国家信息安全的重要性优选九篇
国家信息安全的重要性第1篇
关键词:信息安全 国家战略 安全观 网络空间
中图分类号:D82 文献标识码:A 文章编号:1005-4812(2012)02-0017-0022
国家安全观是人们对国家安全的内涵、国家安全的威胁和维护国家安全手段等的基本认识。其中的国家安全是指维护国家和民族的生存、、领土、社会制度、社会准则、生活方式以及国家权力和利益不受威胁的状态。传统国家安全观着眼于军事和政治领域,独立、领土完整和政治稳定是其核心目标。随着国际环境的深刻变化和网络技术的飞速发展,国家安全成为包含政治安全、军事安全、社会安全、经济安全、文化安全、信息安全等诸多领域的一个“综合性”安全体,并呈现出高度系统化和高速传导性的“链式”安全结构。其中,网络信息安全的作用日益凸显,不仅是该“综合性”安全体系的重要组成部分,也是该“链式”安全结构的基础性保障,更是网络时代下其他诸多国家安全利益的交汇和纽带。因此,网络信息安全已然上升到国家核心战略层面,成为国家综合性安全战略的制高点和新载体。例如美国等国已经将其政治、外交、经济、文化、军事等战略目标陆续融入国家信息安全战略中。
因此,为适应全球安全格局的变迁和我国国家安全的现实需求,亟待总结和提炼我国国家信息安全战略的相关思想和理论,以此来诠释和指导我国国家信息安全战略的规划和实践。本文从形势背景、现实价值、思想源流和理论体系等几方面,对我国国家信息安全战略的理论构建进行相关探讨。
一、我国国家信息安全战略理论构建的客观形势
理论建构是为了客观描述现实并科学指导实践。当前,全球和我国国家安全的发展格局是国家信息安全战略的基本外部环境,也是国家信息安全战略理论需要诠释的形势背景。综合来看,我国国家安全发展格局出现形态复杂、边界拓展、重心转移等趋势,具体表现为:
1、非传统安全威胁改变国家安全形态
冷战结束后世界进入全球化时代,国家间军事、政治和外交的直接冲突大大减少,取而代之的是非传统安全威胁与日俱增且影响广泛,并以跨国性、突发性、复杂性、隐匿性等特点,成为各国国家安全保障的重点和难点。与此同时,各国政府围绕非传统安全领域的合作与博弈并存,使得国家安全形态更加错综复杂。因此,在复杂竞争的国际、国内环境中防范和应对不断出现的各类非传统安全威胁,是当前我国国家信息安全战略理论必须回应的重大现实问题之一。
2、网络空间的兴起重塑国家安全边界
人类社会疆域伴随科学技术的发展而不断拓展。当前,全球网络基础设施、网络系统和软件、计算机/手机等信息终端、全球网民的生产生活实践共同筑就了一个不断扩展、高度多元的网络空间。这一网络空间承载着各国巨大的现实利益和未来发展潜能,并超越传统国家管理范畴,不断创造出新的社会关系和权力结构,对国家安全带来新的威胁和挑战。因此,保障和拓展符合本国利益的“国家网络疆域”是我国国家信息安全战略理论必须回应的重大现实问题之一。
3、社会经济发展转型决定国家安全前途
全球信息革命浪潮对现实社会的解构和重构效应显然比任何时代都更为迅猛而强大,也更加自发而无序,由此带来的是国家安全重心从抵御外敌威胁转向消除内部隐患。当前我国正处于经济社会改革的攻坚期,也是我国公共危机和社会风险的高发期,如何充分利用互联网信息生产和传播的澎湃动力推动社会经济的发展转型,同时又将其对现实社会的破坏效应纳入到安全范畴,最终推动全社会的良性变革,也是我国国家信息安全战略理论必须回应的重大现实问题之一。
二、我国国家信息安全战略理论构建的现实价值
面对错综复杂的国内外安全环境,将国家信息安全战略从实践层面上升到理论层面,不仅是理论探索的需要,也是顺应网络信息社会发展的需求。通过科学思想和方法指导网络社会的建设和安全管理,回应国内外各种关切和质疑,在当前形势下具有重要的现实价值。
1、推动国家综合安全理论体系的完备和深化
尽管我国在和平发展道路上取得举世瞩目的成就,但站在新的历史起点上,仍需在理论和实践中不断创新,进一步凝聚共识和扩展共识,以应对世界政治多极化、经济全球化和社会信息化带来的一系列国家安全挑战。为此,在2011年9月26日发表的《中国和平发展白皮书》倡导互信、互利、平等、协作的新安全观,寻求实现综合安全、共同安全、合作安全,绘就了我国国家综合安全战略理论的框架。而国家信息安全战略的理论构建也将进一步推动国家安全理论体系趋向完备和深化。
2、指导国家信息安全战略、政策和法规的制定
相较于美国、日本、欧盟等发达国家在国家信息安全宏观管理中已经形成的从战略到政策再到法规的“金字塔”型缜密结构,我国信息安全宏观管理体系在系统性、前瞻性、权威性等方面仍存在一定差距,尤其是国家层面的网络信息安全中长期战略规划仍不明晰。因此,从理论层面进一步提炼国内外信息安全宏观管理的思想、经验和方法,通过理论创新引导管理创新,指导我国网络信息安全战略、政策和法规的规划和实施,将从根本上优化我国网络信息安全的发展格局。
3、提供跟踪全球网络信息安全战略的理论框架
全球网络信息空间是各国通向信息社会的共同载体,当前各国均力求扩大本国网络空间安全边际来保障国家安全,由此产生的全球安全合作与博弈并存。例如2011年5月16日美国白宫了《网络空间国际战略:构建一个繁荣、安全和开放的网络世界》,即被解读为既是“合作的邀请”又是“对抗的宣言”。因此,通过理论构建可以历史、抽象地分析各国网络信息安全战略的意图、影响,研判全球信息安全的总体发展趋势,探索有效的安全合作机制,对我国网络信息安全发展具有重要价值。
4、建立适应国内外环境的网络安全治理话语体系
长期以来美国等西方发达国家主导着互联网治理的话语权,从标榜互联网“开放、共享、无国界”到借“网络自由”等抨击其他国家的网络安全治理。如今我国已经成为全球互联网用户最多的国家,但仍然未能在国内和国际范围形成符合本国互联网发展现状和治理需要的话语体系,导致在管理实践中面临来自国内外的双重压力。因此,通过理论构建,可以明确我国网络信息安全治理的基本方略,塑造符合我国发展实际的网络治理话语体系,最终推动我国网络社会的健康发展。
三、我国国家信息安全战略理论构建的思想源流
国家信息安全战略不仅是一个中长期战略规划,更是一个适应信息社会发展规律的科学管理体系。因此,从国内外各相关学科汲取思想源流,支撑并融入我国国家信息安全战略的理论体系,是战略决策和顶层设计的重要基础。本文简要介绍可供资鉴的国内外相关思想源流,为后续理论体系的构建提供借鉴。
1、军事领域的“信息战”理论
信息战是为夺取和保持“制信息权”而进行的斗争,亦指战场上敌对双方为争取信息的获取权、控制权和使用权,通过利用、破坏敌方和保护己方的信息系统而展开的一系列作战活动。1992年美国国防部颁发的《国防部指令》首次提出信息战概念,掀起了世界性的信息战理论研究热潮。在该领域,美国和中国均走在了世界各国研究的前列。如今,信息战理论、方法和技术已日趋成熟,成为现代战争和高烈度对抗的主要模式,因此也是国家信息安全战略理论体系的重要来源。
2、政治法律领域的“信息”理论
信息是在国家概念上演化而来的,是信息时代国家的重要组成部分,它指一个国家对本国的信息传播系统进行自主管理的权利。从政治视角看,信息是国家具有允许或禁止信息在其领域内流通的最高权威,包括通过国内和国际信息传播来发展和巩固本民族文化的权力,以及在国内、国际信息传播中树立维护本国形象的权力,还包括平等共享网络空间信息和传播资源的权利;从法律视角看,信息是指国家在信息网络空间拥有的自和独立权。它具体包括:国家对跨境数据流动的内容和方式的有效控制权;一国对本国信息输出和输入的管理权,以及在信息网络领域发生争端,一国所具有的司法管辖权;在国际合作的基础上实现全人类信息资源共享权。当前,国家信息作用日益凸显,相关理论更加丰富成熟,成为国家信息安全战略的重要理论基石。
3、国际关系领域的“公共外交”理论
