遵守哪些信息安全規定

⑴ 信息安全保障的安全措施包括哪些

信息安全主要包括以下五個方面，即寄生系統的機密性，真實性，完整性，未經授權的復制和安全性。

信息系統安全包括：

（1）物理安全。物理安全主要包括環境安全，設備安全和媒體安全。處理秘密信息的系統中心房間應採取有效的技術預防措施。重要系統還應配備保安人員以進行區域保護。

（2）操作安全。操作安全性主要包括備份和恢復，病毒檢測和消除以及電磁兼容性。應備份機密系統的主要設備，軟體，數據，電源等，並能夠在短時間內恢復系統。應當使用國家有關主管部門批準的防病毒和防病毒軟體及時檢測和消毒，包括伺服器和客戶端的病毒和防病毒軟體。

（3）信息安全。確保信息的機密性，完整性，可用性和不可否認性是信息安全的核心任務。

（4）安全和保密管理。分類計算機信息系統的安全和保密管理包括三個方面：管理組織，管理系統和各級管理技術。建立完善的安全管理機構，建立安全保障管理人員，建立嚴格的安全保密管理體系，運用先進的安全保密管理技術，管理整個機密計算機信息系統。

信息安全本身涵蓋范圍廣泛，包括如何防止商業企業機密泄露，防止年輕人瀏覽不良信息以及泄露個人信息。

網路環境中的信息安全系統是確保信息安全的關鍵，包括計算機安全操作系統，各種安全協議，安全機制（數字簽名，消息認證，數據加密等），直到安全系統，如UniNAC， DLP等安全漏洞可能威脅到全球安全。

信息安全意味著信息系統（包括硬體，軟體，數據，人員，物理環境及其基礎設施）受到保護，不會出於意外或惡意原因，被破壞，更改，泄露，並且系統可以連續可靠地運行。信息服務不會中斷，最終實現業務連續性。

信息安全規則可以分為兩個層次：狹隘的安全性和一般的安全性。狹窄的安全性基於基於加密的計算機安全領域。早期的中國信息安全專業通常以此為基準，輔以計算機技術和通信網路技術。與編程有關的內容;廣義信息安全是一門綜合性學科，從傳統的計算機安全到信息安全，不僅名稱變更是安全發展的延伸，安全不是純粹的技術問題，而是將管理，技術和法律問題相結合。

該專業培養高級信息安全專業人員，可從事計算機，通信，電子商務，電子政務和電子金融。

信息安全主要涉及三個方面：信息傳輸的安全性，信息存儲的安全性以及網路傳輸的信息內容的審計。身份驗證身份驗證是驗證網路中主題的過程。通常有三種方法來驗證主體的身份。一個是主體知道的秘密，例如密碼和密鑰;第二個是主體攜帶的物品，如智能卡和代幣卡;第三是只有主題的獨特功能或能力，如指紋，聲音，視網膜或簽名。等待。

針對計算機網路信息安全可採取的防護措施

1、採用防火牆技術是解決網路安全問題的主要手段。計算機網路中採用的防火牆手段，是通過邏輯手段，將內部網路與外部網路隔離開來。他在保護網路內部信息安全的同時又組織了外部訪客的非法入侵，是一種加強內部網路與外部網路之間聯系的技術。防火牆通過對經過其網路通信的各種數據加以過濾掃描以及篩選，從物理上保障了計算機網路的信息安全問題。

2、對訪問數據的入侵檢測是繼數據加密、防火牆等傳統的安全措施之後所採取的新一代網路信息安全保障手段。入侵檢測通過從收集計算機網路中關鍵節點處的信息，加以分析解碼，過濾篩選出是否有威脅到計算機網路信息安全性的因素，一旦檢測出威脅，將會在發現的同時做出相應。根據檢測方式的不同，可將其分為誤入檢測系統、異常檢測系統、混合型入侵檢測系統。

3、對網路信息的加密技術是一種非常重要的技術手段和有效措施，通過對所傳遞信息的加密行為，有效保障在網路中傳輸的信息不被惡意盜取或篡改。這樣，即使攻擊者截獲了信息，也無法知道信息的內容。這種方法能夠使一些保密性數據僅被擁有訪問許可權的人獲取。

