1.我國信息安全管理的現(xiàn)狀、問題及其對策

我國信息安全管理的現(xiàn)狀、問題及其對策 摘要：信息安全是國家安全的基礎(chǔ)和關(guān)鍵。

在信息安全保障的三大要素（人員、技術(shù)、管理）中，管理要素的地位和作用越來越受到重視。理解并重視管理對信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。

本文分析了信息安全管理的現(xiàn)狀，并著重討論了加強信息安全管理的策略。 關(guān)鍵詞：信息安全；管理；現(xiàn)狀；策略 信息安全管理是隨著信息和信息安金的發(fā)展而發(fā)展的。

在信息社會中，一方面信息已經(jīng)成為人類的重要資產(chǎn)，在政治、經(jīng)濟、軍事、教育、科技、生活等方面發(fā)揮著重要作用，另一方面由于計算機技術(shù)的迅猛發(fā)展而帶來的信息安全問題正變得日益突出。由于信息具有易傳播、易擴散、易損毀的特點，信息資產(chǎn)比傳統(tǒng)的實物資產(chǎn)更加脆弱，更容易受到損害，這樣將使組織在業(yè)務(wù)運作過程巾面臨巨大的風險。

這種風險主要來源于組織管理、信息系統(tǒng)、信息基礎(chǔ)設(shè)施等方面的固有薄弱環(huán)節(jié)和漏洞， 以及大量存在于組織內(nèi)外的各種威脅， 因此對信啟、系統(tǒng)需要加以嚴格管理和妥善保護，信息安全管理也隨之產(chǎn)生。 1、國內(nèi)信息安全管理現(xiàn)狀 1.1在國家宏觀信息安全管理方面的問題 （1）法律法規(guī)問題。

健全的信息安 法律法規(guī)體系是確保國家信息安全的基礎(chǔ)，是信息安全的第一道防線。我國已建立了法律、行政法規(guī)與部門規(guī)章及規(guī)范性文件等三個層面的有關(guān)信息安全的法律法規(guī)體系，對組織與個人的信息安全行為提出了安全要求。

但是我國的法律法規(guī)體系還存在缺陷，一是現(xiàn)有的法律法規(guī)存在不完善的地方，如法律法規(guī)之間有內(nèi)容重復(fù)交叉， 同一行為有多個行政處罰主體，有的規(guī)章與行政法規(guī)相互抵觸，處罰幅度不?一致；二是法律法規(guī)建設(shè)跟不上信息技術(shù)發(fā)展的需要，這主要涉及網(wǎng)絡(luò)規(guī)劃與建設(shè)、網(wǎng)絡(luò)管理與經(jīng)營、網(wǎng)絡(luò)安全、數(shù)據(jù)的法律保護、電子資金劃轉(zhuǎn)的法律認證、計算機犯罪、刑事立法、計算機證據(jù)的法律效力等方面的法律法規(guī)缺乏。 （2）管理問題。

管理包括三個層次的內(nèi)容：組織建設(shè)、制度建設(shè)和人員意識。組織建設(shè)是指有關(guān)信息安全管理機構(gòu)的建設(shè)。

信息安全的管理包括安全規(guī)劃、風險管理、應(yīng)急計劃、安全教育培訓、安全系統(tǒng)的評估、安全認證等多方面的內(nèi)容，因此只靠一個機構(gòu)是無法解決這些問題的。在各信息安全管理機構(gòu)之問，要有明確的分工，以避免“政出多門”和“政策拉車”現(xiàn)象的發(fā)生。

需要建立切實可行的規(guī)章制度，即進行制度建設(shè)，以保證信息安全。如對人的管理，需要解決多人負責、責仔到人的問題，任期有限的問題，職責分離的問題，最小權(quán)限的問題等。

有了組織機構(gòu)和相應(yīng)的制度，還需要領(lǐng)導(dǎo)的高度重視和群防群治，即強化人員的安全意識，這需要信息安全意識的教育和培訓，以及對信息安傘問題的高度重視。 （3）國家信息基礎(chǔ)設(shè)施建設(shè)問題。

目前構(gòu)成我國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)、硬件、軟件等產(chǎn)品幾乎完全是建立在外國的核心信息技術(shù)之上的。關(guān)于國家信息基礎(chǔ)設(shè)施方面存在的問題已引起國家的高度重視。

