计算机信息网络安全

计算机信息网络安全第1页，共64页，2023年，2月20日，星期四提纲一、互联网的安全形势二、网络安全的法律法规三、单位、网站信息网络安全要求四、安全上网注意事项第2页，共64页，2023年，2月20日，星期四第一节、互联网的安全形势第3页，共64页，2023年，2月20日，星期四概述根据中国互联网络信息中心（CNNIC）统计数据显示，截至2009年12月30日，中国网民规模已达3.84亿人，手机网民规模一年内增加了1.2亿，已达到2.33亿人。截至2009年6月，中国域名的总数为1,626万个，其中CN域名1,296万个。

第4页，共64页，2023年，2月20日，星期四计算机信息网络常见安全风险

入侵计算机信息系统破坏计算机信息系统功能破坏计算机数据破坏计算机应用程序制作、传播计算机病毒、木马、蠕虫利用计算机来实施诈骗、赌博、造谣、传播黄色淫秽信息、宣传邪教和其他破坏国家法律法规的行为窃取用户数据，包括用户个人隐私学术资料,实验数据等EMAIL账号、BBS论坛账号、网银账号、网游帐号等作为跳板从事其它违法行为第5页，共64页，2023年，2月20日，星期四互联网的安全形势根据金山公司2009年中国电脑病毒疫情及互联网安全报告第6页，共64页，2023年，2月20日，星期四互联网的安全形势瑞星公司2009年上半年中国大陆地区互联网安全报告第7页，共64页，2023年，2月20日，星期四互联网的安全形势第8页，共64页，2023年，2月20日，星期四互联网的安全形势瑞星公司数据，被感染（恶意网址）的台数第9页，共64页，2023年，2月20日，星期四互联网的安全形势不管从哪个方面看，我省的信息网络安全状况都不容乐观……第10页，共64页，2023年，2月20日，星期四

第二节、网络安全的法律法规第11页，共64页，2023年，2月20日，星期四计算机安全保护主管部门法律法规对公安部门的授权：《计算机信息系统安全保护条例》第六条公安部主管全国计算机信息系统安全保护工作《中华人民共和国警察法》第六条（十二）项，公安机关的人民警察按照职责分工监督管理计算机信息系统的安全保护工作第12页，共64页，2023年，2月20日，星期四计算机安全保护主管部门《中华人民共和国计算机信息系统安全保护条例》第六条公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。第十七条公安机关对计算机信息系统安全保护工作行使下列监督职权：（一）监督、检查、指导计算机信息系统安全保护工作；（二）查处危害计算机信息系统安全的违法犯罪案件；（三）履行计算机信息系统安全保护工作的其他监督职责。第十八条公安机关发现影响计算机信息系统安全的隐患时，应当及时通知使用单位采取安全保护措施。第13页，共64页，2023年，2月20日，星期四其他计算机安全保护管理机构通信管理部门文化部门工商部门广电（版权）部门国家安全部门保密部门密码管理部门第14页，共64页，2023年，2月20日，星期四基本概念计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。计算机信息系统安全包括人的安全、实体安全、信息安全、运行安全。第15页，共64页，2023年，2月20日，星期四信息安全信息安全的含义包括安全法规安全管理安全技术3个方面。其中安全技术是信息安全的基础；安全管理是信息安全的关键；安全法规是信息安全的保证。第16页，共64页，2023年，2月20日，星期四法律法规《刑法》（1997年3月14日修订）第285、第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。

第285条：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”第17页，共64页，2023年，2月20日，星期四法律法规第286条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第18页，共64页，2023年，2月20日，星期四法律法规问题：近年来，计算机犯罪的特点已经超越了刑法第285和286条标注的范围。主要是通过，技术手段非法侵入法律规定以外的计算机信息系统，窃取他人账号、密码、虚拟财产（如游戏装备）等信息，或者对大范围的他人计算机实施非法控制（如僵尸网络）。这些犯罪行为，都超出了285和286条管辖的范围，刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。第19页，共64页，2023年，2月20日，星期四法律法规

2009年2月28日上午，十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会，以161票赞成、4票弃权表决通过《中华人民共和国刑法修正案(七)》。对于惩治网络“黑客”的违法犯罪行为，刑法增加了相关条款……第20页，共64页，2023年，2月20日，星期四法律法规鉴于之前所述情况，刑法修正案（七）在刑法第２８５条中增加两款（第二款、第三款）：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。第21页，共64页，2023年，2月20日，星期四法律法规鉴于之前所述情况，刑法修正案（七）在刑法第２８５条中增加两款（第二款、第三款）：提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。第22页，共64页，2023年，2月20日，星期四法律法规此次修订带来的变化如下：

