国家信息安全的重要性篇1
关键词:信息安全 国家战略 安全观 网络空间
中图分类号:D82 文献标识码:a 文章编号:1005-4812(2012)02-0017-0022
国家安全观是人们对国家安全的内涵、国家安全的威胁和维护国家安全手段等的基本认识。其中的国家安全是指维护国家和民族的生存、、领土、社会制度、社会准则、生活方式以及国家权力和利益不受威胁的状态。传统国家安全观着眼于军事和政治领域,独立、领土完整和政治稳定是其核心目标。随着国际环境的深刻变化和网络技术的飞速发展,国家安全成为包含政治安全、军事安全、社会安全、经济安全、文化安全、信息安全等诸多领域的一个“综合性”安全体,并呈现出高度系统化和高速传导性的“链式”安全结构。其中,网络信息安全的作用日益凸显,不仅是该“综合性”安全体系的重要组成部分,也是该“链式”安全结构的基础性保障,更是网络时代下其他诸多国家安全利益的交汇和纽带。因此,网络信息安全已然上升到国家核心战略层面,成为国家综合性安全战略的制高点和新载体。例如美国等国已经将其政治、外交、经济、文化、军事等战略目标陆续融入国家信息安全战略中。
因此,为适应全球安全格局的变迁和我国国家安全的现实需求,亟待总结和提炼我国国家信息安全战略的相关思想和理论,以此来诠释和指导我国国家信息安全战略的规划和实践。本文从形势背景、现实价值、思想源流和理论体系等几方面,对我国国家信息安全战略的理论构建进行相关探讨。
一、我国国家信息安全战略理论构建的客观形势
理论建构是为了客观描述现实并科学指导实践。当前,全球和我国国家安全的发展格局是国家信息安全战略的基本外部环境,也是国家信息安全战略理论需要诠释的形势背景。综合来看,我国国家安全发展格局出现形态复杂、边界拓展、重心转移等趋势,具体表现为:
1、非传统安全威胁改变国家安全形态
冷战结束后世界进入全球化时代,国家间军事、政治和外交的直接冲突大大减少,取而代之的是非传统安全威胁与日俱增且影响广泛,并以跨国性、突发性、复杂性、隐匿性等特点,成为各国国家安全保障的重点和难点。与此同时,各国政府围绕非传统安全领域的合作与博弈并存,使得国家安全形态更加错综复杂。因此,在复杂竞争的国际、国内环境中防范和应对不断出现的各类非传统安全威胁,是当前我国国家信息安全战略理论必须回应的重大现实问题之一。
2、网络空间的兴起重塑国家安全边界
人类社会疆域伴随科学技术的发展而不断拓展。当前,全球网络基础设施、网络系统和软件、计算机/手机等信息终端、全球网民的生产生活实践共同筑就了一个不断扩展、高度多元的网络空间。这一网络空间承载着各国巨大的现实利益和未来发展潜能,并超越传统国家管理范畴,不断创造出新的社会关系和权力结构,对国家安全带来新的威胁和挑战。因此,保障和拓展符合本国利益的“国家网络疆域”是我国国家信息安全战略理论必须回应的重大现实问题之一。
3、社会经济发展转型决定国家安全前途
全球信息革命浪潮对现实社会的解构和重构效应显然比任何时代都更为迅猛而强大,也更加自发而无序,由此带来的是国家安全重心从抵御外敌威胁转向消除内部隐患。当前我国正处于经济社会改革的攻坚期,也是我国公共危机和社会风险的高发期,如何充分利用互联网信息生产和传播的澎湃动力推动社会经济的发展转型,同时又将其对现实社会的破坏效应纳入到安全范畴,最终推动全社会的良性变革,也是我国国家信息安全战略理论必须回应的重大现实问题之一。
二、我国国家信息安全战略理论构建的现实价值
面对错综复杂的国内外安全环境,将国家信息安全战略从实践层面上升到理论层面,不仅是理论探索的需要,也是顺应网络信息社会发展的需求。通过科学思想和方法指导网络社会的建设和安全管理,回应国内外各种关切和质疑,在当前形势下具有重要的现实价值。
1、推动国家综合安全理论体系的完备和深化
尽管我国在和平发展道路上取得举世瞩目的成就,但站在新的历史起点上,仍需在理论和实践中不断创新,进一步凝聚共识和扩展共识,以应对世界政治多极化、经济全球化和社会信息化带来的一系列国家安全挑战。为此,在2011年9月26日发表的《中国和平发展白皮书》倡导互信、互利、平等、协作的新安全观,寻求实现综合安全、共同安全、合作安全,绘就了我国国家综合安全战略理论的框架。而国家信息安全战略的理论构建也将进一步推动国家安全理论体系趋向完备和深化。
2、指导国家信息安全战略、政策和法规的制定
相较于美国、日本、欧盟等发达国家在国家信息安全宏观管理中已经形成的从战略到政策再到法规的“金字塔”型缜密结构,我国信息安全宏观管理体系在系统性、前瞻性、权威性等方面仍存在一定差距,尤其是国家层面的网络信息安全中长期战略规划仍不明晰。因此,从理论层面进一步提炼国内外信息安全宏观管理的思想、经验和方法,通过理论创新引导管理创新,指导我国网络信息安全战略、政策和法规的规划和实施,将从根本上优化我国网络信息安全的发展格局。
3、提供跟踪全球网络信息安全战略的理论框架
全球网络信息空间是各国通向信息社会的共同载体,当前各国均力求扩大本国网络空间安全边际来保障国家安全,由此产生的全球安全合作与博弈并存。例如2011年5月16日美国白宫了《网络空间国际战略:构建一个繁荣、安全和开放的网络世界》,即被解读为既是“合作的邀请”又是“对抗的宣言”。因此,通过理论构建可以历史、抽象地分析各国网络信息安全战略的意图、影响,研判全球信息安全的总体发展趋势,探索有效的安全合作机制,对我国网络信息安全发展具有重要价值。
4、建立适应国内外环境的网络安全治理话语体系
长期以来美国等西方发达国家主导着互联网治理的话语权,从标榜互联网“开放、共享、无国界”到借“网络自由”等抨击其他国家的网络安全治理。如今我国已经成为全球互联网用户最多的国家,但仍然未能在国内和国际范围形成符合本国互联网发展现状和治理需要的话语体系,导致在管理实践中面临来自国内外的双重压力。因此,通过理论构建,可以明确我国网络信息安全治理的基本方略,塑造符合我国发展实际的网络治理话语体系,最终推动我国网络社会的健康发展。
三、我国国家信息安全战略理论构建的思想源流
国家信息安全战略不仅是一个中长期战略规划,更是一个适应信息社会发展规律的科学管理体系。因此,从国内外各相关学科汲取思想源流,支撑并融入我国国家信息安全战略的理论体系,是战略决策和顶层设计的重要基础。本文简要介绍可供资鉴的国内外相关思想源流,为后续理论体系的构建提供借鉴。
1、军事领域的“信息战”理论
信息战是为夺取和保持“制信息权”而进行的斗争,亦指战场上敌对双方为争取信息的获取权、控制权和使用权,通过利用、破坏敌方和保护己方的信息系统而展开的一系列作战活动。1992年美国国防部颁发的《国防部指令》首次提出信息战概念,掀起了世界性的信息战理论研究热潮。在该领域,美国和中国均走在了世界各国研究的前列。如今,信息战理论、方法和技术已日趋成熟,成为现代战争和高烈度对抗的主要模式,因此也是国家信息安全战略理论体系的重要来源。
2、政治法律领域的“信息”理论
信息是在国家概念上演化而来的,是信息时代国家的重要组成部分,它指一个国家对本国的信息传播系统进行自主管理的权利。从政治视角看,信息是国家具有允许或禁止信息在其领域内流通的最高权威,包括通过国内和国际信息传播来发展和巩固本民族文化的权力,以及在国内、国际信息传播中树立维护本国形象的权力,还包括平等共享网络空间信息和传播资源的权利;从法律视角看,信息是指国家在信息网络空间拥有的自和独立权。它具体包括:国家对跨境数据流动的内容和方式的有效控制权;一国对本国信息输出和输入的管理权,以及在信息网络领域发生争端,一国所具有的司法管辖权;在国际合作的基础上实现全人类信息资源共享权。当前,国家信息作用日益凸显,相关理论更加丰富成熟,成为国家信息安全战略的重要理论基石。
3、国际关系领域的“公共外交”理论
“公共外交”的概念于1965年首次提出并得到运用,目标是影响公众态度,以帮助外交政策的形成与推行,即一国政府对他国民众的外交活动。公共外交与传统外交的区别是“公共外交”试图通过现代信息通讯等手段影响其他国家的公众,而传统外交则主要通过国家领导人及相应机构影响外国政府。长期以来,美国是“公共外交”理论的最佳实践者,通过“公共外交”美国积极开展意识形态、思想文化的宣传输出。如今,网络信息空间成为美国“公共外交”的最佳实践场地。因此,无论是出于应对威胁或是构建我国“软实力”的需要,“公共外交”思想和方法都应该在国家信息安全战略中予以应用和体现,并成为我国国家信息安全战略的重要理论支撑。
4、新闻传播领域的“世界信息与传播新秩序”理论
