 业电子信息工程教学单位 德州学院完成时间2013年11月16日一、摘要2二、引言2三、网络信息安全的脆弱性23.1互联网的开放性，TCP/IP的通用性33.2互联网安全脆弱性的根本原因33.3互联网威胁的普遍性33.4管理方面的困难性4四、信息产业法律法规的重要性4五、信息安全保护规范化与法制化55.1国外面对网络威胁采取的主要对策55.2我国面对网络威胁采取的主要对策6六、如何逐步消除网络安全隐患66.1建立网络安全长效机制的重要手段66.2引发网络安全事件的原因76.3 保 障 信 息 安 全 任 重 道远 7七、案例及其分析7八、结论

2、10参考文献10信息产业法律法规一、摘要信息技术是当今世界经济社会发展的重要驱动力，电子信息产业是国民经济 的战略性、基础性和先导性支柱产业，对于促进社会就业、拉动经济增长、调整 产业结构、转变发展方式和维护国家安全具有十分重要的作用。为应对国际金融 危机的影响，落实党中央、国务院保增长、扩内需、调结构的总体要求，确保电 子信息产业稳定发展，信息产业的安全保障已迫在眉睫，面对高速发展的计算机 技术信息产业随之崛起，不仅带来了经济发展的动力更增添了法律法规的压力， 如何制定法律法规来确保信息产业安全快速发展便成为当前相当棘手的问题。关键字：计算机信息系统 计算机信息网络 计算机病毒防治 信息系统

3、 安全 安全法规 密码管理 安全保护 联网管理 互联网络二、引言随着信息产业的迅速发展，在计算机上完成的工作已由基于单机的文件处 理、自动化办公，发展到今天的企业内部网、企业外部网和国际互联网的世界范 围内的信息共享和业务处理，也就是我们常常说的局域网、城域网和广域网。计 算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机 网络在为人们提供便利、带来效益的同时，也使人类面临着信息安全的巨大挑战。 计算机网络操作的规范化以及信息产业的法律法规的健全不得不提上议事日程。由于网络信息安全的脆弱性 使得一些不法分子钻了空档，利用计算机网络 的弱点，强大侵略性的病毒以及信息产业法律法

4、规的不健全性来获取非法利益， 其中组织和单位的计算机网络是黑客攻击的主要目标。如果黑客组织能攻破组 织及单位的计算机网络防御系统，他就有访问成千上万计算机的可能性。据统计， 近年来因网络安全事故造成的损失每年高达上千亿美元。计算机系统的脆弱已为 各国政府与机构所认识1。三、网络信息安全的脆弱性因特网已遍及世界180多个国家，为亿万用户提供了多样化的网络与信息服 务。在因特网上，除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外， 网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化 社会中，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面 发挥越来越大的作用

5、。社会对网络信息系统的依赖也日益增强。各种各样完备的 网络信息系统，使得秘密信息和财富高度集中于计算机中。另一方面，这些网络 信息系统都依靠计算机网络接收和处理信息，实现相互间的联系和对目标的管 理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。 网络正在逐步改变人们的工作方式和生活方式，成为当今社会发展的一个主题。然而，伴随着信息产业发展而产生的互联网和网络信息的安全问题，也已成 为各国政府有关部门、各大行业和企事业领导人关注的热点问题。目前，全世界 每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。面 对这种现实，各国政府有关部门和企业不得不重视网络

6、安全的问题。互联网安全问题为什么这么严重？这些安全问题是怎么产生的呢？综合技 术和管理等多方面因素，我们可以归纳为四个方面：互联网的开放性、自身的脆 弱性、攻击的普遍性、管理的困难性。3.1互联网是一个开放的网络，TCP/IP是通用的协议各种硬件和软件平台的计算机系统可以通过各种媒体接入进来，如果不加限 制，世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束， 迅速通过互联网影响到世界的每一个角落。3.2互联网的自身的安全缺陷是导致互联网脆弱性的根本原因互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段，由于最初 的互联网只是用于少数可信的用户群体，因此设计时没有充分考虑

