“非法获取计算机信息系统数据罪”涉及的若干认定标准
《中华人民共和国刑法》第285条包含三种计算机犯罪类型,其中第二款规定的情形为“非法获取计算机信息系统数据罪”,该罪名是2009年刑法修正案补充的罪名。由于刑法规定过于笼统,为对该罪名进行准确的定罪量刑,2011年,最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和司法实践对该罪名的构成及认定标准进行探讨。
1
2
3
4
5
具有下列
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为非法侵入计算机信息系统罪规定的“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
二、单位是否适用本罪
根据《刑法》第30条的规定:公司、企业、事业单位、机关、团地事实的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。由于刑法第285条并未将单位列为本罪的犯罪主体,因此,本条罪名的主体只能是具有刑事责任能力的自然人。
但是,笔者在经办此类案件的过程中,发现如果不将单位列为犯罪主体,将无法有效的进行案件的侦办以及定罪量刑,并与刑法的罪刑一致的原则相违背。
首先,目前公布的部分案件属于单位以经营为目的,获取第三方公司计算机系统的数据并加以利用,由于单位犯罪主体,导致侦查机关不合理扩大犯罪嫌疑人的范围。在江苏公安局办理的最新
及加工、
对
在
的名义,
家相关规定”;后者只在侵犯公民个人信息犯罪条文中出现,其他罪名均采用的是“违反国家规定”的表述。
根据 2011年最高人民法院发布的《关于准确理解和适用刑法中“国家规定”的有关问题通知》的规定,本条罪名所指的“国家规定”包括:
1、全国人大及其常委会所发布的法律、决定;
2、国务院制定的行政法规;
3、国务院规定的行政措施、发布的命令和决定;
4、国务院办公厅名义制发的文件,符合下列条件的:有明确的法律依据或者同相关行政
法规不相抵触;经国务院常务会议讨论通过或者经国务院批准;在国务院公报上公开发布。
其中第三项系《宪法》规定的国务院的职权范围,其发布行政措施、决定、命令只是国务院履行行政管理职能的方式,其内容一般仍然为发布行政法规或文件。
以上规定,排除了国务院下属机构发布的部门规章以及其他规范性法律文件以及与上述文件位阶类似的地方性法规、规章等。
根据目前的统计,涉及本条罪名的“国家规定”主要包括:国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》(国务院批准公安部发布)、全国人大常委会发布的《关于加强网络信息保护的决定》、《网络安全法》。
三、“非法侵入”的认定
1、285条第
2、
使用该
为?
那么应当认为计算机系统控制人并不认为该种行为对其计算机系统的安全构成侵犯并不具有寻求法律保护的意愿,此时不应当将上述行为认定为本罪的“非法侵入”。
如果获得授权的员工的行为损害了计算机系统管理人其他的权益,如商业秘密、财产权益等,则应当以其他罪名认定。
3、侵入具有秘密性,并违背计算机系统管理人的意愿。
三、数据性质及数据数量的认定
刑法对于“计算机数据”并无专门定义,我们可以参考《最高人民法院关于适用刑事诉讼法的解释》第93条规定,该规定列举了电子数据的范围包括:电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。从计算机语言的角度解读,计算机数据包含一
切由二进制符号组合而成的字母、数字、图像、影音等外在表现形式。
1、本罪保护的数据范围。
国家制定刑法打击犯罪的目的系保护具有价值的法益,打击的行为应当具有社会危害性。由于“数据”的概念几乎囊括了计算机系统中所有的信息,而并非所有数据均具有法律的保护价值,在现有立法技术也不能对数据的表现形式具体列明,因此,对于法律保护的数据范围,没有明确规定。最高院的司法解释也只列举了“身份认证信息”一种情形。笔者认为,尽管不能穷尽数据类型,但可以排除不应当纳入本罪保护范围的部分数据类型:
(1)、已经公开的数据。如企业基本工商信息、政府发布的各类公告、命令等文件、已经通
(2
(3
2
第一条的重”。
均不能认定为有效的一组身份认证信息。在司法实践中,如果行为人获取该信息时有效,但侦查过程中因数据变动失效,原则上应当视为有效信息。
对于获取其他数据是否达到“情节严重”的标准,可以综合考虑数据的数量、数据市场价值、数据获得成本、数据泄露对数据所有人或管理人可能造成的后果等因素,条件允许的情况下,可以申请价值鉴定。
四、违法所得的认定
根据最高院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定,违法所得超过5000元的,符合“情节严重”的标准。但是实践中对于“违法所得”的认定标准存在不同意见。
根据现有法律及司法解释的规定,对于“违法所得”在不同的法律条文中同时存在两种判定标准:一种系按照“非法经营收入”认定;一种系按照“非法获利”认定。在第一种认定模式下,违法所得指的是犯罪分子因犯罪行为获得的所有财物,包括金钱和物品。如《最高人民法院、最高人民检察院关于适用犯罪嫌疑人、被告人逃匿、死亡案件违法所得没收程序若干问题的规定》第六条规定:通过实施犯罪直接或者间接产生、获得的任何财产,应当认定为刑事诉讼法第二百八十条第一款规定的“违法所得”;违法所得已经部分或者全部转变、转化为其他财产的,转变、转化后的财产应当视为前款规定的“违法所得”。第二种认定模式下,违法所得仅仅指扣除相关合理经营成本后的获利。如最高人民法院《关于审理非法出版物刑事案件具体运用法律若干问题的解释》第十
