你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
咨询热线:400-838-9661 订阅热线:400-838-9662
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 机械杂志 生活杂志
当前位置: 首页 精选范文 国家信息安全的重要性

国家信息安全的重要性合集13篇

时间:2023-10-12 17:41:06

国家信息安全的重要性

国家信息安全的重要性篇1

1对信息安全的理解

 

信息安全战略首先要回答什么是信息安全以及我国信息安全的特殊性问题。从内涵角度讲信息安全是指在社会发展信息化的趋势和环境下信息和信息网络、信息系统的整体安全。从外延角度讲信息安全是国家安全的重要组成部分,信息安全关系到国民经济健康发展、政治稳定、文化安全、国防安全和公民、企业的合法权益。

 

信息安全具有完整性、专有性(保密性)、可用性、可控性、不可否认性和合法性等六个基本属性。完整性是指,保证信息在传输、处理、存储中未被増加、修改、删除、替换;专有性是指,保证信息仅为信息享有者或者其授权者所专门知晓和拥有;可用性是指,保证信息系统和其中传输、处理、存储的信息,通过正常操作能够完整实现其预期功能;可控性是指,保证信息系统和其中传输、处理、存储的信息能够始终处于系统所有者或者其授权者的正常、有效控制和管理之中;不可否认性是指,保证信息系统能够准确记录系统的运行情况,追溯信息来源;合法性是指,保证信息内容和制作、、复制、传播信息的行为符合宪法和法律的规定。

 

我国的社会制度和面临的威胁,决定了信息安全的合法性是我国信息安全的特殊要求,是我国信息安全中的关键,也是与其他国家的最大区别,具有中国特色和时代特色。我国的信息安全不仅包括信息、数据自身不受破坏的属性,还特别强调制作、、复制、传播的信息数据的内容必须符合法律要求;制作、、复制、传播信息数据的行为方式必须符合法律要求。

 

2我国信息安全面临的严峻形势和主要威胁胡锦涛总书记指出,“信息安全是个大问题,必须把信息安全问题放到至关重要的位置,认真加以考虑和解决”。目前研究国家信息安全是在一个特定的历史时期和特定历史环境下的信息安全,信息安全离不开国家、历史和现实发展的大背景,同时也与国家政治、经济、文化以及社会生活的方方面面紧密相关。从全局高度,综合分析,我国信息安全问题面临着非常严峻的形势,各类威胁己经突出显现。主要体现在以下八方面:

 

(1)我国对信息化的依赖性

 

从目前总的信息化水平来看,我国社会信息化水平不高,整体依赖性不强。但必须看到,第一,我国涉及国计民生、经济发展的重要领域和高科技领域对信息安全的依赖性己非常强,信息安全问题造成的危害不比信息化发达国家弱;第二,高科技领域历来都对低科技领域起到主导和控制作用,因此重要领域和高科技领域对信息化的依赖程度,己经影响到国家安全、社会秩序和管理机制;第三,我国目前社会承受能力很弱,信息安全出现的问题有可能出现连锁反应,对社会造成严重冲击,如证券、银行、电力、铁路等。

 

(2)我国信息化的脆弱性

 

我国信息化的脆弱性体现在:一是技术的脆弱性。信息安全关键技术不能自主可控,西方信息技术优势对我国信息安全产生严重影响。二是设备的脆弱性。信息化建设中的核心元件、设备我们不能生产,要依赖进口。软硬件的安全漏洞、隐患甚至“后门”大量存在,很难发现,其安全性难以根本保证。三是管理的脆弱性。相当一些单位、企业适应信息化的现代化管理体系和机制尚未建立起来,计划经济下的传统管理方式造成安全的更加脆弱。四是安全防范的脆弱性。我国信息安全基础设施投资不足、管理不善,不能满足保障信息化建设的需要。信息安全市场的国际化,使得我国部分失去信息系统建设和信息安全服务的控制权。另外在管理层面,我国信息安全管理机关职责不清,多头管理,信息安全保障制度不健全、责任不落实、监管不到位,也是我国信息安全脆弱性的具体表现。

 

(3)来自于境内外敌对势力宣传煽动十分突出境内外敌对势力利用信息优势有组织有计划地利用互联网对我国进行渗透和破坏,成为部级的对抗。他们利用网络易攻难守的非对称性特点和技术优势,把互联网作为对我颠覆、渗透和破坏的重要工具和渠道。影响社会稳定的各种因素也往往通过网络进一步扩展、放大,造成很大的社会影响。

 

(4)网络违法犯罪快速増长,危害日趋严重近年来,利用和针对网络的违法犯罪一直呈成

 

倍増长的高发态势,现实危害性日益増强。传统犯罪和网络犯罪相互渗透,信息网络己经成为不法分子进行诈骗、盗窃、敲诈勒索、走私、贩毒、、色情交易等各种违法犯罪活动的重要工具,网上违法犯罪案件对社会的影响和危害加重。

 

(5)网上情报活动和窃密、泄密现象严重各国情报机关都将互联网和网络技术作为进行情报和窃密活动的渠道和工具,我国网上窃密、泄密的情况屡屡发生,对国家安全、经济安全造成严重危害。

 

(6)境外意识形态和思想文化的渗透及侵略不可忽视

 

互联网文化从一开始就是西方文化,网上主流意识形态和主流的世界观、价值观都是西方化的。互联网己成为宣扬西方价值观念和政治准则的主要渠道,如不进行有效的控制,将对我国的青少年一代产生十分严重的负面影响。

 

(7)计算机病毒和黑客攻击对信息安全构成严重威胁和破坏

 

我国涉及国计民生的重要领域对网络的依赖性越来越强,但安全隐患大量存在,一旦遭受黑客攻击或发生信息网络安全问题,就可能导致灾难性的后果。去年以来,全球范围内较大规模的计算机病毒爆发已有数十次,均对我国造成了重大危害。

 

(8)信息战、电子战、心理战及网络恐怖等潜在威胁日益严重

 

信息战不可避免地成为未来军事战争的主要形式。信息获取、处理、传输、利用等各个环节上都存在着对抗,关键信息的泄露或破坏会给整个军事行动造成重大影响。恐怖主义向信息网络领域的渗透和扩张,网络恐怖活动威胁増大。信息网络既是恐怖活动的新领域也是恐怖活动的重要手段。一是可能以国家重要基础设施信息网络为目标,利用黑客和计算机病毒技术实施网络攻击,破坏国民经济和社会生活秩序;二是可能以互联网为媒体,进行网上恐怖心理战和宣传战,破坏政治稳定,制造社会恐慌;三是利用信息网络进行组织策划、联络和收集、窃取与恐怖活动相关的情报信息,以便在社会上实施常规恐怖活动。由于我国信息化发展起步较晚,面对信息战和网络恐怖等潜在威胁比西方发达国家更严峻。

 

3国家信息安全保障的战略目标、指导方针、基本原则和基本制度

 

