新書推薦:
《
500万次倾听:陪伤心的人聊聊
》
售價:NT$
245.0
《
英国商业500年(见证大国崛起与企业兴衰,启迪未来商业智慧。)
》
售價:NT$
367.0
《
万千心理·儿童心理治疗中的心智化:临床实践指导
》
售價:NT$
398.0
《
自我囚禁的人:完美主义的心理成因与自我松绑(破除你对完美主义的迷思,尝试打破自我评价过低与焦虑的恶性循环)
》
售價:NT$
301.0
《
周易
》
售價:NT$
203.0
《
东南亚的传统与发展
》
售價:NT$
306.0
《
乾隆制造
》
售價:NT$
398.0
《
资治通鉴臣光曰辑存 资治通鉴目录(司马光全集)(全二册)
》
售價:NT$
1316.0
|
編輯推薦: |
计算机网络,网络安全,国家标准,中国,高等学校,教材,计算机网络,网络安全,科学技术管理法规,中国,高等学校,教材
|
內容簡介: |
《网络空间安全标准与法律法规》精选了网络空间安全相关标准规范和法律法规,从网络空间安全保护的全视角出发对有关信息安全标准规范、法庭科学标准规范和网络空间安全有关法律法规进行了整理和分析。法律法规部分分别从国家政策、刑事法律、行政处罚、民事法律、知识产权、诉讼程序与证据等模块进行了梳理、汇总和精选。部分内容还采用了法条解读和典型案例分析的方法加强读者对难点问题的把握。
|
目錄:
|
目录
**章 信息安全标准规范 1
**节 信息安全标准规范体系综述 1
第二节 信息安全标准规范介绍 8
第三节 信息安全有关标准规范 17
第二章 网络空间安全法庭科学有关标准规范 38
**节 网络空间安全法庭科学有关标准规范体系综述 38
第二节 法庭科学国家标准规范节选 48
第三节 法庭科学公安部颁行业标准规范节选 51
第四节 司法部颁司法鉴定技术规范节选 60
第三章 网络空间安全政策有关法律法规 81
**节 网络空间安全政策有关法律法规综述 81
第二节 网络空间安全政策有关法律法规节选 97
第四章 网络空间安全刑事法律法规 123
**节 网络空间安全刑事法律综述 123
第二节 中华人民共和国刑法有关规定及解读 127
第三节 网络空间安全犯罪有关司法解释及解读 141
第五章 网络空间安全行政处罚有关法律法规 157
**节 网络空间安全行政处罚有关法律法规综述 157
第二节 网络空间安全行政处罚有关法律规定节选 166
第三节 其他涉行政处罚有关法律规定 175
第六章 网络空间安全民事法律法规 205
**节 网络空间安全民事法律法规综述 205
第二节 民事领域有关法律法规 221
第三节 电子商务领域有关法律法规 234
第七章 网络空间安全知识产权法律法规 245
**节 网络空间安全知识产权法律法规综述 245
第二节 网络著作权与软件著作权领域有关法律法规 271
第三节 专利领域有关法律法规 283
第四节 商标领域有关法律法规 287
第八章 网络空间安全程序与证据有关法律法规 291
**节 网络空间安全程序与证据法律法规综述 291
第二节 诉讼程序有关规定 294
第三节 电子数据证据有关规定 304
第四节 司法鉴定有关程序与规定 318
参考文献 329免费在线读**章 信息安全标准规范
**节 信息安全标准规范体系综述
随着信息技术的发展,信息安全问题越来越受到人们的重视。信息安全作为信息技术的重要组成部分,逐渐形成一个相对独立的研究领域。在信息技术高速发展的过程中,人们通过实践逐渐认识到要保证信息系统的安全,需要通过技术、管理和法律三位一体的全局性思考,才能解决信息安全领域遇到的根本性问题。单靠一条腿走路,永远无法找到解决问题的真正答案。
鉴于此,对于信息安全的研究可以分为信息安全技术、信息安全管理和信息法学三个子研究领域,每个子研究领域可以进一步细分为若干研究分支,以此类推,从而构成一个庞大的研究图谱。在这个研究图谱中,尽管跨越了三个不同的学科,但是三者殊途同归,为实现昀终的目标而协同配合,共同努力。
本书旨在阐明技术、管理和法律三者之间的逻辑脉络,让读者对信息安全的研究领域的概貌有一个总体认识,着重了解信息安全技术标准体系、信息安全管理体系和相关的法律法规,能充分理解三者之间相辅相成,互为补充,共同构建信息安全防护体系的核心思想。
一、信息安全防护
对信息安全问题的探索与信息技术的发展密不可分,计算机和网络技术的飞跃发展,引发了人们对信息安全问题的思考与关注。在技术发展早期,信息安全问题一度被忽视,因为它所造成的困扰微不足道。直到网络技术的出现,信息安全问题才变得不容小觑。互联网的广泛应用成倍地放大了以往不受关注的安全问题,同时也出现了各种利用新技术研发的恶意代码和黑客技术,这使得本来就雪上加霜的信息安全问题变得愈发严重。