“世界信息与传播新秩序”是指在全球传播进程中或世界文化关系中,一系列试图改变信息不平衡或文化帝国主义状态的改革理论。这种改革试图反抗由美国和西方发达国家及其全球媒介集团支配的全球传播秩序,旨在建立一种更加民主的、公平的、均衡的并能与其它国家传播系统相互交流文化与信息的全球传播体系。对此,联合国教科文组织在上世纪80年代召开了一系列会议进行研讨,提出了一套旨在打破世界信息传播不平等格局的改革方案,试图通过为发展中国家提供物质手段和信息产品,从而保护与促进其自身文化传统、文化产业与文化认同,扭转信息与娱乐传播中的不平等状态,缩小信息富裕国家与信息匮乏国家之间的差距,但实践成效并不明显。尽管如此,“世界信息与传播新秩序”和“数字鸿沟”的相关理论成果仍具现实意义,是我国国家信息安全战略理论的重要思想来源。
5、战略管理领域的“博弈论”理论
博弈论最初是现代数学的一个分支,是研究具有对抗或竞争性质行为的理论与方法。当前,博弈论在战略规划和实践中得到广泛应用,其核心价值在于分析对抗各方是否存在最合理的行为方案,以及如何找到这个合理方案,并研究其优化策略。当前,国家信息安全领域的斗争无一不具有显著的博弈属性,如国家间的信息对抗、密码的加密与破译、病毒的制毒与杀毒、网络思想文化的保护与渗透等等。因此,从博弈论的视角认识和分析各类信息安全问题,并通过博弈论方法寻求信息安全最佳解决方案,是优化我国信息安全战略的重要思路。如今,博弈论已经逐渐发展成为信息安全研究的重要方法论基础,借鉴博弈论的指导原则和原理方法研究国家信息安全战略是科学、有效的途径。
6、公共管理领域的“公共治理”理论
上世纪70年代以来,西方发生的社会、经济危机推动了公共管理和公共行政理论研究的范式变革。以“治理”为代表的新理论范式提出了多元、自组织、合作、去意识形态式的公共治理模式,即抛弃传统公共管理的垄断和强制性质,强调政府、企业、团体和个人的共同作用。该模式不强求自上而下、等级分明的社会秩序,而重视网络社会各种组织之间平等对话的系统合作关系,简称“公共治理”理论。需要指出的是,“公共治理”理论在许多方面与网络空间发展理念高度契合,因此西方国家也较早的将“公共治理”理论引入了互联网管理领域。尽管“公共治理”理论本身存在固有缺陷和不适应我国国情的方面,但对探索有中国特色的互联网治理模式仍可以提供重要借鉴,是国家信息安全战略重要的理论支撑。
四、我国国家信息安全战略的理论体系
通过客观形势分析、现实价值评估和思想源流梳理,我国国家信息安全战略理论体系具备了构建条件。它由战略的内涵和目标、战略的基本要素、战略的内在机理和战略的理想模式等有机组成。
1、我国国家信息安全战略的内涵和目标
信息安全的本质内涵是维护信息系统或信息传播中的信息资源免受各类威胁、干扰和破坏,保障信息资源的保密性、可靠性、完整性、可用性等安全属性。但是,当信息安全上升到战略层面,信息安全战略与综合性国家安全战略则高度融合,集中反映在:网络信息空间成为国家安全威胁的主要载体;谋取信息优势是国家安全的重要目标;现代信息技术成为维护或威胁国家安全的主要手段。在此基础上,我国国家信息安全战略的内涵是指:国家为保障综合性国家安全,消除基于信息网络空间的各类国家安全威胁(包括国家间信息战、意识形态渗透、低俗文化传播、恐怖主义和跨国犯罪、黑客攻击、关键生产领域信息系统运行风险、社会危机酝酿和传播、网络隐私和知识产权问题、网络病毒和垃圾邮件泛滥等等),运用各种国家资源和技术手段而进行的战略规划和实施的全过程。根据国家信息安全战略的内涵,我国国家信息安全战略的基本目标是:积极应对国内外各类信息安全威胁和挑战;确保国家信息网络基础设施、重要信息系统和信息内容的安全性;促进国家信息化和信息社会的健康发展;提高全社会信息安全的能力和素养,保障国家安全、经济发展、社会和谐和公众权益的实现。
2、我国国家信息安全战略的基本内容
作为国家大战略的重要组成部分,国家信息安全战略应由国家信息安全观、国家信息安全战略目标、国家信息安全利益与威胁判定、国家信息安全战略资源及其运用、国家信息安全政策与安全机制等五部分组成。其中,信息安全观是国家在信息安全问题上的基本理念,也是一个国家的信息安全哲学,是制定国家信息安全战略的根本出发点;信息安全战略目标即维护和谋求国家信息安全利益的指标性任务,反映不同阶段国家信息安全总体发展愿景;信息安全利益与威胁判定是指根据国家利益需求和国家战略目标判定信息安全威胁的来源、范围、性质和等级;信息安全战略资源既包含狭义的信息技术和信息资源,也包含广义的自
然资源、人才资源、经济资源、军事资源等;而国家信息安全政策、法规与机制的建立和完善是完成国家安全目标的重要保障。
3、我国国家信息安全战略的内在机理
国家信息安全战略是一个系统工程,必须充分考虑并科学平衡以下几对关系。
首先、信息化建设与信息安全在国家信息安全战略中的矛盾统一关系。一方面,信息化建设和应用普及不断催生新的信息安全威胁,信息安全成为信息化建设的有力保障;另一方面,国家信息安全问题的解决不仅有赖于信息化水平的提升,也有赖于国家信息优势的积累。因此,信息化与信息安全是事物的一体两面,二元目标需要在国家信息安全战略中得到充分体现。
其次、管理和技术在国家信息安全战略中的同步发展关系。国家信息安全问题的解决需要通过安全技术得以实现,支持信息安全先进技术和重点产业的发展是战略的重要任务。但与此同时,通过法规、政策、教育、制度等完善安全管理,实现技术与管理的有机结合更不能忽视。国家信息安全战略是技术与管理的双轮驱动,过度偏重某一方面的发展必将导致战略的失效。
第三、成本与收益在国家信息安全战略中的综合平衡关系。信息安全的实现有赖于保障成本的持续投入,而与之对应的是信息安全收益通常无法客观测度,过度的安全保障必然导致成本畸高和效率低下。因此,寻求成本、收益、效率的综合平衡是国家信息安全战略的关键,具体措施包括确定重点领域、优化资源配置、建立科学的风险收益评估体系和安全等级标准等。
第四、国家安全与全球安全在国家信息安全战略中的动态交互关系。信息安全问题是全球各国共同面对的威胁与挑战,通过国际合作防范和应对信息安全威胁是理想途径。但是,由于各国在国家利益、法律、文化等方面的不一致,各国信息安全战略始终难以协调甚至存在对抗。就我国而言,一方面要立足国家利益和基本国情制定符合未来发展需要的国家信息安全战略,另一方面要立足全球层面,推动本国信息安全法律、政策与国际的接轨,推进平等互利的“国际信息安全新秩序”的形成。
4、我国国家信息安全战略的理想模式
国家信息安全的重要性篇2
等级保护是什么?
从概念上说,等级保护是对涉及国计民生的信息网络和信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,以保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化,进而推动经济发展,提高综合国力。
我国有关信息安全实施等级保护的问题从2002年即被提出,其间经过专家的反复论证研究,信息安全等级保护的相关制度不断得到细化和完善。2003年出台的《国家信息化领导小组关于加强信息安全保障工作的意见》明确提出三个方面的要求:
一是必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,建立信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
二是要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。
三是对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。
2004年出台的《关于信息安全等级保护工作的实施意见》进一步明确了信息安全等级保护制度的基本内容:
一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保护等级,共分五级。
二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。
三是国家对信息安全产品的使用实行分等级管理。
四是信息安全事件实行分等级响应、处置的制度。
2006年3月,国家《信息安全等级保护管理办法(试行)》开始正式实施。《信息安全等级保护管理办法(试行)》根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,将信息和信息系统的安全保护等级共分五级:
第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
为什么要进行等级保护?
对信息系统分级实行保护是国际上通行的做法,西方国家已经对涉及到国家安全、社会稳定的重要部门实施强制监管,他们使用的操作系统必须有三级以上的信息安全保护。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
等级保护将如何实施?