3.1国家信息安全保障的战略目标

 

逐步建立健全系统、完整、有效的国家信息安全战略体系;全面提高信息安全防范能力、控制能力、保护能力、应急处置恢复能力和侦查打击能力;保障基础信息网络和重要信息系统的安全;创造安全健康的网络环境,实现信息安全与信息化建设同步发展,维护国家安全、社会稳定和公众合法权益。

 

3.2国家信息安全保障的指导方针

 

坚持“积极防御、综合防范”的方针,全面提高信息安全发现预警、防范控制、保护评估、应急恢复、查处打击、对抗反制、监督检查等能力,构建立体防御体系,提高我国信息安全保障的整体水平,促进信息化健康发展。

 

“积极防御、综合防范”是我国信息安全保障的基本方针。信息安全是防御性的安全,目前我国信息安全的被动局面在短期内不可扭转。积极防御,就是立足于安全保护、加强预警和应急处置,从更深层次和长远考虑,提高隐患发现、安全保护、应急反应、信息对抗等能力,实现对网络和信息系统的安全可控。综合防范,就是坚持预防、监控、应急处理和打击犯罪相结合,做好保护、检测、反应、恢复、预警、反制六个环节中的工作;从国家组织框架、监管、监控、打击犯罪、应急处置、法律、标准、人才、技术和产业发展等方面入手,通过全社会的共同努力,全面提高信息安全保障能力。信息安全是一个基于高技术、非对称、超常规的信息对抗过程,这个过程没有尽头。对抗的双方,主动攻击者在暗处,被动防御者在明处。少数人的主动攻击,会造成防御方很多人被动应付的局面。面对这种严重不对称现象,就必须制定一个”积极防御、综合防范”的战略方针,以扭转被动防御的局面。3.3国家信息安全保障的基本原则

 

信息网络把政府、企业和公民个人都联系起来,人们与信息网络的关系越来越密不可分。而随着信息网络的发展,现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全。信息安全不仅是国家、政府各部门的责任,也是各行业、各单位和每个公民的责任。国家信息安全存在于信息安全的各方面之中,也寓于所有单位和个人之中。

 

第一,信息安全要靠全社会的共同参与。信息安全是一项复杂的系统工程,也是一项长期的、社会化的工作,我国信息安全保障体系建设面临着非常繁重的任务,维护国家信息安全需要政府、单位、个人三方面共同参与和努力。

 

第二,实行“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的信息安全责任制。发挥网络使用和建设单位职能作用,提高他们对安全工作重要性的认识,建立健全各项安全管理制度和技术防范措施,完善和落实信息安全责任制,维护自身信息安全。广大网络用户要増强法制意识和网络安全防范意识,自觉遵守信息安全法规,维护信息安全。信息网络和信息系统主管部门负责领导本系统的信息安全工作,承担和落实信息安全责任,组织运营、使用单位落实安全措施。信息网络和信息系统运营、使用单位应当落实安全组织、人员和安全管理制度、安全技术措施。提供信息安全产品和安全服务的单位,应当保证其提供的服务和产品的安全,维护国家安全、公共利益,保守国家秘密,保护公民、法人和其他组织的合法权益。公民、法人和其他组织在信息网络和信息系统应用中,应当遵守国家法律、法规的规定,承担法律法规规定的安全责任。

 

第三,国家要在信息安全中起主导作用。各级政府必须加强对信息安全工作的领导,组织、协调信息安全监管职能部门及政府其他有关部门、企事业单位和个人共同维护信息安全,在国家信息安全保障工作中起主导作用。在发生信息安全重大事件,对国家安全、社会秩序和公共利益造成危害、威胁时,各级政府应当启动应急处置预案,组织协调有关部门、企事业单位和个人做好应急处置工作。各级政府应当支持信息安全技术的研究开发,鼓励培养信息安全专业人才,开展信息安全宣传教育。

 

第四,执法和监督部门要充分发挥作用。公安机关、国家保密工作部门、国家密码管理机构等信息安全监管职能部门,依法监督、指导有关部门、企事业单位和个人履行信息安全职责、责任和义务,预防、制止和惩处危害信息安全的违法行为,维护国家安全、社会秩序和公共利益,保护公民、法人和其他组织的合法权益。

 

3.4国家信息安全保障的基本制度

 

如何全面和整体解决各行各业在信息化建设中的安全问题,是国内外信息安全界多年来一直关注的问题。美国及西方发达国家为了抵御信息安全的脆弱性和安全威胁,制定了一系列强化信息安全建设的政策和标准,其中一个很重要的思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。

 

《国家信息化领导小组关于加强信息安全保障工作的意见》中关于实行信息安全等级保护的重要决定,是国家解决信息安全保护问题的基本政策。信息安全“等级化的管理”制度主要体现在:一是信息安全等级保护制度要求国家、社会、单位和个人共同参与等级保护工作各方主体按照规范和标准分别承担相应的、明确具体的信息安全责任。二是根据信息和信息系统的重要程度和安全需求,划分安全保护级别。信息和信息系统按照等级保护的要求进行建设、管理。重点保障涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息和信息系统的安全,优先保护重要领域的高级别的信息系统。

 

三是国家运用规范和标准,要求信息和信息系统按照相应的建设和管理要求,进行自主定级、自行保护。四是国家指定行政执法部门,对重要信息和信息系统的安全进行监督。

 

实行等级保护制度是在借鉴国外先进经验和结合我国国情的基础上,解决我国信息安全问题的必然选择和有效途径。国家实行信息安全等级保护制度是国家统一并规范信息安全保护工作,扭转信息安全保护工作的不利局面的迫切需要;是国家基础信息网络和重要信息系统主管部门及建设、运营单位正确把握系统安全问题和安全需求,用统一规范进行信息系统安全建设与管理,改进、提高系统安全水平的需要;是信息安全检测评估机构进行科学、准确评估与验证系统和产品安全等级的需要;是信息安全职能部门有效履行信息安全等级保护职责,开展监督、检查、指导工作的需要;是信息安全企事业单位针对国家和市场需求研发信息安全等级保护科学技术和产品的需要;是提高信息安全保护职能部门查处违法犯罪案件的需要。

 

1980年以来,公安部组织各方面的力量就国家信息安全保护问题,从立法、管理、技术等方面做了深入的调查研究。在此基础上,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》,第一次以法律的形式确定了在我国实行信息安全等级保护制度。1999年国家颁布了《计算机信息系统安全保护等级划分准则》(GB17859—1999)。该标准将信息系统划分为五个安全保护等级,为开展我国信息系统安全保护等级工作确定了技术性指导原则。2000年起,公安部组织起草了30余项等级保护技术标准,研制了等级检测评估辅助工具,并在一些单位组织开展了信息安全等级保护试点工作,为进一步开展等级保护工作打下基础。根据《条例》的授权和要求,公安部自2002年起研究起草《中华人民共和国信息安全等级保护管理办法》,同时组织编写并己初步完成了《信息安全等级保护实施指南》、《信息安全等级保护评估指南》,为信息安全等级保护工作的实施做好了前期的准备。