如“十五”期問，國家863計劃和科技攻關(guān)的重要項目就有“信息安全與電子政務(wù)”和“金融信息化”兩個有關(guān)信息安全的研究項目；2002年1月1日開始實施的《電信業(yè)務(wù)經(jīng)營許可證管理辦法》明確要求：電信產(chǎn)品軟件商不能在軟件上預(yù)留“后門”，外國供貨商不能遠程登錄中國電信商的操作系統(tǒng)，高級 管系統(tǒng)要用國內(nèi)可靠機構(gòu)開發(fā)的軟件產(chǎn)品。 1.2我國在微觀信息安全管理方面存在的問題主要表現(xiàn) （1）缺乏信息安全意識與明確的信息安全方針。

大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨威脅的嚴重性認識不足，或者僅局限于IT方面的安全，沒有形成一個合理的信息安拿方針來指導(dǎo)組織的信息安全管理工作，這表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對員工進行必要的安全法律法規(guī)和防范安全風險的教育與培訓，現(xiàn)有的安全規(guī)章組織未必能嚴格實施等。 （2）重視安全技術(shù)，輕視安全管理。

目前組織普遍采用現(xiàn)代通信、計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建信息系統(tǒng)，以提高組織效礙暑與競爭能力，但相應(yīng)的管理措施不到位，如系統(tǒng)的運行、維護和開發(fā)等崗位不清，職責不分，存在一人身兼數(shù)職現(xiàn)象。 （3）安全管理缺乏系統(tǒng)管理的思想。

大多數(shù)組織現(xiàn)有的安全管理模式仍是傳統(tǒng)的管理方法，出現(xiàn)了問題才去想補救的辦法，是一種就事論事、靜態(tài)的管理，不是建立在安全風險評估基礎(chǔ)上的動態(tài)的持續(xù)改進管理方法。 2、國外信息安全管理現(xiàn)狀 國際上信息安全管理近幾年的發(fā)展主要包括以下幾個方面。

（1）制訂信息安全發(fā)展戰(zhàn)略和計劃。制訂發(fā)展戰(zhàn)略和計劃是發(fā)達國家一貫的作法。

美、俄、日國家都已經(jīng)或正在制訂自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃，確保信息安全沿著正確的方向發(fā)展。 （2）加強信息安全立法，實現(xiàn)統(tǒng)一和規(guī)范管理。

以法律的形式規(guī)定和規(guī)范信息安全工作是有效實施安全措施的最有力保證。制訂網(wǎng)絡(luò)信息安全規(guī)則的先鋒是各大門戶網(wǎng)站，美國的雅虎和美國在線等網(wǎng)站都在實踐中形成了一套自己的信息安全管理辦法。

2000年1O月5日美參議院通過了《互聯(lián)網(wǎng)網(wǎng)絡(luò)完備性及關(guān)鍵設(shè)備保護法案》。2000年9月，俄羅斯實施了關(guān)于網(wǎng)絡(luò)信息安全的法律。

（3）步入標。

2.我國網(wǎng)絡(luò)安全法律

1、立法滯后、層次低，尚未形成完整的法律體系 在我國現(xiàn)行涉及網(wǎng)絡(luò)安全的法律中，法律、法規(guī)層次的規(guī)定太少。

規(guī)章過多，給人一種頭重腳輕的感覺.而且.在制定規(guī)章的過程中，由于缺乏縱向的統(tǒng)籌考慮和橫向的有效協(xié)調(diào)。制定部門往往出于自身工作的考慮，忽視了其他相關(guān)部門的職能及相互間的交叉等問題，致使出臺的規(guī)章雖然數(shù)量不少但內(nèi)容重復(fù)交叉。

這種現(xiàn)狀一方面造成部門問更多的職能交叉，另一方面。在一定程度上造成了法律資源的嚴重浪費。

法律法規(guī)的欠缺、規(guī)章的混亂，常常造成這樣一種奇怪的現(xiàn)象對網(wǎng)絡(luò)違法行為，要么無人管.要么爭著管。 2、不具開放性 我國的信息網(wǎng)絡(luò)安全法結(jié)構(gòu)比較單一、層次較低。

難以適應(yīng)信息網(wǎng)絡(luò)技術(shù)發(fā)展的需要和日益嚴重的信息網(wǎng)絡(luò)安全問題。我國現(xiàn)行的安全法律基本上是一些保護條例、管理辦法之類的，缺少系統(tǒng)規(guī)范網(wǎng)絡(luò)行為的基本法律如信息安全法、網(wǎng)絡(luò)犯罪法、電子信息出版法、電子信息個人隱私法等。

同時，我國的法律更多她使用了綜合性的禁止性條款，如《中華人民共和國計算機信息系統(tǒng)安全保護條例》第七條規(guī)定：“任何單位或者個人。 不得利用計算機信息系統(tǒng)從事危害國家利益.集體利益和公民臺法利益的活動。