1
“法
“获
2
对该数据进行传输、过滤、加工后方能形成具有市场交易价值的服务或产品。在上述收入获取的过程中,除原始数据来源不合法以外,其他为获取经营收入而支出的房租、设备、行政成本、人工成本等均属于合法投入,如果将经营收入直接认定为“违法所得”,属于变相的将行为人的合法财产一并认定为非法所得的行为。
因此,本罪在认定违法所得时,应当扣除合理的支出,按照实际的获利金额认定。如实际获利金额不足以达到最低的量刑标准的,则不能适用该种情形下的法律标准。
在我国,国土资源信息系统的建设与应用正在逐步展开,国土资源信息的标准化已经提到议事日程,无论是国家信息产业的宏观决策,信息系统的推广应用,还是某个信息系统建设工程的具体实施,解决标准化问题已是不可回避。然而,国土资源信息标准化是一个极其复杂的问题,不但内容众多,技术复杂,涉及面广,而且随着技术的发展和应用需求的提高,标准化程度与内容也在不断发生变化,所以,标准的研究与制订必须结合实际需要,以创新的思维,在权威部门的组织领导之下有步骤、有计划的进行。本文就国土资源信息的标准化的意义与作用、标准化体系等问题加以讨论,并就具体实施提出有关建议。 一、国土资源信息系统标准化的意义 国土资源从广义上讲,包括一个国家领土范围内所有的资源,从狭义上说,主要是指土地资源。中国是一个人多地少的国家,土地资源对中国的发展至关重要。充分利用有限的国土资源,有赖于政府高效和科学的管理与决策及国民对国土资源认识和珍惜。而这些都必须建立在对国土资源的数量、质量和时空分布规律的全面了解的基础上,即建立在对国土资源信息的全面掌握和充分利用的基础上。信息技术及相关技术(如GIS、RS和GPS等)的发展为国土资源信息获取、处理和分析提供了新技术手段。建立国土资源信息系统为国土资源的管理、决策和开发利用提供服务在技术已成为可能。国土资源信息系统由于其基础性的地位将成为国家信息基础设施的重要组成部分。 国土资源信息系统是地理信息系统(GIS)重要分支,国际上通称为土地信息系统(LIS)。在过去的三十年里,计算机与信息处理技术得到飞速发展,GIS技术也发生了巨大的变化,特别是随着应用的推广和数据的积累,标准化已经成为非常重要的问题。 GIS的标准化问题不旦涉及GIS技术本身,而且与各种相关技术,特别是与计算机和信息处理技术密切相关。它产生的影响也非常之深刻,对未来这一技术的推广和应用,以及整个GIS界都将产生巨大影响。 今天,在GIS应用的各个国家,对GIS标准化的呼声日益高涨,要求建立统一的GIS 标准,日趋迫切。标准化是GIS技术开发、系统建设与运行的一种重要机制。现在对这种机制的需要比以往任何时候都更为迫切。从技术的角度看,GIS&127;标准建立在计算机和信息处理等多种技术的标准之上,离开了这些标准,就无法开发最基本的系统。从应用的角度来看,一个GIS系统的成功,&127;在很大程度上依赖于数据和各种模块的综合与集成。一般情况下,要达到这一目的,有两种途径,即通过大量而分散的个体工作而实现,或者通过制定和实施某种标准进行综合集成。显然,前者只能是一种短期的有限解决办法,而长期的综合性办法必须依靠标准的制定及其实施。所以,GIS&127;标准是数据共享和系统集成的重要前提,同时也是提高综合效益的必由之路。 现在,广大用户已逐渐认识到这样一个问题,数据采集和产生是建立GIS&127;系统的一项最大的投资。为了建立系统,人们花费大量的人力物力去采集数据,而在另一方面,大量的数据仍停留于满足某些单一的应用目的上,没有被其他用户所共享,即现有的数据资源没有得到充分利用,浪费了大量的投资。如一些城市建立了城市规划信息系统和土地信息系统,两个系统间的数据没有实现共享,而且在城市基础地理数据建库方面还出现了重复数字化的现象,一些已建立了规划信息系统或土地信息系统的城市,在着手建立土地信息系统或规划信息系统时,同样面临这些问题。城市基础地理数据库建库的投入往往是以百万元计的,这种重复投资造成的浪费是巨大的。引起这一矛盾的原因是多方面的,有的是由于技术或管理方面的原因,而有的则是由于狭隘的地方主义所限制。然而,一个最为重要的原因是由于缺乏空间数据标准的一致性,缺少相互运行的机制。没有公认的数据标准和交换标准,自然就没有利用现存数据和产生共享网络的能力。
案例一: 2011年11月,何彬(另案已处理,已判刑)在东莞市石龙镇华南花园信息科技园A04号成立东莞市百易网络科技有限公司,并担任法定代表人。期间,何彬从黑客手中购买大量侵入他人计算机信息系统权限wXXXXXll(一种权限的名称,涉及商业密码,故需用XXX标识),在未得到网站权属所有人同意下,多次使用wXXXXXll侵入他人网站,其中包含https://www.doczj.com/doc/c016695583.html,等41个政府网站。何彬为谋取利益,将客户广告以超链接的形式挂靠在侵入网站上,以提高客户网页的点击率提高客户网页在网络搜索引擎的排名。期间,何彬聘用任涛及梁梓峰、邓亮(后2人均已判刑)协助侵入他人计算机信息系统工作,将超连接文件复制、粘贴后保存在侵入网站源文件里。2012年10月26日,公安机关通过技侦手段,在东莞市石龙镇华南花园信息科技园A04号东莞市百易网络科技有限公司内,将被告人任涛抓获归案,并当场缴获电脑主机9台、笔记本电脑1台等作案工具。经统计,何彬等人通过网络支付工具支付宝收到客户支付145660.1元利益。 法院认为,任涛无视国法,违反国家规定,侵入国家事务的计算机信息系统,其行为均已构成非法侵入计算机信息系统罪,依法应予惩处。公诉机关(即检察院)指控任涛犯非法侵入计算机信息系统罪,事实清楚,证据确实、充分,