“公共外交”的概念于1965年首次提出并得到运用,目标是影响公众态度,以帮助外交政策的形成与推行,即一国政府对他国民众的外交活动。公共外交与传统外交的区别是“公共外交”试图通过现代信息通讯等手段影响其他国家的公众,而传统外交则主要通过国家领导人及相应机构影响外国政府。长期以来,美国是“公共外交”理论的最佳实践者,通过“公共外交”美国积极开展意识形态、思想文化的宣传输出。如今,网络信息空间成为美国“公共外交”的最佳实践场地。因此,无论是出于应对威胁或是构建我国“软实力”的需要,“公共外交”思想和方法都应该在国家信息安全战略中予以应用和体现,并成为我国国家信息安全战略的重要理论支撑。
4、新闻传播领域的“世界信息与传播新秩序”理论
“世界信息与传播新秩序”是指在全球传播进程中或世界文化关系中,一系列试图改变信息不平衡或文化帝国主义状态的改革理论。这种改革试图反抗由美国和西方发达国家及其全球媒介集团支配的全球传播秩序,旨在建立一种更加民主的、公平的、均衡的并能与其它国家传播系统相互交流文化与信息的全球传播体系。对此,联合国教科文组织在上世纪80年代召开了一系列会议进行研讨,提出了一套旨在打破世界信息传播不平等格局的改革方案,试图通过为发展中国家提供物质手段和信息产品,从而保护与促进其自身文化传统、文化产业与文化认同,扭转信息与娱乐传播中的不平等状态,缩小信息富裕国家与信息匮乏国家之间的差距,但实践成效并不明显。尽管如此,“世界信息与传播新秩序”和“数字鸿沟”的相关理论成果仍具现实意义,是我国国家信息安全战略理论的重要思想来源。
5、战略管理领域的“博弈论”理论
博弈论最初是现代数学的一个分支,是研究具有对抗或竞争性质行为的理论与方法。当前,博弈论在战略规划和实践中得到广泛应用,其核心价值在于分析对抗各方是否存在最合理的行为方案,以及如何找到这个合理方案,并研究其优化策略。当前,国家信息安全领域的斗争无一不具有显著的博弈属性,如国家间的信息对抗、密码的加密与破译、病毒的制毒与杀毒、网络思想文化的保护与渗透等等。因此,从博弈论的视角认识和分析各类信息安全问题,并通过博弈论方法寻求信息安全最佳解决方案,是优化我国信息安全战略的重要思路。如今,博弈论已经逐渐发展成为信息安全研究的重要方法论基础,借鉴博弈论的指导原则和原理方法研究国家信息安全战略是科学、有效的途径。
6、公共管理领域的“公共治理”理论
上世纪70年代以来,西方发生的社会、经济危机推动了公共管理和公共行政理论研究的范式变革。以“治理”为代表的新理论范式提出了多元、自组织、合作、去意识形态式的公共治理模式,即抛弃传统公共管理的垄断和强制性质,强调政府、企业、团体和个人的共同作用。该模式不强求自上而下、等级分明的社会秩序,而重视网络社会各种组织之间平等对话的系统合作关系,简称“公共治理”理论。需要指出的是,“公共治理”理论在许多方面与网络空间发展理念高度契合,因此西方国家也较早的将“公共治理”理论引入了互联网管理领域。尽管“公共治理”理论本身存在固有缺陷和不适应我国国情的方面,但对探索有中国特色的互联网治理模式仍可以提供重要借鉴,是国家信息安全战略重要的理论支撑。
四、我国国家信息安全战略的理论体系
通过客观形势分析、现实价值评估和思想源流梳理,我国国家信息安全战略理论体系具备了构建条件。它由战略的内涵和目标、战略的基本要素、战略的内在机理和战略的理想模式等有机组成。
1、我国国家信息安全战略的内涵和目标
信息安全的本质内涵是维护信息系统或信息传播中的信息资源免受各类威胁、干扰和破坏,保障信息资源的保密性、可靠性、完整性、可用性等安全属性。但是,当信息安全上升到战略层面,信息安全战略与综合性国家安全战略则高度融合,集中反映在:网络信息空间成为国家安全威胁的主要载体;谋取信息优势是国家安全的重要目标;现代信息技术成为维护或威胁国家安全的主要手段。在此基础上,我国国家信息安全战略的内涵是指:国家为保障综合性国家安全,消除基于信息网络空间的各类国家安全威胁(包括国家间信息战、意识形态渗透、低俗文化传播、恐怖主义和跨国犯罪、黑客攻击、关键生产领域信息系统运行风险、社会危机酝酿和传播、网络隐私和知识产权问题、网络病毒和垃圾邮件泛滥等等),运用各种国家资源和技术手段而进行的战略规划和实施的全过程。根据国家信息安全战略的内涵,我国国家信息安全战略的基本目标是:积极应对国内外各类信息安全威胁和挑战;确保国家信息网络基础设施、重要信息系统和信息内容的安全性;促进国家信息化和信息社会的健康发展;提高全社会信息安全的能力和素养,保障国家安全、经济发展、社会和谐和公众权益的实现。
2、我国国家信息安全战略的基本内容
作为国家大战略的重要组成部分,国家信息安全战略应由国家信息安全观、国家信息安全战略目标、国家信息安全利益与威胁判定、国家信息安全战略资源及其运用、国家信息安全政策与安全机制等五部分组成。其中,信息安全观是国家在信息安全问题上的基本理念,也是一个国家的信息安全哲学,是制定国家信息安全战略的根本出发点;信息安全战略目标即维护和谋求国家信息安全利益的指标性任务,反映不同阶段国家信息安全总体发展愿景;信息安全利益与威胁判定是指根据国家利益需求和国家战略目标判定信息安全威胁的来源、范围、性质和等级;信息安全战略资源既包含狭义的信息技术和信息资源,也包含广义的自
然资源、人才资源、经济资源、军事资源等;而国家信息安全政策、法规与机制的建立和完善是完成国家安全目标的重要保障。
3、我国国家信息安全战略的内在机理
国家信息安全战略是一个系统工程,必须充分考虑并科学平衡以下几对关系。
首先、信息化建设与信息安全在国家信息安全战略中的矛盾统一关系。一方面,信息化建设和应用普及不断催生新的信息安全威胁,信息安全成为信息化建设的有力保障;另一方面,国家信息安全问题的解决不仅有赖于信息化水平的提升,也有赖于国家信息优势的积累。因此,信息化与信息安全是事物的一体两面,二元目标需要在国家信息安全战略中得到充分体现。
其次、管理和技术在国家信息安全战略中的同步发展关系。国家信息安全问题的解决需要通过安全技术得以实现,支持信息安全先进技术和重点产业的发展是战略的重要任务。但与此同时,通过法规、政策、教育、制度等完善安全管理,实现技术与管理的有机结合更不能忽视。国家信息安全战略是技术与管理的双轮驱动,过度偏重某一方面的发展必将导致战略的失效。
第三、成本与收益在国家信息安全战略中的综合平衡关系。信息安全的实现有赖于保障成本的持续投入,而与之对应的是信息安全收益通常无法客观测度,过度的安全保障必然导致成本畸高和效率低下。因此,寻求成本、收益、效率的综合平衡是国家信息安全战略的关键,具体措施包括确定重点领域、优化资源配置、建立科学的风险收益评估体系和安全等级标准等。
第四、国家安全与全球安全在国家信息安全战略中的动态交互关系。信息安全问题是全球各国共同面对的威胁与挑战,通过国际合作防范和应对信息安全威胁是理想途径。但是,由于各国在国家利益、法律、文化等方面的不一致,各国信息安全战略始终难以协调甚至存在对抗。就我国而言,一方面要立足国家利益和基本国情制定符合未来发展需要的国家信息安全战略,另一方面要立足全球层面,推动本国信息安全法律、政策与国际的接轨,推进平等互利的“国际信息安全新秩序”的形成。
4、我国国家信息安全战略的理想模式
国家信息安全的重要性第2篇
关键词:信息系统安全 等级保护 福建
一、引言
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别,从第一级到第五级逐级增高,对不同安全级别的信息系统实施不同的安全管理。
二、我国信息系统安全等级保护思想的形成
1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
20世纪80年代初,美国国防部制定了“国家计算机安全标准”等系列标准,包括《可信计算机系统评估准则》(TCSEC,即俗称的“桔皮书”)及其他近40个相关标准,合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准,具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起,设立了4类7级。
