1.我國信息安全管理的現(xiàn)狀、問題及其對策

我國信息安全管理的現(xiàn)狀、問題及其對策 摘要：信息安全是國家安全的基礎和關鍵。

在信息安全保障的三大要素（人員、技術、管理）中，管理要素的地位和作用越來越受到重視。理解并重視管理對信息安全的關鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。

本文分析了信息安全管理的現(xiàn)狀，并著重討論了加強信息安全管理的策略。 關鍵詞：信息安全；管理；現(xiàn)狀；策略 信息安全管理是隨著信息和信息安金的發(fā)展而發(fā)展的。

在信息社會中，一方面信息已經(jīng)成為人類的重要資產(chǎn)，在政治、經(jīng)濟、軍事、教育、科技、生活等方面發(fā)揮著重要作用，另一方面由于計算機技術的迅猛發(fā)展而帶來的信息安全問題正變得日益突出。由于信息具有易傳播、易擴散、易損毀的特點，信息資產(chǎn)比傳統(tǒng)的實物資產(chǎn)更加脆弱，更容易受到損害，這樣將使組織在業(yè)務運作過程巾面臨巨大的風險。

這種風險主要來源于組織管理、信息系統(tǒng)、信息基礎設施等方面的固有薄弱環(huán)節(jié)和漏洞， 以及大量存在于組織內外的各種威脅， 因此對信啟、系統(tǒng)需要加以嚴格管理和妥善保護，信息安全管理也隨之產(chǎn)生。 1、國內信息安全管理現(xiàn)狀 1.1在國家宏觀信息安全管理方面的問題 （1）法律法規(guī)問題。

健全的信息安 法律法規(guī)體系是確保國家信息安全的基礎，是信息安全的第一道防線。我國已建立了法律、行政法規(guī)與部門規(guī)章及規(guī)范性文件等三個層面的有關信息安全的法律法規(guī)體系，對組織與個人的信息安全行為提出了安全要求。

但是我國的法律法規(guī)體系還存在缺陷，一是現(xiàn)有的法律法規(guī)存在不完善的地方，如法律法規(guī)之間有內容重復交叉， 同一行為有多個行政處罰主體，有的規(guī)章與行政法規(guī)相互抵觸，處罰幅度不?一致；二是法律法規(guī)建設跟不上信息技術發(fā)展的需要，這主要涉及網(wǎng)絡規(guī)劃與建設、網(wǎng)絡管理與經(jīng)營、網(wǎng)絡安全、數(shù)據(jù)的法律保護、電子資金劃轉的法律認證、計算機犯罪、刑事立法、計算機證據(jù)的法律效力等方面的法律法規(guī)缺乏。 （2）管理問題。

管理包括三個層次的內容：組織建設、制度建設和人員意識。組織建設是指有關信息安全管理機構的建設。

信息安全的管理包括安全規(guī)劃、風險管理、應急計劃、安全教育培訓、安全系統(tǒng)的評估、安全認證等多方面的內容，因此只靠一個機構是無法解決這些問題的。在各信息安全管理機構之問，要有明確的分工，以避免“政出多門”和“政策拉車”現(xiàn)象的發(fā)生。

需要建立切實可行的規(guī)章制度，即進行制度建設，以保證信息安全。如對人的管理，需要解決多人負責、責仔到人的問題，任期有限的問題，職責分離的問題，最小權限的問題等。

有了組織機構和相應的制度，還需要領導的高度重視和群防群治，即強化人員的安全意識，這需要信息安全意識的教育和培訓，以及對信息安傘問題的高度重視。 （3）國家信息基礎設施建設問題。

目前構成我國信息基礎設施的網(wǎng)絡、硬件、軟件等產(chǎn)品幾乎完全是建立在外國的核心信息技術之上的。關于國家信息基礎設施方面存在的問題已引起國家的高度重視。

如“十五”期問，國家863計劃和科技攻關的重要項目就有“信息安全與電子政務”和“金融信息化”兩個有關信息安全的研究項目；2002年1月1日開始實施的《電信業(yè)務經(jīng)營許可證管理辦法》明確要求：電信產(chǎn)品軟件商不能在軟件上預留“后門”，外國供貨商不能遠程登錄中國電信商的操作系統(tǒng)，高級 管系統(tǒng)要用國內可靠機構開發(fā)的軟件產(chǎn)品。 1.2我國在微觀信息安全管理方面存在的問題主要表現(xiàn) （1）缺乏信息安全意識與明確的信息安全方針。