不得危害計算機信息系統(tǒng)的安全。“而沒有具體的許可性條款和禁止性條款。

這種大一統(tǒng)的立法方式往往停留于口號的層次上。難以適應(yīng)信息網(wǎng)絡(luò)技術(shù)的發(fā)展和越來越多的信息網(wǎng)絡(luò)安全問題。

3、缺乏兼容性 我國的安全法律法規(guī)有許多難以同傳統(tǒng)的法律原則、法律規(guī)范協(xié)調(diào)的地方。 比如說，根據(jù)《中華人民共和國行政處罰法》第十二條規(guī)定，規(guī)章可以在法律.行政法規(guī)規(guī)定的給予行政處罰的行為、種類和幅度范圍內(nèi)作出具體規(guī)定。

尚未制定法律、行政法規(guī)的。規(guī)章對違反行政管理秩序的行為，可以設(shè)定警告或者一定數(shù)量罰款的行政處罰。

在我國現(xiàn)有相關(guān)法律、行政法規(guī)中.均未設(shè)定沒收從事違法經(jīng)營活動的全部設(shè)備的處罰，但是依據(jù)這些行政法規(guī)制定的《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理辦法》的第14條，卻設(shè)定了沒收從事違法經(jīng)營活動的全部設(shè)備的處罰種類，顯然這個處罰的設(shè)定與相關(guān)法規(guī)有矛盾之處。 4、缺乏操作性 我國的信息網(wǎng)絡(luò)安圭法中存在難以操作的現(xiàn)象。

為丁規(guī)范網(wǎng)絡(luò)上的行為。政府職能部門都出臺了相關(guān)的規(guī)定，公安部、信息產(chǎn)業(yè)部、國家保密局、教育部、新聞出版署、中國證監(jiān)會.國家廣播電影電視總局、國家藥品監(jiān)督營理局、原國務(wù)院信息化工作領(lǐng)導(dǎo)小組等都制定了涉及網(wǎng)絡(luò)的管理規(guī)定。

此外，還有許多相關(guān)的地方性法規(guī).地方政府規(guī)章。數(shù)量雖大，但是它們的弊端是明顯的。

由于沒有法律的統(tǒng)一協(xié)調(diào)，各個部門出于自身利益，致使常常出現(xiàn)同一行為有多個行政處罰主體，處罰幅度不盡一致，行政審批部門及審批事項多等現(xiàn)象。這就給法律法規(guī)的實際操作帶來了諸多難題。

3.信息安全法律法規(guī)及網(wǎng)上道德規(guī)范

社會最近發(fā)生的網(wǎng)絡(luò)案件如網(wǎng)友見面、虛擬財產(chǎn)被竊等現(xiàn)象。這些問題不能不引起我們注意關(guān)于網(wǎng)絡(luò)安全，網(wǎng)絡(luò)道德問題，導(dǎo)入這節(jié)課“做信息時代的合格公民”的主題。

師：首先肯定網(wǎng)絡(luò)給我們帶來的各種積極的、重要的影響。結(jié)合上節(jié)課學習的計算機病毒和計算機犯罪問題，引出在網(wǎng)絡(luò)使用過程中經(jīng)常出現(xiàn)的問題，給我們帶來了很多的負面影響。

生：通過教材中任務(wù)，找出信息活動中經(jīng)常出現(xiàn)的問題；并且填寫任務(wù)單中相應(yīng)內(nèi)容。

師：列舉網(wǎng)絡(luò)使用過程中經(jīng)常出現(xiàn)的問題：網(wǎng)上傳播不良信息；利用網(wǎng)絡(luò)從事違法犯罪活動；虛假信息給青少年造成不良影響；垃圾信息泛濫成災(zāi)；等等。設(shè)計意圖：激發(fā)學生解決問題興趣。

生：如何解決以上問題？（頭腦風暴）如：依靠法律法規(guī)、依靠技術(shù)維護及做好網(wǎng)絡(luò)道德規(guī)范宣傳活動等等。

師：指導(dǎo)學生通過學習網(wǎng)站閱讀網(wǎng)絡(luò)道德規(guī)范及青少年網(wǎng)絡(luò)文明公約。

生：閱讀教材了解《青少年網(wǎng)絡(luò)文明公約》的內(nèi)容，并且對自己的日常上網(wǎng)行為進行反省。

(1)設(shè)問：去過網(wǎng)吧的同學有多少？一般去一次是多長時間？在網(wǎng)吧里一般都做什么？平均一周去幾次？

活動：民意調(diào)查，從而闡明“拒絕泡網(wǎng)吧，珍惜生命”。

(2)設(shè)問：在網(wǎng)絡(luò)上，聊過天嗎？泡論壇嗎？玩過最近流行的網(wǎng)絡(luò)游戲嗎？在這些方面上，你投資了多少，收獲了多少？