1999年,我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。
2000年11月10日,国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。
2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法(试行)》,并于2007年6月修订。
2007年6月,公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
三、开展信息系统安全等级保护工作的必要性和重要性
⒈开展信息系统安全等级保护工作的必要性
随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现了许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。
一是网上斗争日趋复杂,不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点,使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。
二是网络违法犯罪活动迅速增多,造成的后果越来越严重。随着新技术、新应用的发展,暴露出来的网络与信息安全问题也日益增多。
三是漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。
四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查,2007年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。
⒉开展信息系统安全等级保护工作的重要性
开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
四、加快推进福建省重要信息系统安全等级保护工作
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日,福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。
信息系统安全保护工作的首要环节是定级,定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。
1.突出重点,全面准确划定定级范围和定级对象
此次重要信息系统定级的范围是国家基础信息网络和重要信息系统,这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围,体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。
2.依据《管理办法》,准确确定信息系统安全保护等级
福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上,根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素,依据《管理办法》,参照《定级指南》所提供的定级方法,综合确定信息系统的安全保护等级。在确定等级的过程中,要最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。
3.及时备案,加强对定级工作的监督、检查和指导
为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况,保护重点领域的重要信息网络和信息系统,凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求,到公安机关进行备案。公安机关受理备案后要对备案材料进行审核,加强对重要信息系统安全等级保护定级工作的监督、检查和指导;对定级不准的,要及时通知备案单位重新定级。
4.依据《管理办法》和技术标准,开展整改、测评等工作
信息系统的安全保护等级确定后,运营使用单位要按照信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施;参照信息安全等级保护管理规范,制定并落实安全管理制度;选择符合《管理办法》规定条件的测评机构,依据技术标准对信息系统安全等级状况开展等级测评,使其尽快达到等级要求的安全保护能力和水平。
五、加大力度,确保福省重要信息系统安全等级保护工作任务落到实处
随着北京奥运会的日益临近,特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,信息安全等级保护的工作任务艰巨,责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合,及时开展监督、检查,严格审查信息系统所定级别,积极开展备案、整改、测评等工作。同时,充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,以确保福建省重要信息系统安全等级保护工作落到实处。
1.明确职责,落实责任
各级公安机关要积极向当地党委、政府专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持;或者成立专门的等级保护工作直辖市领导小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展定级、备案、建设整改等工作。
2.密切配合,通力协作
各级公安机关作为开展等级保护工作的牵头部门,要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合,尽快建立健全信息安全等级保护监管工作的协调配合机制;要主动与信息系统主管部门交流沟通,督促配合其组织下属信息系统运营、使用单位建立信息安全责任制,建立并落实等级保护制度,从而确保等级保护工作的顺利、有效实施。
3.加强宣传,强化培训
国家信息安全的重要性第3篇
关键词:信息安全;国家安全;防护
20世纪70年代以来,以信息技术为核心的高技术群的迅猛发展及其在社会各领域中的广泛应用,将人类社会推进到了信息社会。在信息社会里,信息网络系统的建立已逐渐成为不可或缺的基础设施,信息已成为社会发展的重要战略资源、决策资源和控制战场的灵魂,信息安全已成为国家安全的核心因素。无论是在平时还是战时,信息安全问题都将是一个战略性、全局性的重要问题。谋求国家安全,必须高度重视信息安全防护问题。
一、搞好信息安全防护是确保国家安全的重要前提
众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。
二、我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
三、积极采取措施加强信息安全防护
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
第二,要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
第三,要加强信息管理。要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
第四,要加强信息安全技术开发,提高信息安全防护技术水平。没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打下一个良好的基础。
参考文献:
1、俞晓秋.信息革命与国际关系[M].时事出版社,2002.
