第1章信息安全和发展趋势_第1页
第1章信息安全和发展趋势_第2页
第1章信息安全和发展趋势_第3页
第1章信息安全和发展趋势_第4页
第1章信息安全和发展趋势_第5页
已阅读5页,还剩55页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第1章信息安全概述和发展趋势

1.1信息安全概述1.2安全攻击与防御1.3信息安全发展趋势1.4人为和社会因素1.5信息安全与法律

1.1信息安全概述

信息安全技术是一门综合交叉学科。它综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行信息安全的自主创新研究,加强顶层设计,提出系统的、完整的、协同的解决方案。它基于信息论、计算机科学和密码学等多学科知识,研究计算机系统和通信网络内信息的保护方法,以实现系统内信息的安全、保密、真实和完整。随着信息技术的发展和应用,信息安全的内涵在不断延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)等多方面的基础理论和实施技术。21世纪是信息时代,信息的传递在人们日常生活中变得非常重要。如:电子商务、电子邮件、银行证券等,无时无刻不在影响着人们的生活。这样,信息安全问题也就成了最重要的问题之一。

在信息交换中,“安全”是相对的,而“不安全”是绝对的。随着社会的发展和技术的进步,信息安全标准不断提升,信息安全问题永远是一个全新的问题。“发展”和“变化”是信息安全的最主要特征,只有紧紧抓住这个特征才能正确地处理和对待信息安全问题,以新的防御技术来阻止新的攻击方法。1.1.1信息的定义与性质和特征

1.信息的定义

究竟什么是信息,目前理论界尚无定论。据粗略统计,在我国书刊中公开出现过的信息定义就有30多种,比较有代表性的有以下几种:

信息论的奠基人香农在著名的论文《通信的数学理论》中提出,信息是“两次不确定性之差异”,是用以消除随机不确定性的东西。控制论的创始人维纳认为:信息是人与外部世界互相交换的内容的名称。我国信息论专家钟义信教授把信息定义为:事物运动的状态和方式。

我们认为:所谓信息,就是客观世界中各种事物的变化和特征的最新反应,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现。

2.信息的性质和特征

一是普遍性和可识别性。信息来源于物质和物质的运动。只要存在着物质,只要有变化着的事物或运动着的客体,就会存在信息。二是存储性和可处理性。信息存储是指通过信息载体来将信息进行保存,以备后用,或先存入然后进行分析整理。

三是时效性和可共享性。信息具有较强的时效性,信息获取应趁早。信息传递的越快越广,其价值就越大。

四是增值性和可开发性。主要表现在两个方面:一是对具体形式的物质资源和能量资源进行最佳配置,可以使有限的资源发挥最大的作用;二是可以利用急剧增长的信息,去发掘新的材料和能源。五是可控性和多效用性。信息的可控性反映在三个方面:一是可扩充,二是可压缩,三是可处理。而信息的多效用性则是由信息所具有的知识性决定的。

此外,信息还具有转换性、可传递性、独立性和可继承性等特征。信息也具有很强的社会功能。1.1.2信息安全的基本概念

1.信息安全的定义

“安全”并没有唯一的定义,但其基本含义可解释为:客观上不存在威胁,主观上不存在恐惧。

“信息安全”同样没有公认和唯一的定义,但国内外对信息安全的论述大致可以分成两大类:一类是指具体的信息技术系统的安全,另一类则是指某一特定信息体系(如一个国家的银行信息系统、军事指挥系统等)的安全。但有人认为这两种定义均失之于过窄,应把信息安全定义为:一个国家的社会信息化状态不受外来的威胁与侵害,一个国家的信息技术体系不受外来的威胁与侵害。原因是:信息安全,首先应该是一个国家宏观的社会信息化状态是否处于自主控制之下,是否稳定的问题,其次才是信息技术安全问题。2.信息安全属性

所谓“信息安全”,在技术层次上的含义就是保证在客观上杜绝对信息安全属性的威胁,使得信息的主人在主观上对其信息的本源性放心。不管信息入侵者怀有什么样的阴谋诡计,采用什么手段,他们都要通过攻击信息的以下几种安全属性来达到目的。