活動：民意調(diào)查，從而闡明“擦亮慧眼，分清虛實世界”。

(3)利用搜索引擎及部分相關(guān)資料，舉實例，如網(wǎng)頁木馬、惡意代碼、網(wǎng)絡(luò)虛擬財產(chǎn)案、重要機構(gòu)機密資料被竊等。

活動：讓學生自己總結(jié)網(wǎng)絡(luò)安全的重要性。并號召學生“刻苦鉆研網(wǎng)絡(luò)技術(shù)，維護網(wǎng)絡(luò)安全”，爭做網(wǎng)絡(luò)小衛(wèi)士。

(4)在網(wǎng)絡(luò)的虛擬世界中，注意保護個人的相關(guān)資料，如家庭住址、電話號碼、生日、親屬關(guān)系、銀行賬號等相關(guān)內(nèi)容。

活動：假如泄露了個人相關(guān)資料，會引起什么樣的惡性后果？（讓學生自己總結(jié)）從而闡明“增強自我保護意識，守護個人資料”。

師：組織學生討論：“本校內(nèi)的BBS中留有以虛假身份或匿名方式發(fā)布的大量帖子，部分內(nèi)容粗俗，不健康不積極，還有的謾罵同學或是教師的。”教師與學生游覽并且引導(dǎo)學生從現(xiàn)在做起。

生：利用校內(nèi)網(wǎng)站（）中的BBS或登陸FTP進行網(wǎng)上討論，發(fā)表個人看法。

師：指導(dǎo)學生登陸因特網(wǎng)法律法規(guī)網(wǎng)站，了解法律法規(guī)常識。

/~bytalent/lawnet/net_safe/03.htm

師：指導(dǎo)學生閱讀課后案例：“破譯密碼竊取巨額儲蓄資金 黑客被判無期徒刑”等等案例。

生：回答案例中主人公觸犯了哪些法律法規(guī)。

師：在信息社會的高速發(fā)展下，信息課程日漸成為以后人們重要的學習方式，所以倡導(dǎo)學生分組討論共同制定一個“網(wǎng)絡(luò)課程學習守則”，并對學生制定的守則進行評價。

生：根據(jù)《青少年網(wǎng)絡(luò)文明公約》從“課程學習”、“交流討論”“聯(lián)系反饋”等方面討論總結(jié)出學生自己的學習守則，并且努力自覺的遵守守則，并在班上交流。

師：指導(dǎo)學生為本班擬定一份“網(wǎng)絡(luò)課程學習守則”。

生：各小組長負責完善各小組交流之后的學習守則，共同完成本班內(nèi)的“網(wǎng)絡(luò)課程學習守則”。

師：指導(dǎo)學生完成“小組學習任務(wù)單”的全部內(nèi)容。

4.近幾年來我國出臺的相關(guān)計算機信息安全法律法規(guī)

二○○六年十一月二十二日

最高人民法院關(guān)于修改《最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋》的決定（二）

(2006年11月20日最高人民法院審判委員會第1406次會議通過)

根據(jù)《中華人民共和國著作權(quán)法》第五十八條及《信息網(wǎng)絡(luò)傳播權(quán)保護條例》的規(guī)定，最高人民法院審判委員會第1406次會議決定對《最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋》作如下修改：

刪去《最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋》第三條。

根據(jù)本決定對《最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋》的條文順序作相應(yīng)調(diào)整后，重新公布。

最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋

法釋〔2006〕11號

(2000年11月22日最高人民法院審判委員會第1144次會議通過根據(jù)2003年12月23日最高人民法院審判委員會第1302次會議《關(guān)于修改〈最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋〉的決定》第一次修正根據(jù)2006年11月20日最高人民法院審判委員會第1406次會議《關(guān)于修改〈最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋〉的決定（二）》第二次修正）

為了正確審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件，根據(jù)民法通則、著作權(quán)法和民事訴訟法等法律的規(guī)定，對這類案件適用法律的若干問題解釋如下：

第一條 網(wǎng)絡(luò)著作權(quán)侵權(quán)糾紛案件由侵權(quán)行為地或者被告住所地人民法院管轄。侵權(quán)行為地包括實施被訴侵權(quán)行為的網(wǎng)絡(luò)服務(wù)器、計算機終端等設(shè)備所在地。對難以確定侵權(quán)行為地和被告住所地的，原告發(fā)現(xiàn)侵權(quán)內(nèi)容的計算機終端等設(shè)備所在地可以視為侵權(quán)行為地。