2、晓宗.信息安全与信息战[M].清华大学出版社,2003.
国家信息安全的重要性第4篇
等级保护是什么?
从概念上说,等级保护是对涉及国计民生的信息网络和信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,以保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化,进而推动经济发展,提高综合国力。
我国有关信息安全实施等级保护的问题从2002年即被提出,其间经过专家的反复论证研究,信息安全等级保护的相关制度不断得到细化和完善。2003年出台的《国家信息化领导小组关于加强信息安全保障工作的意见》明确提出三个方面的要求:
一是必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,建立信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
二是要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。
三是对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。
2004年出台的《关于信息安全等级保护工作的实施意见》进一步明确了信息安全等级保护制度的基本内容:
一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保护等级,共分五级。
二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。
三是国家对信息安全产品的使用实行分等级管理。
四是信息安全事件实行分等级响应、处置的制度。
2006年3月,国家《信息安全等级保护管理办法(试行)》开始正式实施。《信息安全等级保护管理办法(试行)》根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,将信息和信息系统的安全保护等级共分五级:
第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
为什么要进行等级保护?
对信息系统分级实行保护是国际上通行的做法,西方国家已经对涉及到国家安全、社会稳定的重要部门实施强制监管,他们使用的操作系统必须有三级以上的信息安全保护。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
等级保护将如何实施?
信息安全等级保护涉及政府机构中多个部门的职能,因此,其实施应当在国家网络与信息安全协调小组的领导下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分别制定详细的实施方案,积极推进信息安全等级保护制度的建立,推动信息安全管理运行机制的建立和完善。开展信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。信息安全监管职能部门负责监督、检查、指导。
目前,公安部已经联合有关部门积极组织开展信息安全等级保护相关工作,并成立了由公安部张新枫副部长任组长,公安部、国家保密局、国家密码管理局和国务院信息化办公室有关局级领导为成员的国家信息安全等级保护协调小组,统一协调部署信息安全等级保护工作。
据初步计划,我国等级保护工作将分三个阶段推进完成:第一阶段,加强领导,落实责任;加快完善法律法规和标准体系;建设信息安全等级保护监督管理队伍和技术支撑体系;进一步做好等级保护试点工作;加强宣传、培训工作。第二阶段,在做好前期准备工作的基础上,在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度;第三阶段,在试行工作的基础上,在全国全面推行信息安全等级保护制度。
结语
通过信息安全等级保护制度的制定与实施,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善。同时,信息安全等级保护制度实施后,我国信息安全厂商的相关产品也应针对等级划分进行有针对性的调整,对整个安全产业的未来发展,将有着重要的指导意义。
首期信息安全等级保护试点单位名单
北京银行
山西宇通信息中心
上海国泰君安证券股份有限公司
上海申银万国证券股份有限公司
上海期货交易所
江苏徐州市地方税务局
浙江省温州市电子政务中心
安徽省邮政局
江西省工商局
山东高速集团
河南省郑州宇通集团
湖北省武汉市物价局
广东省广州市商业银行
广西壮族自治区政府及招生考试院
国家信息安全的重要性第5篇
【关键词】信息;网络化;安全
一、引言
由于计算机的普及和网络技术的发展,使得国家间的联系得以加强。由于网络开放性和互联性的特点,它在给用户带来便利的同时,也对信息安全带来极大的隐患,当今社会不断出现个人信息、军事信息甚至是国家重要信息在网上被盗取、破坏等事件,极大的威胁国家的安全和社会稳定。因此,信息网络安全的保障是各个国家研究的重要课题之一。
二、信息安全的意义
2.1以信息化网络为基础的信息化技术已成为国家经济安全的重要组成部分
经济安全是指在经济全球化的环境下,一个国家保持其经济系统运行和国民经济发展不受外来势力根本威胁,国家经济不受分割的状态和能力。其构成主要包括资源安全、金融安全、产业安全、财政安全和信息安全等。
2.2信息网络安全是构成国家经济安全的基础
由于信息化飞速发展和网络技术的迅速普及,经济信息也与网络紧密结合起来,信息化与经济的关系越来越亲密,经济信息化的程度越来越深。当前我国的互联网涉及到了社会经济的各个领域,并直接与世界各国连接。因此互联网既是政治关口,也是国家的经济命脉。而如今,我国各行各业对信息网络系统的依赖程度越来越高,这种高依赖性势必使得社会经济十分脆弱,一旦受到外来势力的打击和破坏,信息网络无法正常运行或陷入瘫痪,随之整个社会陷入动荡甚至崩溃。因此从信息网络安全角度看,信息化程度越高,国家安全、社会安全面临的风险越大。信息的网络安全保护问题已经成为制约我国经济社会发展的关键问题之一,也是构成国家经济安全的基础。
三、信息网络化的安全问题
3.1信息安全产品出现的安全隐患
信息产业已成为社会经济发展的巨大推动力,但由信息产业产生的信息安全产品也给经济安全带来了一些问题。首先,目前我国大部分的网络硬、软件和技术都从国外引进,如果这些设备设计有缺陷或故意留有漏洞,在非和平时期被产品提供国加以利用,则我国的经济安全甚至是国家安全遭到严重的破坏。其次,我国自主研发的防火墙技术、杀毒软件等信息安全产品本身也存在一定的滞后性。一些制造商本身信誉很差,只追求片面和短期的经济利益,而忽视法律法规,自己制作病毒再推出相关产品以取得利益,罔顾人们的利益和国家的信息安全。造成网络经济的混乱,使社会对网络化的信息产生不信任感。
3.2安全意识不高,现行法律制度不完善
计算机网络安全的首要威胁是计算机病毒,当今计算机病毒技术发展非常迅猛,每年出现的病毒数越来越多,危害也越来越大。而我国部分政府网站、商业网站由于缺乏相关专业技术人才,安全防范意识不强,防火墙技术及防病毒技术的使用跟不上,造成信息的泄露,数据的完整性遭到毁灭性的破坏,严重影响信息网络的安全。另一方面,由于法律和道德的约束不力,越来越多的人突破道德底线,利用计算机和网络技术进行经济犯罪,也给国家的经济安全带来极大的危害。
四、加强网络安全,建立信息安全体系
信息安全体系的建立,不是仅仅依靠几种安全设备的简单堆砌,或者一两个人的技术就能够实现的,还要设计管理制度、人员素质的意识、操作流程的规范、组织结构的健全性等众多因素。一套良好的信息安全体系需要综合“人+技术/产品+管理+维护”运用,从而才能建立起一套完备的、高保障的信息安全体系。
4.1强化自主创新意识,开发和使用有自主知识产权的信息安全产品
国家要重视强化自主创新意识的重要性,加大力度做好信息安全标准化建设规划、推动工作,设立专项资金,发挥产学研结合,实现校企合作,及早确立全面的信息安全技术标准、管理规范,同时通过实施信息安全研发、产业化重大专项,增加对信息安全保障体系关键技术研究的资金投入,鼓励企业开创自主开发意识,生产出拥有自主知识产权的信息安全技术和产品,特别是服务器、主机、交换机等主要设备及相关操作系统、数据库软件、安全服务器技术等方面迅速形成突破,提高我国信息安全技术产品水平,以此减低对国外产品和技术的依赖,降低国外对我国经济安全的威胁。
4.2加大专业技术人员培养力度,完善信息安全管理制度