4、控制訪問許可權也是對計算機網路信息安全問題的重要防護手段之一，該手段以身份認證為基礎，在非法訪客企圖進入系統盜取數據時，以訪問許可權將其阻止在外。訪問控制技能保障用戶正常獲取網路上的信息資源，又能阻止非法入侵保證安全。訪問控制的內容包括：用戶身份的識別和認證、對訪問的控制和審計跟蹤。

⑵ 個人信息安全法律法規

法律分析：違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬於刑法第二百五十三條之一第三款規定的「以其他方法非法獲取公民個人信息，公民個人信息關繫到每個人日常生活的開展、正常生活狀態的維持，不僅關涉個人名譽，同時影響個人的社會評價。

法律依據：《中華人民共和國刑法修正案》 十七、 將刑法第二百五十三條之一修改為：「違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。「違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。「竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。「單位犯前三款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。」

⑶ 現行重要的信息安全法律法規包括什麼

現行的重要的信息安全法律法規有下列: 1.《中國公用計算機互聯網國際聯網管理辦法》。 2.《中華人民共和國計算機信息系統安全保護條例》。 3.《中華人民共和國計算機信息網絡國際聯網管理暫

⑷ 信息安全策略應遵循哪些基本原則

實施原則

1、最小特權原則

最小特權原則是指主體執行操作時，按照主體所需權利的最小化原則分配給主體權利。

2、最小泄露原則

最小泄露原則是指主體執行任務時，按照主體所需要知道的信息最小化的原則分配給主體權利。

3、多級安全策略

多級安全策略是指主體和客體間的數據流向和許可權控制按照安全級別的絕密（TS）、機密（C）、秘密（S）、限制（RS）和無級別（U）5級來劃分。

(4)遵守哪些信息安全規定擴展閱讀

所有的信息安全技術都是為了達到一定的安全目標，其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。

1、保密性

阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內容之一。更通俗地講，就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息，我們只需要保護好文件，不被非授權者接觸即可。

而對計算機及網路環境中的信息，不僅要制止非授權者對信息的閱讀。也要阻止授權者將其訪問的信息傳遞給非授權者，以致信息被泄漏。

2、完整性

防止信息被未經授權的篡改。它是保護信息保持原始的狀態，使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴重的後果。