大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨威脅的嚴重性認識不足，或者僅局限于IT方面的安全，沒有形成一個合理的信息安拿方針來指導組織的信息安全管理工作，這表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對員工進行必要的安全法律法規(guī)和防范安全風險的教育與培訓，現(xiàn)有的安全規(guī)章組織未必能嚴格實施等。 （2）重視安全技術，輕視安全管理。

目前組織普遍采用現(xiàn)代通信、計算機和網(wǎng)絡技術來構建信息系統(tǒng)，以提高組織效礙暑與競爭能力，但相應的管理措施不到位，如系統(tǒng)的運行、維護和開發(fā)等崗位不清，職責不分，存在一人身兼數(shù)職現(xiàn)象。 （3）安全管理缺乏系統(tǒng)管理的思想。

大多數(shù)組織現(xiàn)有的安全管理模式仍是傳統(tǒng)的管理方法，出現(xiàn)了問題才去想補救的辦法，是一種就事論事、靜態(tài)的管理，不是建立在安全風險評估基礎上的動態(tài)的持續(xù)改進管理方法。 2、國外信息安全管理現(xiàn)狀 國際上信息安全管理近幾年的發(fā)展主要包括以下幾個方面。

（1）制訂信息安全發(fā)展戰(zhàn)略和計劃。制訂發(fā)展戰(zhàn)略和計劃是發(fā)達國家一貫的作法。

美、俄、日國家都已經(jīng)或正在制訂自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃，確保信息安全沿著正確的方向發(fā)展。 （2）加強信息安全立法，實現(xiàn)統(tǒng)一和規(guī)范管理。

以法律的形式規(guī)定和規(guī)范信息安全工作是有效實施安全措施的最有力保證。制訂網(wǎng)絡信息安全規(guī)則的先鋒是各大門戶網(wǎng)站，美國的雅虎和美國在線等網(wǎng)站都在實踐中形成了一套自己的信息安全管理辦法。

2000年1O月5日美參議院通過了《互聯(lián)網(wǎng)網(wǎng)絡完備性及關鍵設備保護法案》。2000年9月，俄羅斯實施了關于網(wǎng)絡信息安全的法律。

（3）步入標。

2.我國網(wǎng)絡安全法律

1、立法滯后、層次低，尚未形成完整的法律體系 在我國現(xiàn)行涉及網(wǎng)絡安全的法律中，法律、法規(guī)層次的規(guī)定太少。

規(guī)章過多，給人一種頭重腳輕的感覺.而且.在制定規(guī)章的過程中，由于缺乏縱向的統(tǒng)籌考慮和橫向的有效協(xié)調。制定部門往往出于自身工作的考慮，忽視了其他相關部門的職能及相互間的交叉等問題，致使出臺的規(guī)章雖然數(shù)量不少但內容重復交叉。

這種現(xiàn)狀一方面造成部門問更多的職能交叉，另一方面。在一定程度上造成了法律資源的嚴重浪費。

法律法規(guī)的欠缺、規(guī)章的混亂，常常造成這樣一種奇怪的現(xiàn)象對網(wǎng)絡違法行為，要么無人管.要么爭著管。 2、不具開放性 我國的信息網(wǎng)絡安全法結構比較單一、層次較低。

難以適應信息網(wǎng)絡技術發(fā)展的需要和日益嚴重的信息網(wǎng)絡安全問題。我國現(xiàn)行的安全法律基本上是一些保護條例、管理辦法之類的，缺少系統(tǒng)規(guī)范網(wǎng)絡行為的基本法律如信息安全法、網(wǎng)絡犯罪法、電子信息出版法、電子信息個人隱私法等。

同時，我國的法律更多她使用了綜合性的禁止性條款，如《中華人民共和國計算機信息系統(tǒng)安全保護條例》第七條規(guī)定：“任何單位或者個人。 不得利用計算機信息系統(tǒng)從事危害國家利益.集體利益和公民臺法利益的活動。