第二條 受著作權(quán)法保護的作品，包括著作權(quán)法第三條規(guī)定的各類作品的數(shù)字化形式。在網(wǎng)絡(luò)環(huán)境下無法歸于著作權(quán)法第三條列舉的作品范圍，但在文學、藝術(shù)和科學領(lǐng)域內(nèi)具有獨創(chuàng)性并能以某種有形形式復(fù)制的其他智力創(chuàng)作成果，人民法院應(yīng)當予以保護。

第三條 網(wǎng)絡(luò)服務(wù)提供者通過網(wǎng)絡(luò)參與他人侵犯著作權(quán)行為，或者通過網(wǎng)絡(luò)教唆、幫助他人實施侵犯著作權(quán)行為的，人民法院應(yīng)當根據(jù)民法通則第一百三十條的規(guī)定，追究其與其他行為人或者直接實施侵權(quán)行為人的共同侵權(quán)責任。

第四條 提供內(nèi)容服務(wù)的網(wǎng)絡(luò)服務(wù)提供者，明知網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)實施侵犯他人著作權(quán)的行為，或者經(jīng)著作權(quán)人提出確有證據(jù)的警告，但仍不采取移除侵權(quán)內(nèi)容等措施以消除侵權(quán)后果的，人民法院應(yīng)當根據(jù)民法通則第一百三十條的規(guī)定，追究其與該網(wǎng)絡(luò)用戶的共同侵權(quán)責任。

第五條 提供內(nèi)容服務(wù)的網(wǎng)絡(luò)服務(wù)提供者，對著作權(quán)人要求其提供侵權(quán)行為人在其網(wǎng)絡(luò)的注冊資料以追究行為人的侵權(quán)責任，無正當理由拒絕提供的，人民法院應(yīng)當根據(jù)民法通則第一百零六條的規(guī)定，追究其相應(yīng)的侵權(quán)責任。

第六條網(wǎng)絡(luò)服務(wù)提供者明知專門用于故意避開或者破壞他人著作權(quán)技術(shù)保護措施的方法、設(shè)備或者材料，而上載、傳播、提供的，人民法院應(yīng)當根據(jù)當事人的訴訟請求和具體案情，依照著作權(quán)法第四十七條第（六）項的規(guī)定，追究網(wǎng)絡(luò)服務(wù)提供者的民事侵權(quán)責任。

第七條 著作權(quán)人發(fā)現(xiàn)侵權(quán)信息向網(wǎng)絡(luò)服務(wù)提供者提出警告或者索要侵權(quán)行為人網(wǎng)絡(luò)注冊資料時，不能出示身份證明、著作權(quán)權(quán)屬證明及侵權(quán)情況證明的，視為未提出警告或者未提出索要請求。

著作權(quán)人出示上述證明后網(wǎng)絡(luò)服務(wù)提供者仍不采取措施的，著作權(quán)人可以依照著作權(quán)法第四十九條、第五十條的規(guī)定在訴前申請人民法院作出停止有關(guān)行為和財產(chǎn)保全、證據(jù)保全的裁定，也可以在提起訴訟時申請人民法院先行裁定停止侵害、排除妨礙、消除影響，人民法院應(yīng)予準許。

第八條 網(wǎng)絡(luò)服務(wù)提供者經(jīng)著作權(quán)人提出確有證據(jù)的警告而采取移除被控侵權(quán)內(nèi)容等措施，被控侵權(quán)人要求網(wǎng)絡(luò)服務(wù)提供者承擔違約責任的，人民法院不予支持。

著作權(quán)人指控侵權(quán)不實，被控侵權(quán)人因網(wǎng)絡(luò)服務(wù)提供者采取措施遭受損失而請求賠償?shù)模嗣穹ㄔ簯?yīng)當判令由提出警告的人承擔賠償責任。

5.求開題報告《我國信息安全的現(xiàn)狀及對策研究》

長期以來，人們對保障信息安全的手段偏重于依靠技術(shù)， 從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認證等等。

廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力， 新的技術(shù)和產(chǎn)品不斷涌現(xiàn)；消費者也更加相信安全產(chǎn)品， 把僅有的預(yù)算也都投入到安全產(chǎn)品的采購上。 但事實上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意， 許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的。

“ 三分技術(shù)，七分管理”這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和原則， 在信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計， 在所有的計算機安全事件中，約有52%是人為因素造成的，25% 由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯誤占10%， 組織內(nèi)部人員作案占10%，僅有3% 左右是由外部不法人員的攻擊造成。

簡單歸類， 屬于管理方面的原因比重高達70%以上， 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。 因此，管理已成為信息安全保障能力的重要基礎(chǔ)。