信息安全等级保护涉及政府机构中多个部门的职能,因此,其实施应当在国家网络与信息安全协调小组的领导下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分别制定详细的实施方案,积极推进信息安全等级保护制度的建立,推动信息安全管理运行机制的建立和完善。开展信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。信息安全监管职能部门负责监督、检查、指导。
目前,公安部已经联合有关部门积极组织开展信息安全等级保护相关工作,并成立了由公安部张新枫副部长任组长,公安部、国家保密局、国家密码管理局和国务院信息化办公室有关局级领导为成员的国家信息安全等级保护协调小组,统一协调部署信息安全等级保护工作。
据初步计划,我国等级保护工作将分三个阶段推进完成:第一阶段,加强领导,落实责任;加快完善法律法规和标准体系;建设信息安全等级保护监督管理队伍和技术支撑体系;进一步做好等级保护试点工作;加强宣传、培训工作。第二阶段,在做好前期准备工作的基础上,在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度;第三阶段,在试行工作的基础上,在全国全面推行信息安全等级保护制度。
结语
通过信息安全等级保护制度的制定与实施,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善。同时,信息安全等级保护制度实施后,我国信息安全厂商的相关产品也应针对等级划分进行有针对性的调整,对整个安全产业的未来发展,将有着重要的指导意义。
首期信息安全等级保护试点单位名单
北京银行
山西宇通信息中心
上海国泰君安证券股份有限公司
上海申银万国证券股份有限公司
上海期货交易所
江苏徐州市地方税务局
浙江省温州市电子政务中心
安徽省邮政局
江西省工商局
山东高速集团
河南省郑州宇通集团
湖北省武汉市物价局
广东省广州市商业银行
广西壮族自治区政府及招生考试院
国家信息安全的重要性篇3
信息安全等级保护制度是我国信息安全保障工作的基本制度。本文从信息安全等级保护的概念入手,结合金融行业的实际情况阐述了信息安全等级保护实施的必要性。
【关键词】信息安全等级保护建设
随着全球信息化程度的不断提高,人类生活对信息网络的依赖程度不断提高,信息网络科技已经逐步渗透到人们生活的方方面面,对国家安全、社会秩序和公众权益的影响日益突出,各国在信息安全方面的重视程度也日趋提高。我国为了保障国家安全,维护社会秩序和公众利益不受侵害,在2007年制定了信息安全等级保护制度。实施信息安全等级保护工作不仅是提升信息化安全防护水平的重要手段,更是落实国家信息安全保障要求的重要内容。
1信息安全等级保护综述
“信息安全等级保护”是国家制定的信息安全管理规范和技术标准,是保障和促进信息化建设健康发展的一项基本制度。具体地说,就是对基础信息网络和重要信息系统按其重要程度及实际安全需求,分等级进行保护,按标准进行建设,按要求进行管理和监督,确保信息系统安全正常运行,提高信息系统安全综合防护能力,维护国家安全、社会稳定和公共利益。
2信息安全等级保护的现状
2.1各主要行业信息安全等级保护工作开展程度不一
电力、电信、铁路、税务等一些重要行业等级保护工作进展较快,在进行信息安全等级保护工作中结合各行业特点和行业的特殊安全需求制定了行业的等级保护规范或细则。相对而言,银行、交通、文化等行业目前等级保护工作进展缓慢。中国电力财务有限公司(以下简称“公司”)作为电力行业直属的非银行金融机构,按照国家电网公司要求很早已经开展相关工作,但由于公司业务与机构设置对于电力行业主业有很大区别,在信息安全等级保护的建设上只涉及公司总部,对于各分支机构的相关工作并未开展。直到2012年7月中国人民银行正式了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三个文件,对金融行业信息系统信息安全等级保护建设提出了具体要求,为等级保护实施、测评、整改工作提供了强大的政策支持,并明确了区域性金融机构信息系统安全等级保护工作的具体要求。金融行业等级保护标准依据国家要求和行业特点,细化、补充了大量内容,保留国家等级保护基本要求二级要求、三级要求、四级要求项590项,补充细化要求项193项,新增金融行业特色要求项269项。
2.2金融机构对信息安全等级保护的认识不足
由于对信息安全的理解不够,在对于信息安全的资金投入,往往用于购买硬件安全设备,认为有了这些看得见摸得着的安全产品就可以确保安全了。但是根据人民银行颁布的《金融行业信息系统信息安全等级保护实施指引》中以国家等级保护要求为原则,以金融行业特点为基础,提出了构建“两项要求”和“两个体系”的金融行业信息安全保障总体框架。
该框架通过技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。也就是说必须是管理制度体系和技术防护体系互相融合,仅仅靠技术防护体系是无法构建完善的安全保障体系。同时,管理体系是遵照“建立、实施、执行、监控、审计、保持、改进”的过程进行类似生命周期的思路形成生命环的管理方法,而公司在这方面的认知还有待提高。与此同时金融行业从业人员以为财务及管理人员为主,而具有计算机、信息安全等级保护知识的人非常少,加强信息化人才与金融人才相结合的复合型人才培养,是推进金融行业信息化建设和信息安全等级保护工作的重点。
2.3缺少信息安全等级保护相关知识经验
目前信息安全等级保护工作采用自主定级的方法,缺乏精确参考的标准和考量值。如果负责信息安全工作的人员对等级保护的概念不明晰,对等级保护的适用范围把握不准确,就会导致对信息系统的定级备案不合适,同时对于信息系统的升级或者调整导致需要重新定级备案的,如未能及时将信息上报备案,也将影响信息安全等级保护后续工作的顺利开展。如果信息安全定级过高,大于本单位要需要的等级,也将导致本单位资源浪费,降低系统运行效率,增加日常管理负担;如定级过低,将导致系统得不到必要安全保护,也容易引发系统安全问题。
3开展信息安全等级保护的必要性
开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实行信息安全等级保护是在借鉴国外先进经验和结合我国国情的基础上,解决我国信息网络安全的必然选择。
3.1落实国家政策标准和要求
对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全工作的有效办法,是信息安全工作的发展方向。我国政府对基础架构的安全一直非常重视,在“十二五规划”中首次将“加强网络与信息安全保障”作为重要章节突出,这充分显示了国家对信息安全的重视程度。国家态度明确了,信息安全等级保护制度作为国家信息安全保障领域的一项基本制度,必须在各单位得到有效贯彻落实。
3.2有效降低信息化建设成本
等级保护测评的核心思想就是按照信息系统的重要程度及实际安全需求,合理投入,分级进行保护,将有限的资源最大化的投入到重要信息系统的建设中,更加有效的保障重要信息系统安全可靠运行,促进信息化建设健康发展。按照定级标准对信息系统进行符合性测评,根据测评结果,有针对性的在建设整改时,对造成信息系统高风险的漏洞和问题进行建设整改,能有效的控制信息化建设成本,既促进了信息化建设的健康发展,也保证了系统的可靠运行。
3.3切实提高信息安全整体水平
信息系统安全等级保护作为对信息安全系统分级分类保护的一项国家标准,对于完善信息安全标准体系,提高信息安全的整体水平,以及增强信息系统安全保护的整体性、针对性和时效性都具有非常重要的意义。在信息化建设过程中同步建设信息安全设施,可以有效保障信息安全与信息化建设相协调;通过加强对重要信息系统的安全保护和管理监督,可以明确信息系统的安全责任,强化管理职能,有效落实各项安全建设和安全管理措施,最终切实提高信息安全整体防护能力。
作者简介
朱勇(1978-),男,陕西省西安市人。现为中国电力财务有限公司西北分公司信息化工作部经理助理。
国家信息安全的重要性篇4
持续推动的等级保护
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。
实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
开展的重点工作主要分为三个方面。第一个方面是全面开展等级保护安全建设整改工作,要建设安全设施,落实安全措施,建立并落实安全管理制度,落实责任制。第二个方面是各单位建立安全整改工作规划,完成定级系统整改规划和制定具体实施方案。第三个方面是以三级以上系统为重点,确定安全需求,制定安全方案。“当然,一些单位可能不太明白具体的操作办法,届时我们会选择有代表性的信息系统进行安全建设试点、示范,结合行业特点制定行业标准规范,按照有关工作实施的规范要求组织实施信息系统安全建设工程。”
国家信息安全的重要性篇5
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。超级秘书网
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
国家信息安全的重要性篇6
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
国家信息安全的重要性篇7
关键词:信息自由网络安全应对措施
引言