1)完整性

完整性是指信息在存储或传输的过程中保持不被修改、不被破坏、不被插入、不延时、不乱序和不丢失的特性。对于军用信息来说,完整性被破坏可能就意味着延误战机、自相残杀或闲置战斗力。破坏信息的完整性是对信息安全发动攻击的最终目的。2)可用性

可用性是指信息可被合法用户访问并能按要求顺序使用的特性,即在需要时就可以取用所需的信息。对可用性的攻击就是阻断信息的可用性,例如破坏网络和有关系统的正常运行就属于这种类型的攻击。

3)保密性

保密性是指信息不泄露给非授权的个人和实体,或供其使用的特性。军用信息的安全尤为注重信息的保密性(相比较而言,商用信息则更注重于信息的完整性)。4)可控性

可控性是指授权机构可以随时控制信息的机密性。美国政府所提倡的“密钥托管”、“密钥恢复”等措施,就是实现信息安全可控性的例子。

5)可靠性

可靠性指信息以用户认可的质量连续服务于用户的特性(包括信息迅速、准确和连续地转移等),但也有人认为可靠性是人们对信息系统而不是对信息本身的要求。

“信息安全”的内在含义就是指采用一切可能的方法和手段,来千方百计保证信息的上述“五性”安全。1.1.3信息安全的目标

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,使信息服务不中断。也可以说,所谓信息安全,一般是指在信息采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。这两种对信息安全的定义,目标是一致的,但侧重点不同,前者注重动态的特性,后者注重静态的特性。危及网络信息安全的因素主要来自两个方面。一是由于网络设计和网络管理方面的原因,无意间造成机密数据暴露;二是攻击者采用了不正当的手段来通过网络获得数据(包括截取用户正在传输的数据和远程进入用户的系统)。对于前者,应当结合整个网络系统的设计,进一步提高系统的可靠性;对于后者,则应从数据安全的角度着手,采取相应的安全措施,达到保护数据安全的目的。一个良好的网络安全系统,不仅应当能够防范恶意的无关人员,而且应当能够防止专有数据和服务程序的偶然泄露,同时不需要内部用户都成为安全专家。设置这样一个系统,用户才能够在其内部资源得到保护的安全环境下,享受访问公用网络的好处。

1.2安全攻击与防御

安全目标分为三类,即系统安全(包括网络安全和计算机安全)、数据安全和事务安全。它们之间有一定的层次关系,如图1-1所示。

网络和计算机所组成的系统作为信息的承载者,其安全性是基本的要求,而后,才能实现其上运行的数据的安全目标,但最终目标则是为各种应用事务提供安全保护。下层的安全为上层的安全提供一定的保障(Assurance),但不提供安全服务。这就是说,在实现上层的安全性中经常需要下层的安全做基础,但上层的安全不能仅通过对下层的功能调用来实现,需要用专门的安全机制来实现。图1-1安全层次关系图1.2.1计算机系统中的安全威胁

计算机系统是用于信息存储、信息加工的设施。计算机系统一般是指具体的计算机系统,但是我们有时也用计算机系统来表示一个协作处理信息的内部网络。后者有时被称为网络计算机。

计算机系统面临着各种各样的攻击,这些攻击主要有下列几种类型。

1.假冒攻击

假冒是指某个实体通过出示伪造的凭证来冒充别人或别的主体,从而攫取授权用户的权利。2.旁路攻击

旁路攻击是指攻击者利用计算机系统设计和实现中的缺陷或安全上的脆弱之处,获得对系统的局部或全部控制权,进行非授权访问。

3.非授权访问

非授权访问是指未经授权的实体获得了访问网络资源的机会,并有可能篡改信息资源。

4.拒绝服务攻击

拒绝服务攻击的目的是摧毁计算机系统的部分乃至全部进程,或者非法抢占系统的计算资源,导致程序或服务不能运行,从而使系统不能为合法用户提供正常的服务。5.恶意程序

计算机系统受到上述类型的攻击可能是非法用户直接操作实现的,也可能是通过恶意程序如木马、病毒和后门实现的。

上面对计算机可能存在的一些攻击作了描述。这些攻击中所利用的系统弱点主要包括两个方面:一是系统在身份识别协议、访问控制安全措施方面存在弱点,不能抵抗恶意使用者的攻击;二是在系统设计和实现中有未发现的脆弱性,恶意使用者利用了这些脆弱性。1.2.2网络系统中的安全威胁