一、我國信息安全管理的現(xiàn)狀 （1）初步建成了國家信息安全組織保障體系 國務(wù)院信息辦專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組， 成員有信息產(chǎn)業(yè)部、公安部、國家保密局、國家密碼管理會員會、國家安全部等強力部門，各省、市、自治州也設(shè)立了相應(yīng)的管理機構(gòu)。2003年7月， 國務(wù)院信息化領(lǐng)導(dǎo)小組第三次會議上專題討論并通過了《 關(guān)于加強信息安全保障工作的意見》， 同年9月，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（ 2003[27]號文件）。

27號文件第一次把信息安全提到了促進經(jīng)濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。 2003年7月成立了國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（ 簡稱CNCERT/CC），專門負責收集、匯總、核實、發(fā)布權(quán)威性的應(yīng)急處理信息、為國家重要部門提供應(yīng)急處理服務(wù)、協(xié)調(diào)全國的CERT組織共同處理大規(guī)模網(wǎng)絡(luò)安全事件、對全國范圍內(nèi)計算機應(yīng)急處理有關(guān)的數(shù)據(jù)進行統(tǒng)計、根據(jù)當前情況提出相應(yīng)的對策、與其他國家和地區(qū)的CERT進行交流。

目前已經(jīng)在全國各地建立了31個分中心， 并授權(quán)公共互聯(lián)網(wǎng)應(yīng)急處理國家級服務(wù)試點單位10家、公共互聯(lián)網(wǎng)應(yīng)急處理省級服務(wù)試點單位20家， 還有國內(nèi)的10家骨干互聯(lián)網(wǎng)運營企業(yè)成立自己的應(yīng)急處理中心（ CERT），這10家互聯(lián)網(wǎng)運營企業(yè)與中國數(shù)千家的ISP、個人用戶和企業(yè)用戶，成為了CNCERT/CC的主要聯(lián)系成員， 由此形成了一個立體交錯的應(yīng)急體系， 形成了信息上下暢通傳遞的通報制度。 2001年5月成立了中國信息安全產(chǎn)品測評認證中心（ 簡稱CNITSEC）， 代表國家開展信息安全測評認證工作的職能機構(gòu)， 依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認證和信息安全管理的法律法規(guī)管理和運行國 家信息安全測評認證體系。

負責對國內(nèi)外信息安全產(chǎn)品和信息技術(shù)進行測評和認證、對國內(nèi)信息系統(tǒng)和工程進行安全性評估和認證、對提供信息安全服務(wù)的組織和單位進行評估和認證、對信息安全專業(yè)人員的資質(zhì)進行評估和認證。目前建有上海、東北、西南、華中、華北五個授權(quán)評認證中心機構(gòu)和兩個系統(tǒng)安全與測評技術(shù)實驗室 。

（2） 制定和引進了一批重要的信息安全管理標準 為了更好地推進我國信息安全管理工作，公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標準GB17895 -1999《計算機信息系統(tǒng)安全保護等級劃分準則》， 并引進了國際上著名的《ISO 17799:2000：信息安全管理實施準則》、《BS 7799-2:2002：信息安全管理體系實施規(guī)范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技術(shù)安全性評估準則 》、《SSE-CMM：系統(tǒng)安全工程能力成熟度模型》 等信息安全管理標準。信息安全標準化委會設(shè)置了10個工作組， 其中信息安全管理工作組負責對信息安全的行政、技術(shù)、人員等管理提出規(guī)范要求及指導(dǎo)指南，它包括信息安全管理指南、信息安全管理實施規(guī)范、人員培訓教育及錄用要求、信息安全社會化服務(wù)管理規(guī)范、信息安全保險業(yè)務(wù)規(guī)范框架和安全策略要求與指南。

（3） 制定了一系列必須的信息安全管理的法律法規(guī) 從上世紀九十年代初起，為配合信息安全管理的需要，國家、相關(guān)部門、行業(yè)和地方政府相繼制定了《 中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《 商用密碼管理條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《 計算機病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《 軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《 電子簽名法》等有關(guān)信息安全管理的法律法規(guī)文件。 （4） 信息安全風險評估工作已經(jīng)得到重視和開展 風險評估是信息安全管理的核心工作之一。

2003年7月， 國信辦信息安全風險評估課題組就啟動了信息安全風險評估相關(guān)標準 的編制工作， 國家鐵路系統(tǒng)和北京移動通信公司作為先行者已完成了的信息安全風 險評估試點工作，國家其它關(guān)鍵行業(yè)或系統(tǒng)（如電力、電信、銀行等）也將陸續(xù)開展這方面的工作。 二、我國信息安全管理目。