不得危害計算機信息系統(tǒng)的安全。“而沒有具體的許可性條款和禁止性條款。

這種大一統(tǒng)的立法方式往往停留于口號的層次上。難以適應信息網(wǎng)絡技術的發(fā)展和越來越多的信息網(wǎng)絡安全問題。

3、缺乏兼容性 我國的安全法律法規(guī)有許多難以同傳統(tǒng)的法律原則、法律規(guī)范協(xié)調的地方。 比如說，根據(jù)《中華人民共和國行政處罰法》第十二條規(guī)定，規(guī)章可以在法律.行政法規(guī)規(guī)定的給予行政處罰的行為、種類和幅度范圍內作出具體規(guī)定。

尚未制定法律、行政法規(guī)的。規(guī)章對違反行政管理秩序的行為，可以設定警告或者一定數(shù)量罰款的行政處罰。

在我國現(xiàn)有相關法律、行政法規(guī)中.均未設定沒收從事違法經(jīng)營活動的全部設備的處罰，但是依據(jù)這些行政法規(guī)制定的《互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所管理辦法》的第14條，卻設定了沒收從事違法經(jīng)營活動的全部設備的處罰種類，顯然這個處罰的設定與相關法規(guī)有矛盾之處。 4、缺乏操作性 我國的信息網(wǎng)絡安圭法中存在難以操作的現(xiàn)象。

為丁規(guī)范網(wǎng)絡上的行為。政府職能部門都出臺了相關的規(guī)定，公安部、信息產(chǎn)業(yè)部、國家保密局、教育部、新聞出版署、中國證監(jiān)會.國家廣播電影電視總局、國家藥品監(jiān)督營理局、原國務院信息化工作領導小組等都制定了涉及網(wǎng)絡的管理規(guī)定。

此外，還有許多相關的地方性法規(guī).地方政府規(guī)章。數(shù)量雖大，但是它們的弊端是明顯的。

由于沒有法律的統(tǒng)一協(xié)調，各個部門出于自身利益，致使常常出現(xiàn)同一行為有多個行政處罰主體，處罰幅度不盡一致，行政審批部門及審批事項多等現(xiàn)象。這就給法律法規(guī)的實際操作帶來了諸多難題。

3.信息安全法律法規(guī)及網(wǎng)上道德規(guī)范

社會最近發(fā)生的網(wǎng)絡案件如網(wǎng)友見面、虛擬財產(chǎn)被竊等現(xiàn)象。這些問題不能不引起我們注意關于網(wǎng)絡安全，網(wǎng)絡道德問題，導入這節(jié)課“做信息時代的合格公民”的主題。

師：首先肯定網(wǎng)絡給我們帶來的各種積極的、重要的影響。結合上節(jié)課學習的計算機病毒和計算機犯罪問題，引出在網(wǎng)絡使用過程中經(jīng)常出現(xiàn)的問題，給我們帶來了很多的負面影響。

生：通過教材中任務，找出信息活動中經(jīng)常出現(xiàn)的問題；并且填寫任務單中相應內容。

師：列舉網(wǎng)絡使用過程中經(jīng)常出現(xiàn)的問題：網(wǎng)上傳播不良信息；利用網(wǎng)絡從事違法犯罪活動；虛假信息給青少年造成不良影響；垃圾信息泛濫成災；等等。設計意圖：激發(fā)學生解決問題興趣。