3、可用性

授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求，也是在網路化空間中必須滿足的一項信息安全要求。

4、可控性

對信息和信息系統實施安全監控管理，防止非法利用信息和信息系統。

5、不可否認性

在網路環境中，信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。

除了上述的信息安全五性外，還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。

⑸ 信息安全法的信息安全法的相關法規

我國的信息安全法的相關法規主要有八部：
(1)國務院《中華人民共和國計算機信息系統安全保護條例》(1994．02．18)
(2)國務院《中華人民共和國計算機信息網路國際聯網管理暫行規定(修正)》(1997．05．20)
(3)國務院《計算機信息網路國際聯網管理暫行規定實施辦法》(1997．12．11)
(4)國務院《中華人民共和國計算機信息網路國際聯網安全保護管理辦法》(1997．12．11)
(5)國務院《互聯網上網服務營業場所管理條例》(2002．09．29)
(6)國務院《中華人民共和國電信條例》(2000．09．25)
(7)國務院《互聯網信息服務管理辦法》(2000．09．25)
(8)國務院《信息網路傳播權保護條例》(2006．05．18)
1994年2月18日，國務院頒布了《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)，這是一件具有重要意義的事情，這是我國第一部保護計算機信息系統安全的專門條例。條例指出，計算機信息系統的建設和應用，應當遵守法律、行政法規和國家其他有關規定。任何組織或者個人，不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機信息系統的安全。條例分五章三十一條，規定了法律意義上的一些相關計算機術語，計算機信息系統的安全保護對象，計算機信息系統實行安全等級保護，安全監督和法律責任，國家安全部、國家保密局和國務院其他有關部門，在國務院規定的職責范圍內做好計算機信息系統安全保護的有關工作。由此，公安部開始組建信息網路安全警察隊伍，中國的第一代網路警察誕生了。
為了加強對計算機信息網路國際聯網的管理，保障國際計算機信息交流的健康發展，國務院《中華人民共和國計算機信息網路國際聯網管理暫行規定(修正)》(國務院195號令)分十七條，規定了一些相關計算機用語的含義、國家對國際聯網的管理原則和管理部門的職責、進行國際聯網的要求和違反規定的罰則。
根據《中華人民共和國計算機信息網路國際聯網管理暫行規定》，國務院制定了《計算機信息網路國際聯網管理暫行規定實施辦法》，分二十五條，規定了法律意義上的一些相關計算機術語；國際聯網採用國家統一制定的技術標准、安全標准、資費政策，以利於提高服務質量和水平；國際聯網實行分級管理，即：對互聯單位、接入單位、用戶實行逐級管理，對國際出入口信道統一管理；國家鼓勵在國際聯網服務中公平、有序地競爭，提倡資源共享，促進健康發展；新建互聯網路，必須經部(委)級行政主管部門批准後，向國務院信息化工作領導小組提交互聯單位申請書和互聯網路可行性報告，由國務院信息化工作領導小組審議提出意見並報國務院批准；國際出入口信道提供單位、互聯單位和接入單位必須建立網路管理中心，健全管理制度，做好網路信息安全管理工作；違反規定的罰則。
為了加強對計算機信息網路國際聯網的安全保護，維護公共秩序和社會穩定，根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》和其他法律、行政法規的規定，國務院制定了《中華人民共和國計算機信息網路國際聯網安全保護管理辦法》，分五章二十五條，規定了計算機信息網路國際聯網安全保護管理工作的主管機關和職責；禁止九類行為和五種危害計算機信息網路國際聯網安全的活動；安全保護責任和安全監督；違反規定的罰則。
為了加強對互聯網上網服務營業場所的管理，規范經營者的經營行為，維護公眾和經營者的合法權益，保障互聯網上網服務經營活動健康發展，促進社會主義精神文明建設，國務院《互聯網上網服務營業場所管理條例》分五章三十七條，規定了互聯網上網服務營業場所的定義和義務；文化行政部門、公安機關、工商行政管理部門的管理職責；互聯網上網服務營業場所的設立條件和許可審批程序：經營過程中應遵守的規定和禁止的行為；違反規定的罰則。
為了規范電信市場秩序，維護電信用戶和電信業務經營者的合法權益，保障電信網路和信息的安全，促進電信業的健康發展，國務院《中華人民共和國電信條例》分七章八十一條，規定了相關術語的定義和主管部門的職責；電信業務經營者設立的條件和行政審批的程序：經營的原則和資費標准；電信服務應達到的要求和禁止的行為；電信建設的要求和安全規定；違反規定的罰則。
為了規范互聯網信息服務活動，促進互聯網信息服務健康有序發展，國務院《互聯網信息服務管理辦法》分二十七條，規定了相關用語的含義；從事互聯網信息服務應具備的條件；行政審批的程序；新聞、出版、教育、衛生、葯品監督管理、工商行政管理和公安、國家安全等有關主管部門各負其責；要求和禁止的行為；違反規定的罰則。
為保護著作權人、表演者、錄音錄像製作者的信息網路傳播權，鼓勵有益於社會主義精神文明、物質文明建設的作品的創作和傳播，根據《中華人民共和國著作權法》，國務院制定了《信息網路傳播權保護條例》，分二十七條，規定了相關用語的含義；保護的范圍；允許和禁止的行為；違反規定的罰則。

⑹ 根據《網路安全法》 個人和組織使用網路應遵守哪些規定

根據《網路安全法》第四章，個人和組織使用網路應遵守以下規定：

《中華人民共和國網路安全法》中規定：

第四十四條任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第四十六條任何個人和組織應當對其使用網路的行為負責，不得設立用於實施詐騙，傳授犯罪方法，製作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組，不得利用網路發布涉及實施詐騙，製作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。

第四十八條任何個人和組織發送的電子信息、提供的應用軟體，不得設置惡意程序，不得含有法律、行政法規禁止發布或者傳輸的信息。

(6)遵守哪些信息安全規定擴展閱讀

《中華人民共和國網路安全法》中規定：

第二十四條網路運營者為用戶辦理網路接入、域名注冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網路運營者不得為其提供相關服務。

第十四條任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理；不屬於本部門職責的，應當及時移送有權處理的部門。

有關部門應當對舉報人的相關信息予以保密，保護舉報人的合法權益。

第七十四條違反本法規定，給他人造成損害的，依法承擔民事責任。

違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第七十五條境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重後果的，依法追究法律責任；國務院公安部門和有關部門並可以決定對該機構、組織、個人採取凍結財產或者其他必要的制裁措施。