罪名成立。在何彬、任涛及梁梓峰、邓亮的共同犯罪中,任涛起次要及辅助作用,是从犯,依法应当从轻处罚,且任涛归案后如实供述其罪行,依法可以从轻处罚。 判决:任涛犯非法侵入计算机信息系统罪,判处有期徒刑八个月。 案例二: 2015年4月27日至2015年5月11日期间,邓某某与齐某某(另案处理)预谋后,利用工作便利,盗用河南省洛阳市公安局交通警察支队车辆管理所民警黄某、秦某二人的计算机操作口令,非法侵入洛阳市公安局交通警察支队车辆管理所计算机信息系统,共为齐某某办理四十七台大型货车的年审业务。2015年4月27日、28日,邓某某采取相同手段,非法侵入洛阳市公安局交通警察支队车辆管理所计算机信息系统,为贾某办理四辆小型轿车的年审业务。 邓某某违反国家规定,侵入国家事务领域的计算机信息系统,其行为已经构成非法侵入计算机信息系统罪。公诉机关指控的罪名依法成立,本院予以支持。 判决:邓某某犯非法侵入计算机信息系统罪,判处有期徒刑一年零四个月。 案例三:
[摘要]本文探讨了新刑法规定的侵入计算机信息系统罪、破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪、制作传播破坏性程度罪的概念、构成要件和认定时应注意的问题。作者运用计算机专业知识重点论述了四种计算机犯罪的客观方面表现,尤其是对犯罪方法和犯罪对象进行了系统研究。 [关键词]计算机犯罪构成认定 新刑法第285条规定了侵入计算机信息系统罪;第286条规定了破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪和制作传播破坏性程序罪。现就这四种犯罪的构成要件与认定时应注意的问题分析如下: 一、侵入计算机信息系统罪 (二)技术攻击(technologicalattack),即使用技术打败技术,而不采取其他方法,比如猜想程序,猜出口令等。进行技术攻击的主要目的是绕过或取消硬件及软件存取控制机制以进入系统。 (三)后门(backdoor),后门一般是由软件作者以维护或其他理由设置的一个隐藏或伪装的程序或系统的一个入口。例如,一个操作系统的口令机构可能隐含这样一个后门,它可以使一定序列的控制字符允许访问经理的帐号。当一个后门被人发现以后,就可能被未授权用户恶意使用。 (四)陷阱门(trapdoor),也叫活门。在计算机技术中,是指为了调试程序或处理计算机内部意外事件而预先设计的自动转移条件。陷阱一般只有制造商知道,不告诉用户。程序调好后应关闭陷阱。如果厂商交货时忘记关闭陷阱,就会被人利用而绕过保护机制,然后进入系统。 这种犯罪的主体,一般是具有相当水平的计算机操作人员。这些“侵入者”可按其犯罪故意的不同划分为两类:一类叫“计算机玩童”(naughty)。他们侵入计算机信息系统往往是出于好奇,或者是为了恶作剧,有的则为了检验自己的计算机技能。另一类叫“计算机窃贼”(hacker),也译“赫尔克”。这些人“侵入”纯粹出于犯罪目的。 侵入计算机信息系统罪属行为犯,只要有“侵入”的事实,即构成犯罪既遂。 二、破坏计算机信息系统功能罪 计算机信息系统一般具有采集、加工、存储、传输、检索信息的功能。所谓采集,是指在数据处理中,对要集中处理的数据进行鉴别、分类和汇总的过程;所谓加工,是指计算机为求解某一问题而进行的数据运算,也叫数据处理;所谓存储,是指将数据保存在某个存储装置中,供以后取用;所谓传输,是指把信息从一个地点发送到另一个地点,而不改变
网络非法经营案件如何请对律师 王如僧:广强律师事务所网络犯罪辩护与研究中心首席辩护律师周筱赟:广强律师事务所网络犯罪辩护与研究中心秘书长 一,什么是网络非法经营? 非法经营罪,是指违反国家规定,从事非法经营活动,扰乱市场秩序,情节严重的行为。而网络非法经营,是指通过计算机网络实施的非法经营行为。 由于现阶段金融交易、公民生活等各方面逐渐依赖于计算机以及网络系统,故利用计算机网络实施犯罪的情况层出不穷,包括各种非法经营行为,也会通过计算机网络实施。如未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品,如烟草、金银及其他贵金属;买卖进出口许可证、进出口原产地证以及其他法律、行政法规规定的经营许可证或者批准文件;未经国家有关主管部门批准非法经营证券、期货、保险业务,或者从事资金支付结算业务(即“地下钱庄”);出版、印刷、复制、发行非法出版物;非法买卖外汇;擅自经
营国际或涉港澳台电信业务;擅自发行、销售彩票(即“私彩”)等,均可通过计算机网络实施。 2013年最高人民法院、最高人民检察院《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》公布,明确规定了违反国家规定,以营利为目的,通过信息网络有偿提供删除信息服务,或者明知是虚假信息,通过信息网络有偿提供发布信息等服务,扰乱市场秩序,构成犯罪的,以非法经营罪定罪处罚。 二、网络非法经营案件要尽早委托专业律师介入 一旦你的亲人因涉嫌网络非法经营被刑事拘留,应应及时委托律师介入,充分重视“黄金37天”。 你的亲人被拘留后,一般都是先拘留30天,在将满30天时,公安机关会将案件材料移送检察院的侦查监督部门审查批准逮捕,侦查监督部门自收到材料之日开始,7天之内做出是否批准逮捕的决定,因此从拘留到逮捕,期限通常都是37天。