信息安全体系的建立,需要专业技术人才的支持。我国应着重培养具有经济知识的信息安全专业的技术人才,使之在网络信息的维护发挥重要作用。可喜的是现今国内很多高校已经设立了信息安全专业,信息安全学科和人才培养进入热潮阶段。同时,我们也要不断的强化专业技术人才安全意识和提高专业素质,规范和完善信息安全管理制度,保障和维护信息安全,防范内部人员出现信息破坏和犯罪现象发生。
4.3完善相关的法律法规,保障网络信息安全
法律是网络信息安全的重要保障,只有健全的法律法规制度的建立,才能有效保证网络系统安全运行、信息安全传递。随着国家的高度重视和宏观管理,我国关于信息安全的法律日益趋于完善。但是我们必须清楚的认识到,由于信息化产业发展过于迅速以及网络和计算机技术的成熟,目前的法律法规已经不能满足于现实需求,各种利用计算机进行的经济犯罪层出不穷,方式与手段不断变化,甚至达到无孔不入的地步,让人防不胜防,大量的政府信息、军事信息、经济信息等被泄露甚至破坏,严重威胁着国家安全和社会稳定。因此我国应根据信息网络化迅猛犯罪的特点,结合现今存在的现实问题,补充和完善现行的法律法规,日益健全法律体系,进一步维护网络信息系统的安全。
总之,网络化的飞速发展和计算机技术普及的推动,我国的信息化产业显现出蓬勃发展的良好势头。但是,随之而来的信息安全保护问题变得更加严峻。为此,我们应不断研究和探索,建立起一套完善的信息安全保护体系,以拥有自主知识产权的软硬件为基础,培养专业技术人才为关键,进一步完善法律法规和管理制度,努力维护网络信息安全,进而保障我国的经济安全和国家安定。
参考文献
[1]郭秦.试论信息网络安全在国家经济安全中重要性及其维护[J].理论导刊,2007.9
[2]陈爱玲.浅析煤炭营销信息网络安全[J].山东煤炭科技,2006(3)
[3]房劲,庞霞.信息安全的常见问题及对策[J].信息与电脑,2009(11)
国家信息安全的重要性第6篇
信息安全问题自古有之,只不过是在互联网出现后,这一问题被无限放大。网络颠覆了传统的信息交流环境,导致网络社会的信息安全问题较之传统社会更加复杂。与其他国家一样,信息安全已成为我国国家安全、公共安全和个人安全最严峻的威胁之一。
(一)国家安全受到严重威胁
网络运转是包括各种硬件设备和相应的软件在内的技术的有机结合,一旦离开了这些技术,网上活动将无法进行。就目前而言,从互联网资源到关键设备、网络核心技术和应用等都由以美国为首的西方国家所掌控,导致我国的网络安全岌岌可危。数据信息不仅蕴含着巨大的经济价值,而且隐藏着政治利益和国家利益,网络时代数据信息可能成为侵蚀他国和危害他国国家安全的一个强有力的武器。大数据时代,因各国的技术水平和收集、处理、控制数据的能力不同而导致信息流动出现了不对等:就经济、贸易信息而言,我国是典型的流出国,信息技术强国的信息“逆差”直接威胁着我国的经济和经济安全。
(二)公共安全受到严峻挑战
随着微博、SNS(社会性网络服务)的出现,信息在网上呈现瀑布式传播和扩散。上述网络创新应用所具有的强大的信息扩散力、渗透力可以将一般性局部事件快速演变为全局性的重大事件,使公共安全和社会稳定受到严重威胁。以美国为首的西方国家利用自身的网络技术和信息优势大量向我国灌输其意识形态和价值观念,恐怖组织、组织、分裂势力积极借助网络空间攻击我国的社会政治制度,企图瓦解民族凝聚力,这直接威胁到党的执政地位和社会安全。此外,信息网络领域不断出现各种以渲染暴力恐怖为目的的文字、图片和视频,以侵害信息网络、破坏网络关键设施、侵犯公民人身财产权利的“恐怖主义”、“网络暴力”活动越来越猖獗,致使网络社会的公共安全受到严峻挑战。
(三)个人权益未获有效保障
数据信息已成为网络时代的重要资源。计算机网络所具有的强大的信息处理能力,导致个人信息被非法收集、利用以及泄露的损害后果更加严重,个人信息在网络时代受到了前所未有的威胁。苹果公司曾被曝在没有告知用户并获得许可的情况下,私自通过iPad和iPhone手机收集用户的行踪信息,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部。DCCI互联网数据中心的《213移动隐私安全评测报告》显示,有66.9%的智能手机移动应用(APP)在用户不知情的情况下抓取用户隐私数据,其中通话记录、短信记录、通讯录是隐私信息泄露的三个高危地带。违法收集和滥用个人信息不仅侵犯了权利人的人格尊严,且往往是其他违法犯罪的工具和手段。近年来,通过违法收集、窃取等滥用他人个人信息的手段实现诈骗、盗窃乃至侵犯他人生命权的犯罪形式呈逐年上升之势。CNNIC的《中国网民信息安全状况研究报告》显示,2012年有4.56亿网民遇到过信息安全事件,占网民总数的84.8%。在遇到信息安全事件的网民中,77.7%的网民都遭受了不同形式的损失,除花费时间和精力外,经济损失总额为194亿元。
二、信息安全法的立法目的
立法目的是需要通过立法、执法和司法来实现的基本价值。信息安全法是在网络信息安全问题的不断恶化,已严重威胁国家安全、社会安定和个人合法权益的情况下,由此引起人们的关注并由此产生了解决网络信息安全的强烈需求和实现这一欲望或目的的法律规范。信息安全法的立法目的是指立法机关通过运用法律这种有效的/:请记住我站域名/社会调控手段确立一国的信息安全政策以及网络信息安全与发展的目标。
(一)美、俄信息安全法的立法目的
信息安全法的立法目的是一国在分析其国内特殊的网络安全形势基础上确定该国网络信息安全政策的具体体现。美国的信息安全战略经历了从主张“发展优先”到“安全优先”,从“适度安全”到“先发制人”,根据国家需求,构建了“信息基础设施保护”、“网络信息安全管理制度”和“信息安全文化与价值观”三位一体的国家信息安全战略体系。奥巴马政府出台的《网络空间国际战略》改变了以防御为主的网络空间战略,转而发展以“互联网自由”为核心,以“控制—塑造”为基本特征的进攻型网络空间战略。[1]与国家的网络空间政策相适应,美国在本世纪之初的信息安全法的立法目的是防范网络攻击,保障网络安全,具体而言:减少美国对网络攻击的脆弱性,阻止针对美国至关重要的基础设施的网络攻击,在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。[2]可以预见,随着美国网络空间战略的变化,美国今后的信息安全立法乃至整个网络立法都会以实现控制为核心的进攻性网络空间政策为目标。与美国不同,俄罗斯基于本国所面临的内在和外在的信息安全威胁,提出信息安全法的立法目的是:确保信息安全并在激烈的信息对抗中获得优势以维护国家利益。[3]俄罗斯和美国信息安全法的立法目的之所以存在差异,原因在于信息安全法解决的是一国的特定问题,是与国内特定的信息安全形势相关的。因此,不同的国情决定了各国的信息安全立法有着不同的目的。
(二)中国信息安全法的立法目的
以安全威胁的来源为标准,可以将威胁我国信息安全的因素分为以下两类:一是网络核心技术失控;二是网络滥用行为。决定了我国信息安全法既要通过规制危害网络安全的行为,又要通过促进网络技术的发展以掌控网络的新技术从而保障我国的信息安全。具体而言,我国信息安全法的目的应通过设定各类主体(政府、网络用户、信息基础设施运营者和信息内容提供者等)的权力或权利、义务和责任,规范信息收集或生成、传递、控制和利用行为,促进网络基础理论的研究,掌控网络的核心技术,实现信息的保密性、完整性、可控性、可用性和不可否认性,从而有效地保障国家安全和个人在信息社会的基本权益。安全主要体现工具性价值的特性又决定了它不可能被作为绝对的终极价值去追求[4],信息安全法的终极目的是实现网络主体的自由。信息安全法通过构建并维持网络社会的基本秩序进而实现保障自由的目的。网络社会秩序究其本质是网络主体的一种有组织化的活动方式,是网络主体行使其权利的基础。自由只能在秩序中获得,这决定网络主体的自由必须依存于网络社会的秩序。自由不是个体的任意,恰恰相反,自由是对个别人的任意的超越和对普遍性的认同。[5]
信息安全法通过对危害信息安全的网络滥用行为的约束以保障其他网络主体的自由。从社会学的视角看,信息是社会结构中不可缺少的构成性要素。[6]14大数据时代,数据信息进一步从社会资源中独立出来并成为一种新的结构性要素,对人类社会活动的各个领域发挥着深远的影响:数据信息对人类的政治、经济、文化等领域起到了基础性的支撑作用。鉴于信息在网络社会中的重要作用,信息安全法的目的应以实现信息的自由流动、保障网络主体传播和获取信息的自由为其终极目标。中国已进入信息社会,网络之于中国公民的意义不仅仅是赋权、赋能,更重要的是赋信息。信息的自由流通能使人们进行独立思考并激发人们的创造能力。因此,网络不单单是信息传递的工具,而且是解放国人个性的工具。通过保障信息安全以促进信息自由流动,实现信息的最大化共享与利用;通过保障网络主体的行为自由,使其能够自由的传播和获取信息,从而激发网络主体的创造力。因此,信息安全法是提高国民素质,促进社会发展与进步,提升国家竞争力的重要制度保障。 三、中国信息安全立法的指导思想