生：如何解決以上問題？（頭腦風暴）如：依靠法律法規(guī)、依靠技術維護及做好網(wǎng)絡道德規(guī)范宣傳活動等等。

師：指導學生通過學習網(wǎng)站閱讀網(wǎng)絡道德規(guī)范及青少年網(wǎng)絡文明公約。

生：閱讀教材了解《青少年網(wǎng)絡文明公約》的內容，并且對自己的日常上網(wǎng)行為進行反省。

(1)設問：去過網(wǎng)吧的同學有多少？一般去一次是多長時間？在網(wǎng)吧里一般都做什么？平均一周去幾次？

活動：民意調查，從而闡明“拒絕泡網(wǎng)吧，珍惜生命”。

(2)設問：在網(wǎng)絡上，聊過天嗎？泡論壇嗎？玩過最近流行的網(wǎng)絡游戲嗎？在這些方面上，你投資了多少，收獲了多少？

活動：民意調查，從而闡明“擦亮慧眼，分清虛實世界”。

(3)利用搜索引擎及部分相關資料，舉實例，如網(wǎng)頁木馬、惡意代碼、網(wǎng)絡虛擬財產(chǎn)案、重要機構機密資料被竊等。

活動：讓學生自己總結網(wǎng)絡安全的重要性。并號召學生“刻苦鉆研網(wǎng)絡技術，維護網(wǎng)絡安全”，爭做網(wǎng)絡小衛(wèi)士。

(4)在網(wǎng)絡的虛擬世界中，注意保護個人的相關資料，如家庭住址、電話號碼、生日、親屬關系、銀行賬號等相關內容。

活動：假如泄露了個人相關資料，會引起什么樣的惡性后果？（讓學生自己總結）從而闡明“增強自我保護意識，守護個人資料”。

師：組織學生討論：“本校內的BBS中留有以虛假身份或匿名方式發(fā)布的大量帖子，部分內容粗俗，不健康不積極，還有的謾罵同學或是教師的。”教師與學生游覽并且引導學生從現(xiàn)在做起。

生：利用校內網(wǎng)站（）中的BBS或登陸FTP進行網(wǎng)上討論，發(fā)表個人看法。

師：指導學生登陸因特網(wǎng)法律法規(guī)網(wǎng)站，了解法律法規(guī)常識。

/~bytalent/lawnet/net_safe/03.htm

師：指導學生閱讀課后案例：“破譯密碼竊取巨額儲蓄資金 黑客被判無期徒刑”等等案例。

生：回答案例中主人公觸犯了哪些法律法規(guī)。

師：在信息社會的高速發(fā)展下，信息課程日漸成為以后人們重要的學習方式，所以倡導學生分組討論共同制定一個“網(wǎng)絡課程學習守則”，并對學生制定的守則進行評價。

生：根據(jù)《青少年網(wǎng)絡文明公約》從“課程學習”、“交流討論”“聯(lián)系反饋”等方面討論總結出學生自己的學習守則，并且努力自覺的遵守守則，并在班上交流。

師：指導學生為本班擬定一份“網(wǎng)絡課程學習守則”。

生：各小組長負責完善各小組交流之后的學習守則，共同完成本班內的“網(wǎng)絡課程學習守則”。

師：指導學生完成“小組學習任務單”的全部內容。

4.近幾年來我國出臺的相關計算機信息安全法律法規(guī)

二○○六年十一月二十二日

最高人民法院關于修改《最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋》的決定（二）

(2006年11月20日最高人民法院審判委員會第1406次會議通過)

根據(jù)《中華人民共和國著作權法》第五十八條及《信息網(wǎng)絡傳播權保護條例》的規(guī)定，最高人民法院審判委員會第1406次會議決定對《最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋》作如下修改：

刪去《最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋》第三條。

根據(jù)本決定對《最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋》的條文順序作相應調整后，重新公布。

最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋

法釋〔2006〕11號

(2000年11月22日最高人民法院審判委員會第1144次會議通過根據(jù)2003年12月23日最高人民法院審判委員會第1302次會議《關于修改〈最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋〉的決定》第一次修正根據(jù)2006年11月20日最高人民法院審判委員會第1406次會議《關于修改〈最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋〉的決定（二）》第二次修正）

為了正確審理涉及計算機網(wǎng)絡著作權糾紛案件，根據(jù)民法通則、著作權法和民事訴訟法等法律的規(guī)定，對這類案件適用法律的若干問題解釋如下：

第一條 網(wǎng)絡著作權侵權糾紛案件由侵權行為地或者被告住所地人民法院管轄。侵權行為地包括實施被訴侵權行為的網(wǎng)絡服務器、計算機終端等設備所在地。對難以確定侵權行為地和被告住所地的，原告發(fā)現(xiàn)侵權內容的計算機終端等設備所在地可以視為侵權行為地。

第二條 受著作權法保護的作品，包括著作權法第三條規(guī)定的各類作品的數(shù)字化形式。在網(wǎng)絡環(huán)境下無法歸于著作權法第三條列舉的作品范圍，但在文學、藝術和科學領域內具有獨創(chuàng)性并能以某種有形形式復制的其他智力創(chuàng)作成果，人民法院應當予以保護。