标准化在企业信息系统建设中的应用 引言 从十一五开始到十二五期间,企业信息系统建设和发展经历了从分散到集中,从集中到集成的不同阶段,这使得企业信息技术标准体系建设得到了长足发展,尽管如此,在企业信息系统建设中信息独岛现象仍然存在,究其原因就是缺乏统一的信息系统标准或者忽视信息标准化工作。由于信息系统标准化工作相对滞后问题,影响了信息处理工作的不规范,给信息交换和信息共享带来一定的困难,严重影响了信息资源的充分利用和信息化建设的发展。因此,企业信息系统建设中标准化工作有待于进一步加强和完善。 1制定企业信息系统标准的必要性 标准化工作是企业信息系统建设中一项基础性的系统工程,是信息系统开发成功和得以推广应用的关键之一。因此,标准化与企业信息系统建设息息相关。 (1)管理提升的需要。随着全球经济环境的进一步改变,企业的竞争压力也越来越大,为了提升管理,帮助决策层。管理层。业务层及时了解企业经营状况,把握市场脉搏,必须确保企业信息系统指标的规范和标准统一。 (2)信息系统应用集成的需要。十一五期间,一些企业实现了ERP系统各应用功能,实现了ERP与FMIS的财务融合,随着应用取得了一定的成效。但是在产品生产过程中仍然无法按照单项产品查找实际成
本;系统综合性页面不能满足用户的需求;不利于企业成本的核算和关键绩效指标考核;缺乏统一的集成和展示平台;存在错码。重码和非标编码等等。为此,全面提升ERP系统应用功能,建设规范、统一、高效。标准的信息系统集成平台是信息化建设发展的需要。 (3)数据移植和功能提升的需要。由于信息技术的快速发展,使得软硬件的生命周期越来越短,因此,为了确保信息系统和应用软件的移植和功能升级,避免重复开发工作,就必须重视和加强标准化工作,健全和完善信息系统。应用软件。数据与信息的标准和规范。 (4)信息交流与资源共享的需要。为了避免数据和信息重复采集与录入,促进信息资源的最大化利用,必须依赖标准化工作实现信息交流与资源共享。 (5)信息系统开发质量和运行维护的需要。为了提高信息系统和应用软件的可靠性。安全性。易维护性。必须遵守统一的软件工程设计规范和标准要求。 综上所述,在企业信息化建设。信息系统集成和应用软件的开发中必须建立统一的标准。标准制定是必需的,标准执行是重要的。 2企业信息系统标准化建设存在的问题分析 企业信息系统标准建设的问题是多方面的,主要体现在以下几个方面: (1)标准化认识不足。一些企业信息化建设者或者信息系统的参与者虽然知道标准化工作的重要性,但并不清楚软硬件采购的技术要求以及信息化或信息系统实施中标准化工作的具体工作内容和要点,不知
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
“非法获取计算机信息系统数据罪”涉及的若干认定标准《中华人民共和国刑法》第285条包含三种计算机犯罪类型,其中第二款规定的情形为“非法获取计算机信息系统数据罪”,该罪名是2009年刑法修正案补充的罪名。由于刑法规定过于笼统,为对该罪名进行准确的定罪量刑,2011年,最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和司法实践对该罪名的构成及认定标准进行探讨。 一、非法获取计算机信息系统数据罪的构成要件 《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 根据上述规定,“非法获取计算机信息系统数据罪”应当具备以下构成要件: 1、行为人为自然人,单位不构成本罪; 2、行为人的行为违反了国家规定; 3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段; 4、行为人获取了系统中的数据; 5、行为达到了“情节严重”的标准。 对于“情节严重”的标准,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,涉嫌非法侵入计算机信息系统罪:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的; (二)获取第(一)项以外的身份认证信息五百组以上的; (三)非法控制计算机信息系统二十台以上的; (四)违法所得五千元以上或者造成经济损失一万元以上的; (五)其他情节严重的情形。 实施前款规定行为,具有下列情形之一的,应当认定为非法侵入计算机信息系统罪规定的“情节特别严重”: (一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的; (二)其他情节特别严重的情形。 二、单位是否适用本罪 根据《刑法》第30条的规定:公司、企业、事业单位、机关、团地事实的危害社会的行为,
论非法侵入计算机信息系统罪 计算机络无疑是当今世界最为激动人心的高新技术之一。它的出现和快速的发展,尤其是Internet(国际互联,简称因特)的日益推进和迅猛发展,为全人类建构起一个快捷、便利的虚拟世界。在这个空间里也有它的黑暗的一面,计算机络犯罪正是其中一个典型的例子。20XX年4月,美国航天航空局声称其计算机系统被一个少年入侵(1);20XX年7月20日,美国白宫站遭到黑客成功攻击(2);美国国防部站每天都遭到黑客袭击(3);在20XX年4月份,中国站遭受黑客攻击数百起,政府站占12% (4);而20XX年3月开始的美伊战争更是引发黑客攻击浪潮,美国站每天遭袭2500起。(5) 一、非法侵入计算机信息系统罪概述 非法侵入计算机信息系统罪就是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。我国《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处3年以下有期徒刑或者拘役。 随着计算机信息系统的广泛建立和运用,一些特殊领域的计算机信息系统日益成为国家和社会中财富、信息集中的要害部门,关系到国计民生的国家事务管理、经济建设、国防建设、尖端科学技术领域的计算机信息系统的正常运行,对于保障国家安全、经济发展以及人民生命财产安全等方面,起着十分重要的作用。