在社会经济飞速发展的今天,互联网已经成为人们获取、和传递信息的重要渠道,它在涉及人们生活的各个方面都发挥着重要作用。党的十六大提出“以信息化带动工业化、以工业化促进信息化、走新型工业化道路”的发展战略。这样,信息化已被提到国家战略的高度。同时,作为解决现实紧迫问题和发展难题的重要手段,互联网已成为经济社会发展的重要支撑。中国互联网信息中心2009年的统计报告显示:截至2008年12月31日,中国网民规模达到2.98亿人,普及率达到22.6%,超过全球平均水平。[1]但是,在互联网蓬勃发展的同时,网络上一些违法和不良现象开始蔓延滋长,整个网络社会管理缺位和道德失范的问题格外突出:恶意进行网络破坏活动;通过网络侵犯他人隐私、盗窃他人成果;利用网络炮制谣言、进行人身攻击、散布不良信息等诸多不法行为时有发生,网络信息自由受到挑战,安全问题变得十分严峻。所以,分析研究网络信息自由与网络安全问题,探讨解决网络信息自由与网络安全问题的办法,无不具有重要的技术意义和现实意义。网络信息自由与网络安全问题的解决能够倡导大众文明、道德地使用网络,保证互联网正常运行,并在此基础上保证我国经济和社会管理等领域中网络信息系统的安全运行。论文通过对网络信息自由、网络安全问题及由网络信息自由带来的网络安全问题的探讨和分析,提出有效的解决方案,使我国的互联网络健康、快速发展。
1、网络信息自由
网络传播摆脱了时间限制,地域限制和层层把关的审查机制限制。因此,在网络空间里,人们拥有从所未有的自由。[2]自由凝聚了人类自身的价值,人类发展是人类不断追求新的自由的历史,而网络本身也需要这种自由,网络发展史明确告诉人们,从几台互联的计算机发展到今天连接全球的网络世界,是因为网络本身具有的这种特别的自由状态,如果没有自由交往的特点,今天网络的绝大部分功能都不会得以正常发挥,网络本身甚至会消亡。因此,我们可以这样说,没有网络就没有自由,没有自由也没有网络。而网络的自由取决于网络信息的自由。
网络信息自由包含信息生产自由、信息传播自由和信息消费自由。在互联网上,没有中心、没有权威、没有开始也没有结束,自由成为网络的灵魂。互联网的这种特点为信息的生产、传播、消费提供了极大的自由,通过互联网络,利用数字化技术,任何人都具有广阔的天地,人们越来越能体会到创作的乐趣和生产的喜悦;通过互联网络,任何人都可在网络媒体上发表言论;通过互联网络,人们可以坐在家中“进入”图书馆、博物馆查阅资料、搜集信息,并且这些信息将可以任我们随选;通过互联网络丰富多彩的教育内容,人人都有机会接受适合其特点的、因材施教的多样化的教育;通过互联网络,可以方便地选购商品,订制自己需要的、适合自己个性的产品,还可以使家庭获得多种新型服务;通过互联网络,人们可以突破时空限制,直接取得决策所需的各类信息,经由网络直接参与公共事务。另一方面,政府也可以借助网络随时接收民意反馈,甚至获得来自人民的直接授权,从而随时修正施政方针。[3]可见,网络最令人激动的地方,莫过于个体获取、生产、发出和消费信息,以及由此产生的自由和交流的互动性,世界似乎尽在点击鼠标和敲打键盘的手中。正如美国天文学家史托尔所言:“因特网是有史以来,存在于现实世界中最接受无政府的东西。”
总体看来,网络自由对国家来说,网络的应用改变了传统的管理权力高度集中的金字塔型的组织管理结构,给国家的管理(统计、档案管理、收集和分析数据、公告和政令等)带来了便利,政府可以掌握网络使它成为有用的宣传工具。通过开展电子政务,提高国家机关的工作效率和培养人民的参政意识,为人民提供表达意见的论坛。对社会而言,方兴未艾的互联网络的发展,必将引起人们社会生活方方面面的变革,人们的生活方式将日益多样化、个性化。网络以迅捷、便利、廉价等优点,正在不断丰富社会文化生活与人们的精神生活。对个人生活来讲,随着计算机系统的网络化和大型数据库的建立,利用计算机网络对个人信息进行处理和存储已经变得越来越普遍。电子邮件、网络电话、电子信息卡等给网民提供便捷、低价的服务,大大提高网民的工作效率和生活质量。
但是,网络信息自由也是相对的,而不是绝对的、无边际的,它必须受一定社会权益和网络社会规范的约束。因为“在网上,你对生活的选择和实践会对网络中其他人的生活质地发生影响,这种影响可能比发生在地理世界中的影响要广泛得多[4]”。任何人都不能借网络信息自由之名侵害他人的正当利益,玷污他人名誉,伤害他人情感或破坏社会秩序,更不得泄露国家秘密,煽动危害国家安全的言论等。否则,就会变成对信息自由的滥用,滥用的结果,必定造成对信息网络安全的威胁。
2、网络安全问题
自internet诞生之日起,信息网络的安全问题就与之俱来。[5]随着人们对计算机网络的依赖越来越强,应用越来越广,网络安全问题也日益严重。互联网的自由使所有上网的人既可成为网络的一个用户,也可成为网络的破坏者。[6]
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。而信息安全问题绝大部分来自于网络的信息自由。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全的具体含义会随着“角度”的变化而变化。
我们只讨论有网络信息自由带来的网络安全问题。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。网络安全的核心是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储的信息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。由于网络用户储存、传输和处理的信息包括政府宏观调控、商业经济信息、能源资源数据、科研数据等重要信息,因此,网络安全问题显得尤为重要。现在,随着互联网越来越生活化,安全已威胁到每一个人。例如,过去很多公开露面的恶意软件如今已转入地下,和病毒结合起来威胁着互联网。加之中国互联网正在进入一个新的应用高峰,如网上炒股、网上购物等,从而使安全形势更加严峻。
首先,网络信息的自由性、互联网的开放性和无疆界性的特点,使网络环境下的国家安全问题更为复杂和尖锐。如在网上,敌对势力散布反动言论,颠覆国家政权等有害信息,制作种族主义、恐怖的游戏软件等,目的在于危害国家安全,挑起种族情绪。更为严重的是,一旦有人利用网络黑手伸向国家事务、国防建设和尖端科技领域,乃至窃取国家、国防、科学研究等机密,其危害远甚于非网络状态下。美国参议员萨姆・纳恩曾说:“我们现在才认识到我们赖以管理社会的信息网络容易遭到扰乱和渗透。国防部估计,它的计算机大概每年会受到多达25万次的计算机攻击。……专家们一致认为我们只能查出最无能的侵入者[7]。保障国家安全,是一国稳定与发展的前提。可见,信息网络时代的国家安全问题如果解决不好,将全方面地危及我国政治、军事、经济和文化生活,使国家处于信息战高度经济、金融风脸的威胁之中。
其次,不法人员利用网络信息自由发送计算机病毒,轻者对网络造成危害和破坏,重者造成某种程度的网络瘫痪,带来难以挽回的损失;利用网络传播黄色、暴力、或迷信内容、教唆犯罪等有关违反国家法律、法规内容的有害信息,这不仅妨碍了人们对正确信息的获取和利用,而且也往往直接导致对信息的污染和滥用,如“”就利用这种快捷、便利的传播工具宣扬其歪理邪说,严重侵蚀人们的思想。随着越来越多的信息资源上网,一方面给人们共享信息资源创造了条件,另方面也为信息窃取和盗用提供了可乘之机。电子商务,作为一种新型的市场交易方式,正在渗透到社会的方方面面。电子商务最明显的标志便是增加了贸易机会,降低了贸易成本,提高了贸易效益。但在目前缺乏相应法律调整的电子商务世界,由于网上金融的发展尚不完善,网上黑客随时可能出现,网上交易安全性低于有形交易,网上购物的权益和安全性也无法保障。此外,在网上抢注域名,进行信息欺诈和勒索,利用网络宣传、销售假冒伪劣商品,搞不正当竞争等违法犯罪活动,也日益增加。所有这些,对网络时代的社会安全构成了巨大的威胁。因此必须采取有效措施,严厉打击、禁止这些破坏社会安全的违法犯罪行为,达到保障社会安全的目的。
再次,网络信息自由决定了网络系统的脆弱性和个人信息文档的不公开性,使得个人安全问题频频遭到挑战:如窥探、窃取或随意篡改他人个人隐私;也有人利用自身的计算机网络知识,翻译他人电子邮箱密码,破解他人网上信用卡密码,利用网络窃取他人钱财(表现为窃取可以用以支付的电子货币、账单、银行账目结算单等达到改变财产所有权的目的);乃至敲诈勒索,利用网络散布谣言,诽谤他人,侵犯他人隐私权等侵权或犯罪活动。此外,工作场所是一个介于私人住所与公共所之间的空间,雇员网上聊天、发送电子邮件等行为甚至邮件的内容都可能被雇主通过监视系统拦截获悉,雇员的隐私权在这里毫无保障。公民的个人隐私将受到极大的侵害。
3.网络信息自由带来的网络安全问题及其对策
2008年,有12000余家网络信息使用单位和计算机用户参加了调查活动。调查显示,我国网络信息安全问题发生比例继前3年连续增长后,今年略有下降,网络信息自由带来的安全问题发生比例为62.7%;计算机病毒感染率为85.5%。多次发生网络安全问题的比率为50%,多次感染病毒的比例为66.8%,说明我国互联网用户的网络安全意识仍比较薄弱。[8]2007年3月27日,赛门铁克在北京了《第十一期互联网安全威胁研究报告(internetSecuritythreatReport)》。根据报告显示:当前威胁环境的主要特征是数据窃取、数据泄漏和为了获利而以特定组织为目标进行攻击所创造的恶意代码不断增加。攻击者不断改进攻击方法以逃避检测,进而建立全球性的协作网络,用来支持持续增长的犯罪活动。网络犯罪者以获利为目的,不断开发目的性更强的恶意威胁,试图在窃取机密信息时逃避检测。[9]
