信息網(wǎng)絡安全法律法規(guī).ppt

1、網(wǎng)絡安全法律法規(guī),主 要 內(nèi) 容,一、我國網(wǎng)絡安全立法體系框架 二、計算機犯罪的防范和打擊 三、網(wǎng)絡安全管理要求 四、安全產(chǎn)品及服務的管理要求 五、信息系統(tǒng)安全等級保護的基本技術要求 六、中華人民共和國電子簽名法,一、我國網(wǎng)絡安全立法體系框架,我國網(wǎng)絡安全立法體系框架分為四個層面： - 法律 - 行政法規(guī) - 地方性法規(guī)、規(guī)章 - 規(guī)范性文件,一、我國網(wǎng)絡安全立法體系框架,法律：是指由全國人民代表大會及其 常委會通過的法律規(guī)范。,我國網(wǎng)絡安全立法體系框架,我國與網(wǎng)絡安全相關的法律主要有： 憲法 人民警察法 刑法 治安管理處罰條例 刑事訴訟法 國家安全法 保守國家秘密法 行政處罰法 行政訴訟法

2、行政復議法 國家賠償法 立法法 中華人民共和國電子簽名法 全國人大常委會關于維護互聯(lián)網(wǎng)安全的決定 等,法 律,我國網(wǎng)絡安全立法體系框架,法 律,我國網(wǎng)絡安全立法體系框架,1、中華人民共和國人民警察法 第六條第十二款明確規(guī)定，公安機關的人民警察依法“履行監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”職責。,法 律,我國網(wǎng)絡安全立法體系框架,2、全國人大常委會關于維護互聯(lián)網(wǎng) 安全的決定 （2000年12月28日） 這是我國第一部關于互聯(lián)網(wǎng)安全的法律。該法分別從（1）保障互聯(lián)網(wǎng)的運行安全； （2）維護國家安全和社會穩(wěn)定； （3）維護社會主義市場經(jīng)濟秩序和社會管理秩序； （4）保護個人、法人和其他組織的人身、

3、財產(chǎn)等合法權利等四個方面，共15款，明確規(guī)定了對構成犯罪的行為，依照刑法有關規(guī)定追究刑事責任。,法 律,我國網(wǎng)絡安全立法體系框架,3、刑法（1997年3月14日修訂） 1997年刑法修改后，除了分則規(guī)定的大多數(shù)犯罪罪種（包括危害國家安全罪，危害公共安全罪、破壞社會主義市場經(jīng)濟秩序罪，侵犯公民人身權利、民主權利罪、侵犯財產(chǎn)罪，妨害社會管理秩序罪）都適用于利用計算機網(wǎng)絡實施的犯罪以外，還專門在第285條和第286條分別規(guī)定了非法入侵計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪，共兩條四款。,行政法規(guī)：是指國務院為執(zhí)行憲法和 法律而制定的法律規(guī)范。,我國網(wǎng)絡安全立法體系框架,行 政 法 規(guī),我國網(wǎng)絡安全立

4、法體系框架,與網(wǎng)絡安全有關的行政法規(guī)主要有： 國務院令147號：中華人民共和國計算機信息系統(tǒng) 安全保護條例 國務院令195號：中華人民共和國計算機信息網(wǎng)絡 國際聯(lián)網(wǎng)管理暫行規(guī)定 公安部令33號： 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保 護管理辦法,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,與網(wǎng)絡安全有關的行政法規(guī)主要有： 國務院令273號：商用密碼管理條例 國務院令291號：中華人民共和國電信條例 國務院令292號：互聯(lián)網(wǎng)信息服務管理辦法 國務院令339號：計算機軟件保護條例 等。,計算機信息系統(tǒng)： 由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲

5、、傳輸、檢索等處理的人機系統(tǒng)。 計算機病毒： 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。,名 詞 解 釋,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,1、中華人民共和國計算機信息系統(tǒng)安全 保護條例（1994年2月18日）,這是我國第一部涉及計算機信息系統(tǒng)安全的行政法規(guī)。 條例賦予“公安部主管全國計算機信息系統(tǒng)安全 保護工作”的職能。主管權體現(xiàn)在： （1）監(jiān)督、檢查、指導權； （2）計算機違法犯罪案件查處權； （3）其他監(jiān)督職權。,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,-中華人民共和國計算機信息系統(tǒng)安全保護條

6、例,計算機信息系統(tǒng)安全保護的基本制度： 1、計算機信息系統(tǒng)建設和使用制度 2、安全等級保護制度 3、計算機機房及其環(huán)境管理制度 4、國際聯(lián)網(wǎng)備案制度 （進行計算機國際聯(lián)網(wǎng)的單位 和個人要向公安機關備案） 5、計算機信息系統(tǒng)使用單位的安全管理制度,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,-中華人民共和國計算機信息系統(tǒng)安全保護條例,計算機信息系統(tǒng)安全保護的基本制度： 6、信息媒體進出境申報制度 7、案件強制報告制度 （對計算機信息系統(tǒng)中發(fā)生的案 件，有關單位應當在24小時內(nèi)向當?shù)乜h級以上人民政府 公安機關報告） 8、計算機病毒防治專管制度 （即計算機病毒和危害社會 公共安全的其他有害數(shù)據(jù)的防治工

7、作，由公安部歸口管理） 9、對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可 證制度。,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,2、中華人民共和國計算機信息網(wǎng)絡 國際聯(lián)網(wǎng)管理暫行規(guī)定,計算機信息網(wǎng)絡進行國際聯(lián)網(wǎng)的原則： 1、必須使用郵電部國家公用電信網(wǎng)提供的國際出入 口信道。 2、接入網(wǎng)絡必須通過互聯(lián)網(wǎng)絡進行國際聯(lián)網(wǎng)。 3、用戶的計算機或計算機信息網(wǎng)絡必須通過接入網(wǎng) 絡進行國際聯(lián)網(wǎng)。,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,-中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定,規(guī)定對互聯(lián)網(wǎng)接入單位實行國際聯(lián)網(wǎng)經(jīng)營許可證制度（經(jīng)營性）和審批制度（非經(jīng)營性），限定了接入單位的資質條件、服務能力及其法律

8、責任。,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,對違反規(guī)定第六條、第八條和第十條的行為，即： （1）自行建立或者使用其他信道進行國際聯(lián)網(wǎng)的； （2）未按規(guī)定通過互聯(lián)網(wǎng)絡進行國際聯(lián)網(wǎng)的； （3）未按規(guī)定通過接入網(wǎng)絡進行國際聯(lián)網(wǎng)； （4）未經(jīng)許可和審批從事國際聯(lián)網(wǎng)經(jīng)營業(yè)務的。 由公安機關責令停止聯(lián)網(wǎng)，給予警告，可以并處 15000元以下的罰款；有違法所得的，沒收違法所得。,-中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,3、計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保 護管理辦法 （公安部令33號）,1997年12月11日國務院批準、1997年12月30日公安部第3

9、3號令發(fā)布，是我國第一部全面調整互聯(lián)網(wǎng)絡安全的行政法規(guī)，不僅對我國互聯(lián)網(wǎng)的初期發(fā)展起到了重要的保障作用，而且為后續(xù)有關網(wǎng)絡安全的法規(guī)、規(guī)章的出臺起到了重要的指導作用。,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,-計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法,（1）任何單位和個人不得利用國際聯(lián)網(wǎng)危害國家安 全、泄露國家秘密， 不得侵犯國家的、社會 的、集體的利益和公民的合法權益，不得從事 違法犯罪活動。 （2）任何單位和個人不得利用國際聯(lián)網(wǎng)制作、復 制、查閱和傳播有害信息。 （3）任何單位和個人不得從事危害計算機信息網(wǎng) 絡安全的活動 。 （4）任何單位和個人不得違反法律規(guī)定，利用國際 聯(lián)網(wǎng)侵犯用戶的通