同时,也正因为如此,这些系统就成为罪犯攻击的目标。这些信息系统一旦成为犯罪对象而被非法侵入,就可能导致其中的重要数据遭到破坏,或者某些重要、敏感的信息被泄露,事关国家安全、经济发展等。因而论者认为,我国刑法制定该罪既能保障国家重要领域计算机信息系统安全的完整性、保密性,又能震慑、防止行为人将犯罪行为延伸为窃取国家机密、泄漏国家机密或破坏计算机信息系统的行为。 随着黑客技术的发展和黑客的增多,以最近的20XX年为例,全年共发现了57977次明显的数字攻击,这是有数字记录以来攻击次数最多的一年。并且,黑客攻击事件仍在以每年64%的速度增加!(1)出现这种系统攻击现象的原因在于计算机系统本质上是一种数字处理系统,所有的计算机安全系统都是基于一定数学算法来建立的,因此从理论上分析,任何一个计算机系统只要同外界相,那么他就有可能被上的其他人员查找到其系统的漏洞或破解开其系统密码,其他的只是时间长短的问题,甚至万年之久。但是,事实上,随着计算机软硬件技术
利用网络、手机进行违法犯罪的行为有哪些? 12类网络违法行为 一、违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的; 二、违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的; 三、违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作的; 四、故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的; 五、在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片的; 六、在互联网上建立赌博网站、网页,提供赌博投注服务的; 七、利用互联网进行盗窃、诈骗的; 八、利用互联网发表、传播有害信息,危害国家安全和社会稳定的; 九、造成计算机信息系统重大安全事故的; 十、计算机信息系统使用单位不落实安全管理制度和安全保护技术措施的违法行为的; 十一、违反计算机信息系统安全专用产品销售许可证管理制度的违法犯罪行为; 十二、其他网络违法行为。
5类利用手机违法行为 一、是假冒银行或银联名义发送手机违法短信进行诈骗或者敲诈勒索公私财物的; 二、是散布淫秽、色情、赌博、暴力、凶杀、恐怖内容或者教唆犯罪、传授犯罪方法的; 三、是非法销售枪支、弹药、爆炸物、走私车、毒品、迷魂药、淫秽物品、假钞、假发票或者明知犯罪所得赃物的; 四、是发布假中奖、假婚介、假招聘,或者引诱、介绍他人卖淫嫖娼的; 五、是多次发送干扰他人正常生活的,以及含有其他违反宪法、法律、行政法禁止性规定的内容的。 短信诈骗的七种常见手段 据市公安局民警介绍,虽然手机的短信犯罪行为五花八门,但最终可以归结为以下几种: 1.“您的朋友13XXXXXXXXX为您点播了一首XX歌曲,以此表达他的思念和祝福,请你拨打9XXXX收听”。———回电话听歌可能会造成高额话费。 2.屡次听到铃声,一接电话又挂。按照号码回拨,对方的录音提示:“欢迎致电香港六合彩……香港中心驻XX为广大彩民爱好者提供信息,透露特码。联系电话1395983XXXX。”———以非法“六合彩”招揽客人,而回电话可能既损失话费又容易上当。 3.“XX,我现在在外出差,手机马上快没钱了,麻烦帮我买张充值卡,再用短信告知卡号和密码。”———该机已被盗,现持机人用盗得的手机发送短信给手机通讯录内的联系人,骗取对方话费。
浅谈信息数据标准化工作 随着信息系统在行业推广实施规模的不断扩大,应用系统之间需要上传下达、信息共享、集成整合、协同工作,信息数据就越来越需要标准化、规范化的管理。现就如何做好信息数据标准化工作做如下探讨。 整合规范业务流程,在各工作岗位制定工作标准,建立完善的标准化体系。 企业的运作需要各个部门的协调来完成,这种协调应该有标准,这就是业务标准化流程。标准化流程的严格执行,必须建立在一个统一的信息化软件中,这个软件就是人们常说的一体化协同办公软件。软件必须把企业的一整套管理思想与管理标准融入其中,能够确保工作不会偏离标准化轨道。任何人在实际工作中,都不能脱离这个软件进行工作,确保了各项工作按设定的流程与标准实施。所以,标准化与信息化是管理思想与实际操作的关系。只有在信息化的平台基础上,标准化才能得到充分与完全的落实。 业务流程的整合只是第一步,第二步就是在各个岗位制定并贯彻工作标准,建立一整套完善的标准化体系,使每一个岗位、每一个部门都有可对照的工作标准,确保工作质量。需要重点说明的是,在岗位职责指定与管理过程中,应清晰描述岗位和岗位之间的关系、业务和业务之间的协作关系、流程和流程之间的互动关系,清晰展现物流、资金流、信息流,为信息系统软件开发提供全面准确的业务支持。 数据编码是建立企业信息系统的基础,应不断完善数据标准化体系 数据编码是建立企业信息系统的基础,也是关系到信息系统整体效果和成败的关键因素。在数据标准化体系建设中,一方面要自上而下分析企业数据类别,另一方面要借助系统规划和业务流程优化思想,梳理各部分的业务流程,自下而上提取基础数据。一般情况下,数据标准化体系建设应采取渐进式的策略,数据标准化进程与信息化项目建设进程同步,在保证速度的同时坚持标准化原则,以支持企业信息资源的充分共享与各子系统的整合,实现速度与标准并重,同时确保数据标准的实用性,防止数据标准化流于形式。 