 

4国家信息安全保障的战略措施随着社会信息化程度的不断提高,信息网络己经渗透到社会领域的各个方面。单靠任何一个领域或者部门都无法支撑整个国家的信息安全,必须采用综合集成的方法,对现有的各个领域、各个层面的资源、策略、手段进行整合,共同构建国家信息安全保障体系。胡锦涛总书记指出,“意识形态领域尤其是网上斗争十分复杂,有时还十分尖锐。我们也要学会这种斗争方式。要密切关注、适时揭露对我的造谣诬蔑,増强广大群众,尤其是青年一代的识别能力”。并要求,“我们要把掌握网上斗争的主动权放到十分重要的位置,立足长远,从领导力量、体制机制、技术手段、经费保障、人才培养等方面,采取一系列的综合措施”。为了实现国家信息安全战略目标,在战略方针的指导下,提出支持国家信息安全保障体系的十大措施。

 

4.1建立健全国家信息安全组织领导体系,解决信息安全工作的组织保障国家信息安全保障的关键在于组织领导,国家要有一个能够协调各个有关职能部门的高层机构来统一领导信息安全保障工作。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系。

 

国家组织领导体系要能够做到集中各级各方面的网络安全情况,及时正确地进行宏观决策;明确主管部门,有效地组织协调有关职能部门;建立统一指挥、统一行动的国家信息安全保障机制;统一指挥、调度、处置各种信息网络安全重大事件;部署各项信息安全保障措施。

 

各重要信息系统主管部门按照“谁主管、谁负责”的原则,组织开展本系统的信息安全保护工作,承担安全责任。公安部在信息安全领域负责指导、监督、检查。涉及国家秘密的信息系统,由保密局按照党和国家有关保密规定进行保护。涉及到密码问题,由密码办负责。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系。

 

国家信息安全的重要性篇2

五年发展的经验积累

回顾这五年所走过的历程,我们在维护国家信息安全,加强信息安全标准化工作方面积累了十分宝贵的经验。

1.必须站在维护国家信息安全的高度认识信息安全标准化工作

信息安全标准在信息安全保障体系建设中发挥着基础性、规范性作用,是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中保证其一致性、可靠性、可控性的技术规范、技术依据。没有信息安全标准,信息化建设的安全可靠就无法保证。信息安全标准化是支撑国家信息安全保障体系建设,关系国家信息安全的大事,也可说是网络时代保证网络安全的交通规则!因此我们必须站在维护国家信息安全的高度来认识和开展标准化工作。

2.必须高度重视顶层设计和体系的统筹规划

信息安全关系到国家安全和社会稳定,关系到国家信息化的健康发展。多个部门齐抓共管是我国信息安全管理工作的特色,在信息安全标准化方面,各有关部门、行业都积累了很多经验,也都有自己的工作特点。而信息化建设中,基础信息网络和重要信息系统互联互通、信息交换共享又是必需的,所以互联共享的安全保障往往是跨部门、跨行业的。这一特点决定了信息安全标准化工作必须在国家主导下,各有关部门分工协作,依托有实力的企业、科研机构的合作。因此,信息安全标准化的顶层设计和整体统筹规划尤其重要。这几年我们研究提出了《国家信息安全标准体系》、《国家信息安全“十一五”规划》等指导性文件,都是从顶层对信息安全标准化进行了设计和总体规划,对统筹协调今后的信息安全标准化工作具有重要意义。

3.必须紧紧依靠部门和社会各方面的力量推进信息安全标准化工作

根据我国的实际和信息化发展的需求,各部门大力支持和协同是信息安全标准工作成功的关键;科研机构和相关企业是标准制定和创新的主体;专家是保证标准科学性和先进性的中坚力量。五年多来,正是由于国信办、公安部、国家安全部、财政部、信息产业部、国家保密局、国家密码管理局、认监委等部门都从国家利益出发,团结协作,群策群力,共同支持信息安全标准化工作,才有今天的成绩和良好局面!同时这也是全国100多家科研院所和相关企业几年来共同努力的结果,是他们作为主体承担了这些标准的研究制定任务。

4.必须紧紧围绕国家信息安全保障体系和重大信息化工程建设开展信息安全标准化工作

信息安全保障体系和重大信息化工程建设既是信息安全标准的需求者,也是信息安全标准应用的推动力,信息安全标准化工作只有服务于信息安全保障体系和重大信息化工程建设才能发挥作用。几年来,我们围绕国家信息安全保障体系和重大信息化工程建设重点工作,积极研究制定的系列信息安全技术和管理标准,在支撑我国信息安全等级保护、网络信任体系建设、产品认证认可和《电子签名法》实施等信息安全保障体系建设重点工作,及电子政务、电子商务等信息化重大工程建设方面,保障国家信息安全发挥了重要作用,这是我们成功的一个宝贵经验。

5.必须正确处理自主制标与采用国际标准的关系

与发达国家相比,我国在信息安全标准制定方面,差距还是比较大的。我们在信息安全标准化工作中,要充分吸收借鉴国际信息安全标准化的成功经验和好的做法,在积极采用国际先进标准的基础上,要始终结合自己的国情,加强创新;对涉及国家信息安全、属于世贸组织《技术性贸易壁垒协定》(TBT)合法目标的标准,都应该坚持自主制定。同时要积极寻求参与国际合作与交流,实质性地参与国际标准化工作,不断提高我们的水平和能力,积极把具有我国自主知识产权的信息安全技术提升为国际标准。这样不仅能提高我国在国际标准化领域的影响力,而且对推动具有我国自主知识产权的信息安全技术应用,促进信息安全产业的发展具有重要意义。

体系建设的努力方向

2008年是中国奥运年,也是信息安全保障体系建设全面深入年,信安标委要更加努力工作,争取多出好标准、系统性大标准及全局急需的标准,为奥运做贡献!