计算机网络系统(即网络系统)是实现计算机之间信息传递或通信的系统,它通过网络通信协议(如TCP/IP)为计算机提供了新的访问渠道。网络中的计算机系统除了可能受到上小节提到的各种威胁外,还可能受到来自网络中的威胁。此外,网络交换或网络管理设备、通信线路可能还会受到一些仅属于网络安全范畴的威胁。主要威胁列举如下。

1.截获/修改

这种威胁是指攻击者通过对网络传输中的数据进行截获/修改,使得接收方不能收到数据或收到的是替换了的数据,从而影响通信双方的数据交换。2.插入/重放

这种威胁是指攻击者通过把网络传输中的数据截获后存储起来并在以后重新发送,或把伪造的数据插入到信道中,使得接收方收到了一些不应当收到的数据。

3.服务欺骗

服务欺骗是指攻击者伪装成合法系统或系统的合法组成部件,引诱并欺骗用户使用。常见的攻击方法有以下两种:

1)窃听和数据分析

窃听和数据分析是指攻击者通过对通信线路或通信设备的监听,经过适当分析,直接推断出秘密的信息,达到信息窃取的目的。2)网络拒绝服务

网络拒绝服务是指攻击者通过对数据或资源的干扰、非法占用,造成系统永久或暂时不可用,合法用户被拒绝或需要额外等待。

计算机系统受到了上述类型的攻击可能是由黑客或敌手操作实现的,也可能是由网络蠕虫或其它恶意程序造成的。1.2.3数据的安全威胁

数据是网络信息系统的核心。计算机系统及其网络如果离开了数据,就像丢失了灵魂的躯壳,是没有价值的。

无论是敌手对计算机系统的攻击还是对网络系统的攻击,其目标无非是针对系统上承载的信息而来的。

这些攻击对数据而言,实际上有三个目标:截获秘密数据,伪造数据,或在上述攻击不能奏效的情况下破坏数据的可用性。

关于数据安全的攻击与防御的研究是信息安全研究的主要课题,也是本书的重点。这里暂不叙述。1.2.4事务安全

事务(Transaction)的概念首先出现在数据库管理系统中,表示作为一个整体的一组操作,它们应当顺序执行,仅仅完成一个操作是无意义的。而且在一个事务全部完成后,或者遇到系统崩溃的情形,操作结果都不能丢失。系统还必须允许多个事务的并行执行。

实际上,在几乎所有的信息系统中,事务都是最基本的概念。几乎所有的网络应用协议都可以看成是由一个一个的事务组成的;事务的正确执行要满足ACID性质,即原子性、一致性、孤立性和持续性。事务构成了各种应用的基本元素。事务实际上总可以看成是发生在若干实体之间的交互。常见的针对事务安全的攻击有如下几种。

1.字典攻击

字典攻击最早出现在对网络口令识别协议的攻击中。因口令的变化量太小,攻击者可以构造一本可能出现口令的字典,然后逐个验证字典条目,最后破解用户的口令。

2.中间人攻击

中间人攻击是指:假设完成事务的几方包括A、B,攻击者如果伪装成A与B交互,同时伪装成B与A交互,则攻击者可能获得相关事务中的机密信息。3.合谋攻击

合谋攻击中的攻击者可能是事务的参与方,也可能不是,买通事务的若干参与方共同欺骗其余的参与方,以获得非法的权限或利益。

关于事务攻击,还有选择明文攻击、选择密文攻击、预言者会话攻击、并行会话攻击等。这些事务攻击实际上使用了参与方在身份识别、抗抵赖方面的缺陷,或者更一般的攻击者利用了多方计算机协议的设计或实现的漏洞。1.2.5技术防护

前面从攻击的角度分析了信息及其系统所面临的各种威胁。从技术角度防御这些攻击,一种做法是针对每一种具体的攻击拟定一种防护措施。然而,人们通过漫长的研究,发现信息安全技术按照一些安全目标分类是比较合理的。各种安全目标在攻击防护中的作用列举如下。