为了应对上述问题,人们开始研发有针对性地解决相应信息安全问题的技术和产品,随之出现了防火墙、入侵检测系统和反病毒软件等安全技术和安全产品,信息安全类企业如雨后春笋般出现,信息安全技术有了长足的发展。这一时期出现了美国《可信计算机系统评估准则》 Trusted Computer System Evaluation Criteria,TCSEC、欧洲《信息技术安全评估准则》 Information Technology Security Evaluation Criteria,ITSEC、《加拿大可信计算机产品评价准则》 Canadian Trusted Computer Product Evaluation Criteria, CTCPEC、美国《联邦准则》 Federal Criteria,FC、《通用评估准则》 Common Criteria,CC、英国 BS7799标准、国际 ISO27000系列标准等一系列信息安全等级保护、信息技术安全评价、安全行为管理、信息安全培训与认证等技术标准。
然而,随着对信息技术应用范围的拓展和深化,人们发现信息安全问题并没有因为有了诸多安全产品、技术和标准而减少,相反,安全问题随着技术进步层出不穷,安全技术的发展永远赶不上安全问题的出现。一个典型的例子就是与恶意代码的抗衡,反病毒软件查杀恶意代码的速度总是滞后于恶意代码的产生速度,无论反病毒软件公司的反应速度变得有多快,总有它无法识别的恶意代码存在。至此,人们开始反思以往解决信息安全问题的思路是否有局限性,是否抓住了问题的本质。
美国率先在该领域做出探索,美国国家安全局率先提出《信息安全保障技术框架》 Information Assurance Technical Framework,IATF。它从整体和过程的视角来看待信息安全问题,强调人、技术和操作三个核心要素,提出了全时域的保障理念。从此,人们对信息安全问题的认识有了质的转变,不再采用“头疼医头、脚疼医脚”的被动防御思想,而是在信息系统或产品的设计研发之初就开始关注安全问题,并且持续监控,直到系统或产品被下架或淘汰的整个生命周期。这使得人们对安全问题的控制由被动转为主动,解决安全问题的思路也从发现问题然后找解决方案,转变为主动防御、将问题扼杀在萌芽状态,对安全问题的关注也扩展到信息系统或产品的整个生命周期,而不只是在出现安全问题的那个时间段。
二、信息安全标准规范体系
信息安全标准规范体系是信息安全保障体系中十分重要的技术体系,是整个信息安全标准化工作的指南。它是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准规范、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段。它的作用和意义主要体现在:一是确保有关产品、设施的技术先进性、可靠性和一致性,确保信息化安全技术工程的整体合理、可用、互联互通互操作;二是按国际规则实行信息技术产品市场准入时为相关产品的安全性合格评定提供依据,从而强化和保证我国信息化的安全产品、工程、服务的技术自主可控。
目前国际和国内已经形成了具有一定规模的信息安全标准规范体系。它可以大致分为四个部分:国际标准体系、国家标准体系、行业标准体系和地方标准体系。一般地,高层次的标准规范体系对其下的标准规范体系有约束力。但是在具体实践中,某些特定领域标准规范的执行要根据不同国家的法律体系和管理制度实施。
其中,与信息安全标准化有关的国际组织主要有四个:国际标准化组织 International Organization for Standardization,ISO、国际电工委员会 International Electrotechnical Commission,IEC、国际电信联盟 International Telecommunication Union,ITU和国际互联网工程任务组Internet Engineering Task Force,IETF。国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南及安全管理支撑性文件和标准等几部分组成。
一国际组织
1. ISO
信息技术标准化委员会 ISOIEC JTC1所属安全技术分委员会 SC27的前身是数据加密技术分委员会SC20,主要从事信息技术安全的一般方法和技术的标准化工作。国际标准化组织金融服务技术委员会ISOTC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与 SC27有着密切的联系。 ISOIEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的。
2. IEC
IEC在信息安全标准化方面除了与 ISO联合成立了 JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会,如可靠性技术委员会 TC56、设备安全和功效技术委员会TC74 IT、电磁兼容技术委员会 TC77、音频视频、信息技术和通信技术领域内电子设备的安全技术委员会TC108等,并且制定相关国际标准。