第三條 網(wǎng)絡服務提供者通過網(wǎng)絡參與他人侵犯著作權行為，或者通過網(wǎng)絡教唆、幫助他人實施侵犯著作權行為的，人民法院應當根據(jù)民法通則第一百三十條的規(guī)定，追究其與其他行為人或者直接實施侵權行為人的共同侵權責任。

第四條 提供內容服務的網(wǎng)絡服務提供者，明知網(wǎng)絡用戶通過網(wǎng)絡實施侵犯他人著作權的行為，或者經(jīng)著作權人提出確有證據(jù)的警告，但仍不采取移除侵權內容等措施以消除侵權后果的，人民法院應當根據(jù)民法通則第一百三十條的規(guī)定，追究其與該網(wǎng)絡用戶的共同侵權責任。

第五條 提供內容服務的網(wǎng)絡服務提供者，對著作權人要求其提供侵權行為人在其網(wǎng)絡的注冊資料以追究行為人的侵權責任，無正當理由拒絕提供的，人民法院應當根據(jù)民法通則第一百零六條的規(guī)定，追究其相應的侵權責任。

第六條網(wǎng)絡服務提供者明知專門用于故意避開或者破壞他人著作權技術保護措施的方法、設備或者材料，而上載、傳播、提供的，人民法院應當根據(jù)當事人的訴訟請求和具體案情，依照著作權法第四十七條第（六）項的規(guī)定，追究網(wǎng)絡服務提供者的民事侵權責任。

第七條 著作權人發(fā)現(xiàn)侵權信息向網(wǎng)絡服務提供者提出警告或者索要侵權行為人網(wǎng)絡注冊資料時，不能出示身份證明、著作權權屬證明及侵權情況證明的，視為未提出警告或者未提出索要請求。

著作權人出示上述證明后網(wǎng)絡服務提供者仍不采取措施的，著作權人可以依照著作權法第四十九條、第五十條的規(guī)定在訴前申請人民法院作出停止有關行為和財產(chǎn)保全、證據(jù)保全的裁定，也可以在提起訴訟時申請人民法院先行裁定停止侵害、排除妨礙、消除影響，人民法院應予準許。

第八條 網(wǎng)絡服務提供者經(jīng)著作權人提出確有證據(jù)的警告而采取移除被控侵權內容等措施，被控侵權人要求網(wǎng)絡服務提供者承擔違約責任的，人民法院不予支持。

著作權人指控侵權不實，被控侵權人因網(wǎng)絡服務提供者采取措施遭受損失而請求賠償?shù)模嗣穹ㄔ簯斉辛钣商岢鼍娴娜顺袚r償責任。

5.求開題報告《我國信息安全的現(xiàn)狀及對策研究》

長期以來，人們對保障信息安全的手段偏重于依靠技術， 從早期的加密技術、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡環(huán)境下的防火墻、入侵檢測、身份認證等等。

廠商在安全技術和產(chǎn)品的研發(fā)上不遺余力， 新的技術和產(chǎn)品不斷涌現(xiàn)；消費者也更加相信安全產(chǎn)品， 把僅有的預算也都投入到安全產(chǎn)品的采購上。 但事實上僅僅依靠技術和產(chǎn)品保障信息安全的愿望卻往往難盡人意， 許多復雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的。

“ 三分技術，七分管理”這個在其他領域總結出來的實踐經(jīng)驗和原則， 在信息安全領域也同樣適用。據(jù)有關部門統(tǒng)計， 在所有的計算機安全事件中，約有52%是人為因素造成的，25% 由火災、水災等自然災害引起，技術錯誤占10%， 組織內部人員作案占10%，僅有3% 左右是由外部不法人員的攻擊造成。

簡單歸類， 屬于管理方面的原因比重高達70%以上， 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。 因此，管理已成為信息安全保障能力的重要基礎。

一、我國信息安全管理的現(xiàn)狀 （1）初步建成了國家信息安全組織保障體系 國務院信息辦專門成立了網(wǎng)絡與信息安全領導小組， 成員有信息產(chǎn)業(yè)部、公安部、國家保密局、國家密碼管理會員會、國家安全部等強力部門，各省、市、自治州也設立了相應的管理機構。2003年7月， 國務院信息化領導小組第三次會議上專題討論并通過了《 關于加強信息安全保障工作的意見》， 同年9月，中央辦公廳、國務院辦公廳轉發(fā)了《 國家信息化領導小組關于加強信息安全保障工作的意見》（ 2003[27]號文件）。