7、安全威胁，互 联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。一般认为，软 件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所 包含的安全漏洞也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻 击的重要目标。尽管系统提供了某些安全机制，但是由于管理员或者用户的技术 水平限制、维护管理工作量大等因素，这些安全机制并没有发挥有效作用。比如， 系统的缺省安装和弱口令是大量攻击成功的原因之一。3.3互联网威胁的普遍性是安全问题的另一个方面随着互联网的发展，攻击互联网的手段也越来越简单、越来越普遍。目前攻 击工具的功能却越来越强，而对攻击者的知识水平要求却越来越低，因

8、此攻击者 也更为普遍。3.4管理方面的困难性也是互联网安全问题的重要原因具体到一个企业内部的安全管理，受业务发展迅速、人员流动频繁、技术更 新快等因素的影响，安全管理也非常复杂，经常出现人力投入不足、安全政策不 明等现象。扩大到不同国家之间，虽然安全事件通常是不分国界的，但是安全管 理却受国家、地理、政治、文化、语言等多种因素的限制。跨国界的安全事件的 追踪就非常困难。四、信息产业法律法规的重要性在今年的政府工作报告中,物联网、三网融合、3G被明确提及。这意味着在 中国经济形势最为复杂的2010年,在转变经济增长方式、发展新兴产业、扩大内 需过程中,信息产业将发挥举足轻重的作用。而仅物联网一项

9、，就将带来难以估量的巨大空间。与人们的普遍感知相反， 物联网并不是一个遥不可及、不可触摸的概念,它已经悄无声息地潜入到我们的 日常生活中：当我们在超市消费结账时，会享受到射频识别（RFID）服务,这是物 联网；当我们使用汽车导航仪时，会享受到全球定位系统的服务，这也是物联网。简单来说，物联网就是一个“物物相联”的互联网，相比于“人人相联”的 互联网，物联网也将呈几何级数的增长。值得注意的是，物联网还有着长长的产业链，云计算、三网融合和北斗系统这 些技术均可纳入物联网的范畴。广州证券林穗林认为，在当今科技时代，随着居民消费水平的提高，新的信息 需求将不断产生，信息技术产品将加快升级换代，信息产业

10、将继续扮演推动产业 升级、迈向信息社会的“发动机”角色。随着经济结构的改善，资本市场也已经提前做出了反映。目前,IT运维管理 龙头一一神州泰岳取代贵州茅台成为资本市场第一高价股。据工信部预计,2010年电子信息产业的固定资产投资增长将快于2009年,预 计增速为20%左右。有以上资料可知，信息产业在我国经济建设中所占比重日益增长，信息产业 成为我国经济发展的“宠儿”已是不争的事实，我们在信息产业获得收益的同时 不应忽视信息产业的脆弱性所引发的信息产业的安全性问题给我们带来的巨大 挑战。信息产业法律法规的规范化与法制化五、信息安全保护规范化与法制化在信息化的潮流中，在信息化与否之间没有第二种选择

11、，只有选择如何更好 地让信息化为提高单位工作效率，为增强企业竞争力服务。如何让信息化建设真 正有效地为单位或企业服务，是个颇费心思的问题；这也是一个不断尝试，不断 改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移，运 作非常依赖信息资产前，企业管理层安全意识薄弱的问题是有一定的客观原因 的；随着企业信息化水平的不断加深，管理层网络安全意识应该会逐步得到增强， 并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点，从电信、 金融、电力等极度依赖信息系统的领域可以看出来。5.1国外面对网络威胁采取的主要对策鉴于当前世界网络面临如此多的安全隐患，世界各国均十分重视，纷纷采