⑺ 信息安全法的信息安全法的基本原則

信息安全法的基本原則是貫穿於信息安全立法、執法、司法各環節，在信息安全法制建設過程中貫徹始終和必須遵循的基本規則。作為信息安全法的兩個主要方面，網路信息安全法和信息安全保密法除了應當遵循我國社會主義法制的一般原則外，還應遵循以下特有原則：
1．預防為主的原則
從手段上講，積極預防的方式和過程一般會比產生消極後果再補救要簡單和輕松許多；另一方面，從後果上看，各種信息數據一旦被破壞或者泄露，往往會造成難以彌補的損失。網路信息安全關鍵在於預防。「信息安全問題，應該重在『防』，然後才是『治』，增強用戶的防範意識，是減少網路安全隱患極其關鍵的一環。」
有專家認為，對信息系統進行安全風險評估，並在特殊時期內對尚未發生的安全事故嚴防以待，可以減少災難發生。叫相應地，網路信息安全法也應加強預防規范措施，如對於病毒的預防，對於非法入侵的防範等。同樣，對於保密信息尤其是國家秘密而言，首先要求的是事前的主動的積極防範。我國《保守國家秘密法》第二十九條「機關、單位應當對工作人員進行保密教育，定期檢查保密工作」的規定就是這一原則的體現。
2．突出重點的原則
在信息安全法中，凡涉及國家安全和建設的關鍵領域的信息，或者對經濟發展和社會進步有重要影響的信息，都應有明確、具體、有效的法律規范加以保障。《中華人民共和國計算機信息系統安全保護條例》第四條規定，計算機信息系統的安全保護工作，重點是維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全。
在信息安全保密工作中，也應突出重點進行規范。如對國家秘級的劃分，在三個密級中，絕密是重點。如果不分輕重，平均使用力量一般對待，就會使國家的核心秘密與一般秘密混同，影響和威脅核心秘密的安全；就秘密分布區域來說，秘密集中的地區、部門是重點；就信息的潛在危險程度來說，國家事務、經濟建設、國防建設、尖端科學技術等重要領域的信息無疑也是重點。
3．主管部門與業務部門相結合的原則
由於涉及領域廣泛，信息安全法更顯現出其兼容性和綜合性。通常，不同領域的管理部門，一般負責其相應領域的信息安全管理工作並對因管理不善造成的後果承擔法律責任。網路信息安全法在很多方面體現出主管部門與業務部門相結合的原則。
在信息安全保密方面，由於國家秘密分布在國家的各個領域，如國家機關、單位業務部門涉及的國家安全和利益、涉及經濟建設的許多事項都可能會成為國家秘密，因此，保密工作與各業務部門的業務工作的聯系非常緊密，沒有業務部門的配合，保密工作的落實是非常困難的。所以，必須把保密工作主管部門和業務工作部門結合起來。實踐證明，這是做好保密工作的根本途徑，因而成為一項重要原則。
4．依法管理的原則
「三分技術，七分管理」這個在其他領域總結出來的實踐經驗和原則，在信息安全領域同樣適用。對於網路信息安全，不能僅僅強調技術，僅僅依靠網路自身的力量，更應該加強管理。從早期的加密技術、數據備份、防病毒到近期網路環境下的防火牆、入侵檢測、身份認證等，信息技術的發展可謂迅速。但事實上許多復雜、多變的安全威脅和隱患僅僅依靠技術是無法解決的。
由於保密工作是一項巨大的系統工程，涉及面很廣，一旦泄密，產生的後果也很大，因而依法管理顯得尤為重要。所謂依法管理就是要求各個部門和相關工作人員嚴格按照法定的程序和內容管理保密信息並進行其他保密工作，增加各個部門之間的協調配合，從而使保密工作納入法治的軌道。
5．維護國家安全和利益的原則
國家安全是保障政治安定、社會穩定的基本前提，關繫到國家的生死存亡，是維護全國各族人民利益的根本保障。冷戰結束後，國際局勢日趨緩和，但是境外組織對我國重要信息的竊密活動卻日益增加，不僅從原來的政治、軍事領域擴大到經濟、科技、文化等領域，而且竊密手段越來越多種多樣，嚴重威脅著我國的國家安全和利益。信息安全保密法特別強調維護國家安全和利益的原則。這是保密工作的根本出發點和歸宿，是國家意志在保密法中的具體體現，也是信息安全保密法的本質所在。這一原則不僅是保密工作的一項重要的指導思想，而且是信息安全保密法的首要基本原則。