27號文件第一次把信息安全提到了促進經(jīng)濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。 2003年7月成立了國家計算機網(wǎng)絡應急技術處理協(xié)調中心（ 簡稱CNCERT/CC），專門負責收集、匯總、核實、發(fā)布權威性的應急處理信息、為國家重要部門提供應急處理服務、協(xié)調全國的CERT組織共同處理大規(guī)模網(wǎng)絡安全事件、對全國范圍內計算機應急處理有關的數(shù)據(jù)進行統(tǒng)計、根據(jù)當前情況提出相應的對策、與其他國家和地區(qū)的CERT進行交流。

目前已經(jīng)在全國各地建立了31個分中心， 并授權公共互聯(lián)網(wǎng)應急處理國家級服務試點單位10家、公共互聯(lián)網(wǎng)應急處理省級服務試點單位20家， 還有國內的10家骨干互聯(lián)網(wǎng)運營企業(yè)成立自己的應急處理中心（ CERT），這10家互聯(lián)網(wǎng)運營企業(yè)與中國數(shù)千家的ISP、個人用戶和企業(yè)用戶，成為了CNCERT/CC的主要聯(lián)系成員， 由此形成了一個立體交錯的應急體系， 形成了信息上下暢通傳遞的通報制度。 2001年5月成立了中國信息安全產(chǎn)品測評認證中心（ 簡稱CNITSEC）， 代表國家開展信息安全測評認證工作的職能機構， 依據(jù)國家有關產(chǎn)品質量認證和信息安全管理的法律法規(guī)管理和運行國 家信息安全測評認證體系。

負責對國內外信息安全產(chǎn)品和信息技術進行測評和認證、對國內信息系統(tǒng)和工程進行安全性評估和認證、對提供信息安全服務的組織和單位進行評估和認證、對信息安全專業(yè)人員的資質進行評估和認證。目前建有上海、東北、西南、華中、華北五個授權評認證中心機構和兩個系統(tǒng)安全與測評技術實驗室 。

（2） 制定和引進了一批重要的信息安全管理標準 為了更好地推進我國信息安全管理工作，公安部主持制定、國家質量技術監(jiān)督局發(fā)布的中華人民共和國國家標準GB17895 -1999《計算機信息系統(tǒng)安全保護等級劃分準則》， 并引進了國際上著名的《ISO 17799:2000：信息安全管理實施準則》、《BS 7799-2:2002：信息安全管理體系實施規(guī)范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技術安全性評估準則 》、《SSE-CMM：系統(tǒng)安全工程能力成熟度模型》 等信息安全管理標準。信息安全標準化委會設置了10個工作組， 其中信息安全管理工作組負責對信息安全的行政、技術、人員等管理提出規(guī)范要求及指導指南，它包括信息安全管理指南、信息安全管理實施規(guī)范、人員培訓教育及錄用要求、信息安全社會化服務管理規(guī)范、信息安全保險業(yè)務規(guī)范框架和安全策略要求與指南。

（3） 制定了一系列必須的信息安全管理的法律法規(guī) 從上世紀九十年代初起，為配合信息安全管理的需要，國家、相關部門、行業(yè)和地方政府相繼制定了《 中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》、《 商用密碼管理條例》、《互聯(lián)網(wǎng)信息服務管理辦法》、《 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《 計算機病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務管理規(guī)定》、《 軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《 電子簽名法》等有關信息安全管理的法律法規(guī)文件。 （4） 信息安全風險評估工作已經(jīng)得到重視和開展 風險評估是信息安全管理的核心工作之一。

2003年7月， 國信辦信息安全風險評估課題組就啟動了信息安全風險評估相關標準 的編制工作， 國家鐵路系統(tǒng)和北京移動通信公司作為先行者已完成了的信息安全風 險評估試點工作，國家其它關鍵行業(yè)或系統(tǒng)（如電力、電信、銀行等）也將陸續(xù)開展這方面的工作。 二、我國信息安全管理目。