1、范畴变化。对于军事、金融、政府以外的计算机系统，发生的计算机犯罪进行了界定，尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统，尤为重要。

2、刑罚变化。对于计算机犯罪的惩处量刑出现变化，比以前实施更大的惩罚力度。（……处三年以上七年以下有期徒刑……）

第23页，共64页，2023年，2月20日，星期四法律法规此次修订带来的变化如下：

3、内容变化。

（1）在内容上与时俱进，兼顾了对新型计算机犯罪行为的界定和内容描述。关注点从以前的关注入侵，转到新型犯罪行为的描述。

（2）对提供黑客工具，编写黑客工具行为，界定为违法行为。

总体看这次刑法的变更，解决了长期以来“计算机（互联网）犯罪成本”的问题，为行政司法处罚提供了依据。第24页，共64页，2023年，2月20日，星期四法律法规前款都是“后果严重的”……那情节轻微的呢？第25页，共64页，2023年，2月20日，星期四法律法规《中华人民共和国治安管理处罚法》（２００６年３月１日起施行）第二十九条有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：

（一）违反国家规定，侵入计算机信息系统，造成危害的；

（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；

第26页，共64页，2023年，2月20日，星期四法律法规第二十九条有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：

（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；

（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。第27页，共64页，2023年，2月20日，星期四法律法规第二十九条有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：

（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；

（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。第28页，共64页，2023年，2月20日，星期四案例某网络游戏公司游戏源代码被盗案

嫌疑人先通过木马病毒盗取该公司某职员的泡泡帐号及密码，冒用该帐号与掌握服务器高级权限的职员沟通并盗取其泡泡帐号及密码，以至最终与该公司核心程序员沟通，成功窃取了该程序员的VPN（远程控制）密码，并通过远程登录该公司的服务器，拷贝、窃取了相关核心数据。第29页，共64页，2023年，2月20日，星期四案例

某政府主管部门被黑客入侵案

政务公开的网站数据库内容被更改，网站被链接到2个虚假的“职称信息库”，造成全国各地大量群众纷纷致电投诉。黑客的非法入侵不仅影响了该政务网站的正常浏览和权威性，更有可能被不法分子利用虚假职称信息的查询验证功能，达到制贩虚假专业资格证书的目的。第30页，共64页，2023年，2月20日，星期四我省的地方法规《广东省计算机信息系统安全保护条例》

2007年12月20日省第十届人民代表大会常务委员会第三十六次会议通过了《广东省计算机信息系统安全保护条例》（以下简称《条例》），并将于2008年4月1日正式实施。《条例》适应了当前互联网发展和信息安全的新形势，结合我省实际情况对国家的有关规定作了细化和补充，对于全面加强信息系统安全保护，进一步维护人民群众的合法权益有着深远意义。

第31页，共64页，2023年，2月20日，星期四我省的地方法规《广东省计算机信息系统安全保护条例》的特点：一是全面规定了对信息系统实行分等级保护。二是建立了突发事件应急处置制度。三是规定了对新出现的危害行为的处罚。四是规定了用户资料保密制度。五是对特种信息安全技术实行备案制度。

第32页，共64页，2023年，2月20日，星期四《条例》特点

第33页，共64页，2023年，2月20日，星期四《条例》特点

第34页，共64页，2023年，2月20日，星期四我省的地方法规《广东省计算机信息系统安全保护条例》第四十一条

违反本条例第二十五条、第二十六条第（一）项、第（二）项、第（五）项、第（六）项、第（七）项、第（八）项、第（九）项规定的，违反第二十六条第（三）项、第（四）项规定窃取他人账号和密码、以营利或者非正当使用为目的擅自向第三方公开他人电子邮箱地址和其他个人信息资料、以非正当使用为目的擅自向第三方公开他人账号和密码的，

第35页，共64页，2023年，2月20日，星期四我省的地方法规由公安机关给予警告，有违法所得的，没收违法所得；对个人可以并处五千元以下罚款，对单位可以并处一万五千元以下罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格；违反《中华人民共和国治安管理处罚法》的，依法予以处罚；构成犯罪的，依法追究刑事责任。第二节完