3.1网络信息自由带来的网络安全问题
我们只讨论有网络信息自由带来的网络安全问题。网络信息自由带来的主要威胁:入侵,即未经授权的访问,试图入侵系统;攻击,如扫描系统漏洞,并加以攻击;来自互联网的病毒,尤其是电子邮件和文件下载,如CiH病毒,“爱虫”病毒;恶意代码,即可执行的恶意代码,如特洛伊木马、蠕虫;窃听;欺骗;否认(如否认个人签名等)。
新的攻击手段:会有更多针对windowsVista漏洞的恶意代码,并且攻击者将会集中攻击基于Vista的第三方厂商所开发的软件应用;第二,随着软件虚拟化日益普及,新兴攻击将随之展开,并且破坏虚拟环境将可能成为破坏主机系统的新途径。
网络安全问题的出现与网络信息自由有密不可分的关系。网络信息自由具有可以被入侵者用来侵入的弱点。通过考察在internet上发生的黑客攻击事件,发现网络攻击的手段都是在网络信息自由的前提下利用网络中存在的各种漏洞和安全缺陷。计算机系统及网络之所以存在着脆弱性,主要是存在着以下一些不安全因素:[10]
在网络信息自由的前提下,个人网络隐私与商业秘密在性质和侵权方式上存在的相似之处。比如,两者都是以信息形式存在,都具有非物质属性、秘密性、经济价值性,均可以盗窃、利诱或其他不正当手段被获取等。[11]
3.2网络信息自由带来的网络安全问题对策
计算机黑客的入侵、网络病毒的泛滥、保密信息的泄露、网络事故等,不仅给个人和单位造成难以弥补的经济损失,而且破坏和扰乱了正常的社会经济秩序以及人们的正常生产和生活秩序,严重的甚至威胁着国家政治、经济和军事安全,危及国家。网络的安全问题是在通向信息化社会的进程中遇到的,研究和解决这些问题已经远远不是单纯的技术问题,而且还涉及了法律政策问题和网络道德问题。我国目前正处于社会转型时期,信息网络建设正全面铺开,因而对网络安全问题进行全方位的研究和探讨,无疑是非常必要的。
3.2.1强化思想认识,完善管理制度
同志曾指出:“互联网是开放的,信息庞杂多样,既有大量进步、健康、有益的信息,也有不少反动、迷信、黄色的内容。互联网已成为思想政治工作一个新的重要阵地。国内外敌对势力正竭力利用它同我们党和政府争夺群众,争夺青年。我们要研究其特点,采取有力措施应对这种挑战。”当前,世界各国对信息战十分重视,假如我们的网络安全无法保证,这势必影响到国家政治、经济的安全。因此,从思想上提高对计算机网络安全重要性的认识,是当前的首要任务。网络与人们的生活息息相关,网络道德教育更要从小抓起,大力普及网络安全知识,尤其要加强对大学生网络安全与道德的教育、道德风尚建设,借构建社会主义和谐社会之风,构建一个和谐网络。利用强制与自治结合,才能使整个网络长远的正常运行。
思想意识的提高意味着我们必须完善的宏观管理制度,在我国互联网初期建设初期,我国的互联网管理处于混乱状态,这从种程度上阻碍了互联网的发展,国家信息管理部门逐渐认识这一缺陷,相继成立信息产业部、信息安全中心等部门,并逐渐颁布一些相应的管理条例。这些管理制度促进了互联网的有序发展。但随着互联网的迅猛发展,我们的管理制度相对滞后,互联网发展出现了新的领域与新的问题,在这些方面,我们国家的管理制度还是一片空白。加强网络安全的防范,完善管理制度势在必行。
3.2.2以自主研发为主,适当借鉴强国经验。
我们国家早期的互联网技术主要来自西方发达国家,这样制约我们国家计算机信息技术的发展,并且对国家安全也是相当不利的,计算机网络信息技术的自发研发成为我们工作的重中之重。在瞬息万变的网络世界中,技术的更新速度非常快,在信息全球化的形势下,如何减少本国网络安全基础设施的脆弱性,巩固其安全性,一方面,信息安全问题是信息产业发展的必然产物;另外一方面,信息安全问题的解决,有赖于信息产业的发展。没有自主的信息产业就很难保证信息安全。我们应站在全球战略的高度,结合网络安全的脆弱性,立足国内市场,提高自主研发、生产相关的应用系统与网络安全产品的能力。国家应对信息产业进行战略性扶持和鼓励。
当然我们在确立互联网技术自主研发的同时,也应该适当借鉴发达国家的经验,这是必要的。目前国际上广泛应用的网络安全技术主流趋势主要有以下几个方面:[12]内网和外网的隔离:防火墙技术;防止来自网络上的病毒:防病毒网关;内部网络的管理和安全:pppoepDHCp网关;加密通信和虚拟专用网(Vpn):Vpn;入侵检测和主动防卫:iDS;审计和审计数据挖掘:审计服务器;网络的鉴别、授权和管理(aaa)系统:aaa。中国的信息化建设起步较晚,我们应当在国家安全的背景下,借鉴信息强国的有效战略,构建符合我国国情、科学可行的网络信息安全战略。政府应当加强网络安全应急处理工作的组织协调能力,加强国家网络安全设施的建设,统筹规划国家的信息资料备份体系。
3.2.3促进网络信息立法,规范网络健康发展
由于互联网发展迅速,对网络媒体的法制规范与制衡也只有短短几年的时间。法律是社会关系的调节器,为促进网络媒体的健康、有序、可持续发展,大力加强网络媒体的法律法规建设和内容监管显得非常迫切。[13]自1994年我国颁布《中华人民共和国计算机信息系统安全保护条例》,后来又陆续颁布实施了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等行政法规和规章制度。1997年修改的《刑法》第285条、286条以及287条也分别规定了“非法侵入计算机信息系统罪”、“破坏计算机信息系统罪”和利用计算机实施金融诈骗、贪污、窃取国家秘密等犯罪类别。我国在信息安全领域的法制建设工作取得了令人瞩目的成绩,现有的法律法规对保障我国信息化事业的健康发展起到了积极的作用。
然而,随着信息技术的发展和网络在我国社会生活各方面的作用日益突出,我国信息安全法律法规的滞后和不完善的问题也日益明显,其主要表现为:理论研究滞后,缺乏总体思路;认识不统一,监管多元化;重管理、轻保护,公权益与私权益的对比失衡;重防范性的处罚措施,缺促进发展的法制建设,信息安全立法工作仍然任重道远。相关法律应从信息安全的主体、内容和客体三个方面来完善立法框架,考虑规范实现的可行性。
3.2.4培育合格网民,纯化网络环境
网络的价值在于信息自由共享,但是越开放的网络,它自身的安全性受到的挑战就越大。有人认为,最安全的网络就是自我封闭的网络。因而开放和安全之间就构成一对矛盾,从理论上说,网络的安全性和开放性是呈反比的。[14]要解决这一矛盾,不但要发展网络安全技术,更需要建构全新的网络伦理规范。
4.结束语
网络信息自由是计算机网络的主要特征,人们充分享受着互联网给我们生活带来的自由性,然而我们却要看到任何事物都存在两面性,我们在享受其带自由性的同时,也要正视网络信息自由带来的较大的危险。在信息化国家中,信息的获取和传播更加方便快捷,公民的信息自由与个人信息保护的冲突更加突出。平衡与协调两者的冲突应从强化思想认识,完善管理;以自主研发为主,适当借鉴强国经验制度;促进网络信息立法,规范网络健康发展;培育合格网民,纯化网络环境四方面着手。网络信息自由带来的网络安全问题不能依靠一个国家、一个企业或一种技术来解决,它涉及方方面面,是一个跨部门、跨行业、跨地区、跨国界的带有全球性的问题,是一项牵涉到政府、企业、个人和国际合作的复杂工程,需要各地区、各部门和全社会、每个人共同关心、积极参与、携手面对。[15]使我国的互联网络健康、快速发展。
参考文献:
[1]国家互联网络信息中心.中国互联网络发展报告[R].北京:互联网周刊出版社,2009年
[2]周敏.论网络传播自由与自律.湖南农机[J].2008年第5期
[3]严耕,等:网络伦理[m],北京:北京出版社,1998年
[4]付立宏.图书馆学、信息科学、资料工作人大复印资料[J].论网民信息伦理,2oo2年4期业,2008年第2期
[5]CHiRiLLoJ.黑客攻击测试篇[m].北京:机械工业出版社,2004年
[6]张寅雪.我国网络安全现状与策略分析[n].电子科技大学学报,2008年第4期
[7]公安部.2008年全国信息网络安全状况暨计算机毒疫情调查报告.计算机安全[J],2008年11期
[8]Samnunn,StrategicSurveytopographic[J].aviationandtechnologyweek,1996年第11期
[9]金雷等.网络安全综述[J].计算机工程与设计,2003年第24期
[10]吴育珊等.网络信息自由与信息网络安全对策研究[J].南方经济,2003年第1期
[11]李晶晶.浅析我国网络隐私权保护现状暨展望[J].中国商界,2008年第7期
[12]符强等.互联网仿真现实监管侄重道远--网络文化信息监管模式研究[J].中国电信
[13]姜岭君.对完善网络舆论监督的理性探讨[J].青年记者,2008年第8期
国家信息安全的重要性篇8
1.1什么是信息安全
信息是一种资产,它像其他重要的资产一样,具有很大价值,因此需要给予适当的保护.信息安全的目的就是要保护信息免受各方面的威胁,以确保业务的持续性并尽可能地减少损失.信息能够以多种形式存在.它可以打印(或写)在纸上,可以以电子形式存储,可以通过邮寄方式(或使用电子方式)传播,也可以显示在胶片上,或用语言表达.信息无论以什么形式存在,或以何种方式共享和储存,它都应该进行适当的保护,这就是信息安全学科的主要任务.信息安全具有以下三个主要特征:
(1)保密性:确保信息只被授权人访问.换句话说,保密性就是对抗对手的被动攻击,保证信息不被泄漏给未经授权的人。