10、信自由和通信秘密。,四條禁則：,行 政 法 規(guī),我國網(wǎng)絡安全立法體系框架,-計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法,辦法規(guī)定了六項安全保護責任： （1）國際聯(lián)網(wǎng)單位和個人應當接受公安機關的安全監(jiān) 督、檢查和指導，提供有關安全保護的資料并協(xié) 助公安機關查處違法犯罪的責任。 （2）國際出入口信道提供單位、互聯(lián)單位的主管部門 或者主管單位的安全保護管理責任。 （3）互聯(lián)單位、接入單位及聯(lián)網(wǎng)單位的安全保護責任。 （4）備案責任。 （5）使用公用帳號的注冊者的責任。 （6）重要領域采取安全保護措施的責任。,規(guī)章：是指國務院各部、委根據(jù)法律和國務院行政法規(guī)，在本部門的權限范圍內(nèi)制定的法律規(guī)范，以及省、自治

11、區(qū)、直轄市和較大的市的人民政府根據(jù)法律、行政法規(guī)和本省、自治區(qū)、直轄市的地方性法規(guī)制定的法律規(guī)范。,我國網(wǎng)絡安全立法體系框架,規(guī)范性文件：俗稱“紅頭文件”,規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,-與網(wǎng)絡安全相關的部門規(guī)章和規(guī)范性文件,公安部- 計算機信息系統(tǒng)安全專用產(chǎn)品檢測 和銷售許可證管理辦法 計算機病毒防治管理辦法 金融機構計算機信息系統(tǒng)安全保護 工作暫行規(guī)定 關于開展計算機安全員培訓工作的 通知 等。,規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,-與網(wǎng)絡安全相關的部門規(guī)章和規(guī)范性文件,信息產(chǎn)業(yè)部- 互聯(lián)網(wǎng)電子公告服務管理規(guī)定 軟件產(chǎn)品管理辦法 計算機信息系統(tǒng)集成資質管理辦法 國際通

12、信出入口局管理辦法 國際通信設施建設管理規(guī)定 中國互聯(lián)網(wǎng)絡域名管理辦法 電信網(wǎng)間互聯(lián)管理暫行規(guī)定,規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,-與網(wǎng)絡安全相關的部門規(guī)章和規(guī)范性文件,國務院新聞辦- 互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定 教育部- 中國教育和科研計算機網(wǎng)暫行管理辦法 教育網(wǎng)站和網(wǎng)校暫行管理辦法 新聞出版署- 電子出版物管理規(guī)定,規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,-與網(wǎng)絡安全相關的部門規(guī)章和規(guī)范性文件,國家保密局- 計算機信息系統(tǒng)保密管理暫行規(guī)定 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法 涉密計算機信息系統(tǒng)建設資質審查

13、和管理暫行辦法 關于加強政府上網(wǎng)信息保密管理的通知,規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,-與網(wǎng)絡安全相關的部門規(guī)章和規(guī)范性文件,中國證監(jiān)會- 網(wǎng)上證券委托暫行管理辦法 國家廣播電影電視總局- 關于加強通過信息網(wǎng)絡向公眾傳播廣播電影電視類節(jié)目管理的通告 國家藥品監(jiān)督管理局- 互聯(lián)網(wǎng)藥品信息服務管理暫行規(guī)定,規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,-與網(wǎng)絡安全相關的部門規(guī)章和規(guī)范性文件,原電子部、郵電部- 中國金橋信息網(wǎng)公眾多媒體信息服務管理辦法 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)出入口信道管理辦法 中國公用計算機互聯(lián)網(wǎng)絡國際聯(lián)網(wǎng)管理辦法 中國公眾多媒體通信管理辦法 專用網(wǎng)與公用網(wǎng)聯(lián)通的暫行規(guī)定,