在信息系统项目开发、管理过程中严格落实标准化工作 信息系统集成是一项具有知识密集、资料密集、工作量大等特点的系统工程,信息系统项目中的需求调研、立项、招标、实施、验收、维护等工作必须严格按照国家有关法律法规和烟草行业相关的政策制度进行。此外,企业应在推进信息系统项目时做好以下几方面的标准化工作。 信息指标体系标准化。信息指标体系是指一定范围内所有信息的标准,按其内在联系组成的、科学的有机整体。在管理层次和管理部门众多的情况下,只有统一和规范指标体系,才能使各系统和各个层次开发和实施的信息系统能够实现数据和信息的兼容与共享。 信息系统开发标准化。信息系统开发标准化主要指在系统开发中遵守统一的系统设计规范、程序开发规范和项目管理规范。系统设计规范规定字段、数据库、程序和文档的命名规则及编制方法,以及应用程序界面的标准和风格等。程序开发规范要对应用程序的模块划分、标准程序流程的编写、对象或变量命名、数据校验及出错处理等作出规定。项目管理规范规
计算机和信息系统安全保密管理规定 第一章总则 第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统) 安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。 第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。 第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。 第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。 第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。 第二章管理机构与职责 第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。 第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责: (一)建立健全安全保密管理制度和防范措施,并监督检查落实情况; (二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。 第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、 党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成 员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。 第九条保密办主要职责: (一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施; (二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案; (三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求; (四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审; (五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。 第十条 科技信息部、财会部主要职责是: (一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导
出售、非法提供公民个人信息罪法律依据 刑法第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。这个条文的罪名于2009年2月28日通过并同日颁布 新修订的刑法修正案九将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 “违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 “窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 “单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。” 5月9日,最高人民法院召开新闻发布会,通报《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,司法解释明确,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的将入罪。司法解释将于2017年6月1日起实施。 司法解释规定,具有10种情形之一的,应当认定为刑法规定的非法获取、出售或者提供公民个人信息“情节严重”,包括:出售或者提供行踪轨迹,被他人用于犯罪的;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的;违法所得5000元以上的等。 司法解释明确,实施非法获取、出售或者提供公民个人信息行为,具有4种情形之一的,应当认定为刑法规定的“情节特别严重”,包括造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;造成重大经济损失或者恶劣社会影响的;数量或者数额达到入罪标准10倍以上的等。 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔改表现的,司法解释规定,可以认定为情节轻微,不起诉或者免于刑事处罚,确有必