6.我國電子政務(wù)安全策略分析

我國電子政務(wù)信息安全風險主要存在于觀念、技術(shù)、管理和法律方面。

要強化電子政務(wù)環(huán)境下公務(wù)員的信息安全意識，建立電子政務(wù)信息安全管理機構(gòu)，完善信息安全基礎(chǔ)設(shè)施和扶持國有信息安全產(chǎn)業(yè)的發(fā)展。 1 電子政務(wù)信息安全的內(nèi)涵 電子政務(wù)是政府管理方式的革命，它是運用信息以及通信技術(shù)打破行政機關(guān)的組織界限，構(gòu)建一個電子化的虛擬機關(guān)，使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式，并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等，高效快捷地向人們提供各種不同的服務(wù)選擇。

政府機關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通。電子政務(wù)的建立將使政府成為一個更符合環(huán)保精神的政府，一個更開放透明的政府，一個更有效率的政府，一個更廉潔勤政的政府。

然而，電子政務(wù)的職能與優(yōu)勢得以實現(xiàn)的一個根本前提是信息安全的有效保障。因為電子政務(wù)信息網(wǎng)絡(luò)上有相當多的政府公文在流轉(zhuǎn)，其中不乏重要信息，內(nèi)部網(wǎng)絡(luò)上有著大量高度機密的數(shù)據(jù)和信息，直接涉及政府的核心政務(wù)，它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益，有的甚至涉及國家安全。

如果電子政務(wù)信息安全得不到保障，電子政務(wù)的便利與效率便無從保證，對國家利益將帶來嚴重威脅。電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題。

電子政務(wù)的信息安全可以理解為： （1）從信息的層次看，包括信息的完整性（保證信息的來源、去向、內(nèi)容真實無誤）、保密性（保證信息不會被非法泄露擴散）、不可否認性（保證信息的發(fā)送和接收者無法否認自己所做過的操作行為）等。 （2）從網(wǎng)絡(luò)層次看，包括可靠性（保證網(wǎng)絡(luò)和信息系統(tǒng)隨時可用，運行過程中不出現(xiàn)故障，遇意外事故能夠盡量減少損失并盡早恢復(fù)正常）、可控性（保證營運者對網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力）、互操作性（保證協(xié)議和系統(tǒng)能夠互相聯(lián)接）、可計算性（保證準確跟蹤實體運行達到審計和識別的目的）等。

（3）從設(shè)備層次看，包括質(zhì)量保證、設(shè)備備份、物理安全等。 （4）從管理層次看，包括人員可靠、規(guī)章制度完整等。

2 電子政務(wù)信息安全風險分析 現(xiàn)階段，我國電子政務(wù)信息安全系數(shù)比較低。公安部1998年8月在江蘇、上海、廣東等省（市）對169信息網(wǎng)進行檢測，發(fā)現(xiàn)其設(shè)防能力十分脆弱，難以抵御任何方式的電子攻擊。

電子政務(wù)信息安全風險主要存在4個方面。 2.1 觀念方面 著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發(fā)，提出應(yīng)把信息系統(tǒng)安全建設(shè)提高到研制“兩彈一星”的高度去認識。

1999年政府上網(wǎng)工程啟動以來，政府部門越來越重視網(wǎng)絡(luò)系統(tǒng)建設(shè)，看重網(wǎng)絡(luò)帶來的便利與高效，但是有些地方對信息安全工作未引起足夠重視。據(jù)估計，我國在網(wǎng)絡(luò)工程中網(wǎng)絡(luò)安全的投入費用不到2%，同國外的10%相比有較大差距。

現(xiàn)階段，電子政務(wù)網(wǎng)絡(luò)的開放程度不高，一些機密信息目前還沒有上網(wǎng)，再加之公眾對計算機犯罪的態(tài)度較為“寬容”，認為并沒有造成直接的人員財產(chǎn)損失，這都使得公務(wù)員和普通大眾對信息安全問題關(guān)注不夠，信息安全意識淡薄。 2.2 技術(shù)方面 （1）計算機系統(tǒng)本身的脆弱性，使得它無法抵御自然災(zāi)害的破壞，也難以避免偶然無意造成的危害。

如：洪水、火災(zāi)、地震的破壞，系統(tǒng)所處環(huán)境的影響（溫濕度、磁場、碰撞、污染等），硬件設(shè)備故障，突然斷電或電壓不穩(wěn)定及各種誤操作等。這些危害會損害操作系統(tǒng)設(shè)備，有時會丟失或破壞數(shù)據(jù)，甚至毀掉整個系統(tǒng)。