6.我國電子政務安全策略分析

我國電子政務信息安全風險主要存在于觀念、技術、管理和法律方面。

要強化電子政務環(huán)境下公務員的信息安全意識，建立電子政務信息安全管理機構，完善信息安全基礎設施和扶持國有信息安全產(chǎn)業(yè)的發(fā)展。 1 電子政務信息安全的內涵 電子政務是政府管理方式的革命，它是運用信息以及通信技術打破行政機關的組織界限，構建一個電子化的虛擬機關，使公眾擺脫傳統(tǒng)的層層關卡以及書面審核的作業(yè)方式，并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等，高效快捷地向人們提供各種不同的服務選擇。

政府機關之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通。電子政務的建立將使政府成為一個更符合環(huán)保精神的政府，一個更開放透明的政府，一個更有效率的政府，一個更廉潔勤政的政府。

然而，電子政務的職能與優(yōu)勢得以實現(xiàn)的一個根本前提是信息安全的有效保障。因為電子政務信息網(wǎng)絡上有相當多的政府公文在流轉，其中不乏重要信息，內部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息，直接涉及政府的核心政務，它關系到政府部門、各大系統(tǒng)乃至整個國家的利益，有的甚至涉及國家安全。

如果電子政務信息安全得不到保障，電子政務的便利與效率便無從保證，對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題。

電子政務的信息安全可以理解為： （1）從信息的層次看，包括信息的完整性（保證信息的來源、去向、內容真實無誤）、保密性（保證信息不會被非法泄露擴散）、不可否認性（保證信息的發(fā)送和接收者無法否認自己所做過的操作行為）等。 （2）從網(wǎng)絡層次看，包括可靠性（保證網(wǎng)絡和信息系統(tǒng)隨時可用，運行過程中不出現(xiàn)故障，遇意外事故能夠盡量減少損失并盡早恢復正常）、可控性（保證營運者對網(wǎng)絡和信息系統(tǒng)有足夠的控制和管理能力）、互操作性（保證協(xié)議和系統(tǒng)能夠互相聯(lián)接）、可計算性（保證準確跟蹤實體運行達到審計和識別的目的）等。

（3）從設備層次看，包括質量保證、設備備份、物理安全等。 （4）從管理層次看，包括人員可靠、規(guī)章制度完整等。

2 電子政務信息安全風險分析 現(xiàn)階段，我國電子政務信息安全系數(shù)比較低。公安部1998年8月在江蘇、上海、廣東等省（市）對169信息網(wǎng)進行檢測，發(fā)現(xiàn)其設防能力十分脆弱，難以抵御任何方式的電子攻擊。

電子政務信息安全風險主要存在4個方面。 2.1 觀念方面 著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發(fā)，提出應把信息系統(tǒng)安全建設提高到研制“兩彈一星”的高度去認識。

1999年政府上網(wǎng)工程啟動以來，政府部門越來越重視網(wǎng)絡系統(tǒng)建設，看重網(wǎng)絡帶來的便利與高效，但是有些地方對信息安全工作未引起足夠重視。據(jù)估計，我國在網(wǎng)絡工程中網(wǎng)絡安全的投入費用不到2%，同國外的10%相比有較大差距。

現(xiàn)階段，電子政務網(wǎng)絡的開放程度不高，一些機密信息目前還沒有上網(wǎng)，再加之公眾對計算機犯罪的態(tài)度較為“寬容”，認為并沒有造成直接的人員財產(chǎn)損失，這都使得公務員和普通大眾對信息安全問題關注不夠，信息安全意識淡薄。 2.2 技術方面 （1）計算機系統(tǒng)本身的脆弱性，使得它無法抵御自然災害的破壞，也難以避免偶然無意造成的危害。

如：洪水、火災、地震的破壞，系統(tǒng)所處環(huán)境的影響（溫濕度、磁場、碰撞、污染等），硬件設備故障，突然斷電或電壓不穩(wěn)定及各種誤操作等。這些危害會損害操作系統(tǒng)設備，有時會丟失或破壞數(shù)據(jù)，甚至毀掉整個系統(tǒng)。

（2）網(wǎng)絡本身存在缺陷。首先，軟件本身缺乏安全性。

操作系統(tǒng)的設計一般著重于提高信息處理的能力和效率，對于安全只是作為一項附帶的條件加以考慮。因此，操作系統(tǒng)中的安全缺陷相當多。

其次，通信與網(wǎng)絡設備本身有弱點。絕大多數(shù)電子政務信息網(wǎng)絡運行的是TCP/IP,NetBEUI,IPX/SPX等網(wǎng)絡協(xié)議，而這些網(wǎng)絡協(xié)議并非專為安全通訊而設計。