14、規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,地方規(guī)章和規(guī)范性文件- 廣東省計算機信息系統(tǒng)安全保護管理規(guī)定 2003年3月31日廣東省人民政府第十屆4次常務會議通過 2003年6月1日起實施 廣東省計算機信息系統(tǒng)安全保護管理規(guī)定實施細則 2003年7月1日起實施 四川省計算機信息系統(tǒng)安全保護管理辦法（1996年3月28日四川省人民政府令第79號發(fā)布 自1996年5月1施行）,規(guī)章及規(guī)范性文件,我國網(wǎng)絡安全立法體系框架,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定要求： 縣以上公安機關主管本行政區(qū)域內(nèi)的計算機信息系統(tǒng)安全保護工作 公安機關、國家安全機關，在緊急情況下，可采取24小時內(nèi)暫時停機、暫停聯(lián)網(wǎng)、備

15、份數(shù)據(jù)等措施 地級以上市公安機關應有專門機構負責計算機信息系統(tǒng)發(fā)生的案件和重大安全事故報警的接受和處理 地級以上公安機關應為計算機信息系統(tǒng)使用單位和個人提供安全指導，并向社會公布舉報電話和電子郵箱,二、計算機犯罪的防范和打擊,計算機犯罪的種類及特征,計算機犯罪的防范和打擊,計算機犯罪的防范和打擊,中華人民共和國刑法 第二百八十五條 違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。,計算機犯罪的防范和打擊,第二百八十六條 違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒

16、刑。 違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳播的數(shù)據(jù)和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款處罰。 故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款處罰。,中華人民共和國刑法,第三十二條 有下列行為之一的，由公安機關給予警告或者處以1000元以上5000元以下罰款；構成犯罪，依法追究刑事責任： （一）未經(jīng)批準，研究、收集或者保存計算機病毒的； （二）未經(jīng)批準，公開發(fā)布計算機病毒疫情的； （三）未經(jīng)批準，開展涉及計算機病毒機理的活動的； （四）制造、銷售、出租、維修的計算機軟件、硬件產(chǎn)品中含有計算機病毒和其他有害數(shù)據(jù)的。 第三十三條

17、 有下列行為之一的，由公安機關給予警告或者對個人處以2000元以上5000元以下罰款，對單位處以5000元以上15000元以下罰款；有違法所得的，除予以沒收外，可處違法所得：至3倍的罰款 （一）制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的； （二）非法復制、截收、竄改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的； （三）未經(jīng)許可銷售計算機信息系統(tǒng)安全專用產(chǎn)品的。,四川省計算機信息系統(tǒng)安全保護管理辦法,計算機犯罪的防范和打擊,計算機犯罪現(xiàn)場：發(fā)生計算機犯罪的計算機應用環(huán)境及系統(tǒng)。 保護現(xiàn)場：關鍵是保持發(fā)生犯罪后的第一狀態(tài)。最好有備份系統(tǒng)支持運行，將關鍵數(shù)據(jù)備份下來。 教訓：深圳某銀行：發(fā)

18、生案件后，懷疑是內(nèi)外勾結，但沒有采取必要的人員隔離措施和計算機備份，談話后第二天，所有操作記錄全部刪除，無從查起。,計算機犯罪現(xiàn)場證據(jù)保全,計算機犯罪的防范和打擊,一、報告 中華人民共和國計算機信息系統(tǒng)安全保護條例規(guī)定了案件強制報告制度。 二、發(fā)生計算機犯罪案件后如何報案 向誰報案：發(fā)生計算機犯罪案件后，立即向當?shù)毓矙C關、派出所或公共網(wǎng)絡安全監(jiān)察部門報案。 報案材料： (一)基本事實-何時、何事、后果、現(xiàn)狀、可能原因等； (二)提取的初步證據(jù)-破壞的結果、破壞行為的計算機記錄、日志審計記錄等； (三)以上材料及打印的文字材料必須加蓋公章及騎縫章。,案 件 報 告,三、網(wǎng)絡安全管理要求,網(wǎng)絡安