(1)机密性保护数据不泄露给非授权用户。保护数据的机密性可有效地抵抗攻击者进行窃听和数据分析。(2)完整性保护数据不被非授权地修改、删除或代替,或能够检测这些非授权的改变。保护数据的完整性可有效地抵御攻击者对通信或计算机系统中数据的截获、修改、插入、重放攻击。对系统程序的完整性保护在一定意义上还能保护系统对病毒、网络蠕虫的免疫能力。

(3)身份识别可提供某个实体(人或其他行为主体)的身份的证实。因为身份识别通常是实体或系统之间交互的第一道屏障,所以不论在系统安全方面,还是事务安全方面,都非常重要,它能抵抗假冒、服务欺骗、字典攻击和中间人攻击等攻击。强健的身份识别也为其他安全目标的实现奠定了基础。(4)访问控制保护信息资源不被非授权者使用或控制。访问控制可在有效地抵御攻击者进行非授权访问、旁路和后门攻击的同时,还能有效地抵抗如木马、病毒等恶意程序的侵害、窃听和数据分析。

上面归纳的几种安全目标已经基本覆盖了现有的攻击。但应当说明的是,这几种安全目标绝对没有覆盖未来发现的攻击行为。这一点与其他学科不大一样,因为攻和防本身是在不断变换发展的。1.3信息安全发展趋势

现代信息系统中的信息安全的核心问题是密码理论及其应用,其基础是可信信息系统的设计与评估。总的来说,目前在信息安全领域人们所关注的焦点主要有以下几个方面:

(1)密码理论与技术;

(2)安全协议理论与技术;

(3)安全体系结构理论与技术;

(4)信息对抗理论与技术;

(5)网络安全与安全产品。

下面简要介绍国内外在以上几个方面的研究现状及发展趋势。1.3.1密码理论与技术研究的现状及发展趋势

密码理论与技术主要包括两部分,基于数学的密码理论与技术和非数学的密码理论与技术(如信息隐形、量子密码、基于生物特征的识别理论与技术等)。基于数学的密码理论与技术主要有以下几类。

1.公钥密码

自从1976年公钥密码的思想提出以来,国际上已经提出了许多公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。2.数字签名和密钥管理

公钥密码主要用于数字签名和密钥分配,而数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名、代理签名、群签名、不可否认签名、门限签名和具有消息恢复功能的签名等等。

3.认证码

20世纪80年代后期以来,在认证码构造和安全性等方面已经取得了长足的发展。我国学者在这方面的研究工作也非常出色,影响较大。目前这方面的理论相对比较成熟,很难有突破。4.Hash函数

Hash函数主要用于完整性校验和提高数字签名的有效性。美国已经制定了Hash标准—SHA-1,与其数字签名标准匹配使用。

5.身份识别

在身份识别的研究中,最令人瞩目的识别方案有两类。一类是1984年Shamir提出的基于身份的识别方案,另一类是1986年Fiat等人提出的零知识身份识别方案。目前人们所关注的是身份识别方案与具体应用环境的有机结合。6.序列密码

序列密码主要用于政府、军事等国家要害部门。尽管用于这些部门的理论和技术都是保密的,但由于一些数学工具(比如代数、数论和概率等)可用于研究系列密码,所以其理论和技术相比而言比较成熟。

7.分组密码

分组密码研究与数据加密标准相关联。美国早在1977年就制定了自己的数据加密标准(一种分组密码),但除了公布具体的算法之外,从来就不公布详细的设计规划和方法。8.密码理论与技术

国外目前不仅在密码基础理论方面的研究不断深入,而且在实际应用方面也成果显著,如制定了一系列的密码标准,十分规范。其算法的征集和讨论已经公开化。

9.公钥基础设施技术

目前最为人们所关注的实用密码技术是公钥基础设施(PKI)技术。国外的PKI应用已经开始,开发PKI的厂商有多家。而B2B电子商务活动需要的认证和不可否认等功能只有PKI产品才有能力提供。1.3.2安全协议理论与技术的研究现状与发展趋势

安全协议的研究主要包括安全协议的安全分析方法研究和各种实用安全协议的设计与分析研究两方面内容。安全协议的安全性分析方法主要有两类,一类是攻击检验方法,一类是形式化分析方法。安全协议的形式化分析方法是安全协议研究中最关键的研究问题之一。它的研究始于20世纪80年代初,目前正处于百花齐放、充满活力的状态之中。许多一流公司和大学的介入,使这一领域成为研究热点。随着各种有效方法及思想的不断涌现,这一领域在理论上正在走向成熟。从大的方面讲,在协议形式化分析方面比较成功的研究思路可以分为三种:一是基于推理知识和信息的模态逻辑,二是基于状态搜索工具和定理证明技术,三是基于新的协议模型发展而来的证明正确性理论。