1.看清信息安全趋势,提高对标准化认识

随着信息化建设的不断推进,特别是国民经济越来越依赖重要信息系统,国家管理也越来越依托网络系统,信息安全会越来越重要,保障信息安全的任务会越来越繁重!一方面信息安全事件发生的频率有可能大大增加,另一方面信息安全事件造成的损失和影响会越来越大;公共信息安全会成为国际上越来越关注的问题,成为各国面临的共同挑战。我们应在这方面早作对策研究,积极参加国际信息安全秩序的制定。目前,依据有关技术和管理标准对信息安全产品和信息系统实行管理,已成为全球化和信息化趋势下维护国家信息安全的重要手段。党的十七大报告中提到:要求我们树立世界眼光,加强战略思维,把握发展机遇,应对风险挑战。这对我们搞好信息安全工作具有非常重要的指导意义。信息化是世界发展的大趋势,一手抓发展,一手抓安全的原则,我们时刻不能懈怠。

信息安全标准化是信息安全保障体系建设的基础技术和管理支撑,是保障国家信息安全保障体系建设的大事。我们要认清形势,增加责任感、使命感,按照国家关于加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系的要求,加倍努力,为国家信息安全标准化工作作出更大贡献。

2.要认真落实“规划”,抓好重点工作

“十一五”期间,国家财政将根据工作开展需要,继续重点支持国家信息安全战略研究、标准预编制、标准基础研究、重点标准试点、国际标准化跟踪和专项研究等工作。我们要围绕27号文件提出的各项任务,按照《国家信息安全标准化“十一五”规划》的要求,重点抓好基础类、管理类和系统类等急需标准的制修订工作,认真开展标准基础理论和跨系统安全的研究,大力加强标准宣贯与服务,推进标准实施,提高应用效果,最大限度地发挥标准的基础性和规范性作用,加强信息安全标准的自主创新,积极推进信息安全国际标准化工作。

3.加强标准宣贯与服务

标准只有通过应用才能发挥作用。委员会成立以来已经完成了近60项标准制定,取得了很好的成绩,但用得怎么样?要做些科学评估。要加强标准的培训和宣传,配合相关部门开展的信息安全重点工作和标准实践,做好标准服务支撑,促进标准在我国信息安全保障体系建设中的应用是目前我们的一项重要任务。要充分利用委员会网站、召开标准新闻会、召开标准宣贯会议、举办标准培训班和结合国家重点工程建设举办标准研讨会等多种方式,加强信息安全标准的培训和宣传工作,推动标准应用。

4.认真筹办国际会议,推进国际标准化工作

国家信息安全的重要性篇3

20世纪70年代以来,以信息技术为核心的高技术群的迅猛发展及其在社会各领域中的广泛应用,将人类社会推进到了信息社会。在信息社会里,信息网络系统的建立已逐渐成为不可或缺的基础设施,信息已成为社会发展的重要战略资源、决策资源和控制战场的灵魂,信息安全已成为国家安全的核心因素。无论是在平时还是战时,信息安全问题都将是一个战略性、全局性的重要问题。谋求国家安全,必须高度重视信息安全防护问题。

一、搞好信息安全防护是确保国家安全的重要前提

众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。

二、我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

三、积极采取措施加强信息安全防护

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

第二,要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

第三,要加强信息管理。要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。

第四,要加强信息安全技术开发,提高信息安全防护技术水平。没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打下一个良好的基础。

参考文献:

1、俞晓秋.信息革命与国际关系[M].时事出版社,2002.

国家信息安全的重要性篇4

众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。

二、我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

三、积极采取措施加强信息安全防护

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

国家信息安全的重要性篇5

1网络信息安全概述

(1)网络信息安全的内涵。

目前对于网络信息安全的界定学术界仍旧没有一个统一的观点,不过根据2001年第56届联合国大会关于信息安全概念的阐述,研究者们普遍认为网络信息安全的内容主要包括网络信息的保密性、完整性、可控性、可用性和抗否认性五个部分。当然,也有部分学者认为网络信息安全的内容应当包括信息设施安全、数据安全、程序安全和系统安全四个方面。虽然说当前关于网络信息安全的界定仍旧是众所纷纭,但是分析其代表性观点,我们仍旧可以发现一些共通之处,例如网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科等。

(2)网络信息安全的特点。

网络信息安全和传统的信息安全有着很大的区别,主要体现在以下几个方面:首先是网络信息安全更为脆弱。传统的信息安全只需要保护好相关的数据资料即可,但是全球互联网是建立在自由开放的基础之上的,这也就决定了共享和利用是网络的基本特性之一。这和信息的保密性是存在天然的冲突的,因此网络信息安全的风险性更高,更为脆弱;其次是网络信息安全的突发性更强。计算机是网络信息传播的主要媒介,因此网络信息的安全性很大程度上是受到计算机性能的影响的。而计算机病毒的爆发往往具有突发性和不可预测性,因此网络信息安全的突发性更强,难以预防;最后是网络信息安全的全球性。互联网技术的发展是全球一体化的重要保障,但是也导致了网络信息安全具有全球性的特点。以计算机病毒为例,一台计算机在感染病毒之后往往在几秒之内信息就遭到破坏,之后以极快的速度向全球范围内扩散。可以说是网络信息安全脆弱性、突发性和全球性的集中体现。

2保障网络信息安全的重要意义

(1)网络信息安全是政治安全的保证。

因为网络信息具有传播快、范围广、渗透强、易受攻击等特点,因此在实践中很多不法分子往往以网络为平台来传播各种谣言和煽动活动。例如很多恐怖组织袭击的号令就是通过网络途径的,很多组织通过网络来散步各种歪理邪说并施加其政治影响,不仅对社会稳定造成了不利影响,甚至有可能对国家政治安全造成损害。因此,做好网络信息安全保护工作是实现国家政治安全的重要保障。

(2)网络信息安全是经济发展的重要前提。

从经济的角度来看,互联网技术的发展使得世界各地区的联系愈加紧密,生产成本大幅度下降,电子商务、虚拟资本运作等成为社会经济的重要组成部分。但是我们也不能忽视网络信息安全的脆弱性对经济发展的潜在威胁,例如近年来金融机构在保护消费者资料时面对两大挑战,一个是网络入侵手段越来越高明,消费者资料被盗的程度和发生频率越来越高,另一方面大众对政府监管金融机构网络信息的要求越来越高,使得金融结构的工作人员普遍存在着焦虑心理。而导致这些的根本原因就是网络信息安全无法得到保障,使得经济发展的速度和稳定性受到很大影响。

(3)网络信息安全是文化安全的重要保证。

文化的发展和传承是国家凝聚力强弱的重要决定因素,其对于社会经济的发展也是有着举足轻重的影响的。随着网络信息技术的发展,文化的传承和创新也出现了很大的变革,文化在互联网技术的支撑下传播速度、传播范围、信息的承载量等都有了显著的提高。但是互联网开放性的特点决定了国外信息传入国内也是十分方便的,因此给予西方发达国家以可乘之机,其利用信息技术的优势强行推行自身的价值观念和文化观念,对本国固有文化造成了很大的威胁。因此,如何在开发信息的前提下实现网络信息安全目标是文化安全的基本要求。

3网络信息安全存在的问题分析

和发达国家相比,我国网络信息安全起步相对较晚,但是随着国家对网络信息安全重视度的不断提高甚至上升到国家战略的角度,先后出台了一系列法律法规来为网络信息安全保驾护航,再加上教育界不断加大网络信息安全方面的人才培养力度,因此当前我国网络信息安全已经超过世界平均水平,但是也或多或少的存在以下几个问题:

(1)网络信息安全基础薄弱,对国外的依赖性加高。

由于我国网络信息安全的起步较晚,再加上发达国家对信息产业的严格控制,因此我国信息产业的发展很大程度上依赖进口,为网络信息遭受攻击和破坏埋下隐患。其中从硬件设备来看,当前我国各行业所使用的大型计算机中央处理器基本上都是从国外进口,自主研发仍旧遥遥无期。对此中国工程院院士信息专家沈昌祥将此种情况形象的比之为“美元买来的绞索”;而从软件方面来看,操作系统作为计算机不可或缺的软件,当前我国无论是民用还是军用基本上都来源于美国,不仅造成了网络信息安全管理技术受制于人,也为网络信息受到攻击和破坏埋下了隐患。对此最为典型的案例就死2001年《光明日报》报道的英特尔公司在其电脑芯片上设置识别用户身份的序列号事件,这是首次曝光的国外企业窃取国内信息的事件。由此可见对网络信息安全基础薄弱,对国外依赖性过强所带来的不良后果。

(2)网络信息安全意识淡薄。

人是网络的建设者和使用者,窃取网络信息的是人,保护网络信息安全的也是人,因此作为网络信息的主体,个人的安全意识强弱很大程度上直接决定了网络信息的安全性高低。当前我国政府对网络信息安全的重视性是毋庸置疑的,当时社会个体却普遍存在着网络信息安全意识淡薄的问题。

(3)反动势力对网络信息的利用。

随着信息化时代的到来,网络信息已经成为各方势力必争的“第四媒体”,从我国近年来的发展历程来看,窃取网络信息,利用网络宣传歪理邪说的事件层出不穷,例如早已取缔的组织“”至今在境外仍旧有网站进行宣传,其它的“”“”等反动组织也在利用网络来宣传极端民族主义,对我国信息安全造成了严重的威胁。但是,当前我国网络信息安全理念仍旧更多的存在于技术层面上,即只要网络没有受到攻击,就说明网络信息安全没有受到威胁,忽视了网络上不良信息给社会所带来的影响。

4加强网络信息安全对策

(1)建立和完善网络信息安全的相关法律法规。

建立和完善网络信息安全的相关法律法规,是保证网络信息安全的基础。从国际范围来看,伴随着网络信息安全日新月异的发展,各国无不纷纷制定或完善相应的法律法规对网络信息安全加以监管,使得法律的监管能够与信息技术的发展相适应,从而保证国家安全。对此笔者认为在建立网络信息安全法律法规时需要注意以下几个因素:首先是确保网络信息法律法规的与时俱进性。为保证网络信息安全,我国先后出台了一系列法律法规,但是这些法律法规已经很难适应飞速发展的网络信息技术的需要,例如对电子签名、电子知识产权、电子出入境等规定不明确等。因此,借鉴国际信息安全管理的先进经验,与我国的自身特色相结合,以维护国家利益为基本出发点,制定符合我国国情的信息安全管理法律是必要且重要的;其次是增强网络信息安全法律法规制定的超前性。网络信息技术至今仍旧处于高速发展期,这一现实决定了相关法律法规的制定欲要满足网络信息技术的发展,必须具备一定的超前性。

(2)加强政府在信息安全管理方面的作用。

政府作为信息安全管理的主体,在信息安全管理方面发挥着主导性作用,一方面,政府以其管理者的身份制定相关的信息安全管理法规制度等,另一方面,政府也主导建立信息安全产业发展的政策,保证信息产业的健康发展,另外,政府还在组织监管、信息安全违法行为处理等方面起着主导性作用。因此,政府以国家利益为根本出发点,从国家政治的战略高度来分析网络信息安全的未来发展和所面临的挑战,对于网络信息安全的保证是有着重要积极意义的。

(3)完善网络信息安全方式。

对此笔者认为可以采取以下措施:一是实行网络信息的准入许可制度。目前美国等发达国家大多采用的是网络信息准入许可制度,实践证明,这一制度对于准确把握网络信息的,对网络信息进行掌握是有着积极意义的;二是加强网络舆情监控。和传统信息传播相比,网络信息传播速度更快,范围更广,在短短的时间内就能够实现信息的全球性传播。对此通过加强网络舆情监控来准确的把握相关网络事件的具体发在进程,防止大规模恶性事件的发生是有利无害的;三是提升网络信息安全的技术层次。例如采用信息通信的加密和防窃取技术、计算机系统电磁辐射控制技术、计算机防火墙、系统密钥技术、储存加密技术等来提高网络信息的管理和监管效果;四是积极参与国际合作,提高网络信息安全管理水平。目前,网络安全已成为全球性事业,单靠一国的努力是无法保护网络信息安全的,因此必须加大国际合作力度,共同对网络犯罪行为进行打击。

作者:董栋 王宁 单位:国网河南省电力公司信息通信公司

引用:

[1]叶瑞强.企业网络信息安全存在的问题及对策[J].信息与电脑(理论版),2012.

[2]李治国.浅析计算机网络信息安全存在的问题及对策[J].计算机光盘软件与应用,2012.

[3]孔亮.网络信息安全存在问题及对策探讨[J].商,2015.

国家信息安全的重要性篇6

(一)国家安全受到严重威胁

网络运转是包括各种硬件设备和相应的软件在内的技术的有机结合,一旦离开了这些技术,网上活动将无法进行。就目前而言,从互联网资源到关键设备、网络核心技术和应用等都由以美国为首的西方国家所掌控,导致我国的网络安全岌岌可危。数据信息不仅蕴含着巨大的经济价值,而且隐藏着政治利益和国家利益,网络时代数据信息可能成为侵蚀他国和危害他国国家安全的一个强有力的武器。大数据时代,因各国的技术水平和收集、处理、控制数据的能力不同而导致信息流动出现了不对等:就经济、贸易信息而言,我国是典型的流出国,信息技术强国的信息“逆差”直接威胁着我国的经济和经济安全。

(二)公共安全受到严峻挑战

随着微博、SNS(社会性网络服务)的出现,信息在网上呈现瀑布式传播和扩散。上述网络创新应用所具有的强大的信息扩散力、渗透力可以将一般性局部事件快速演变为全局性的重大事件,使公共安全和社会稳定受到严重威胁。以美国为首的西方国家利用自身的网络技术和信息优势大量向我国灌输其意识形态和价值观念,恐怖组织、组织、分裂势力积极借助网络空间攻击我国的社会政治制度,企图瓦解民族凝聚力,这直接威胁到党的执政地位和社会安全。此外,信息网络领域不断出现各种以渲染暴力恐怖为目的的文字、图片和视频,以侵害信息网络、破坏网络关键设施、侵犯公民人身财产权利的“恐怖主义”、“网络暴力”活动越来越猖獗,致使网络社会的公共安全受到严峻挑战。