19、全管理要求,中華人民共和國計算機信息系統(tǒng)安全保護條例 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法 各個地方性的計算機信息系統(tǒng)安全保護管理規(guī)定,網(wǎng)絡安全管理要求,第五條 任何單位和個人不得利用國際聯(lián)網(wǎng)制作、復制、查閱和傳播下列信息： (一) 煽動抗拒、破壞憲法和法律、行政法規(guī)實施的； (二) 煽動顛覆國家政權，推翻社會主義制度的； (三) 煽動分裂國家、破壞國家統(tǒng)一的； (四) 煽動民族仇恨、民族歧視，破壞民族團結的； (五) 捏造或者歪曲事實,散布謠言,擾亂社會秩序的； (六) 宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的； (七) 公然侮辱他人或者捏造事實誹謗他人的； (八) 損

20、害國家機關信譽的； (九) 其他違反憲法和法律、行政法規(guī)的。,計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法,網(wǎng)絡安全管理要求,第六條 任何單位和個人不得從事下列危害計算機網(wǎng)絡安全的活動： (一)未經(jīng)允許，進入計算機信息網(wǎng)絡或者使用計算機信息網(wǎng)絡資源的； (二)未經(jīng)允許，對計算機信息網(wǎng)絡功能進行刪除、修改或者增加的； (三)未經(jīng)允許，對計算機信息網(wǎng)絡中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或增加的； (四)故意制作、傳播計算機病毒等破壞性程序的； (五)其他危害計算機網(wǎng)絡安全的。,計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法,網(wǎng)絡安全管理要求,第十條 互聯(lián)單位、接入單位及使用計算機信息網(wǎng)絡國際聯(lián)網(wǎng)

21、的法人和其他組織應當履行下列安全保護職責： (一)負責本網(wǎng)絡的安全保護管理工作，建立健全安全保護管理制度； (二)落實安全保護技術措施，保障本網(wǎng)絡的運行安全和信息安全； (三)負責對本網(wǎng)絡用戶的安全教育和培訓； (四)對委托發(fā)布信息的單位和個人進行登記，并對所提供的信息內(nèi)容按照本辦法第五條進行審核。,計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法,網(wǎng)絡安全管理要求,(五)建立計算機信息網(wǎng)絡電子公告系統(tǒng)的用戶登記和信息管理制度； (六)發(fā)現(xiàn)有本辦法第四條、第五條、第六條、第七條所列情形之一的，應當保留有關原始記錄，并在二十四小時內(nèi)向當?shù)毓矙C關報告； (七)按照國家有關規(guī)定，刪除本網(wǎng)絡中含有本辦法第五條

22、內(nèi)容的地址、目錄或者關閉服務器。,計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法,網(wǎng)絡安全管理要求,第四條 計算機信息系統(tǒng)的安全保護，應當保障計算機及其配套的和相關的設備、設施（含網(wǎng)絡）和運行環(huán)境的安全，以及計算機信息的安全，確保計算機功能的正常發(fā)揮，維護計算機信息系統(tǒng)的安全運行。計算機信息系統(tǒng)安全保護工作，重點維護國家事務、經(jīng)濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統(tǒng)的安全。,四川省計算機信息系統(tǒng)安全保護管理辦法辦法,網(wǎng)絡安全管理要求,第八條計算機信息系統(tǒng)使用單位應當建立并執(zhí)行以下安全保護制度： （一）計算機機房安全管理制度； （二）安全管理責任人、信息審查員的任免和安全責任制度； （