⑻ 保護個人信息的法律法規有哪些

一、個人信息保護的法律規定之《中華人民共和國刑法》
《中華人民共和國刑法》（以下簡稱《刑法》）作為最為嚴厲的法律，對侵犯公民個人信息的行為作出了明確的法律規定。《刑法》第三百五十三條對侵犯公民個人信息罪作出了規定。該規定明確，向他人提供或者出售公民個人信息的行為均屬於犯罪行為，若工作人員將自己在履行職責過程中獲得的公民個人信息出售或者提供給他人，則從重處罰。犯此罪者，根據情節不同分別被處以罰金以及有期徒刑。《刑法》作為我國法律體系中最嚴厲的法律，其將侵犯個人信息的行為歸罪的做法充分顯示了我國對於個人信息安全的關注。

二、個人信息保護的法律規定之《中華人民共和國網路安全法》
《中華人民共和國網路安全法》（以下簡稱《網路安全法》）於2016年正式施行。其在第四章以專章的形式對網路信息安全進行了系統規定。個人信息安全作為網路信息安全的重要組成部分，也在其中得到了體現。首先，網路運營商一方掌握著大量的用戶個人信息，根據《網路安全法》規定，其必須確保這些個人信息的安全，妥善保管，在建立嚴格的保密制度的同時，也必須健全用戶信息保護制度。再者，網路運營商對於用戶個人信息的收集，必須遵循必要性原則，不得收集從事該項業務的任何非必要信息，並且需要在使用完畢後定期清除，確保掌握最少數量且最短時間的用戶個人信息。再者，網路運營者對於用戶個人信息的使用必須以用戶同意為前提，不得有任何威脅個人信息安全的行為，也不得將用戶個人信息進行轉讓、泄露等。網路的匿名性以及信息傳遞的快捷性對於個人信息安全來說，本身即存在著未知的風險。因此，對於個人信息安全而言，《網路安全法》中在網路信息安全專章中對於網路運營商的規制，對維護個人信息安全十分重要。

三、個人信息保護的法律規定之《中華人民共和國民法總則》
《中華人民共和國民法總則》（以下簡稱《民法總則》）於2018年正式施行，其中也對個人信息安全問題有所規定。《民法總則》第一百一十一條規定，我國自然人的個人信息安全受到法律的保護，非信息主對於個人信息的獲取，必須確保通過合法途徑獲得，同時也不得非法使用、收集、加工、買賣他人的個人信息，也不得在未經信息主同意的前提下對他人的個人信息進行公開、轉讓等。可見，在個人信息安全這一問題上，我國法律中保護的立法傾向十分明晰。

四、個人信息保護的法律規定之其他法律
除上述法律外，我國法律體系中對於個人信息保護的規定還有許多。《中華人民共和國消費者權益保護法》中將侵害消費者個人信息的行為作為違法行為予以列舉，並進行相應處罰；《中華人民共和國公共圖書館法》中明確讀者個人信息應得到妥善保護；《中華人民共和國國家情報法》中明確對於公民個人信息不得隨意泄露；《中華人民共和國測繪法》中明確，需要使用公民個人信息的，必須符合法律規定，且依法保密。可見，實踐中對於個人信息的運用十分廣泛，個人信息安全問題十分重要。但同時，我國現行法律體系中也對個人信息安全問題作出了較為全面的規定，在實踐中個人信息安全的問題可以根據實際情況的不同通過對應的法律來進行行為規制。

⑼ 信息安全相關法律法規 都有哪些

1、1996年發布《中國公用計算機互聯網國際聯網管理辦法》。

2、 1994年2月發布《中華人民共和國計算機信息系統安全保護條例》。

3、1996年2月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》。

4、 1997年12月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》實施

5、新《刑法》第185和第286條。

信息安全問題日趨多樣化，客戶需要解決的信息安全問題不斷增多，解決這些問題所需要的信息安全手段不斷增加。確保計算機信息系統和網路的安全，特別是國家重要基礎設施信息系統的安全，已成為信息化建設過程中必須解決的重大問題。

正是在這樣的背景下，信息安全被提到了空前的高度。國家也從戰略層次對信息安全的建設提出了指導要求。

(9)遵守哪些信息安全規定擴展閱讀：

信息安全與技術的關系可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字；斯巴達人使用一種稱為密碼棒的工具傳達軍事計劃，羅馬時代的凱撒大帝是加密函的古代將領之一，「凱撒密碼」據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統。