(三)个人权益未获有效保障

数据信息已成为网络时代的重要资源。计算机网络所具有的强大的信息处理能力,导致个人信息被非法收集、利用以及泄露的损害后果更加严重,个人信息在网络时代受到了前所未有的威胁。苹果公司曾被曝在没有告知用户并获得许可的情况下,私自通过iPad和iPhone手机收集用户的行踪信息,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部。DCCI互联网数据中心的《213移动隐私安全评测报告》显示,有66.9%的智能手机移动应用(APP)在用户不知情的情况下抓取用户隐私数据,其中通话记录、短信记录、通讯录是隐私信息泄露的三个高危地带。违法收集和滥用个人信息不仅侵犯了权利人的人格尊严,且往往是其他违法犯罪的工具和手段。近年来,通过违法收集、窃取等滥用他人个人信息的手段实现诈骗、盗窃乃至侵犯他人生命权的犯罪形式呈逐年上升之势。CNNIC的《中国网民信息安全状况研究报告》显示,2012年有4.56亿网民遇到过信息安全事件,占网民总数的84.8%。在遇到信息安全事件的网民中,77.7%的网民都遭受了不同形式的损失,除花费时间和精力外,经济损失总额为194亿元。

二、信息安全法的立法目的

立法目的是需要通过立法、执法和司法来实现的基本价值。信息安全法是在网络信息安全问题的不断恶化,已严重威胁国家安全、社会安定和个人合法权益的情况下,由此引起人们的关注并由此产生了解决网络信息安全的强烈需求和实现这一欲望或目的的法律规范。信息安全法的立法目的是指立法机关通过运用法律这种有效的/:请记住我站域名/社会调控手段确立一国的信息安全政策以及网络信息安全与发展的目标。

(一)美、俄信息安全法的立法目的

信息安全法的立法目的是一国在分析其国内特殊的网络安全形势基础上确定该国网络信息安全政策的具体体现。美国的信息安全战略经历了从主张“发展优先”到“安全优先”,从“适度安全”到“先发制人”,根据国家需求,构建了“信息基础设施保护”、“网络信息安全管理制度”和“信息安全文化与价值观”三位一体的国家信息安全战略体系。奥巴马政府出台的《网络空间国际战略》改变了以防御为主的网络空间战略,转而发展以“互联网自由”为核心,以“控制—塑造”为基本特征的进攻型网络空间战略。[1]与国家的网络空间政策相适应,美国在本世纪之初的信息安全法的立法目的是防范网络攻击,保障网络安全,具体而言:减少美国对网络攻击的脆弱性,阻止针对美国至关重要的基础设施的网络攻击,在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。[2]可以预见,随着美国网络空间战略的变化,美国今后的信息安全立法乃至整个网络立法都会以实现控制为核心的进攻性网络空间政策为目标。与美国不同,俄罗斯基于本国所面临的内在和外在的信息安全威胁,提出信息安全法的立法目的是:确保信息安全并在激烈的信息对抗中获得优势以维护国家利益。[3]俄罗斯和美国信息安全法的立法目的之所以存在差异,原因在于信息安全法解决的是一国的特定问题,是与国内特定的信息安全形势相关的。因此,不同的国情决定了各国的信息安全立法有着不同的目的。

(二)中国信息安全法的立法目的

以安全威胁的来源为标准,可以将威胁我国信息安全的因素分为以下两类:一是网络核心技术失控;二是网络滥用行为。决定了我国信息安全法既要通过规制危害网络安全的行为,又要通过促进网络技术的发展以掌控网络的新技术从而保障我国的信息安全。具体而言,我国信息安全法的目的应通过设定各类主体(政府、网络用户、信息基础设施运营者和信息内容提供者等)的权力或权利、义务和责任,规范信息收集或生成、传递、控制和利用行为,促进网络基础理论的研究,掌控网络的核心技术,实现信息的保密性、完整性、可控性、可用性和不可否认性,从而有效地保障国家安全和个人在信息社会的基本权益。安全主要体现工具性价值的特性又决定了它不可能被作为绝对的终极价值去追求[4],信息安全法的终极目的是实现网络主体的自由。信息安全法通过构建并维持网络社会的基本秩序进而实现保障自由的目的。网络社会秩序究其本质是网络主体的一种有组织化的活动方式,是网络主体行使其权利的基础。自由只能在秩序中获得,这决定网络主体的自由必须依存于网络社会的秩序。自由不是个体的任意,恰恰相反,自由是对个别人的任意的超越和对普遍性的认同。[5]

信息安全法通过对危害信息安全的网络滥用行为的约束以保障其他网络主体的自由。从社会学的视角看,信息是社会结构中不可缺少的构成性要素。[6]14大数据时代,数据信息进一步从社会资源中独立出来并成为一种新的结构性要素,对人类社会活动的各个领域发挥着深远的影响:数据信息对人类的政治、经济、文化等领域起到了基础性的支撑作用。鉴于信息在网络社会中的重要作用,信息安全法的目的应以实现信息的自由流动、保障网络主体传播和获取信息的自由为其终极目标。中国已进入信息社会,网络之于中国公民的意义不仅仅是赋权、赋能,更重要的是赋信息。信息的自由流通能使人们进行独立思考并激发人们的创造能力。因此,网络不单单是信息传递的工具,而且是解放国人个性的工具。通过保障信息安全以促进信息自由流动,实现信息的最大化共享与利用;通过保障网络主体的行为自由,使其能够自由的传播和获取信息,从而激发网络主体的创造力。因此,信息安全法是提高国民素质,促进社会发展与进步,提升国家竞争力的重要制度保障。 三、中国信息安全立法的指导思想

信息安全立法的指导思想是指立法主体据以进行信息安全立法活动的重要理论根据,是为信息安全立法活动指明方向的理性认识。网络的开放性、全球性、虚拟性等特征以及信息安全立法的目的决定了我国信息安全立法应遵循以下指导思想。

(一)适度安全

绝对安全不具有技术上的可能性,抑或是要支付巨额的成本。不能为了获得绝对安全而不计成本,也不能因噎废食而放弃使用网络。因此,信息安全法的“安全”并非绝对安全,而应该是适度安全。适度安全是指信息安全法的制度设计应协调安全与其他价值之间的关系,不能为了保障信息安全而牺牲了网民的自由,进而扼杀了网络技术创新。网民可以在网络世界中自由地获取、传播、处理信息,这一权利已被我国宪法所确认,信息安全法律规范的制度设计不能因强调网络安全问题而影响网络的接入。原因在于,面对网络安全和信息安全问题,恐惧并不理智,不仅对问题解决没有效果,还可能导致过度控制。在个人生活和社会生活中,一味强调安全,只会导致停滞,最终还会导致衰败。[7]41因此,信息安全法应保证国内网民以及世界其他国家和地区的网民都有安全的接入机会。网络的可接入性应该有持续性的保障,除非发生危害国家安全的行为以及刑事犯罪行为。整体安全和个人自由都是需要重点保护的根本利益,对任何一方保护的偏颇或疏漏都有可能造成整个信息安全法律关系的不稳定。因此,未来中国的信息安全法在保障整体安全的同时,应充分重视对网民个体自由的保护,在提升国家和政府对网络安全控制力的同时,协调好国家安全与公民个人自由之间的关系。