附件1 大数据标准体系 序号一级分类二级分类国家标准编号标准名称状态 1 基础标准总则信息技术大数据标准化指南暂时空缺 2 术语信息技术大数据术语已申报 3 参考模型信息技术大数据参考模型已申报 4 数据处理数据整理GB/T 18142-2000 信息技术数据元素值格式记法已发布 5 GB/T 18391.1-2009 信息技术元数据注册系统(MDR)第1部分:框架已发布 6 GB/T 18391.2-2009 信息技术元数据注册系统(MDR)第2部分:分类已发布 7 GB/T 18391.3-2009 信息技术元数据注册系统(MDR)第3部分:注册系统元模型与基本属性已发布 8 GB/T 18391.4-2009 信息技术元数据注册系统(MDR)第4部分:数据定义的形成已发布 9 GB/T 18391.5-2009 信息技术元数据注册系统(MDR)第5部分:命名和标识原则已发布 10 GB/T 18391.6-2009 信息技术元数据注册系统(MDR)第6部分:注册已发布 11 GB/T 21025-2007 XML使用指南已发布 12 GB/T 23824.1-2009 信息技术实现元数据注册系统内容一致性的规程第1 部分:数据元已发布 13 GB/T 23824.3-2009 信息技术实现元数据注册系统内容一致性的规程第3 部分:值域已发布 14 20051294-T-339 信息技术元模型互操作性框架第1部分:参考模型已报批 15 20051295-T-339 信息技术元模型互操作性框架第2部分:核心模型已报批 16 20051296-T-339 信息技术元模型互操作性框架第3部分:本体注册的元模型已报批 17 20051297-T-339 信息技术元模型互操作性框架第4部分:模型映射的元模型已报批 18 20080046-T-469 信息技术元数据模块(MM) 第1 部分:框架已报批
非法获取计算机信息系统数据罪 ”涉及的若干认定标准 中华人民共和国刑法》第 285 条包含三种计算机犯罪类型,其中第二款规 重 ”的标准,根据《关于办理危害计算机信息系统安全刑事案 件应用法律若干问题的解释》 第一条的规定: 非法获取计算机信息系统数据或者 罪:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息 组以上的; 定的情形为 “非法获取计算机信息系统数据罪 ,该罪名是 2009 年刑法修正案补 充的罪名。由于刑法规定过于笼统,为对该罪名进行准确的定罪量刑, 2011 年, 最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题 的解释》,对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和 司法实践对该罪名的构成及认定标准进行探讨。 、非法获取计算机信息系统数据罪的构成要件 刑法》第 285 条规定:违反国家规定,侵入国家事务、国防建设、尖端科 学技术领域的计算机信息系统的, 处三年以下有期徒刑或者拘役 违反国家规定, 侵入前款规定以外的计算机信息系统或者采用其他技术手段, 获取该计算机信息 系统中存储、 处理或者传输的数据, 或者对该计算机信息系统实施非法控制, 节严重的,处三年以下有期徒刑或者拘役, 并处或者单处罚金; 情节特别严重的, 处三年以上七年以下有期徒刑,并处罚金。 根据上述规定, 非法获取计算机信息系统数据罪 ”应当具备以下构成要件: 1、行为人为自然人,单位不构成本罪; 2、行为人的行为违反了国家规定; 3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段; 4、行为人获取了系统中的数据; 5、行为达到了 “情节严 重 ”的标准。 对于“情节严 非法控制计算机信息系统, 具有下列情形之一的, 涉嫌非法侵入计算机信息系统
来源:重庆智豪律师事务所编辑:张智勇律师(重庆市律师协会刑事委员会副主任)刑事知名律师张智勇释义破坏计算机信息系统罪的概念及犯罪构成 破坏计算机信息系统罪的概念及犯罪构成 一.概念: 破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,后果严重的行为。破坏计算机信息系统罪的概念及犯罪构成 二.构成特征 主体要件 本罪的主体为一般主体,即年满l6周岁具有刑事责任能力的自然人均可构成本罪。实际能构成其罪的,通常是那些精通计算机技术、知识的专业人员,如计算机程序设计人员、计算机操作、管理维修人员等。 犯罪客体 本罪所侵害的客体是计算机信息系统的安全。对象为各种计算机信息系统功能及计算机信息系统中存储、处理或者传输的数据和应用程序。 破坏计算机信息系统罪的概念及犯罪构成 主观要件 本罪在主观方面必须出于故意,过失不能构成本罪。如果因操作疏忽大意或者技术不熟练甚或失误而致使计算机信息系统功能,或计算机信息系统中存储、处理或者传输的数据、应用程序遭受破坏,则不构成本罪。至于其动机,有的是显示自己在计算机方面的高超才能,有的是想泄愤报复,有的是想窃取秘密,有的是想谋取利益,等等。但不管动机如何,不会影响本罪成立。 客观要件 本罪在客观方面表现为违反国家规定,破坏计算机信息系统功能和信息系统中存储、处理、传输的数据和应用程序,后果严重的行为。根据本条规定,包括下列3种情况: 1、破坏计算机信息系统功能 2、破坏计算机信息系统中存储、处理或者传输的数据和应用程序
3、故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行破坏行为必须造成严重后果,才能构成其罪。