信息安全立法的指导思想是指立法主体据以进行信息安全立法活动的重要理论根据,是为信息安全立法活动指明方向的理性认识。网络的开放性、全球性、虚拟性等特征以及信息安全立法的目的决定了我国信息安全立法应遵循以下指导思想。
(一)适度安全
绝对安全不具有技术上的可能性,抑或是要支付巨额的成本。不能为了获得绝对安全而不计成本,也不能因噎废食而放弃使用网络。因此,信息安全法的“安全”并非绝对安全,而应该是适度安全。适度安全是指信息安全法的制度设计应协调安全与其他价值之间的关系,不能为了保障信息安全而牺牲了网民的自由,进而扼杀了网络技术创新。网民可以在网络世界中自由地获取、传播、处理信息,这一权利已被我国宪法所确认,信息安全法律规范的制度设计不能因强调网络安全问题而影响网络的接入。原因在于,面对网络安全和信息安全问题,恐惧并不理智,不仅对问题解决没有效果,还可能导致过度控制。在个人生活和社会生活中,一味强调安全,只会导致停滞,最终还会导致衰败。[7]41因此,信息安全法应保证国内网民以及世界其他国家和地区的网民都有安全的接入机会。网络的可接入性应该有持续性的保障,除非发生危害国家安全的行为以及刑事犯罪行为。整体安全和个人自由都是需要重点保护的根本利益,对任何一方保护的偏颇或疏漏都有可能造成整个信息安全法律关系的不稳定。因此,未来中国的信息安全法在保障整体安全的同时,应充分重视对网民个体自由的保护,在提升国家和政府对网络安全控制力的同时,协调好国家安全与公民个人自由之间的关系。
(二)开放性
云计算、移动互联网、物联网、大数据的出现将互联网发展带入一个全新的阶段,这对个人信息保护和国家安全保障提出了更高的要求。博客、微博、SNS等网络新业务新形态的出现,移动通信技术的日益成熟和广泛应用,网络信息传播形式从以文字为主向音频、视频、图片等多媒体形态转变,不仅增加了监管的难度,而且使当事人之间的法律关系变得更为复杂。如果信息安全法律规范将有关范畴依附于某一特定的技术形态,而相关技术的发展则使得建立在先前某一特定技术基础之上的法律无法适应新技术条件下的网络活动。因此,信息安全立法应坚持开放性的原则,具有充分的前瞻性和预测性,保持适当的灵活性,避免将有关范畴局限于某一特定的技术形态而遗漏了对其他网络技术特别是网络创新应用的监管。
国家信息安全的重要性第7篇
(一)信息安全的内涵
信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
(二)信息安全在国家安全中的地位
电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。
信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。
(三)我国所面临的信息安全威胁
我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实,西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域,电子媒介成为国际意识形态斗争的主导工具;某些西方大国利用信息及信息传输技术优势,妨碍、限制、压制和破坏其他国家对信息的自由运用,甚至利用信息把本国的价值观念、意识形态强加于别国头上,以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位,通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域,网络泄密是军事信息安全的重要表现;军事泄密触目惊心;黑客攻击对军事信息安全的危害极大;信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域,电脑硬件面临遏制和封锁的威胁;软件面临市场垄断和价格歧视的威胁。
同时国家为加快信息化建设的需要,大量引进国外的基础设备,对引进的信息和技术缺乏相应的有效管理和技术改造,尤其是对发达国家或跨国公司在提供关键设备中可能做手脚(如在电脑芯片中隐藏着特定的程序,有可能在某种指令下被激活,或使电脑无法启动)缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患,买来不安全的后果。
(四)我国电子政务中信息安全的现状及表现
目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪,给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的错接服务,向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点,利用电子公告栏、新闻讨论等公共媒体,发表反动文章,散布反动言论,煽动反政府情绪;利用互联网进行组党结社,公开吸纳成员;利用电子邮件直接向国内用户发送反动刊物;利用电子邮件进行联络。对电子政务中的政府信息安全受侵害的方式主要包括:偷窃、分析、冒充、篡改、抵赖等。
二、政府信息安全的保护
一个国家的信息安全,实际是由两方面构成的。其一,为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规;其二,为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略;后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础,信息安全的国家发展战略(包括信息安全法律制度),早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重,尤其作为信息技术相对落后的我国如何调整信息安全战略,完善信息安全保障法律规范,不仅是提高信息安全保障能力的手段和方法,而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容,一是国家安全监督管理,二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括:安全法规、安全管理、安全技术三方面”。
信息安全是一项极其复杂的系统工程,在安全法规、安全管理、安全技术的保障措施中,安全技术是信息安全的基础;安全管理是信息安全的关键;安全法规是信息安全的保证。
采用先进可靠的安全技术是维护信息安全的有力保障。事实上,大多数安全事件和安全隐患的发生与其说是技术上的原因,不如说是管理中的缘故。我国已发生的许多计算机安全事件(包括计算机犯罪行为),技术手段并不高明,仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施,另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员和网络用户的教育和管理。
采用安全技术,加强安全管理,可以大大提高网络的安全性。为了切实贯彻执行这些安全措施,并有实施的法律依据,制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为,只能依靠法律进行惩处,当然也包括一些民事行为的法律调整,这是保护网络安全的最终手段。同时通过法律的威慑力,还可以使有犯罪意识者产生畏惧心理,达到惩一儆百的效果。法律还可以便公民了解在网络的管理和应用中什么是违法行为,而自觉地不为,从而创造一个良好的社会环境,起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。
综观各国信息安全法律政策,其主要特征有:
1.以国家信息安全的组织保障为原则
各国在其信息安全法律政策中,无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围,在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定,由商务部所属的国家标准和技术局(NIST)负责有关敏感信息的信息安全工作,具体负责主持制定和推广计算机安全标准和指导方针,为联邦政府解决各种信息安全问题,其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等;由国防部所属的国家安全局(NSA)负责例如“国家安全系统”,即由政府及其合同单位或机构管理的信息系统中保密信息的信息安全工作,其中包括国家保密信息、美国宪法2315款第102项(Warner修正案)规定的信息、涉及谍报(Intelligence)的信息、涉及与国家安全有关的秘密活动(Crypt—logic)的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。