目前,已经提出了大量的实用安全协议,主要有电子商务协议、IPSec协议、TLS协议、简单网络管理协议(SNMP)、PGP协议、PEM协议、S-HTTP协议和S/MIME协议等。实用安全协议的安全性分析,特别是电子商务协议、IPSec协议和TLS协议的安全性分析是当前协议研究中的另一个热点。典型的电子商务协议有SET协议和iKP协议等。另外,值得注意的是Kailar逻辑,它是目前分析电子商务协议的最有效的一种形式化方法。在安全协议的研究中,除理论研究外,实用安全协议研究的总趋势是走向标准化。我国学者虽然在理论研究方面和国际已有协议的分析方面做了一些工作,但在实际应用方面与国际先进水平还有一定的差距,这主要是由于我国的信息化进程落后于先进国家。1.3.3安全体系结构理论与技术的研究现状及发展趋势

安全体系结构理论与技术主要包括安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、策略和准则的系统的研制(比如安全操作系统和安全数据库系统等)。

20世纪80年代中期,美国国防部为适应军事计算机的保密需要,在20世纪70年代的基础理论研究成果—计算机保密模型(Bell&Lapadula模型)的基础上,制定了《可信计算机系统安全评价准则》(TCSEC),其后又对网络系统、数据库等方面做出了系列安全解释,形成了安全信息系统体系结构的最早原则。我国在系统安全的研究和应用方面,与国际上的先进国家和地区存在着很大的差距。近几年来,在我国进行了安全操作系统、安全数据库、多级安全机制的研究,但由于自主安全内核受控于人,因此难以保证没有漏洞。而且大部分有关的工作都以美国1985年的TCSEC标准为主要参照系,其理论基础和自主的技术手段也有待发展和强化。然而,我国的系统安全的研究与应用毕竟已经起步,具备了一定的基础和条件。1.3.4信息对抗理论与技术的研究现状及发展趋势

信息对抗理论与技术主要包括黑客防范体系、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒以及人工免疫系统在反病毒和抗入侵系统中的应用等。

由于在因特网上,黑客入侵事件不断发生,不良信息大量传播,因此网络安全监控管理理论和机制的研究受到广泛重视。黑客入侵手段的研究分析、系统脆弱性检测技术、入侵报警技术、信息内容分级标识机制、智能化信息内容分析等研究成果已经成为众多安全工具软件的组成部分。信息对抗理论与技术的研究正处于发展阶段,信息对抗的理论和技术都很不成熟,也比较零散,但它的确是一个研究热点。目前看到的成果主要是一些产品,比如IDS、防范软件、杀毒软件等。当前在该领域最引人瞩目的问题是网络攻击,美国在网络攻击研究方面处于国际领先地位,有多个官方和民间组织在做攻击方面的研究。

该领域的另一个比较热门的问题是入侵检测与防范。这方面的研究相对比较成熟,也形成了系列产品,典型代表是IDS产品。我国在这方面也做了很好的工作,并形成了相应的产品。信息对抗使得信息安全技术有了更大的用途,极大地刺激了信息安全的研究与发展。信息对抗的能力不仅体现了一个国家的综合实力,而且体现了一个国家信息安全实际应用的水平。1.3.5网络安全与安全产品的研究现状及发展趋势

网络安全是信息安全中的重要研究内容之一,也是当前信息安全领域的研究热点。研究内容包括网络安全整体解决方案的设计与分析、网络安全产品的研发。网络安全包括物理安全和逻辑安全。物理安全指网络系统中的通信、计算机设备及相关设施的物理保护,使其免于被破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。网络安全涉及网络、操作系统、数据库、应用系统和人员管理等方方面面,必须综合考虑。网络中的主要安全威胁如下:身份窃取、假冒、数据窃取、否认、非授权访问、拒绝服务和错误路由等。