它是一種替代密碼，通過將字母按順序推後 3 位起到加密作用，如將字母 A 換作字母 D， 將字母 B 換作字母 E。英國計算機科學之父阿蘭·圖靈在英國布萊切利庄園幫助破解了 德國海軍的 Enigma 密電碼，改變了二次世界大戰的進程。美國 NIST 將信息安全控制分 為 3 類。

（1）技術，包括產品和過程（例如防火牆、防病毒軟體、侵入檢測、加密技術）。

（2）操作，主要包括加強機制和方法、糾正運行缺陷、各種威脅造成的運行缺陷、物 理進入控制、備份能力、免予環境威脅的保護。

（3）管理，包括使用政策、員工培訓、業務規劃、基於信息安全的非技術領域。 信息系統安全涉及政策法規、教育、管理標准、技術等方面，任何單一層次的安全措 施都不能提供全方位的安全，安全問題應從系統工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。

⑽ 急求信息安全法律法規

中華人民共和國計算機信息系統安全保護條例

國務院 1994年2月18日

第一章 總則

第一條 為了保護計算機信息系統的安全，促進計算機的應用和發展，保障社會主義現代化建設的順利進行，制定本條例。

第二條 本條例所稱的計算機信息系統，是指由計算機及其相關的和配套的設備、設施（含網路）構成的，按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。

第三條 計算機信息系統的安全保護，應當保障計算機及其相關的和套
的設備、設施（含網路）的安全，運行環境的安全，保障信息的安全，保障計 算機功能的正常發揮，以維護計算機信息系統的安全運行。

第四條 計算機信息系統的安全保護工作，重點維護國家事務、經濟建
設、 國防建設、尖端科學技術等重要領域的計算機信息系統的安全。

第五條 中華人民共和國境內的計算機信息系統的安全保護，適用本條
例。

未聯網的微型計算機的安全保護辦法，另行制定。

第六條 公安部主管全國計算機信息系統安全保護工作。

國家安全部、國家保密局和國務院其他有關部門，在國務院規定的職責范圍內做好計算機信息系統安全保護的有關工作。

第七條 任何組織或者個人，不得利用計算機信息系統從事危害國家利
益、 集體利益和公民合法利益的活動，不得危害計算機信息系統的安全。

第二章 安全保護制度

第八條 計算機信息系統的建設和應用，應當遵守法律、行政法規和國家其他有關規定。

第九條 計算機信息系統實行安全等級保護。安全等級的劃分標准和安全等級保護的具體辦法，由公安部會同有關部門制定。

第十條 計算機機房應當符合國家標准和國家有關規定。

在計算機機房附近施工，不得危害計算機信息系統的安全。

第十一條 進行國際聯網的計算機信息系統，由計算機信息系統的使用單位報省級以上人民政府公安機關備案。

第十二條 運輸、攜帶、郵寄計算機信息媒體進出境的，應當如實向海關申報。

第十三條 計算機信息系統的使用單位應當建立健全安全管理制度，負責本單位計算機信息系統的安全保護工作。

第十四條 對計算機信息系統中發生的案件，有關使用單位應當在24小時內向當地縣級以上人民政府公安機關報告。

第十五條 對計算機病毒和危害社會公共安全的其他有害數據的防治研究工作，由公安部歸口管理。

第十六條 國家對計算機信息系統安全專用產品的銷售實行許可證制度。

具體辦法由公安部會同有關部門制定。

第三章 安全監督

第十七條 公安機關對計算機信息系統安全保護工作行使下列監督職權：
（一）監督、檢查、指導計算機信息系統安全保護工作；
（二）查處危害計算機信息系統安全的違法犯罪案件；
（三）履行計算機信息系統安全保護工作的其他監督職責。

第十八條 公安機關發現影響計算機信息系統安全的隱患時，應當及時通知使用單位採取安全保護措施。

第十九條 公安部在緊急情況下，可以就涉及計算機信息系統安全的特定事項發布專項通令。

第四章 法律責任

第二十條 違反本條例的規定，有下列行為之一的，由公安機關處以警告或者停機整頓：
（一）違反計算機信息系統安全等級保護制度，危害計算機信息系統安全的；
（二）違反計算機信息系統國際聯網備案制度的；
（三）不按照規定時間報告計算機信息系統中發生的案件的；
（四）接到公安機關要求改進安全狀況的通知後，在限期內拒不改進的；
（五）有危害計算機信息系統安全的其他行為的。