(2)完整性:保护信息和信息处理方法的准确性和原始性.换句话说,完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。
(3)可用性:确保授权的用户在需要时可以访问信息.换句话说,可用性就是保证信息及信息系统确实在任何需要时可为授权使用者所用。
此外,可控性(对信息及信息系统实施安全监控)也是信息安全需要特别关注的特性之一。
信息安全可以通过实行一套适当的控制措施来实现。这些控制措施至少包括:安全策略、工作条例、程序、组织结构和软件功能等。信息安全学科是由数学、计算机科学与技术和通信工程等学科交叉而成的一门综合性学科.目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
密码学是信息安全的核心,密码手段为信息安全提供了可靠的保证.比如,使用密码对信息加密是保证信息保密性的最有效办法;基于密码的数字签名和身份认证技术是当前保证信息完整性的最主要方法之一;利用密码进行系统登录管理和存取授权管理是解决信息可用性问题的有效办法:通过密码和密钥管理也可保旺信息的可控性。
1.2为何需要信息安全
信息是重要的资产.信息的保密性、完整性和可用性对维持相关机构的竞争优势、现金流动、盈利性、合法性和商业形象等至关重要。
当前,信息系统正面临着来自各方面越来越多的安全威胁,如,计算机诈骗、间谍、阴谋、破坏和火灾或水灾等.特别是计算机病毒、黑客袭击和拒绝服务攻击等对信息系统的损害已变得越来越巨大;安全事件越来越普遍;安全保障的任务越来越艰巨;安全防护人员的业务水平要求越来越高。
随着社会信息化步伐的加快,人们对信息系统和信息服务的依赖性也越来越强,这意味着信息系统更容易受到安全威胁的攻击,而且,一旦被攻击,造成的影响也就越来越大.公众网与专用网的互连互通,各种信息资源的共享,又加大了实现信息安全访问控制的难度.分布式计算的趋势,在很大程度上,减弱了集中式安全控制的有效性。
很多信息系统在设计时都没有充分考虑安全问题,实际上,如果在需求说明书中和设计阶段就把信息安全控制措施考虑进去,那么,信息安全的实施就会更加经济有效.通过纯粹的技术手段也很难实现完整的安全保障体系,还应该有适当的管理和程序支持.有效的安全控制措施既需要周密的总体规划,同时,也不能忽略某些细节问题。
1.3确定安全需求、评估安全风险
确定安全需求是建立安全保障体系的首要步骤,实施安全措施的开销不应该超过安全事故导致的损失.安全需求的确定至少应该考虑以下三个方面:
(1)对组织本身所面临的风险进行评估.通过风险评估,分析具体信息系统可能面临的威胁,确定系统的脆弱性和风险发生的可能性,并估计其潜在的影响.(2)在确定安全需求时,还需要充分考虑相关法律和法规的具体要求(比如,并不是任何人在任何系统中都可以随意使用密码技术),当然还要考虑相关机构和人员的特殊需求.(3)安全需求应该适应相关信息处理原则、目标和需求.安全仅仅是为信息系统服务的一个方面。
安全风险评估的对象既可以是整个信息系统,也可以仅仅是某些局部系统或特定的组件或服务.风险评估需要综合考虑以下内容:(1)安全事故可能造成的损失,特别是信息的保密性、完整性或可用性被破坏后所造成的潜在后果.(2)在已有安全控制措施的条件下,系统面临的主要威胁和脆弱性在哪里,由此引发安全事故的可能性有多大.对于信息安全风险的管理和为避免风险而实行的控制措施来说,风险评估结果将有助于指导和确定合适的管理措施和优先级.评估风险与选择控制措施的过程有可能需要进行若干次,以便涵盖各个信息系统.对可能的安全风险和已实施安全控制措施的有效性进行定期评审是很重要的,它有助于根据以前的评估结果和可接受的风险级别,安全评估的层次应该有所差别.风险评估通常先在高层次上进行,以便优先为高风险领域提供资源,然后在更细的层次上进行,以解决具体的风险。
1.4选择安全控制措施
安全需求确定后,就应该选择相应的安全控制措施并加以实施,以确保安全风险降低到一个可以接受的程度.安全控制措施的选择既要考虑与降低风险相关的实施成本和潜在经济损失,又要考虑非经济方面的因素(如:名誉损失)等.从法律角度来看,有效的安全控制措施应该包括:数据保护和个人信息隐私、审计记录的保护、知识产权.一般的通用信息安全控制措施至少包括:信息安全策略、信息安全责任分配、信息安全教育与培训、报告安全事故、业务持续性管理等.这些控制措施适用于大多数信息系统和大多数环境。
1.5信息安全保障体系
从技术角度讲,信息安全保障体系就是通过一定的技术手段,提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力.信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术,它强调信息系统整个生命期的主动防御,预警(early-warning)、保护(protect)、检测(Detect)、响应(Response)、恢复(Recover)和反制(Counterattack),涵盖了对现代信息系统安全保障的各个方面,构成了一个完整的体系(wpDRRC),使信息安全构筑在一个更加坚实的基础之上.信息安全保障体系的范围更宽,动态性更强,信息保障是安全加可信。
2我国信息安全产业现状及发展趋势
2.1信息安全市场分析
2.1.2经济效益指标分析由于社会需求的迅速扩大,信息安全已经在全世界范围内形成了一个新兴的产业.据了解,目前全球信息安全产品和服务的产值约为232亿美元,其中美国为127亿美元、欧盟为58亿美元.我国信息化建设已进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已成为重要的经济增长点和支柱产业.国内信息安全市场也达到了一定的规模.目前,在国内大约有专门从事信息安全产业的企业1300多家,其中有自主研发能力的企业390多家,有自主产品的企业190多家,从事信息安全服务的企业有300余家.国内信息安全产业的总产值增长速度也很快,1999年、2000年、2001年、2002年、和2003年,国内信息安全产业的总产值分别为9亿、19亿、40亿、90亿、120亿.但是,我国信息安全产业在整个信息产业中所占的比率太小,仅仅是大约2%~3%.对此,国务院信息办网络及安全专家组组长何德全院士指出,信息安全产业滞后于信息产业是正常的,但如果两者之间的差距过大,信息安全问题就会显得突出.因此,信息安全产业在整个信息产业中所占比率的增长空间还很大.比如,根据中办发[2003]17号文件要求,国家电子政务建设将建设和整合统一的电子政务网络.电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离.启动人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库、宏观经济数据库的建设.建设和完善金关、金税和金融监管(含金卡)、宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等12金工程.据估计,电子政务市场规模将达到1200亿元人民币.这些电子政务工程的启动,需要建设相应的信息安全基础设施来保障政务信息安全,由此产生的信息安全市场规模,按照电子政务市场10%计算,将达到120亿元人民币。
2.1.2社会效益指标分析加强国家信息安全保障工作,是我国经济发展到一定阶段的客观要求.我国信息化建设已经进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已经成为重要的经济增长点和支柱产业.目前,信息技术已经在经济和社会的各个领域得到广泛应用.金融、电力、税收、交通、教育、社会保障和社会治安等系统越来越依赖于网络,现代企业特别是跨国经营的企业越来越离不开网络,各级政府的行政管理和公共服务越来越多地通过网络实现.信息系统已经成为能源、交通、金融等国家关键基础设施的神经中枢,系统的安全直接影响到关键基础设施的正常运转.一旦发生信息安全问题,导致能源、金融、交通、通信、社会服务保障等的大面积瘫痪,一些局部和地区性热点问题很容易通过网络扩散为全局性问题;一些群体性事件也很容易通过网络引发跨地区的连锁反应,从而大大增加危害程度和处置难度,严重影响社会稳定,不仅会严重影响人们正常的生产生活,还会严重干扰正常的社会经济秩序,造成重大经济损失和社会影响.事实证明,信息化程度越高,信息安全问题就越突出,信息安全保障工作就越重要,就越需要一支过硬的队伍来提供技术支持.只有有了掌握了过硬技术的队伍,才能保障信国家的信息安全,推进信息化的进一步发展,以信息化带动工业化,提高国民经济运行效率和社会生产力水平,促进我国经济的跨越式发展和全面建设小康社会宏伟目标的实现。
3我国信息安全产业急待解决的关键技术问题
中央27号文指出“要集中力量,加强对密码技术、安全隔离与审计、病毒防范、网络监管、检测与应急处理、信息安全测试与评估、取证、卫星防攻击等关键技术以及相关技术的研究开发.”经过深入分析我国信息安全,特别是分析电子政务安全领域的现状,当前急待解决的关键技术问题有:
(1)以密码技术为基础的信任体系建设.特别是在较大范围内,将各个信任体系整合为一个更大范围的信任体系.如,在国家桥Ca建设的基础上,展开信任体系的关键技术研究,为电子政务网络提供全面的信任体系解决方案,建立电子政务安全支撑基础设施与服务,为其运行提供安全监控解决方案.