（2）網(wǎng)絡(luò)本身存在缺陷。首先，軟件本身缺乏安全性。

操作系統(tǒng)的設(shè)計一般著重于提高信息處理的能力和效率，對于安全只是作為一項附帶的條件加以考慮。因此，操作系統(tǒng)中的安全缺陷相當多。

其次，通信與網(wǎng)絡(luò)設(shè)備本身有弱點。絕大多數(shù)電子政務(wù)信息網(wǎng)絡(luò)運行的是TCP/IP,NetBEUI,IPX/SPX等網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。

利用這些網(wǎng)絡(luò)進行服務(wù)，本身就可能存在多方面的威脅，加之使用者信息安全意識淡薄，管理者管理措施不力等原因，會造成一些常見的安全問題：對物理通路的干擾；網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)被竊聽；非授權(quán)用戶非法使用，信息被攔截或監(jiān)聽；操作系統(tǒng)存在的網(wǎng)絡(luò)安全漏洞；應(yīng)用平臺的安全，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器等均存在大量的安全隱患，很容易受到病毒、黑客攻擊；直接面向用戶的應(yīng)用系統(tǒng)存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次，目前世界上還缺乏統(tǒng)一的操作系統(tǒng)、計算機網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，缺乏統(tǒng)一的信息安全標準、密碼算法和協(xié)議，因而無法進行嚴格的安全確認。

（3）我國具有自主知識產(chǎn)權(quán)的信息設(shè)備、技術(shù)、產(chǎn)品較少，如計算機芯片、骨干路由器和微機主板等基本上從國外進口，且對引進技術(shù)和設(shè)備缺乏必要的技術(shù)改造，尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面。而美歐等發(fā)達國家對我國限制和封鎖信息安全高密度產(chǎn)品，出口到我國的信息產(chǎn)品中留有安全隱患。

例如，美國出口我國的計算機系統(tǒng)的安全系統(tǒng)只有C2級，是美國國防部規(guī)定的8個安全級別之中的倒數(shù)第三；在操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)或應(yīng)用程序中預(yù)。

7.信息安全的法律與憲法之間的關(guān)系

熱心相助

您好！

我國從維護國家安全、社會穩(wěn)定和網(wǎng)絡(luò)安全管理的實際需要出發(fā)，從20世紀90年代初開始，國家及相關(guān)部門、行業(yè)和地方政府相繼制定了多項有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)。

我國網(wǎng)絡(luò)安全立法體系分為以下三個層面：

第一層面：法律。為全國人民代表大會及其常委會通過的法律規(guī)范。我國與網(wǎng)絡(luò)信息安全相關(guān)的法律主要有：《憲法》、《刑法》、《治安管理處罰條例》、《刑事訴訟法》、《國家安全法》、《保守國家秘密法》、《行政處罰法》、《行政訴訟法》、《全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《人民警察法》、《行政復(fù)議法》、《國家賠償法》、《立法法》等。

第二個層面：行政法規(guī)。主要指國務(wù)院為執(zhí)行憲法和法律而制定的法律規(guī)范。與網(wǎng)絡(luò)信息安全有關(guān)的行政法規(guī)包括：《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《商用密碼管理條例》、《中華人民共和國電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機軟件保護條例》等。

第三個層面：地方性法規(guī)、規(guī)章、規(guī)范性文件。主要指國務(wù)院各部、委依據(jù)法律和國務(wù)院行政法規(guī)與法律規(guī)范，以及省、自治區(qū)、直轄市和較大的市人民政府依據(jù)法律、行政法規(guī)和本省、自治區(qū)、直轄市的地方性法規(guī)制定的法律規(guī)范性文件。

國家公安部制定的《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機病毒防治管理辦法》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《關(guān)于開展計算機安全員培訓工作的通知》等。

國家工業(yè)和信息化部制定的《互聯(lián)網(wǎng)電戶公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《計算機信息系統(tǒng)集成資質(zhì)管理辦法》、《國際通信出入口局管理辦法》、《國際通信設(shè)施建設(shè)管理規(guī)定》、《中國互聯(lián)網(wǎng)絡(luò)域名管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》等。2009年5月，又在其頒布的《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法》和《木馬和僵尸網(wǎng)絡(luò)監(jiān)測和處置機制》中，對國家互聯(lián)網(wǎng)應(yīng)急中心和互聯(lián)網(wǎng)運營商、域名服務(wù)機構(gòu)，以及網(wǎng)絡(luò)安全企業(yè)共同開展網(wǎng)絡(luò)安全信息共享和打擊黑客產(chǎn)業(yè)給出了具體的規(guī)定。

摘自本人編著