12、取 对策。5.1.1美国的网络安全建设1998年5月22日，美国政府颁发了保护美国关键基础设施总统令 （PDD-63），围绕“信息保障”成立了多个组织，其中包括全国信息保障委员会、 全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机 事件响应能动组等10多个全国性机构。1998年美国国家安全局（NSA）又制定 了信息保障技术框架（IATF），提出了 “深度防御策略”，确定了包括网络与 基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御战略 目标2000年1月，美国又发布了保卫美国的计算机空间保护信息系统的 国家计划。该计划分析了美国关键基础设施所面临的威胁，

13、确定了计划的目标 和范围，制定出联邦政府关键基础设施保护计划（其中包括民用机构的基础设施 保护方案和国防部基础设施保护计划）以及私营部门、州和地方政府的关键基础 设施保障框架。5.1.2俄罗斯的网络安全建设1995年颁布了联邦信息、信息化和信息保护法，1997年出台的俄罗斯 国家安全构想，2000年普京总统批准了国家信息安全学说，为提供高效益、 高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保 护信息的法律责任；明确提出：“保障国家安全应把保障经济安全放在第一位”， 而“信息安全又是经济安全的重中之重”；明确了联邦信息安全建设的目的、任 务、原则和主要内容。第一次明确指出

14、了俄罗斯在信息领域的利益是什么、受到 的威胁是什么以及为确保信息安全首先要采取的措施等。5.2我国面对网络威胁采取的主要对策5.2.1加强对网络信息安全的重视国家有关部门建立了相应的机构，发布了有关的法规，以加强对网络信息安 全的管理。2000年1月，国家保密局发布的计算机信息系统国际联网保密管 理规定已开始实施；2000年3月，中国国家信息安全测评认证中心计算机测 评中心宣告成立；2000年4月，公安部发布了计算机病毒防治管理办法；2000 年7月，我国第一个国家信息安全产业基地在四川省成都高新技术产业开发区奠 基；2000年10月，信息产业部成立了网络安全应急协调小组，国家计算机网络 与信

15、息安全管理工作办公室主办了 “计算机网络应急工作企业级研讨会”，这一 切都反映出我国对计算机网络与信息安全的高度重视，以及努力推动我国信息安 全产业发展、提高我国信息安全技术水平的决心。5.2.2强化信息网络安全保障体系建设在十六大会议上，江泽民同志指出：“信息化是我国加快实现工业化和现代 化的必然选择，坚持以信息化带动工业化，以工业化促进信息化，走出一条科技 含量高的路子大力推进信息化”。中央保密委员会、最高人民检察院也多次在 2003年发文要求做好信息保密工作，切实防范外来的侵害和网络化带来业务的 泄密，明确规定“计算机信息系统，不得与公网、国际互联网直接或间接的连接”， 如要相连，“必须

16、采取物理隔离的保密防范措施”。六、如何逐步消除网络安全隐患6.1建立网络安全长效机制的重要手段建立规范的网络秩序，需要不断完善法制，探索网络空间所体现的需求和原 则，为规范网络空间秩序确定法律框架；建立规范的网络秩序，还要在道德和文 化层面确定每个使用网络者的义务，每个人必须对其网络行为承担法律和道德责 任是规范网络秩序的一个重要准则；建立规范的网络秩序，需要在法制基础上建 立打击各类网络犯罪有效机制和手段。6.2引发网络安全事件的原因据调查，因“利用未打补丁或未受保护的软件漏洞”，占50. 3%；对员工 不充分的安全操作和流程的培训及教育占36. 3%；紧随其后的是缺乏全面的网 络安全意识教

17、育，占28. 7%。因此，要用直观、易懂、演示性的方式来加强员 工的网络安全意识水平，降低企业面临的各种风险，提高竞争力。并且要像广告 一样，经常提醒员工，才能达到更好的效果。6.3保障信息安全任重道远专家认为，我国目前网络安全的推进重点，已开始由物理层面的防毒向文化、 思想、精神层面的防毒转变，倡导网络文明和净化网络环境内容。截至目前，信 息产业部启动的“阳光绿色网络工程”系列活动，已经取得显著成果，并正在长 期系统地净化着网络环境。与此同时，国内各大网站也开始倡导文明办网的良好风气。只有各方尽责， 构筑一个长效机制，全球网络安全才有可能得到根本地改善。七、案例及其分析金融计算机网络犯罪典型