(2)安全域理论以及安全域之间的隔离、访问控制和审计问题.基于安全域构建信息安全保障体系是信息安全领域中一个重要的方法.
(3)大范围爆发的蠕虫、病毒等恶意代码的防范问题.当前,对于各行各业信息化威胁最大的安全问题就是蠕虫大规模爆发问题:在2003年和2004年上半年,一些全球性的大规模蠕虫爆发事件已经给我国电子政务和相关行业的信息化应用带来的较为重大的损失.
(4)大机构和大系统的风险评估问题.风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制.没有准确及时地风险评估,会使得各个机构对于信息安全的状况做出错误的判断;风险评估应当成为各个机构建立信息安全保障体系中的优先步骤.在深入研究信息安全风险评估的理论、方法、标准、技术和工具的基础上,积极准备,为国家开展基础信息网络和重要信息系统的信息安全风险评估检查工作提供技术储备.比如,为国家电子政务建设提供包括方案设计、工程实施、工程运行等整个生命周期的全程的信息安全风险评估.
(5)网络监控体系的建设.面对高速、多媒体海量信息,如何监控信息流,获取和判断信息内容,是一个复杂且难度极高的技术问题.发达国家一般运用最新最快的计算机来进行监控管理.我国也应该在部级监控管理层次上研究发展必要的技术手段.在电子政务领域,也应当建立相应的监控体系.
(6)应急技术研究.随着信息化的推进,我国许多重要信息都在网络上,在方便工作的同时,也存在安全的隐患.一旦发生灾难,信息的安全和恢复就会存在问题.应急是信息安全的最后一道防线.国家基础网络和重要信息系统必须有相应的应急预案,才能在灾难来临时,不会出现混乱、业务停止等问题.国外在这方面研究比较早,也取得了很大成绩,我国在充分借鉴国外先进成果的基础上,必须研发有自主知识产权的应急与冗灾理论、技术和产品.比如,应该深入研究信息系统的应急和灾备恢复体系,为国家基础网络和重要信息系统,特别是国家电子政务系统提供相应的应急预案,确保在灾难发生时系统能够正常地运行。
(7)等级保护是信息安全保障体系建设的一个重要原则和方法。
(8)反入侵和取证技术.(9)物理隔离和逻辑隔离问题,以及内外网信息交换问题。
(10)建设一体化的、高度集成的、智能化的信息安全平台.当前的信息安全防范体系是各种不同的安全产品和技术简单叠加组成的.由于不同的产品来自不同的厂家,产品的性能、规格、功能等都存在很大的差异.这些产品的简单叠加,相互之间没有任何联动的途径和机制,不能做到整个安全防范系统的简单、易用和高效,还有可能带来新的安全问题,整体的安全性如何更难以保证.国家基础信息网络和重要信息系统,特别是电子政务,急需一体化的、高度集成的、智能化的安全平台,把网络系统中的防火墙、入侵检测系统、防病毒系统、信息加密、认证系统、审计系统、响应系统、备份系统等多种安全产品和技术,进行智能化地高度集成,形成一个一体化的解决方案.各种不同的安全技术和产品,通过这一安全平台可以更好地协同工作、密切联动,从而使整个系统的安全性、效率、可管理性等。
上述关键技术问题是我国信息安全保障方面,特别是电子政务安全领域中亟待解决的关键技术问题.对于这些关键技术问题的解决,再加上良好的信息安全保障体系价值链,将这些关键点串联起来,就可以有效地提高我国信息安全保障体系的水平.此外,我国的信息安全整体水平在国际上还属于比较落后的地位.为了进一步加快我国信息安全保障体系水平的提升,需要在可控的范围内加强国际合作。
4我国信息安全产业的发展战略
(1)信息安全产品客户化.当前国内信息安全产品种类过度集中,低水平重复较为严重,产业结构失调,资源配置不当,缺乏竞争力.从功能角度看,产品高度集中在网络周边防护和密码设备上,而身份识别和信息审计等产品相对较少.从领域角度看,安全产品主要集中在电信网、电视网和互联网的局域网系统设备、应用和用户设备的安全方面,骨干网(特别是电信骨干网和电视骨干网)的安全产品几乎是空白.由于不同行业用户有不同的安全威胁、安全环境、安全技术、安全培训和安全维护等,因此,其安全需求也各不相同.产品客户化既能够提供量身订制的服务,又能够充分发挥国内企业的优势.国内信息安全企业应该重点选择政府、金融、财政、税收、工商、电信、广电、电力、民航、交通等行业做好客户化工作.(2)信息安全技术标准化和平台化.通过标准化和平台化实现各个厂商的安全产品互连、互通、互操作,从而,易于形成协同的安全防护体系,既增加系统的安全性又增强企业产品的竞争力。
(3)信息安全产业规模化.当前国内信息安全企业的规模普遍偏小,既缺乏市场竞争力,又难以解决融资困难.必须通过市场机制,实现中小企业的快速成长,通过企业兼并等手段培养出我国自己的信息安全大型企业。
(4)信息安全产业资本投资多元化.当前,国内信息安全企业的资本结构主要以国家投资、地方政府投资和民营投资为主体.投资单一化,缺少投资机构的支持.实现投资多元化的方法很多:在可控的条件下吸引外国投资家的资本、鼓励金融中介机构入股信息安全企业、成立投资委员会帮助信息安全企业多方融资,扩展资产规模。
(5)信息安全产品市场法制化与规范化.信息安全产品与普通的民用产品并不完全相同,国家已经颁布了许多法律和法规来规范信息安全产品的研制、生产和销售等环节,但是,在法制化和规范化方面仍然还有许多工作要做,比如,政府部门的多头管理给企业造成过重的经济负担,需要尽早建设信息安全产业的统一管理机构;与许多法律和法规相配套的可操作细则也要尽早出台等。
参考文献:
[1]李彦旭,马大志,成立.网络信息安全技术综述[J].半导体技术,2002(10):9-10.
[2]杨义先,方滨兴.网络信息安全成果大阅兵[J].通信学报,2002,23(5):2-3.
[3]曾志峰,杨义先.网络安全的发展与研究[J].计算机工程与应用,2000(10):1-3.