网络社会治安问题及防范措施 铁道警官高等专科学校 指导老师:陈红玉 08级信息网络安全监察专业 李文照
关键词:网络犯罪青少年危害思想 内容提要:通过分析网络犯罪现状及根源,进而了解现今网络社会存在的普遍问题。对网络犯罪必须坚持“预防 为主,打防结合”的方针,针对未成年人这一特殊群 体,应注重引导,加强道德教育。
随着现代教育技术的普及,网络已经悄然走进了我们的生活,在不知不觉中改变着我们周围的事物,上网已成为人们获取知识,了解信息的渠道之一。互联网的广泛应用,已成为我们所处的这个时代的需要,同时,网络社会的治安问题也成为公安工作的新视点。 一网络犯罪现状 (一)危害国家安全的案件持续上升,危害性大。随着计算机信息网络的普及应用,国家、集体、个人的事务都逐渐运行到信息网络上,针对国家、集体或个人的犯罪将表现为利用或针对网络的犯罪。甚至国家之间的战争或仇视,也将主要表现为摧毁对方的重要计算机信息系统,危害性极大。 (二)侵犯公私财物的案件呈多发趋势。随着网上银行和电子支付交易的流行,网上盗窃、诈骗、网上敲诈勒索、利用网络非法传销等犯罪被犯罪分子移植到计算机网络中,高科技给这类犯罪带来了更大的欺骗性和隐蔽性。 (三)危害计算机信息网络安全的案件增幅较大。随着病毒、木马等恶意程序逐渐向利益性的转变,此类案件在近几年来发展十分迅猛。公安部资料统计:2006年被截获的新病毒共有234211个,其中90%以上带有明显的利益特征,有窃取个人资料、各种帐号密码等行为。2007年上半年,江民反病毒中心共截获新病毒73972种,1至6月全国共有14081895台计算机感染了病毒,这些恶意代码的传播最主要的目的就是窃取计算机中的信息,可能包括个人的隐私、国家秘密和各类
第1题 信息标准化体系包括()。 A.信息网络和计算机基础标准 B.信息分类与编码及文件格式标准 C.信息技术应用标准 D.信息化安全标准 答案:A,B,C,D 您的答案:A,B,C,D 题目分数:6 此题得分:6.0 批注: 第2题 二维条码具有()的属性。 A.安全性 B.保密性 C.可不依赖数据库及通讯网络而单独应用 D.纠错能力 答案:A,B,C,D 您的答案:A,B,C 题目分数:6 此题得分:0.0 批注: 第3题 数据仓库具有以下特征()。 A.反映历史变化的数据集合 B.以数据分析、决策支持为目的组织储存数据 C.为运营性系统保存、查询数据 D.相对稳定的 答案:A,B,D 您的答案:B,C 题目分数:6 此题得分:0.0 批注: 第4题 从数据到信息最后上升到智能化的过程包括()。 A.建立数据仓库 B.取出数据子集分析挖掘 C.发现潜在规律和趋势 D.产生知识 答案:A,B,C,D
您的答案:A,B,C,D 题目分数:6 此题得分:6.0 批注: 第5题 机器人的技术特性表现在()方面。 A.标准化 B.模块化 C.网络化 D.智能化程度 答案:A,B,C,D 您的答案:A,B,C,D 题目分数:6 此题得分:6.0 批注: 第6题 移动机器人是当前智能机器人研究的重点之一,可用于未来的试验检测高空作业,它应具有()等技术功能.。 A.人工智能 B.控制理论 C.信息处理 D.图像处理 答案:A,B,C,D 您的答案:A,B,C,D 题目分数:6 此题得分:6.0 批注: 第7题 二维条码的主要特点表现为 A.信息量容量大 B.安全性高 C.读取率高 D.错误纠正能力强 答案:A,B,C,D 您的答案:A,B,C 题目分数:6 此题得分:0.0 批注: 第8题
GB17859-1999《计算机信息系统安全保护等级划分准则》 发布时间:2009-07-23 作者:国家质量技术监督局 1、范围 本标准规定了计算机信息系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级; 本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强. 2、引用标准 下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性. GB/T5271 数据处理词汇 3、定义 出本章定义外,其他未列出的定义见GB/T5271. 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统. 3.2计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道/ 3.9 访问监控器reference monitor 监控器主体和客体之间授权访问关系的部件。 4 、等级划分准则 4.1第一级用户自主保护级 本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户信息,避免其他用户对数据的非法读写与破坏。 4.1.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名拥护对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。 4.1.2 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。 4.1.3 数据完整性 计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。 4.2 第二级系统审计保护级 与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 4.2.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制