18、案例2003年11月14日，甘肃省破获首例利用邮政储蓄专用网络，进行远程金 融盗窃的案件。这起发生在定西一个乡镇的黑客案件，值得我们多方面关注。他将犯罪的目光瞄准了邮政储蓄，利用网络窃取了 83万余元，最终难逃法 网10月5日13时12分，定西地区临洮县太石镇邮政储蓄所的营业电脑一阵 黑屏，随即死机。营业员不知何故，急忙将刚刚下班尚未走远的所长叫了回来。 所长以为电脑出现了故障，向上级报告之后，没太放在心上。17日，电脑经过 修复重新安装之后，工作人员发现打印出的报表储蓄余额与实际不符。经过对账 发现，5日13时发生了 11笔交易、总计金额达83. 5万元的异地账户系虚存（有 交易记录但无实际

19、现金）。当储蓄所几天之后进一步与开户行联系时，发现存款 已经分别于6日、11日被人从兰州、西安两地取走37. 81万元，他们意识到了 问题的严重性，于10月28日向临洮县公安局报了案。县公安局经过初步调查，基本认定这是一起数额巨大的金融盗窃案，随即向 定西公安处汇报。公安处十分重视，立即制定了详细的侦查计划，组成专案组， 全力侦查此案，并上报省公安厅。面对特殊的侦破任务，专案组兵分两路，一方面在省、市邮政局业务领导和 计算机专家的协助下，从技术的角度分析黑客作案的手段以及入侵的路径；另一 方面，使用传统的刑侦方法，大范围调查取证专案组首先对有异常情况的8个活期账户进行了调查，发现都属假身份证储

20、 户。此时，技术分析的结果也出来了，经过大量网络数据资料的分析，发现作案 人首先是以会宁邮政局的身份登录到了永登邮政局，然后再以永登邮政局的名义 登入了临洮太石邮政储蓄所。专案组对会宁邮政局进行了调查，发现该局系统维 护人员张少强最近活动异常。暗查发现，其办公桌上有一条电缆线连接在了不远 处的邮政储蓄专用网络上。专案组基本确认，张少强正是这起金融盗窃案的主谋。 11月14日22时，张少强在其住所被专案组抓获。经过审问，张少强交待了全部犯罪事实。10月5日，张少强在会宁利用笔 记本电脑侵入邮政储蓄网络后，非法远程登录访问临洮太石邮政储蓄所的计算 机，破译对方密码之后进入操作系统，以营业员身份向自

21、己8月末预先在兰州利 用假身份证开设的8个活期账户存入了 11笔共计83. 5万元的现金，并在退出 系统前，删除了营业计算机的打印操作系统，造成机器故障。第二天，他在兰州 10个储蓄网点提取现金5. 5万元，并将30. 5万元再次转存到他所开设的虚假 账户上。10月11日，张少强乘车到西安，利用6张储蓄卡又提取现金1. 8万 元。至此，这件远程金融盗窃案告破，83. 5万元完璧归赵。案例分析：分析整个案例，不难看出，是管理上存在的漏洞、工作人员安全 意识的淡薄，才造成了如此严重的局面。案发前，张少强私搭电缆，从来没有人 过问，更没有人阻止，让他轻易地将邮政储蓄专用网络置于自己的掌握之中。而 另