23、三）網(wǎng)絡安全漏洞檢測和系統(tǒng)升級管理制度； （四）操作權限管理制度； （五）用戶登記制度； （六）信息發(fā)布審查、登記、保存、清除和備份制度，信息群發(fā)服務管理制度。,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定,網(wǎng)絡安全管理要求,第九條計算機信息系統(tǒng)使用單位應當落實以下安全保護技術措施：（一）系統(tǒng)重要部分的冗余或備份措施；（二）計算機病毒防治措施；（三）網(wǎng)絡攻擊防范、追蹤措施；（四）安全審計和預警措施；（五）系統(tǒng)運行和用戶使用日志記錄保存60日以上措施；（六）記錄用戶主叫電話號碼和網(wǎng)絡地址的措施；（七）身份登記和識別確認措施；（八）信息群發(fā)限制和有害數(shù)據(jù)防治措施。 向公眾提供上網(wǎng)服務的場所以及其他從事國際

24、聯(lián)網(wǎng)業(yè)務的單位應當安裝符合國家規(guī)定的安全管理軟件。,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定,網(wǎng)絡安全管理要求,（一）安全保護組織 建立計算機信息系統(tǒng)安全保護組織，由單位行政領導人擔任安全保護組織的領導。,管 理 要 求,網(wǎng)絡安全管理要求,（二）計算機安全員 計算機應用單位應當按照計算機安全管理行業(yè)技術規(guī)范要求，配備計算機安全技術人員。計算機安全技術人員必須經(jīng)過市主管部門認可的安全技術培訓，考核合格后持證上崗。 合格證有效期為四年。,管 理 要 求,網(wǎng)絡安全管理要求,計算機安全員主要職責 1、執(zhí)行本單位計算機安全管理的各項規(guī)章制度； 2、按照安全管理行業(yè)技術規(guī)范要求對計算機系統(tǒng)安 全運行情況進行檢

25、查測試，即排除各種安全隱患； 3、發(fā)生安全事故或計算機犯罪案例時，應當立即向 本單位安全管理責任人報告并采取妥善措施，保 護現(xiàn)場，保留有關原始記錄，在24小時內(nèi)向當?shù)?公安機關報案，避免危害的擴大。,管 理 要 求,網(wǎng)絡安全管理要求,（三）交互式欄目管理要求 1、關鍵字過濾 1 智能過濾； 2 關鍵字應跟隨形勢的變化而變化； 3 關鍵字過濾掉的帖子，應另做保存； 2、作好審計工作，記錄張貼人的IP地址。 3、認真落實“先審后發(fā)”的信息預審制度，把有害信息扼殺在萌芽狀態(tài)。,管 理 要 求,網(wǎng)絡安全管理要求,交互式欄目中出現(xiàn)了有害信息時，應按以下工作要求處理： 1、對有害信息進行備份。 1 對有害

26、信息進行拷屏； 2 把有害信息的文字部分拷貝到word中； 3 記錄張貼人、張貼人IP、張貼時間等； 2、刪除有害信息； 3、報告。 1 要在15分鐘之內(nèi)將有害信息的有關內(nèi)容通過電話和傳真兩種方式通報市公安局網(wǎng)監(jiān)處； 2 及時報告本單位領導;,管 理 要 求,網(wǎng)絡安全管理要求,（四）交友網(wǎng)站管理要求 1、注冊信息進行審查； 2、日志審計； 3、交友站點中往往存在多種信息服務方式，例如：聊天室、BBS、短信等。應分別針對不同的服務欄目加強管理。,管 理 要 求,網(wǎng)絡安全管理要求,（五）互聯(lián)網(wǎng)短信安全管理要求 1、短信息平臺服務商必須按照國家的法律、法規(guī)建立短信息關鍵字匹配過濾系統(tǒng)，刪除、過濾和封