第二十一條 計算機機房不符合國家標准和國家其他有關規定的，或者在計算機機房附近施工危害計算機信息系統安全的，由公安機關會同有關單位進行處理。

第二十二條 運輸、攜帶、郵寄計算機信息媒體進出境，不如實向海關申報的，由海關依照《中華人民共和國海關法》和本條例以及其他有關法律、法規的規定處理。

第二十三條 故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的，或者未經許可出售計算機信息系統安全專用產品的，由公安機關處以警告或者對個人處以5000元以下的罰款、對單位處以15000元以下的罰款；有違法所得的，除予以沒收外，可以處以違法所得1至3倍的罰款。

第二十四條 違反本條例的規定，構成違反治安管理行為的，依照《中華人民共和國治安管理處罰條例》的有關規定處罰；構成犯罪的，依法追究刑事責任。

第二十五條 任何組織或者個人違反本條例的規定，給國家、集體或者他人財產造成損失的，應當依法承擔民事責任。

第二十六條 當事人對公安機關依照本條例所作出的具體行政行為不服
的，可以依法申請行政復議或者提起行政訴訟。

第二十七條 執行本條例的國家公務員利用職權，索取、收受賄賂或者有其他違法、失職行為，構成犯罪的，依法追究刑事責任；尚不構成犯罪的，給予行政處分。

第五章 附則

第六章

第二十八條 本條例下列用語的含義:

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我復制的一組計算機指令或者程序代碼。

計算機信息系統安全專用產品，是指用於保護計算機信息系統安全的專用硬體和軟體產品。

第二十九條 軍隊的計算機信息系統安全保護工作，按照軍隊的有關法規執行。

第三十條 公安部可以根據本條例制定實施辦法。

第三十一條 本條例自發布之日起施行。
維護互聯網安全的決定

2000年12月28日第九屆全國人民代表大會常務委員會第十九次會議通過

我國的互聯網，在國家大力倡導和積極推動下，在經濟建設和各項事業中得到日益廣泛的應用，使人們的生產、工作、學習和生活方式已經開始並將繼續發生深刻的變化，對於加快我國國民經濟、科學技術的發展和社會服務信息化進程具有重要作用。同時，如何保障互聯網的運行安全和信息安全問題已經引起全社會的普遍關注。為了興利除弊，促進我國互聯網的健康發展，維護國家安全和社會公共利益，保護個人、法人和其他組織的合法權益，特作如下決定：