利用這些網(wǎng)絡進行服務，本身就可能存在多方面的威脅，加之使用者信息安全意識淡薄，管理者管理措施不力等原因，會造成一些常見的安全問題：對物理通路的干擾；網(wǎng)絡鏈路傳送的數(shù)據(jù)被竊聽；非授權用戶非法使用，信息被攔截或監(jiān)聽；操作系統(tǒng)存在的網(wǎng)絡安全漏洞；應用平臺的安全，如數(shù)據(jù)庫服務器、電子郵件服務器等均存在大量的安全隱患，很容易受到病毒、黑客攻擊；直接面向用戶的應用系統(tǒng)存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次，目前世界上還缺乏統(tǒng)一的操作系統(tǒng)、計算機網(wǎng)絡系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，缺乏統(tǒng)一的信息安全標準、密碼算法和協(xié)議，因而無法進行嚴格的安全確認。

（3）我國具有自主知識產(chǎn)權的信息設備、技術、產(chǎn)品較少，如計算機芯片、骨干路由器和微機主板等基本上從國外進口，且對引進技術和設備缺乏必要的技術改造，尤其是在系統(tǒng)安全和安全協(xié)議的研究和應用方面。而美歐等發(fā)達國家對我國限制和封鎖信息安全高密度產(chǎn)品，出口到我國的信息產(chǎn)品中留有安全隱患。

例如，美國出口我國的計算機系統(tǒng)的安全系統(tǒng)只有C2級，是美國國防部規(guī)定的8個安全級別之中的倒數(shù)第三；在操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)或應用程序中預。

7.信息安全的法律與憲法之間的關系

熱心相助

您好！

我國從維護國家安全、社會穩(wěn)定和網(wǎng)絡安全管理的實際需要出發(fā)，從20世紀90年代初開始，國家及相關部門、行業(yè)和地方政府相繼制定了多項有關網(wǎng)絡安全的法律法規(guī)。

我國網(wǎng)絡安全立法體系分為以下三個層面：

第一層面：法律。為全國人民代表大會及其常委會通過的法律規(guī)范。我國與網(wǎng)絡信息安全相關的法律主要有：《憲法》、《刑法》、《治安管理處罰條例》、《刑事訴訟法》、《國家安全法》、《保守國家秘密法》、《行政處罰法》、《行政訴訟法》、《全國人大常委會關于維護互聯(lián)網(wǎng)安全的決定》、《人民警察法》、《行政復議法》、《國家賠償法》、《立法法》等。

第二個層面：行政法規(guī)。主要指國務院為執(zhí)行憲法和法律而制定的法律規(guī)范。與網(wǎng)絡信息安全有關的行政法規(guī)包括：《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《商用密碼管理條例》、《中華人民共和國電信條例》、《互聯(lián)網(wǎng)信息服務管理辦法》、《計算機軟件保護條例》等。

第三個層面：地方性法規(guī)、規(guī)章、規(guī)范性文件。主要指國務院各部、委依據(jù)法律和國務院行政法規(guī)與法律規(guī)范，以及省、自治區(qū)、直轄市和較大的市人民政府依據(jù)法律、行政法規(guī)和本省、自治區(qū)、直轄市的地方性法規(guī)制定的法律規(guī)范性文件。

國家公安部制定的《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機病毒防治管理辦法》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《關于開展計算機安全員培訓工作的通知》等。

國家工業(yè)和信息化部制定的《互聯(lián)網(wǎng)電戶公告服務管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《計算機信息系統(tǒng)集成資質管理辦法》、《國際通信出入口局管理辦法》、《國際通信設施建設管理規(guī)定》、《中國互聯(lián)網(wǎng)絡域名管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》等。2009年5月，又在其頒布的《互聯(lián)網(wǎng)網(wǎng)絡安全信息通報實施辦法》和《木馬和僵尸網(wǎng)絡監(jiān)測和處置機制》中，對國家互聯(lián)網(wǎng)應急中心和互聯(lián)網(wǎng)運營商、域名服務機構，以及網(wǎng)絡安全企業(yè)共同開展網(wǎng)絡安全信息共享和打擊黑客產(chǎn)業(yè)給出了具體的規(guī)定。

摘自本人編著