27、堵有害短信息； 2、短信息平臺服務商必須采取有效的技術安全措施，建立限制群發(fā)和變相群發(fā)的系統(tǒng)， 3、對所發(fā)的短信息的日志進行安全審計。 4、由公安機關要督促短信息服務商必須建立健全安全保護管理制度和落實安全保護技術措施，當出現(xiàn)對社會穩(wěn)定造成一定影響的大量有害信息時，短信息服務商必須配合公安機關處理有關問題。,管 理 要 求,網(wǎng)絡安全管理要求,（六）垃圾及有害電子郵件管理要求 1、關閉郵件系統(tǒng)的匿名轉發(fā)服務;,管 理 要 求,網(wǎng)絡安全管理要求,關閉郵件系統(tǒng)的匿名轉信服務 Windows 2000 server版的用戶可按以下步驟操作： 1、打開電腦的 “開始”- “設置” - “控制面板” -

28、“管理工具” - “Internet服務管理器” 2、展開左邊的樹形結構，選中其中的“默認SMTP虛擬服務”項。 3、按鼠標右鍵，在彈出菜單中選中“屬性”項 4、在彈出窗口中選“訪問”頁，按“身份驗證”按鈕，取消“匿名訪問”復選框，按“確定”即可禁止匿名轉信。,網(wǎng)絡安全管理要求,禁止郵件服務步驟： 1、打開電腦的 “開始” - “設置” - “控制面板” - “管理工具” - “計算機管理”。 2、打開左邊“服務和應用程序”，選其中的“服務”項。 3、如果在右邊發(fā)現(xiàn)“Simple Mail Transport Protocol (SMTP)”，則表明系統(tǒng)安裝有郵件服務。 4、可以直接雙擊該項，

29、在彈出窗口中將“啟動類型”改成“禁用”，按“確定”即禁止郵件服務。,網(wǎng)絡安全管理要求,（六）垃圾及有害電子郵件管理要求 1、關閉郵件系統(tǒng)的匿名轉發(fā)服務（open relay）; 2、要求所有郵件系統(tǒng)具有本地郵件服務器發(fā)送電子郵件帳號核實功能 、具有拒絕接受非本地郵件系統(tǒng)以本地用戶名義自發(fā)自收郵件功能； 3、過濾 過濾技術是目前反垃圾郵件用到的主要技術。電子郵件通常具有幾個重要特征，標準電子郵件地址、主題、信件內(nèi)容等相關字段，這些特征是過濾技術判斷、分析、統(tǒng)計和提取的依據(jù)。,管 理 要 求,網(wǎng)絡安全管理要求,（七）下載服務管理要求 1 關閉匿名上傳FTP； 2 對下載內(nèi)容進行審查； （八）其他

30、參見相關法律法規(guī)。,管 理 要 求,四、安全服務及產(chǎn)品的管理要求,安全服務及產(chǎn)品的管理要求,網(wǎng)絡安全檢測產(chǎn)品：是指掃描、探測計算機信息系統(tǒng)漏洞的安全專用產(chǎn)品。 計算機信息系統(tǒng)安全服務：是指從事計算機信息系統(tǒng)（包括計算機機房）安全設計、建設、檢測、維護、監(jiān)理等業(yè)務。,用 語 含 義,安全服務及產(chǎn)品的管理要求,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定申請安全服務資質的機構或單位，應具備相應的條件，持相關資料向地級以上的市公安機關申請。,安全服務資質申請,安全服務及產(chǎn)品的管理要求,- 安全管理責任人必須經(jīng)培訓持證上崗 - 計算機機房安全保障體系的設計、建設和檢測應由有安全服務資質的機構承擔。 - 計算機

31、信息系統(tǒng)及計算機機房須經(jīng)具有安全服務資質的機構檢測合格后，方可投入使用,對重點安全保護單位的要求,安全服務及產(chǎn)品的管理要求,公安部計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 第三條 中華人民共和國境內(nèi)的安全專用產(chǎn)品進入市場銷售, 實行銷售許可證制度。 安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進入市場銷售之前, 必須申領計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證（以下簡稱銷售許可證）。 第四條 安全專用產(chǎn)品的生產(chǎn)者申領銷售許可證, 必須對其產(chǎn)品進行安全功能檢測和認定。 第五條 公安部計算機管理監(jiān)察部門負責銷售許可證的審批頒發(fā)工作和安全專用產(chǎn)品安全功能檢測機構（以下簡稱檢測機構）的審批工作。,對安全專用產(chǎn)品