(二)开放性

国家信息安全的重要性篇7

【关键词】信息安全 等级保护 建设

随着全球信息化程度的不断提高,人类生活对信息网络的依赖程度不断提高,信息网络科技已经逐步渗透到人们生活的方方面面,对国家安全、社会秩序和公众权益的影响日益突出,各国在信息安全方面的重视程度也日趋提高。我国为了保障国家安全,维护社会秩序和公众利益不受侵害,在2007年制定了信息安全等级保护制度。实施信息安全等级保护工作不仅是提升信息化安全防护水平的重要手段,更是落实国家信息安全保障要求的重要内容。

1 信息安全等级保护综述

“信息安全等级保护”是国家制定的信息安全管理规范和技术标准,是保障和促进信息化建设健康发展的一项基本制度。具体地说,就是对基础信息网络和重要信息系统按其重要程度及实际安全需求,分等级进行保护,按标准进行建设,按要求进行管理和监督,确保信息系统安全正常运行,提高信息系统安全综合防护能力,维护国家安全、社会稳定和公共利益。

2 信息安全等级保护的现状

2.1 各主要行业信息安全等级保护工作开展程度不一

电力、电信、铁路、税务等一些重要行业等级保护工作进展较快,在进行信息安全等级保护工作中结合各行业特点和行业的特殊安全需求制定了行业的等级保护规范或细则。相对而言,银行、交通、文化等行业目前等级保护工作进展缓慢。中国电力财务有限公司(以下简称“公司”)作为电力行业直属的非银行金融机构,按照国家电网公司要求很早已经开展相关工作,但由于公司业务与机构设置对于电力行业主业有很大区别,在信息安全等级保护的建设上只涉及公司总部,对于各分支机构的相关工作并未开展。直到2012年7月中国人民银行正式了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三个文件,对金融行业信息系统信息安全等级保护建设提出了具体要求,为等级保护实施、测评、整改工作提供了强大的政策支持,并明确了区域性金融机构信息系统安全等级保护工作的具体要求。金融行业等级保护标准依据国家要求和行业特点,细化、补充了大量内容,保留国家等级保护基本要求二级要求、三级要求、四级要求项590项,补充细化要求项193项,新增金融行业特色要求项269项。

2.2 金融机构对信息安全等级保护的认识不足

由于对信息安全的理解不够,在对于信息安全的资金投入,往往用于购买硬件安全设备,认为有了这些看得见摸得着的安全产品就可以确保安全了。但是根据人民银行颁布的《金融行业信息系统信息安全等级保护实施指引》中以国家等级保护要求为原则,以金融行业特点为基础,提出了构建“两项要求”和“两个体系”的金融行业信息安全保障总体框架。

该框架通过技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。也就是说必须是管理制度体系和技术防护体系互相融合,仅仅靠技术防护体系是无法构建完善的安全保障体系。同时,管理体系是遵照“建立、实施、执行、监控、审计、保持、改进”的过程进行类似生命周期的思路形成生命环的管理方法,而公司在这方面的认知还有待提高。与此同时金融行业从业人员以为财务及管理人员为主,而具有计算机、信息安全等级保护知识的人非常少,加强信息化人才与金融人才相结合的复合型人才培养,是推进金融行业信息化建设和信息安全等级保护工作的重点。

2.3 缺少信息安全等级保护相关知识经验

目前信息安全等级保护工作采用自主定级的方法,缺乏精确参考的标准和考量值。如果负责信息安全工作的人员对等级保护的概念不明晰,对等级保护的适用范围把握不准确,就会导致对信息系统的定级备案不合适,同时对于信息系统的升级或者调整导致需要重新定级备案的,如未能及时将信息上报备案,也将影响信息安全等级保护后续工作的顺利开展。如果信息安全定级过高,大于本单位要需要的等级,也将导致本单位资源浪费,降低系统运行效率,增加日常管理负担;如定级过低,将导致系统得不到必要安全保护,也容易引发系统安全问题。

3 开展信息安全等级保护的必要性

开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实行信息安全等级保护是在借鉴国外先进经验和结合我国国情的基础上,解决我国信息网络安全的必然选择。

3.1 落实国家政策标准和要求

对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全工作的有效办法,是信息安全工作的发展方向。我国政府对基础架构的安全一直非常重视,在“十二五规划”中首次将“加强网络与信息安全保障”作为重要章节突出,这充分显示了国家对信息安全的重视程度。国家态度明确了,信息安全等级保护制度作为国家信息安全保障领域的一项基本制度,必须在各单位得到有效贯彻落实。

3.2 有效降低信息化建设成本

等级保护测评的核心思想就是按照信息系统的重要程度及实际安全需求,合理投入,分级进行保护,将有限的资源最大化的投入到重要信息系统的建设中,更加有效的保障重要信息系统安全可靠运行,促进信息化建设健康发展。按照定级标准对信息系统进行符合性测评,根据测评结果,有针对性的在建设整改时,对造成信息系统高风险的漏洞和问题进行建设整改,能有效的控制信息化建设成本,既促进了信息化建设的健康发展,也保证了系统的可靠运行。

3.3 切实提高信息安全整体水平

信息系统安全等级保护作为对信息安全系统分级分类保护的一项国家标准,对于完善信息安全标准体系,提高信息安全的整体水平,以及增强信息系统安全保护的整体性、针对性和时效性都具有非常重要的意义。在信息化建设过程中同步建设信息安全设施,可以有效保障信息安全与信息化建设相协调;通过加强对重要信息系统的安全保护和管理监督,可以明确信息系统的安全责任,强化管理职能,有效落实各项安全建设和安全管理措施,最终切实提高信息安全整体防护能力。

作者简介

国家信息安全的重要性篇8

1.1相关概念概述

当前国际上尚未对信息安全进行统一的规定,但在学术界有一个较为统一的共识,认为网络信息安全主要包括五个方面的特征,即保密性、完整性、可控性以及可用性和抗否认性。综合各个影响范围和认可程度较高的对网路信息安全的定义,网络信息安全主要是指网络中的信息和服务的安全,包括网络系统硬件、软件以及系统数据的安全,从广义的来说,网络信息是否涵盖了五大特征的相关技术和理论内容。

就网络信息的特点分析来看,第一,网络信息安全的脆弱性。网络信息安全自身的脆弱性与网络特性以及网络技术和网络平台和系统建设的自发性有很大程度的关联,网络信息安全的后天发展没有过多的考虑到和涉及网络安全领域,在短短数年的发展时间内,网络信息安全的保障呈现一定的制度缺陷、规范缺陷以及网络用户素质水平等方面的问题存在;第二,网络信息安全的突发性。网络信息安全尤其是被恶意针对的网络信息使得计算机网络信息安全存在着较大的不确定性,事件的产生往往会造成较为严重的影响;第三,网络信息安全的全球性。网络的出现个应用改变了人们的生活习惯和思维习惯,网络信息安全在随着国家间相互交流而逐渐形成一种全球范围内的信息安全问题。