22、一方面，临洮县太石镇的邮政储蓄网点竟然一直使用原始密码，不仅没有定期 更改，也没有在工作人员之间互相保密，于是张少强很轻松地就突破了数道密码 关，直接进入了操作系统，盗走了83. 5万元。而且，当工作人员发现已经出了问题时，还认为是内部网络系统出了故障，根本没有想到会有网络犯罪的情况发 生。在这些网络犯罪案件中，很大一部分是因为使用者安全意识淡薄造成的。在 张少强案结案之后，甘肃省公安厅网监处的叶弘副处长曾经感叹道：“我们处总 共只有60多个网络警察，负责全省的网络安全工作，但是一多半的警力都浪费 在抓一些简单的案子上面疽公众缺乏网络安全防范意识，重应用轻管理，尤其 不重视网络安全问题。即使是

23、某些涉及到民生的行业也是如此，制定的安全规章 制度不执行，负责的管理人员保密意识不强，普通的工作人员又缺乏专门的安全 防范知识，当犯罪发生时不能及时发现并制止。这些都造成了网络领域内犯罪现 象的急剧增长。网络安全专家把网络犯罪归纳为五性：隐蔽性、智能性、连续性、无国界性 和巨大的危害性。张少强案也告诉我们，网络联结的广阔性一旦管理不善，可能 就成了它的弱点，即使这种管理不善是在一个偏僻乡村的网点，它也可能成为黑 客进入网络核心的一条捷径。黑客入侵并进行非法交易一网上非法购物案例洛杉矶的一个联邦大陪审团指控一名罗马尼亚计算机黑客和5名美国人 阴谋从世界上最大的技术分销商那里偷到价值1千万美元的计

24、算机设备。起诉指 控Calin Mateias非法入侵Ingram Micro的在线订单系统，并且在计算机诈骗 下单定购计算机和计算机设备。作为互联网诈骗圈的一环，他指导让这些设备被 发送到被散布在美国各地的10多个地址。根据起诉，1999年Mateias开始非法 入侵Ingram micro公司的订单系统。利用它非法入侵所得到的信息，他绕过 Ingram Micro公司的安全保护，假装成合法用户，订购计算机设备，要求被送 往罗马尼亚。当1999年早些时候，Ingram micro公司将打包好的全部设备运输 到东欧国家的时候，Meteias从互联网聊天时征募到Tinubu，Crisovan，

25、Long 和Bailey，要求他们提供地址给他，作为诈骗订购的设备“落单“的地址。反 过来，四个人有招募其他人，包括高中生，提供更多地址来接受盗骗来的商品。 在美国的被告们每个人都买点设备并且发送收入给Mateias，或者他们又重新包 装这些，并把他们在发送到罗马尼亚。案例分析：这是一起非常典型的跨国网上电子购物诈骗案件，案犯充分利用 了互联网所提供的通信和联系上的极大方便，组织多人共同从事犯罪活动，指挥 严密。这种行为给供货企业带来了极大的损害，产生巨大的损失。推广、网上购 物和支付认证，是一个解决问题的较好办法。八、结论计算机信息安全是一门边缘性、交叉性学科，我国除了密码学研究开展较早，

26、有较好的基础和积累外，很多方面与国际差距较大。我们要积极吸取借鉴国际上 住处网络安全的先进技术和经验，并在此基础上不断创新。信息安全有它的特殊 性，他与国家安全息息相关，各国的关键技术是不会公开的；有的国家对出口的 密码产品做出了种种限制，公开声称不会让他们不能破译的密码设备出口；在一 些出口的住处网络安全系统中设置了“系统中的系统”，以获取和控制别国的信 息。因此，我们既不能进行自己无法监控的信息网络安全设备，也不能照搬国外 的信息网络安全技术，必须把发展网络安全放自己的基点上。所以国家制定相应 的安全法律法规是必要的，为信息安全营造一个良好的环境4参考文献：【1】陶阳.计算机与网络安全 重庆：重庆大学出版社，2005.【2】陈斌.计算机网络安全与防御，信息技术与网络服务，2006.【3】朱建军.网络安全防范手册，人民邮电出版社，2007【4】石志国编著.信息安全概论，清华大学出版社，2007