解决网络信息安全问题的主要途径是利用密码技术和网络访问控制技术。密码技术用于隐蔽传输信息、认证用户身份等。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。目前,在市场上比较流行,又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网、安全服务器和电子证书机构(CA)和PKI产品等。上述所有技术发展方向和产品种类都包含了密码技术的应用,并且是非常基础性的应用。网络安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。1.4人为和社会因素

我们知道,信息对象的保护是通过人实施安全策略来实现的。另外,信息保护中采用的技术和最终对安全系统的操作都是由人来完成的。不仅如此,在信息安全系统的设计、实施和验证中也不能离开人,人在信息安全管理中占据着中心地位。因此,如何对人员进行组织和管理,在网络安全中具有重要的意义。1.人员、组织和管理

任何安全系统的核心都是人。在信息安全技术领域,这一点显得尤为突出。因为如果是人,特别是内部用户,不正确地使用系统,则他可以轻而易举地跳过技术控制。例如,计算机系唯一般是通过口令来识别用户的。如果用户能够提供正确的口令,则系统自动认为该用户是授权用户。假设一个用户将自己的用户名和密码告诉了其他人,那么非授权用户就可假冒这个用户,而且无法被系统发现。我们知道,非授权的外部用户攻击一个机构的计算机系统是危险的,而一个授权的内部用户攻击一个机构的计算机系统将更加危险。因为,内部人员对机构的计算机网络系统结构、操作员的操作规程非常清楚,而且通常还会通过自己知道的足够的口令而跨越安全控制(而这些安全控制对防御外部攻击者的攻击往往是有效的)。可见,内部用户的越权使用是一个非常难以应对的问题。

由此可见,对使用者的技术培训和安全意识教育是非常重要的。2.安全意识

安全通常不会给组织机构带来直接的经济效益。安全意识培训虽然能限制损失,但建设初期是需要花费一定经费的。组织机构一般都有认识上的误区,认为在安全上的投资是一种浪费,而且为系统添加安全措施通常会使原先简单的操作变得复杂,从而降低处理效率。这种情况通常会延续到安全问题带来的损失已经发生的时候。

信息安全不仅依靠组织和内部人员对安全技术知识的掌握、安全意识的增强以及领导层对安全的重视,还必须依靠一整套明确责任、明确审批权限的安全管理制度,以及专门的安全管理机构,从根本上保证所有人员的规范化使用和操作。3.社会道德

社会道德和人们的行为习惯都会对信息安全产生影响。一些技术方法或管理办法在一个国家或区域可能不会有问题,但在另一个地方可能会受到抵制。例如,密钥托管在一些国家实施起来可能就不会很艰难,而在有些国家曾因为密钥托管技术的使用被认为是侵犯了人权而被起诉。信息安全的实施与所处的社会环境有着紧密的联系,不能鲁莽照搬他人的经验。

1.5信息安全与法律

随着计算机网络应用的日益普及,发达国家已经比较早地开始研究有关计算机网络应用方面的法律问题,并陆续制订了一系列有关的法律法规,以规范计算机在社会和经济活动中的应用。然而,计算机网络进入人类社会及经济活动的时间相对还比较短,因此有关法律法规的制定工作仍然存在着许多问题和困难。下面仅从网络立法现状与思考、计算机记录的法律价值、用户行为规范三个方面进行阐述。1.5.1网络立法的现状与思考

1.网络立法的现状

信息安全与法律问题目前还处于探讨阶段。基本情况是:一方面,在具体的立法上已经走出了可喜的一步。它的性质仍然属于管理型的法规。另一方面,在理论上的探索和研究,还处于前期的准备阶段。若要达到全面建设网络法律体系的目标,则问题更是复杂。对其的认识,不是短短几年就能搞清楚的。2.网络立法的形式

将来的网络立法的形式应当是:

(1)建立一部类似于《著作权法》、《商标法》或者《专利法》这样的法律,用来全面规定网络的法律问题。其中既要有前面所说的三个方面的基本内容,还要有详细的行为规范和权利义务关系等规定。这是一部独立的法律。

(2)在一些基本法中补充一些有关网络内容的规定。例如,要在《诉讼法》、《刑法》、《行政法》等法律中规定与网络相关的内容。在《刑法》中应当规定黑客犯罪的犯罪构成、刑法幅度;在《行政法》中应

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论