第36页，共64页，2023年，2月20日，星期四第三节、单位、网站信息网络安全要求第37页，共64页，2023年，2月20日，星期四相关单位要履行的义务责任首先明确关于各个类型单位的定义：《互联网安全保护技术措施规定》（公安部第82号令）中本规定所称互联网服务提供者，是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。本规定所称联网使用单位，是指为本单位应用需要连接并使用互联网的单位。本规定所称提供互联网数据中心服务的单位，是指提供主机托管、租赁和虚拟空间租用等服务的单位。

第38页，共64页，2023年，2月20日，星期四《计算机信息网络国际联网安全保护管理办法》

第十一条用户在接入单位办理入网手续时，应填写用户备案表。备案表由公安部监制。第十二条互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。相关单位要履行的义务责任国际联网安全备案第39页，共64页，2023年，2月20日，星期四网站（ICP）需落实的责任《计算机信息网络国际联网安全保护管理办法》第五条任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权，推翻社会主义制度的；（三）煽动分裂国家、破坏国家统一的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。

第40页，共64页，2023年，2月20日，星期四网站（ICP）需落实的责任《计算机信息网络国际联网安全保护管理办法》第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当覆行下列安全保护职责：（一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；（二）落实安全保护技术措施，保障本网络的运行安全和信息安全；（三）负责对本网络用户的安全教育和培训；--》

第41页，共64页，2023年，2月20日，星期四网站（ICP）需落实的责任《计算机信息网络国际联网安全保护管理办法》（四）对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核；（五）建立计算机信息网络电子公告系统的用户登记和信息管理制度；（六）发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告；（七）按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。

第42页，共64页，2023年，2月20日，星期四网站（ICP）需落实的责任第二十条违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，按照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。

第43页，共64页，2023年，2月20日，星期四网站（ICP）需落实的责任《计算机信息网络国际联网安全保护管理办法》第二十一条有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。……（五）对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的；……

第44页，共64页，2023年，2月20日，星期四实际案例分析举例：网站开办有论坛，被网民张贴违法信息,网站管理员张三，开始每天删除该些信息，后来实在太多也就不过问了……思考：此情况应追究其“传播”责任还是“管理”责任？

第45页，共64页，2023年，2月20日，星期四网站（ICP）需落实的责任可以根据“两高”：

《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体解释》第四条明知是淫秽电子信息而在自己所有、管理或者使用的网站或者网页上提供直接链接的，其数量标准根据所链接的淫秽电子信息的种类计算。第七条明知他人实施制作、复制、出版、贩卖、传播淫秽电子信息犯罪，为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算等帮助的，对直接负责的主管人员和其他直接责任人员，以共同犯罪论处。

第46页，共64页，2023年，2月20日，星期四联网使用单位需落实的责任《互联网安全保护技术措施规定》（公安部第82号令）第七条互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：

（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；（二）重要数据库和系统主要设备的冗灾备份措施；（三）记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；（四）法律、法规和规章规定应当落实的其他安全保护技术措施。

第47页，共64页，2023年，2月20日，星期四联网使用单位需落实的责任《互联网安全保护技术措施规定》（公安部第82号令）第十条提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：

（一）记录并留存用户注册信息；（二）在公共信息服务中发现、停止传输违法信息，并保留相关记录；

（三）联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。

第48页，共64页，2023年，2月20日，星期四联网使用单位需落实的责任第十三条互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。

第三节完

第49页，共64页，2023年，2月20日，星期四案例

某高校学生散播邪教信息案

在百度贴吧上发布了一篇灾祸预言，宣传只有信奉法轮功才能得救。在网络上造成恐慌情绪。第50页，共64页，2023年，2月20日，星期四第四节安全上网注意事项第51页，共64页，2023年，2月20日，星期四安全上网注意事项安全上网最重要的还是安全习惯……

第52页，共64页，2023年，2月20日，星期四安全上网注意事项1、不要下载执行可疑文件

第53页，共64页，2023年，2月20日，星期四安全上网注意事项将“隐藏已知文件类型的扩展名”功能去除

第54页，共64页，2023年，2月20日，星期四安全上网注意事项

第55页，共64页，2023年，2月20日，星期四安全上网注意事项2、安装可靠的杀毒软件及防木马程序

第56页，共64页，2023年，2月20日，星期四安全上网注意事项

第57页，共64页，2023年，2月20日，星期四