2.以国家信息安全的全面保障为基础
信息安全是个巨大的系统工程,需要各方面力量的综合协调,更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此,信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有,制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法;出版了《信息系统安全产品和服务自录》;对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估;全力支持对安全措施的投入;协调各个机构的信息安全工作;监督政府信息安全管理原则、标准、指导方针的制定和推广工作;强化计算机信息系统人员的安全法律培训等等。
3.以国家信息安全的技术防范为核心
社会信息化的发展实质是计算机技术为核心的信息技术在人类社会生活中充分发挥其主导控制作用的过程。任何国家的信息安全保护都不能脱离信息技术本身,就信息安全的法律保护和技术保护的关系来说,技术保护是基础和前提,法律保护只是技术保护的手段。,因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代,美国率先在计算机保密模型(Bel&
La
padula模型)的基础上,制定了《可估计算机系统安全评价准则》(TCSEC),随后又制定了关于网络系统、数据库等方面的系列安全解释,形成了安全信息系统体系结构的最早原则。20世纪90年代初,欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》(ITSFC)。近年来,美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》(CC for ITSEC),综合了国际上已有的评价准则和技术标准的精华,给出了信息安全保护的框架和原则要求。
4.以国家信息安全的技术标准为内容
将技术标准纳入国家信息安全保障的政策法律体系范畴,赋予技术标准以国家意志的属性,使其具有强制实施的法律效力,是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准,现在已经形成了由国家标准化协会制定的国家标准(ANSI)、由国家标准局制定的联邦信息处理安全标准(FIPS)以及由国防部制定的信息安全指令和标准(DOD)三位一体的国家信息安全标准体系,从不同的角度规范国家的信息安全。欧盟除了前已所述的《信息技术安全性评测标准》(ITSEC)之外,还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息安全标准。
三、我国电子政务中信息安全的保护对策
针对我国信息安全的现状,结合我国电子政务的实际,当前在政府信息安全的保护方面的当务之急是:
(一) 尽快建立我国信息安全的保护体系
1. 迅速健全信息安全保护的组织机制
国家信息化工作领导小组是站在国家的高度,对网络信息的国家发展总体战略进行规划、设计、研究,组织、协调、配合有关部门进行立法调研,使国家在网络信息方面的立法成为一个有机的整体。但地方政府和重点保护的重要领域相应的组织机构还不健全;《中华人民共和国计算机信息系统安全保护条例》中确立了公安部主管全国计算机信息系统安全保护工作,但由于编制等原因许多地方公安机关没有成立专门的机构,警力尤其是适应计算机信息技术高速发展的警力配备不足等。最好能组建国家信息安全委员会,组织和协调国家安全、公安、保密等职能部门,在信息化建设中信息安全的分工,对国家信息安全政策统一步调、统筹规划。因此尽快健全相应的信息安全保障的组织机构是信息安全保护的组织保证。
2. 尽快完善国家信息安全基础设施建设
我国目前信息安全基础设施的建设还处于初级阶段,需要逐步完善。当前迫切需要建立的国家信息安全基础设施建设包括:国际出入口监控中心、安全产品评测认怔中心、病毒检测和防治中心。关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、密钥基础设施与监管中心、信息战防御研究中心等。其中,国际出入口监控中心和安全产品评测认证中心已初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和信息安全专家委员会组成。国家信息安全基础设施建设是信息安全技术保证。
3. 坚定地确立信息安全产业的策略
目前就我国的信息产业无论是技术、管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的主要市场。但是我国必须建立起独立自主的信息安全产业。自主的信息产业或信息产品国产化是信息安全的根本。国产化不等于绝对安全,而绝对安全却需要国产化。国家可集中人力、物力和给以政策,大力发展自主的专用芯片、自主嵌入式操作系统和自主的密码技术产品等,以确保关键部门的信息系统的安全。信息安全产业的策略是信息安全的基本保证。
(二) 进一步完善我国信息安全保障的法律体系
虽然我国已颁布相当数量的信息安全方面的法律规范如《关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》等,但立法层次不高,现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章;法律规定之间不统一;立法理念和立法技术相对滞后等,因此要进一步完善我国信息安全的法律保障体系应当做到:
1. 确立科学的信息安全法律保护理念
为了使国家的政策法律能够适应社会存在的现实和需求,需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想,修正传统的立法理念,从彻底改革国家传统的经济体制和保障机制入手,改变落后的调整方法,把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建设与发展“扫清障碍”上来,以规范发展达到保障发展,由保障发展实现促进发展,构筑促进国家信息化发展的社会环境,形成适于信息网络安全实际需要的法治文化。
2. 构建完备的信息安全法律体系
信息化的社会秩序主要由三个基础层面的内容所构成,即信息社会活动的公共需求,信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往往以政府意志的形式代为表现的社会公众的共同意愿,其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等,是指导国家信息化发展的基本内容,也是国家信息化建设的公共需求;信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用,包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等,它是信息社会生活必不可少的基本支柱;信息社会所特有的社会关系是指在国家信息化建设的过程中,参与其中的各个主体之间由于其信息化活动而产生的各种社会关系,具体将表现为相应的法律关系,其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应,国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。
3. 强化超前的信息安全法律效率
信息技术突飞猛进,信息安全政策、法律的促进作用不应仅仅是被动适应和滞后,在国家信息化建设中,更多地还应表现为对技术的主动规范性和前瞻性。信息安全政策法律必须促进信息技术的进步,因此要强化超前的信息安全政策法律的效率。在制订政策和创设法律时应当借鉴国际社会关于“技术中立”的主流思想,注意政策和法律符合技术的特殊要求,同时为技术的发展和完善预留空间,排除可能窒息技术发展的可能性,提高法律自身对信息社会的适应性。在具体做法上,则可以吸取外国的“明示式”和“开放式”立法模式中有益的成分,参照“准则式”的立法模式解决技术和法律之间的矛盾,鼓励技术创新,开发自主的知识产权,加强技术标准体系的建立和完善,提高国家信息法律规范的效率。
4. 主动融入国际信息安全的法律体系
国家信息安全的重要性第8篇
确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题,即:如何切实保障信息网络安全,以确保我国信息化建设快速、平稳、健康发展,避免信息网络安全问题导致社会危机的发生。