3. ITU
ITU-T SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理,以及用于安全的生物测定、安全通信服务等。
4. IETF
IETF制定标准的具体工作由各个工作组承担。 IETF分成八个工作组,分别负责互联网路由、传输、应用等八个领域,其著名的网络密钥交换协议 IKE和 IP安全协议 IPSec都在 RFCrequest for comments系列之中,还有电子邮件、网络认证和密码及其他安全协议标准。
二国内信息安全标准化组织
我国对安全技术的标准化工作一直非常重视。本着“科学、合理、系统、适用”的原则,在充分借鉴和吸收国际先进信息安全技术标准化成果的基础上,初步形成了我国信息安全标准体系。
1984年 6月,由全国计算机与信息处理标准化技术委员会组建了“数据加密”直属工作组后来转为分技术委员会; 1992年改为全国信息技术标准化技术委员会的信息技术安全分技术委员会;2002年单独成立全国信息安全标准化技术委员会。
到目前为止,全国信息安全标准化技术委员会由七个工作组和一个特别工作组组成。
1WG1:信息安全标准体系与协调工作组;
2WG2:涉密信息系统安全保密标准工作组;
3WG3:密码技术标准工作组;
4WG4:鉴别与授权标准工作组;
5WG5:信息安全评估标准工作组;
6WG6:通信安全标准工作组;
7WG7:信息安全管理标准工作组;
8SWG-BDS:大数据安全标准特别工作组。
其中所涵盖的信息安全标准规范体系可分为七个大类:基础标准、技术与机制标准、管理标准、测评标准、密码技术标准、保密标准和通信安全标准。在每个大类下面再进一步细分,如图 1-1所示。
图 1-1 信息安全标准规范体系
三、信息安全管理及体系
俗话说“三分技术,七分管理”。管理对信息安全保护的实现有十分重要的意义和作用。要有效保护信息系统硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,必须加强信息安全管理,构建信息安全管理体系。
一信息安全管理
信息安全管理information security management,ISM是通过维护信息的机密性、完整性和可用性来管理和保护组织所有信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理的目的是通过保护信息系统内有价值的资产,如数据库、硬件、软件和环境等,实现信息系统的健康、有序和稳定运行,促进社会、经济、政治和文化的发展。其管理内容涉及人事管理、设备管理、场地管理、存储媒介管理、软件管理、网络管理、密码和密钥管理等。
伴随着信息技术在社会生产和生活各个领域的广泛应用,安全问题日益突显。保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行则显得尤为重要。从通信安全、计算机安全、网络安全,再到今天的网络空间安全,信息安全管理越来越成为人们关注的核心问题,是一个不容忽视的国家安全战略。在这种形势下,为了尽快制定适应和保障我国信息化发展的总体策略,全面提高信息系统安全水平,国务院、公安部等有关部门相继制定了一系列信息安全管理方面的法律法规、行业标准等。
1994年 2月 18日,国务院发布的《中华人民共和国计算机信息系统安全保护条例》简称《计算机信息系统安全保护条例》是我国信息安全方面的**部法规。法规**条就表明制定的目的是保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行。 2007年,公安部发布《信息安全等级保护管理办法》,标志着等级保护制度的全面建立和信息安全管理的基本制度初步建立。2017年开始实施的《中华人民共和国网络安全法》简称《网络安全法》将信息安全等级保护制度修改为网络安全等级保护制度,进一步从法律层面确立了它的地位。
我国信息安全管理的立法是伴随着信息技术的逐步发展而渐次推进的。1994年 4月,我国通过一条 64K①的国际专线,全功能接入国际互联网,正式开启互联网时代。其后,《全国人民代表大会常务委员会关于维护互联网安全的决定》要求依法加强对互联网的运行安全和信息安全的监督管理,《计算机信息网络国际联网安全保护管理办法》进一步提出对计算机信息网络国际联网的管理要求。在互联网技术的推动下,传统的国家、地域概念被打破,网络安全问题逐渐呈现出全球化和跨域化的特征。面对数据全球化带来的跨域安全问题,我国又面临着需要构建针对跨境数据传递的安全预警系统,以及对各类 型的跨境数据进行风险监管和监测的需求。2016年 12月,国家互联网信息
|
|