《資訊保安法規與標準》課程學習心得體會
《資訊保安法規與標準》對於這門課,主要是從資訊保安的角度來講,資訊保安法律法規主要是資訊與法律的一個連線,正所謂只有法律的約束才能讓資訊這個空間變得安全。
國家法律中與資訊保安相關的法律有:農業部《計算機資訊網路系統安全保密管理暫行規定》公安部《計算機資訊系統安全專用產品檢測和銷售許可證管理辦法》公安部中國人民銀行《金融機構計算機資訊系統安全保護工作暫行規定》公安部《計算機病毒防治產品評級準則》公安部《計算機病毒防治管理辦法》郵電部《中國公用計算機網際網路國際聯網管理辦法》教育部《教育網站和網校暫行管理辦法》資訊產業部《網際網路電子公告服務管理規定》國務院新聞辦公室,資訊產業部《網際網路站從事登載新聞業務管理暫行規定》資訊產業部《非經營性網際網路資訊服務備案管理辦法》資訊產業部《電子認證服務管理辦法》資訊產業部《網際網路IP地址備案管理辦法》公安部《網際網路安全保護技術措施規定》公安部國家保密局國家密碼管理局國務院資訊化工作辦公室《資訊保安等級一保護管理辦法(試行)》公安部《網咖安全管理軟體檢測規範》《網路安全法》是我國第一部全面規範網路空間安全管理方面問題的基礎性法律,是我國網路空間法治建設的重要里程碑,是依法治網、化解網路風險的法律重器,是讓網際網路在法治軌道上健康執行的重要保障。
特別是最近出臺《網路安全法》,《網路安全法》將近年來一些成熟的好做法制度化,併為將來可能的制度創新做了原則性規定,為網路安全工作提供切實法律保障。《網路安全法》的基本原則第一,網路空間主權原則。第二,網路安全與資訊化發展並重原則。第三,共同治理原則。《網路安全法》提出制定網路安全戰略明確網路空間治理目標,提高了我國網路安全政策的透明度
三、《網路安全法》進一步明確了政府各部門的職責許可權,完善了網路安全監管體制《網路安全法》將現行有效的網路安全監管體制法制化,明確了網信部門與其他相關網路監管部門的職責分工。第8條規定,國家網信部門負責統籌協調網路安全工作和相關監督管理工作,國務院電信主管部門、公安部門和其他有關機關依法在各自職責範圍內負責網路安全保護和監督管理工作。這種“1+X”的監管體制,符合當前網際網路與現實社會全面融合的特點和我國監管需要.
四、《網路安全法》強化了網路執行安全,重點保護關鍵資訊基礎設施《網路安全法》第三章用了近三分之一的篇幅規範網路執行安全,特別強調要保障關鍵資訊基礎設施的執行安全。關鍵資訊基礎設施是指那些一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的系統和設施。雙絡執行安全是網路安全的重心,關鍵資訊基礎設施安全則是重中之重,與國家安全和社會公共利益息息相關。為此,《網路安全法》強調在網路安全等級保護制度的基礎上,對關鍵資訊基礎設施實行重點保護,明確關鍵資訊基礎設施的運營者負有更多的安全保護義務,並配以國家安全審查、重要資料強制本地儲存等法律措施,確保關鍵資訊基礎設施的執行安全。
五、《網路安全法》完善了網路安全義務和責任,加大了違法懲處力度《網路安全法》將原來散見於各種法規規章中的規定上升到人大法律層面,對網路運營者等主體的法律義務和責任做了全面規定,包括守法義務,遵守社會公德、商業道德義務,誠實信用義務,網路安全保護義務,接受監督義務,承擔社會責任等,並在“網路執行安全”、“網路資訊保安”、“監測預警與應急處置”等章節中進一步明確、細化。在“法律責任”中則提高了違法行為的處罰標準,加大了處罰力度,有利於保障《網路安全法》的實施。
六、《網路安全法》將監測預警與應急處置措施制度化、法制化《網路安全法》第五章將監測預警與應急處置工作制度化、法制化,明確國家建立網路安全監測預警和資訊通報制度,建立網路安全風險評估和應急工作機制,制定網路安全事件應急預案並定期演練。這為建立統一高效的網路安全風險報告機制情報共享機制、研判處置機制提供了法律依據,為深化網路安全防護體系,實現全天候全方位感知網路安全態勢提供了法律保障。
最後舉幾個典型的違反網路安全法律法規的相關案例:
山東棗莊滕州偵破侵犯公民個人資訊案。2017年4月,山東棗莊滕州公安機關破獲王某等人洩露、竊取、買賣、非法利用公民個人資訊的團伙案,抓獲犯罪嫌疑人28名。公安機關工作中發現,有人在網上出售手機定位、銀行餘額、航班乘坐記錄個人徵信、住宿記錄等各類公民個人資訊。經查,涉案的機票代理商王某非法查詢並販賣航班乘坐記錄11萬餘次,非法獲利2萬餘元;涉案的某通訊運營公司員工吳某利用工作之便,向社會人員穆某提供電信手機使用者定位資訊400餘條,非法獲利10萬餘元;涉案的某銀行員工朱某利用工作之便,查詢出售公民個人徵信資訊300餘條,非法獲利5000餘元;涉案的某銀行員工韓某,利用工作之便,查詢出售公民個人徵信資訊200餘條,非法獲利5000餘元;涉案的某銀行員工周某,查詢出售公民個人徵信資訊300餘條,非法獲利6000餘元。
江蘇徐州偵破非法攻擊計算機資訊系統案。2016年12月,江蘇徐州公安機關偵破譚某等人利用DDOS網路攻擊案,抓獲犯罪嫌疑人34名,扣押、凍結涉案資金60餘萬元。2015年底,徐州公安機關接到某雲端計算服務公司報案稱,其公司多臺雲伺服器遭受攻擊,造成雲端多個託管網站無法正常訪問,多項網際網路服務受到影響。經查,該團伙涉及湖南、河南、重慶等14省26個地市,由發單人、“肉雞商”(倒賣被黑客遠端控制機器的人員)、攻擊實施人、出量人、擔保人等分工角色組成。該團伙對幾+家網站及公司實施DDOS攻擊,導致被攻擊的網站服務癱瘓,造成巨大損失。湖北襄陽偵破侵犯公民個人資訊案。2016年11月,湖南襄陽公安機關偵破馬某等人竊取、販賣公民個人資訊案,抓獲犯罪嫌疑人8名,查獲公民個人資訊337萬條,凍結涉案資金12萬餘元。2016年8月,襄陽黎某報案稱,其購買房產後就不斷有人打電話詢問其是否需要抵押貸款,懷疑其個人資訊被洩露。經查,犯罪嫌疑人王某利用其掌握的計算機知識,幫助李某通過網路黑客技術入侵了北京某物流公司計算機系統,非法竊取大量收、發快件人員的姓名、地址、手機號碼等資訊,並販賣給他人牟利。