同时,它也要求我们必须结合国情,从“发展是硬道理”出发看待和把握信息安全问题,对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断,制定科学、务实、有效的安全保障战略。
提升应急能力
面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动。
在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题,我们在方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合(如图1所示)。
要落实综合集成的方法论就要综合治理,不仅靠一个部门或一个企业制定信息安全应急预案,而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。
同时,我国也必须要建立自己的体系,并与全球的相关组织紧密合作,实现从定性到定量的协调机制。在不断变化的技术环境中,今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化,必须作为系统开发生命周期中的一重要组成部分加以考虑,并在每一阶段明确其定位。
信息安全常被看作是一个技术问题,少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。
避免误区
在评估和把握我国信息安全形势的走向时,要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下,对信息安全问题的演变趋势估计不足、重视不够,给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高,把技术与管理不健全而造成的安全问题视为战略问题,造成人力、财力的浪费,给国家管理和社会进步增添负担。
思路和原则
抓住我国综合实力进一步增强和加入WTO的机遇,统筹我国信息安全保障体系建设,在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验,在15~20年时间内,坚持与时俱进、求真务实的精神,通过统一规划、分步实施,政府引导、全民参与的方式,通过信息安全治理,建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:
坚持风险管理原则完全避免风险是不现实的,要对关键领域的信息安全风险进行识别和评估,采取必要的保护措施和应急措施来降低风险,使之控制在可承受的范围内。
明确统筹兼顾原则在实施策略方面,要明确国家、企业和个人在信息安全方面的责任和义务,充分发挥各方面的积极性;要统筹城乡信息安全建设,协调区域化信息安全建设与全国信息安全建设。
重视经济实用原则切忌空谈和夸大,量力而行,突出重点。以我国信息安全领域最急需开展的工作作为突破点,扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点,技术上要采用综合集成思想,逐步完善关键基础设施的安全保障,切实提高信息安全防护能力。
遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应,采取统一规划、分步实施,以及短期和中长期目标相结合的方式进行。
治理三阶段
国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全,实现国家对信息化环境与内容的治理(如图2所示)。
第一阶段,打基础、保重点,初步建立我国信息安全防护体系。
战略重点是保障“3+7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。
保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。
保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系,实现对信息内容安全监控,对有害信息内容进行过滤,减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。
通过立法,将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管,增强信息犯罪取证调查能力。
第二阶段,重体系、促发展,形成较强的国家信息安全保障能力。
战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展,形成良好网络秩序。
政务网络安全保障重点是保证关键指令和信息的有效上传下达,政务资源的有效整合和利用。为此,要加快安全保障体系与安全支撑平台建设,这是政府在信息安全上的法律职责和义务。
第三阶段,实现对信息网络的有效治理,初步具备信息反制能力。
战略重点是有效维护信息空间领域国家利益,大幅提高全民在信息化进程中生活质量和福利。
战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。
在政策法规方面,建立完善的信息安全法律法规体系。在技术方面,依据信息安全技术战略,在关键领域取得突破性进展。在产业方面,通过政策倾斜和市场竞争,孵化出信息安全“航空母舰”型企业,信息安全主要核心技术基本实现自主化。
五大安全治理规范(供参考)
一、经济合作和发展组织,《信息系统安全指南》(1992)
《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
二、国际会计师联合会,《信息安全管理》(1998)
信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
ISO 17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT)
CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。
五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)
国家信息安全的重要性第9篇
一、电子政务中信息安全的几个基本问题 (一)信息安全的内涵 信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。 (二)信息安全在国家安全中的地位 电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。 信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。 (三)我国所面临的信息安全威胁 我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实,西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域,电子媒介成为国际意识形态斗争的主导工具;某些西方大国利用信息及信息传输技术优势,妨碍、限制、压制和破坏其他国家对信息的自由运用,甚至利用信息把本国的价值观念、意识形态强加于别国头上,以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位,通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域,网络泄密是军事信息安全的重要表现;军事泄密触目惊心;黑客攻击对军事信息安全的危害极大;信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域,电脑硬件面临遏制和封锁的威胁;软件面临市场垄断和价格歧视的威胁。 同时国家为加快信息化建设的需要,大量引进国外的基础设备,对引进的信息和技术缺乏相应的有效管理和技术改造,尤其是对发达国家或跨国公司在提供关键设备中可能做手脚(如在电脑芯片中隐藏着特定的程序,有可能在某种指令下被激活,或使电脑无法启动)缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患,买来不安全的后果。 (四)我国电子政务中信息安全的现状及表现 目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪,给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的
服务严谨可靠
7×16小时在线支持
支付宝特邀商家
不满意退款
400-808-1701