一、為了保障互聯網的運行安全，對有下列行為之一，構成犯罪的，依照刑法有關規定追究刑事責任：

（一）侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統；

（二）故意製作、傳播計算機病毒等破壞性程序，攻擊計算機系統及通信網路，致使計算機系統及通信網路遭受損害；

（三）違反國家規定，擅自中斷計算機網路或者通信服務，造成計算機網路或者通信系統不能正常運行。

二、為了維護國家安全和社會穩定，對有下列行為之一，構成犯罪的，依照刑法有關規定追究刑事責任：

（一）利用互聯網造謠、誹謗或者發表、傳播其他有害信息，煽動顛覆國家政權、推翻社會主義制度，或者煽動分裂國家、破壞國家統一；

（二）通過互聯網竊取、泄露國家秘密、情報或者軍事秘密；

（三）利用互聯網煽動民族仇恨、民族歧視，破壞民族團結；

（四）利用互聯網組織邪教組織、聯絡邪教組織成員，破壞國家法律、行政法規實施。

三、為了維護社會主義市場經濟秩序和社會管理秩序，對有下列行為之一，構成犯罪的，依照刑法有關規定追究刑事責任：

（一）利用互聯網銷售偽劣產品或者對商品、服務作虛假宣傳；

（二）利用互聯網損害他人商業信譽和商品聲譽；

（三）利用互聯網侵犯他人知識產權；

（四）利用互聯網編造並傳播影響證券、期貨交易或者其他擾亂金融秩序的虛假信息；

（五）在互聯網上建立淫穢網站、網頁，提供淫穢站點鏈接服務，或者傳播淫穢書刊、影片、音像、圖片。

四、為了保護個人、法人和其他組織的人身、財產等合法權利，對有下列行為之一，構成犯罪的，依照刑法有關規定追究刑事責任：

（一）利用互聯網侮辱他人或者捏造事實誹謗他人；

（二）非法截獲、篡改、刪除他人電子郵件或者其他數據資料，侵犯公民通信自由和通信秘密；

（三）利用互聯網進行盜竊、詐騙、敲詐勒索。

五、利用互聯網實施本決定第一條、第二條、第三條、第四條所列行為以外的其他行為，構成犯罪的，依照刑法有關規定追究刑事責任。

六、利用互聯網實施違法行為，違反社會治安管理，尚不構成犯罪的，由公安機關依照《治安管理處罰條例》予以處罰；違反其他法律、行政法規，尚不構成犯罪的，由有關行政管理部門依法給予行政處罰；對直接負責的主管人員和其他直接責任人員，依法給予行政處分或者紀律處分。 利用互聯網侵犯他人合法權益，構成民事侵權的，依法承擔民事責任。

七、各級人民政府及有關部門要採取積極措施，在促進互聯網的應用和網路技術的普及過程中，重視和支持對網路安全技術的研究和開發，增強網路的安全防護能力。有關主管部門要加強對互聯網的運行安全和信息安全的宣傳教育，依法實施有效的監督管理，防範和制止利用互聯網進行的各種違法活動，為互聯網的健康發展創造良好的社會環境。從事互聯網業務的單位要依法開展活動，發現互聯網上出現違法犯罪行為和有害信息時，要採取措施，停止傳輸有害信息，並及時向有關機關報告。任何單位和個人在利用互聯網時，都要遵紀守法，抵制各種違法犯罪行為和有害信息。人民法院、人民檢察院、公安機關、國家安全機關要各司其職，密切配合，依法嚴厲打擊利用互聯網實施的各種犯罪活動。要動員全社會的力量，依靠全社會的共同努力，保障互聯網的運行安全與信息安全，促進社會主義精神文明和物質文明建設。
中華人民共和國公共安全行業標准

計算機信息系統安全專用產品分類原則

公安部 1997年4月21日

1 范圍

本標准規定了計算機信息系統安全專用產品分類原則。

本標准適用於保護計算機信息系統安全專用產品，涉及實體安全、

運行安全和信息安全三個方面。

實體安全包括環境安全，設備安全和媒體安全三個方面。

運行安全包括風險分析,審計跟蹤，備份與恢復，應急四個方面。

信息安全包括操作系統安全，資料庫安全，網路安全，病毒防護，訪

問控制，加密與鑒別七個方面。

2 分類原則

為了保證分類體系的科學性，遵循如下原則：

1． 適度的前瞻性；

2． 標準的可操作性；

3． 分類體系的完整性；

4． 與傳統的兼容性；

5． 按產品功能分類。

3 術語定義

3.1 計算機信息系統 Computer Information System

是指由計算機及其相關的和配套的設備、設施（含網路）構成的，按照

一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人

機系統。

3.2 計算機信息系統安全專用產品 Security Procts for Computer Information Systems

是指用於保護計算機信息系統安全的專用硬體和軟體產品。

3.3 實體安全 Physical Security

保護計算機設備、設施（含網路）以及其它媒體免遭地震、水災、火災、

有害氣體和其它環境事故（如電磁污染等）破壞的措施、過程。

3.4 運行安全 Operation Security

為保障系統功能的安全實現，提供一套安全措施（如風險分析，審計跟蹤

，備份與恢復，應急等）來保護信息處理過程的安全。

3.5 信息安全 Information Security

防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法

的系統辨識，控制。即確保信息的完整性、保密性，可用性和可控性。

3.6 黑客 Hacker

對計算機信息系統進行非授權訪問的人員。

3.7 應急計劃 Contingency Plan

在緊急狀態下，使系統能夠盡量完成原定任務的計劃。

3.8 證書授權 Certificate Authority

通過證書的形式證明實體（如用戶身份，用戶的公開密鑰等）的真實性。

3.9 安全操作系統 Secure Operation System

為所管理的數據和資源提供相應的安全保護，而有效控制硬體和軟體功能

的操作系統。

3.10 訪問控制 Access Control

指對主體訪問客體的許可權或能力的限制，以及限制進入物理區域（出入

控制）和限制使用計算機系統和計算機存儲數