32、的管理要求,安全服務及產(chǎn)品的管理要求,網(wǎng)絡安全檢測產(chǎn)品的購買使用單位： 1）應當持單位的證明文件到所在地地級以上市公安機關公共網(wǎng)絡安全監(jiān)察部門辦理備案手續(xù)，公安機關應當在15日內(nèi)予以辦理，發(fā)給網(wǎng)絡安全檢測產(chǎn)品購買備案表。 2）用戶應當憑網(wǎng)絡安全檢測產(chǎn)品購買備案表購買網(wǎng)絡安全檢測產(chǎn)品。 3）投入使用后，應當在10日內(nèi)將本單位的用戶IP地址配置備案表報送所在地地級以上市公安機關公共網(wǎng)絡安全監(jiān)察部門備案。 4）安全檢測產(chǎn)品只限于單位購買使用。購買網(wǎng)絡安全檢測產(chǎn)品的單位應當指定專人管理和使用，不得出租、出借、轉讓、贈送，不得擅自用于檢測他人計算機信息系統(tǒng)。,對安全專用產(chǎn)品的管理要求,安全服務及產(chǎn)品的管

33、理要求,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定實施細則規(guī)定 安全服務機構的安全服務資質實行： -服務資質的申請制 -分級管理制 （分四級，不同等級對應承擔不同工程量資格） -服務資質等級的條件劃分 -服務資質的年審制 -安全審驗,對安全服務機構的管理,五、信息系統(tǒng)安全等級保護的基本技術要求,信息系統(tǒng)安全等級保護的基本技術要求,GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分 準則 GB/T 387-2002 計算機信息系統(tǒng)安全等級保護網(wǎng)絡 技術要求 GB/T 388-2002 計算機信息系統(tǒng)安全等級保護操作 系統(tǒng)技術要求 GB/T 389-2002 計算機信息系統(tǒng)安全等級保護數(shù)據(jù) 庫管

34、理技術要求 GB/T 390-2002 計算機信息系統(tǒng)安全等級保護通用 技術要求 GB/T 391-2002 計算機信息系統(tǒng)安全等級保護管理 要求 GA 371-2001 計算機信息系統(tǒng)實體安全技術要求 第一部分：局域計算環(huán)境,安全保護技術要求及標準,信息系統(tǒng)安全等級保護的基本技術要求,1 黨政系統(tǒng)（黨委、政府）； 2 金融系統(tǒng)（銀行、保險、證券）及財稅系統(tǒng)（財政、稅務、 工商）； 3 經(jīng)貿(mào)系統(tǒng)（商業(yè)貿(mào)易、海關）； 4 電信系統(tǒng)（郵電、電信、廣播、電視）； 5 能源系統(tǒng)（電力、熱力、燃氣、煤炭、 油料）； 6 交通運輸系統(tǒng)（航空、航天、鐵路、公路、水運、海運）；,需要實施安全等級保護的信息系統(tǒng)

35、,信息系統(tǒng)安全等級保護的基本技術要求,7 供水系統(tǒng)（水利及水源供給）； 8 社會應急服務系統(tǒng)（醫(yī)療、消防、緊急救援）； 9 教育科研系統(tǒng)（教育、科研、尖端科技）； 10 國防建設系統(tǒng)； 11 國有大中型企業(yè)系統(tǒng)； 12 互聯(lián)單位、接入單位、重點網(wǎng)站及向公眾提供 上網(wǎng)服務場所的計算機信息系統(tǒng)。,需要實施安全等級保護的信息系統(tǒng),信息系統(tǒng)安全等級保護的基本技術要求,第一級為用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。 第二級為系統(tǒng)審計保護級。除具備第一級所有的安全保護功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。 第三級為安全標記保護級。除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