杨义先
(北京邮电大学信息安全中心)
国家信息安全的重要性篇9
关键词:信息;安全
信息是客观世界中物质和能量存在和变动的有序形式,和组织系统对这个形式的能动的反映及改组。其中前一个表语表述了信息概念的广义内涵,后一个表语表述了信息概念的狭义内涵。
一、信息的概述
信息是物质的普遍性,是物质运动的状态与方式。信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性、可传递性等。信息的功能是信息属性的体现,主要可以分为两个层次:基本功能和社会功能。信息的功能主要体现在以下几个方面:信息是一切生物进化的导向资源,是知识的来源,是决策的依据,是控制的灵魂,是思维的材料。
二、信息安全的重要性
在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,因此,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。当今世界已进入信息社会,随着计算机、通信技术的迅猛发展,计算机信息系统的广泛应用,促使它渗透到社会各个行业和部门,人们对它的依赖性越来越大。在军事、经济、科学技术、文化教育商业等行业中,重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出,给人们提供迅速、高效的各种信息服务,因此如果不重视计算机信息系统的保护,国家的机要信息资源如不加保护,势必容易被非法窃取、更改、毁坏,将会造成国民经济的巨大损失,国家安全的严重危害。
三、信息安全体系结构
(1)息安全的保护机制
信息安全保护存在的主要问题与政策:正确的信息安全政策和策略是搞好国家信息安全保护工作的关键,引发信息安全问题的因素有有外部因素和内部两方面,主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全,监管手段缺乏等。
信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。
(2)信息安全体系框架
依据信息安全的多重保护机制,信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和,安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性,以及信息系统主体对信息资源的控制。完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。
为了适应信息技术的迅速发展以及信息安全的突出需求,国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作,如美国的国防部DoD(DepartmentofDefense),国际标准化组织iSo,英国标准化协会BSi(BritishStandardsinstitute)等。
四、漏洞扫描技术与信息安全管理
(1)漏洞扫描技术
一般认为,漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
随着internet的不断发展,信息技术已经对经济发展、社会进步产生了巨大的推动力。不管是存储在工作站、服务器中还是流通于internet上的信息,都已转变成为一个关系事业成败的策略点,因此,保证信息资源的安全就显得格外重要。目前,国内网络安全产品主要是以硬件为主,防火墙、入侵检测系统、Vpn应用较为广泛。漏洞扫描系统也是网络安全产品中不可缺少的一部分,有效的安全扫描是增强计算机系统安全性的重要措施之一,它能够预先评估和分析系统中存在的各种安全隐患。换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。
(2)信息安全管理
随着社会信息化的深入和竞争的日益激烈,信息安全问题备受关注。制定信息安全管理策略及制度才能有效的保证信息的安全性。
制定信息安全管理策略及制度
目前关于信息安全的理论研究,一个是信息安全问题不仅仅是保密问题,信息安全是指信息的保密性、完整性和可用性的保持,其最终目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面如历史,文化,道德,法律,管理,技术等方面的综合性问题,单纯从技术角度考虑是不可能得到很好解决的。
这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体应该有一个完整的信息安全策略。
信息安全策略也叫信息安全方针,是组织对信息和信息处理设施进行管理,保护和分配的原则,以及使信息系统免遭入侵和破坏而必须采取的措施,它告诉组织成员在日常的工作中哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。
制定信息安全管理制度应遵循如下统一的安全管理原则:
(1)规范化原则。各阶段都应遵循安全规范要求,根据组织安全信息需求,制定安全策略。
(2)系统化原则。根据安全工程的要求,对系统个阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑。
(3)综合保障原则。人员、资金、技术等多方面综合保障。
(4)以人为本原则。技术是关键,管理是核心,要不断提高管理人员的技术素养和道德水平。
(5)首长负责原则。
(6)预防原则。安全管理以预防为主,并要有一定的超前意识。
(7)风险评估原则。根据实践对系统定期进行风险评估以改进系统的安全状况。
(8)动态原则。根据环境的改变和技术的进步,提高系统的保护能力。
(9)成本效益原则。根据资源价值和风险评估结果,采用适度的保护措施。
(10)均衡防护原则。
信息安全系统工程
国家信息安全的重要性篇10
关键词:网络信息;安全技术;发展前景
随着科学技术的不断发展,计算机网络技术以及信息技术都得到了突飞猛进的发展,同时,网络技术也在多方面推动了社会的发展和进步。然而,在运用网络技术的同时也面临着网络安全和信息安全的现实问题,如果这个问题不能得到妥善的解决,将给网络使用者带来不可估量的损失。笔者将以网络与信息安全技术的重要性及发展前景为课题,展开本次研究。首先明确网络与信息安全的含义,就是计算机系统能够在正常情况下进行网络服务,其软硬件设备不受到外来因素攻击以及运行数据不被剽窃和泄露。加强网络与信息安全建设尤为重要,事关国家的安全和社会的稳定。
1当前网络与信息安全的现状
我们有必要对当前网络与信息安全的现状进行细致的分析,这有助于我们认清形势。近年来,我国在网络安全方面的技术还不够成熟,对网络安全的认识比较肤浅,大多停留在计算机病毒的防范,根本没有从整体上认识到网络安全的重要性。这种意识和技术层面的缺失给我国的政府部门和金融机构都带来了惨痛的教训,他们都曾遭遇过系统攻击,大多是通过电子邮件、木马或者文件共享的方式。综合分析现在网络容易遭受病毒攻击的原因,可以概括为以下几个方面:(1)互联网的网络协议自身存在很多漏洞使得病毒有机可乘;(2)大家普遍使用的插件很容易被黑客破解并作为攻击的手段;(3)软件升级的周期越来越短,每一次升级都是一次风险,不仅给操作的程序提出新要求,同时也对操作系统提出新的问题;(4)国家对于网络安全方面的法律规定不够健全,对于网络信息保护方面的条款也没有明确规定,实际执行情况不佳;(5)一些单位和管理人员没有充分认识到网络信息安全的重要性,缺乏对单位网络安全管理规定的制定,更没有委派专人来负责网络信息安全的维护,给网络犯罪行为提供了机会。
2网络与信息安全技术的重要性
2.1确保国家安全和社会稳定的重要因素
科学技术的稳步发展带动了计算机网络技术的发展,目前,计算机网络已经渗透到社会的各行各业,在人民生活、社会发展和国家进步中扮演着越来越重要的角色。正是在这样的背景下,网络信息安全显得尤为重要,不仅关乎个人和单位的信息安全,同时也影响着社会的稳定甚至是国家的安全。所以,一定要对网络信息安全技术格外的关注,只有这样才能够维持社会的稳定,确保国家的安全发展。
2.2提高用户安全意识
伴随互联网技术的推陈出新,信息的运用方式也发生了很大的变化。很多个人和公司在纷纷出现信息外漏的现象后开始对网络信息安全加以重视。因此,无论是个人还是单位,在运用计算机网络进行信息的保存、传输的过程中一定要把安全问题摆在首位,加强对网络信息安全的重视,这样才能确保信息的不外漏。
2.3经济领域中互联网技术的广泛应用
由于中国是一个人口大国,所以运用计算机网络的人数也是巨大的。根据国家互联网信息技术中心的一次调查统计数据显示,几年前,中国实用互联网的人数就位于世界互联网实用人数的前列,在这些人当中又以商业性实用人群为主。通过这个数据可以从侧面反映出我国对于电子商务的运用广泛,越来越多的人接受了电子商务。与此同时,电子商务也给社会经济产值带来巨大的增长。在这样的背景下,营造一个安全的网络信息平台对于维护电子商务交易安全和促进国民经济稳步发展都具有不可忽视的意义。
2.4网络发展需要
社会的进步离不开科技的手段,互联网技术作为目前人们生活息息相关的技术,其位置不可动摇。在倡导网络信息共享机制的同时也给网络信息安全带来一次前所未有的挑战,信息的共享就需要信息传递,而每一次传递的过程都有可能成为黑客入侵的切入点,或者是病毒繁殖的温床。众所周知,网络技术能够带动社会的发展,那么保证网络技术的健康发展尤为重要,网络技术的发展最根本的需要就是一个安全的空间。
3网络与信息安全技术的发展前景
通过上述分析,网络与信息安全的意义重大,因此,关注网络与信息安全技术的发展前景梳理成章。在实际生活中发生的网络与信息威胁有的来自于客观的原因,而多数来自于主管的人为攻击,这对网络与信息安全技术的发展来说是一块绊脚石。概况来说,在未来网络与信息安全技术的发展将朝着以下几个方向:
3.1网络安全维护软件销量将迅速增长
随着科学技术的不断发展,人们对于网络与信息安全的认识也会逐渐加深,将采取更多的手段来维护网络与信息的安全,而网络安全维护软件就是他们不错的选择。今后,网络安全维护软件的市场必定是供不应求,并且有望成为互联网中各种应用软件的市场销量的领头羊。
3.2网络安全维护类软件的开发向多元化发展
随着市场对网络安全维护类软件的需求越来越大,软件的发展也将朝着多元化的方向迈进。这种多元化的发展趋势有助于用户解决不同类型的网络安全问题,使得一些复杂的网络安全威胁得以化解。具体来说,网络信息安全的技术种类将包括以下几种甚至更多:信息加密技术、用户身份认证技术、防火墙技术、杀毒软件等。
3.3不断学习西方的现金技术
虽然我国的网络信息安全技术在近年来得到了一定的发展,但是同西方的发达国家相比,我过仍然处于落后的阶段,所以要不断地向西方先进的国家学习最新的网络安全维护技术。国家和企业要定期组织单位或者专业的技术人员到国外学习先进的理念和技术,从而带动软件开发商研制、生产出更有实效的网络信息安全维护软件。
4结论
综上所述,目前我国的网络信息安全存在的漏洞很多,主要是由于受到技术水平和意识淡薄等因素的影响。网络与信息安全技术的意义重大,不仅关乎到个人信息的安全,也关乎到商业的稳定发展以及国家的发展、社会的稳定。这就要求我们充分重视网络和信息安全技术的发展,不断学习西方的先进技术,不断研发出更好的网络安全维护软件,让更多的人参与到网络信息维护的队伍中来,同一切威胁网络信息安全的行为作战。相信通过全民的努力,我国未来网络信息安全定会拥有美好的前景。
参考文献
[1]胡刚.网络与信息安全技术的重要性及发展前景分析[J].计算机光盘软件与应用,2013,06(13):167-168.
[2]林柏钢.网络与信息安全现状分析与策略控制[J].信息安全与通信保密,2011,07(19):322-326.