信息安全概论教案.ppt

第11章 信息安全法律法规与管理 内容提要 ◎ 世界范围内的信息安全法规内容。 ◎ 国际相关法律法规现状与特点，相关政策法规的现状及特点 ◎ 部分相关法律法规简介，立法方面存在的问题以及信息安全犯罪案例分析 信息安全相关法律法规现状 从20世纪60年代后期起，西方30多个国家先后根据各自的实际情况，制定了相应的计算机和网络法规。瑞典1973年就颁布了数据法，涉及到计算机犯罪问题，这是世界上第一部保护计算机数据的法律。1978年，美国弗罗里达州通过了《弗罗里达计算机犯罪法》；随后，美国50个州中的47个州相继颁布了计算机犯罪法。1991年，欧共体12个成员国批准了软件版权法。同年，国际信息处理联合会计算机安全法律工作组召开首届世界计算机安全法律大会。新加坡1996年颁布了管理条例，要求提供互联网服务的公司对进入网络的信息内容进行监督，以防止色情和容易引发宗教和政治动荡的信息传播。迄今为止，已有30多个国家先后从不同侧面制定了有关计算机及网络犯罪的法律和法规，这些法规对于预防、打击计算机及网络犯罪，提供了必要的依据和权力。同时也是我国计算机及网络立法的可以借鉴的资料。 美国计算机犯罪立法 美国第一个有影响的计算机犯罪立法提案是美国参议院议员RIBIKOFF在1977年提出的，虽然未获通过，却对全世界是影响巨大。计算机发明于美国，如今计算机已广泛应用于美国经济、信息、防卫系统，然而亦随着计算机的开发，计算机犯罪案件也激剧上升。针对这种情况，美国联邦及各州大多均有关于计算机犯罪的立法。1984年由里根总统签署了美国第一部联邦计算机犯罪成文法《伪装进入设施和计算机欺诈及滥用法》。该法颁布不久，舆论界抱怨该法定规定模棱两可且保护范围过于狭窄，不能有效地打击计算机犯罪。1986年又颁布了《计算机欺诈和滥用法》，对1984年法进行了修订。与1984年法相比，1986年法显得更严谨，适用面更广，并且作了较为清晰的分类。 1986年《计算机欺诈和滥用法》打击重点在于未经许可而故意进入联邦利益计算机的行为。主要包括以下六类： （1）在未经授权或超出授权范围的情况下故意地进入计算机，并通过上述行为获取了政府因国防和外交需要而通过行政命令或法令规定不得泄露的信息、或依1954年原子能法第11条规定应属受限制的数据，并且有理由相信，此信息将用于损害美国的国家利益或有利别国的国家利益。 （2）在未经授权或超出授权范围的情况下故意地进入计算机，并因此获取了包含在《美国法典》第15篇规定的金融机构或磁卡发行人的金融记录内的信息，或者获取了《公平信用报告法》所规定的消费者报告机构文件中有关消费者的信息。其保护的客体是财产隐私权及公正信用报告法所规定之信息。 （3）在未经授权或超出授权范围的情况下故意地进入美国政府所属部门或机构的任一计算机，并因此妨碍了政府对计算机的操作。 （4）以行骗为目的，未经授权或超出授权范围明知地进入与联邦利益相关的计算机，并获取有价利益。 （5）在未经授权的情况下故意地进入联邦利益相关的某一计算机，并修改、损坏、损毁存于与联邦利益相关的任意的计算机中的信息，或者妨碍对此类计算机或信息的有权使用。本行为必须是A.在一年内造成1000美元的总损失；B.修改、破坏或是潜在地修改或破坏体检、诊断、治疗或护理信息。 （6）以欺骗为意图，故意骗取可以进入政府计算机或影响州际贸易或对外贸易的计算机的通行口令。 根据《美国法典》第18篇编第1030节规定，第一种行为，初犯处罚金或10年以下监禁或者二者并处，再犯处罚金或20年以下监禁或者二者并处。第二、第三和第六种行为，初犯处罚金或1 年以下监禁或者二者并处，再犯处罚金或5年以下监禁或者二者并处。第四或第五种行为，初犯处罚金或5年以下监禁或者二者并处，再犯处罚金或10年以下监禁或者二者并处。1986年法对一些关键概念作了界定： （1）计算机是指执行逻辑、数字或存储功能的各种电子、磁性、光学、电化学或其他高速编码处理设备，还包括其他各种与该种设备直接相关或与其相联接操作的数据存储设施或通讯设施，但不包括自动化打字机或排字机，手提便携式计算器或其他类似装置。 （2）与联邦利益相关的计算机是指财政机构联邦政府使用的计算机，或者用于财政机构或联邦事务有关的计算机，或者被用于两个以上的州实施犯罪的计算机，也即涉及州际贸易的计算机。 （3）越权进入指有进入计算机权利者从计算机中获取他无权获取的信息，或者变更了计算机中他无权变更的信息，也即是超越许可权限使用计算机。 根据《美国法典》规定，实施上述行为未遂也构成犯罪，并且与既遂受到相同的刑罚处罚。 由于1986年《计算机欺诈和滥用法》在司法实践中存在一些难以解决的问题，1994年美国议会通过《计算机滥用法修正案》以扩大计算机犯罪的责任范围和为计算机犯罪的受害者提