信息法教程18章.ppt

第18章 信息系统安全法律规范 学习要求：了解信息系统安全的目标、任务及基本概念、影响信息系统安全的因素和危害信息系统安全的行为，理解信息系统安全问题的迫切性及信息系统安全的保护措施，熟知我国保护信息系统安全的法律规范，可以灵活地运用“法律”手段保护信息系统安全。 本章导语 信息系统即计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 广义的信息系统包括的范围很广，各种处理信息的系统都可算作信息系统，包括人体本身和各种人造系统；狭义理解的信息系统仅指基于计算机的系统，是入、规程、数据库、硬件和软件等各种设备、工具的有机集合，它突出的是计算机和网络通信等技术的应用。 信息系统的广泛应用，极大地促进了社会经济的发展，但是随着计算机技术的进步、信息系统范围的扩大，信息系统受到攻击的可能性也越来越大，信息系统安全问题也就成为非常重要的信息问题。 本章概要 第一节 个人信息保护的相关概念 一、信息系统安全问题的迫切性 随着互联网的飞速发展，越来越多的信息系统和互联网实现互联，计算机病毒或非法侵入信息系统的案件也越来越多，造成的损失也越来越大。计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 由于危害信息系统案件的增多和造成的损失越来越大，信息系统安全受到世界上大多数国家或地区的高度重视，采取了众多措施来维护信息系统的安全。 近年来，我国信息系统安全形势也异常严峻。 二、信息系统安全的基本概念 一般来说，信息系统安全主要涉及信息在系统中存储和传输的安全。信息系统不仅指计算机本身的软硬件资源，数据及接口设备，还包括计算机的一切外部设备和机房设施，其中包括电源设施和网络通信设施等。 信息系统安全一般包括物理安全和逻辑安全两方面。物理安全包括：安全地放置设备，使之远离火灾、水灾、电磁辐射等；物理访问控制，如口令、指纹鉴别、视网膜鉴别等，确认身份；安全管理，包括人事管理、门卫等措施。而逻辑安全包括：信息的保密性，指高安全级的信息不会非授权地流向低安全级的主体和客体；信息的完整性，指信息不会被非授权地修改，保持信息一致性等；信息的可用性，指合法用户的正常请求应保证及时、正确、安全地得到服务。 三、影响信息系统安全的因素 危害信息系统安全的因素主要有自然灾害和人为灾害两大类。 自然灾害是由一些人类不可控制的因素引起的。目前，由于科学技术水平所限，人类还不能完全控制并消除自然灾害对信息系统安全的危害，但是可采取异地设立镜像服务器或异地存放备份数据等一些措施，把自然灾害给信息系统安全带来的损失降低到最小。 人为灾害又可以分为有意灾害和无意灾害。有意灾害主要指一些人员违纪、违法和犯罪，非法侵入或破坏信息系统安全，给信息系统安全带来的危害。无意危害主要指失误操作、故障及殃及池鱼的火灾等一些因素，给信息系统安全带来的危害。 四、危害信息系统安全的行为 四、危害信息系统安全的行为 （一）种类 四、危害信息系统安全的行为 （二）特点 四、危害信息系统安全的行为 （三）手段 五、信息系统安全的目标与任务 信息系统安全的目标主要包括：信息安全和系统安全。信息安全是保证所属组织的秘密信息和系统运行中有关信息的机密性、完整性、可用性和可控性。系统安全是保证所属组织的技术系统的可靠性、完整性和可用性。 信息系统安全的任务是要保障信息系统安全有效地运行，也就是保障信息在系统中能安全有效地存储和传输。 五、信息系统安全的目标与任务 信息系统安全的任务 具体可以归纳为以下几个方面： （1）只有合法的用户才能接入并对信息系统的资源进行操作。 （2）合法用户必须能够接入他们所被授权接入的资源进行操作。 （3）所有的用户必须并且只对他自己在信息系统中的行为负责。 （4）系统应当能够拒绝未经授权的接入或操作。 （5）应当可以从系统中获取与安全管理有关的信息。 （6）如果一个对安全的侵害被检测出来，有可控制的办法来处理，从而使造成的损失降到最小的程度。 （7）在一个对安全的破坏被检测出来后，系统可以恢复到正常的安全等级。 （8） 系统的结构应当具备一定的灵活性，以支持不同的安全管理策略。 第二节 信息系统安全的保护措施 一、技术措施 影响信息系统安全的技术问题包括通信安全技术和计算机安全技术两个方面。 通信安全所涉及的技术有： ①信息加密技术；②信息确认技术；③网络控制技术。 计算机安全所涉及的技术主要有： ①容错计算机技术；②安全操作系统；③计算机反病毒技术。 信息系统安全防护技术主要有： （1）信道防泄露。（2）加密防泄露。（3）隔离防泄露。（4）检测防泄露。 二、