1.2网络信息安全的重要性

信息技术的发展和网络技术的应用不仅改变了人们的生活方式和内容,还在一定程度上对人们的观念、立场产生了不同程度的影响。面对日益严峻的国际互联网信息安全问题形势,各国政府各个企业都对网络信息安全给予了极高的重视,因为一旦网络信息安全出现漏洞,国家信息安全、企业信息安全都会引发一系列的社会恐慌,甚至造成政治不稳定、经济发展失衡、文化观念迷失等诸多方面的问题。具体的网络信息安全重要性主要体现在以下几个方面:第一,网络信息安全的战略地位。网络信息安全是国家政治安全的重要保证。网络信息传播由着自己的特性,传播范围广,信息的传播速度快,并且传播具有匿名隐蔽的特点,因此,很容易被别有用心的组织和个人利用,例如网络信息的谣言传播,各种网络串联和煽动行为,通过互联网的快速传播的平台造成政治社会的不稳定;第二,网络信息安全的威胁具有普遍性。现代社会互联网已经渗透到我们生活的方方面面,信息安全问题已经成为了具有普遍性质的问题。就网络信息安全的主要威胁因素分析,计算机病毒、黑客攻击以及操作系统漏铜以及系统管理问题,大到国家,小到个人,都有可能成为造成财产损失以及重要信息的泄露;第三,网络信息安全关乎国家安全。网络的优越性能够满足社会发展的需要,其广泛应用已经融人了国家政治、经济、文化等各个方面,而网络作为新出现的事物,其信息安全保护方面的发展还未达到足以應对各种漏洞的程度,因此,广泛的应用性与现实的安全技术之间形成了一定程度的矛盾,因此,网络信息安全对国家政治、经济、文化以及社会生活等能够带来便利,同时也潜伏着危险,研究网络信息安全防护措施是提高网络信息安全风险能力的重要方面。

2计算机网络信息安全现状

首先,网络信息安全的对外依赖性分析。我国信息产业起步较晚,并且很多发达国家对我国信息产业的发展大多采取遏制的政策,诸多因素造成了我国信息产业的关键技术和关键部件严重依赖与进口,这不光是巨额利润的问题,同时这种受制于人的发展局面使得我国网络信息安全存在着重大的隐患。正如王逸舟教授说描述的,我国目前信息安全的薄弱及好像是容易被打击和窃取的“玻璃网”,信息产业依赖国外的局面不是长久之计,当前是和平年代,有利可图,但是如果国家间上升为一定程度的政治问题,那么结果可想而知;其次,网络安全意识层面上分析。我国网络信息安全意识整体呈现出意识薄弱,没有真正意识得到网络信息安全的重要意义。重视技术的引进和更新换代,而忽视了产品技术本身以及自身的网络信息安全防护能力的问题,这种意识的误区很容易被一些不法分子或者恶意组织所利用,尤其是在国家政治经济生活中,企业以及政府的管理上存在着很多系统漏洞和安全隐患,这样的局面很不利于我国网络信息安全防护工作的进行以及防护体系的构建和完善;最后,反动势力的网络信息利用。网络的优势和作用我们不用多说,既然我们能够运用网络搞建设,那么反过来国外反动势力也同样可以依靠网络来搞破坏。由于我国本身网络信息安全就存在着意识薄弱的缺陷,这很容易让境外的反动势力所利用,近些年,一些国内军事机密性质的照片频频出现在外国网站上,就是境外的反动势力利用我国国民信息安全意识淡薄所获取的境内情报,网络信息安全已经成为了关乎国家安全的重要方面,并且从某种意义上来说网络信息平台已经成为国家政治和意识形态斗争的隐形战场,例如,藏独实力以及疆独实力等反动势力都在利用网络平台进行境内外信息的交流,网络自身的隐蔽性和传播速度快给我过信息安全工作的开展带来了极大的挑战。总结网络信息安全存在的问题,我国的网络信息安全整体形势越发严峻,对国家政治、经济、文化以及社会生活的影响存在的威胁亟待我们进行必要的防护措施进行解决。

3计算机网络信息安全有效防护的措施

计算机网络信息安全有效防护的措施包括很多方面,是一个多方合作才能够实现有效运行的安全问题,本文重点探讨了一下三个方面的策略内容:

3.1构建和完善我国网络信息安全方面的法律法规

我国网络信息安全需要在立法层面上进行确立,构建我国网络信息安全的法律体系,完善我国网络信息安全的法律法规,是我国网络信息安全工作开展的根本保障。

首先,网络信息安全的立法工作。我国在网络信息安全方面已经出台了一系列的法律法规,但是由于法律层次和阶级较低以及法规的内容针对的范围较小,已经很难适应当前网络发展以及应对网络信息安全的基本形势,因此,有必要进行新的或者专门性质的网络信息安全法律的立法工作。积极借鉴国外信息安全管理的先进经验,与时俱进,从维护国家安全和利益的角度出发,制定一部符合我国基本国情的保障网络信息安全的法律法规。

其次,规范网络信息的传播与。网络对于人们生活以及社会建设的作用再好也需要相应的法律法规进行监督和管理,更何况当前我国的网络环境存在着不规范的无序状态,这种无序的状态很容易造成网络信息安全的隐患。因此,要加强对网络信息和传播的相关法律规定,对网络信息安全共享模式以及网络资源的开发建设进行必要的调研和研究,建立一定的监督机制进行网络内容的管理,当然我国的网络信息管理的法治建设还有很多的工作要做,这是一项工程建设,但是需要我们深入的去探索,把网络信息的管理和网络信息和传播的规范建立起来。

最后,处理好法律与网络信息安全形势之间的矛盾。我们都知道,法律的强制性和权威性使得法律在一定时期内存在一定程度的滞后性,在我国网络信息安全的严峻形势面前,我国关于网络信息安全的立法工作存在一定的滞后性,对于一些新出现的社会现象不能够进行针对陸的解释,只能够依靠已有的法律条文进行处理,这在一定程度上损害了法律的公正性,对法律的权威性也是一种损害。现阶段,我国对于网络信息安全的法律法规大多只针对国家政治机关做出了一些明确的规定,但是对于全国性质的网络信息安全规范的建设还存在一定的漏洞,面对我国严峻的网络信息安全形式,需要我国立法机关与时俱进,通过周密的调研和取证研究后,尽快地对我国网络信息安全进行专门层次的法律规定,已维护我国网络信息安全。

3.2完善我国网络信息安全体制建设

第一,切实实行网络信息准人和许可认证制度。网络信息准人和认证许可制度管理能够加强我国网络信息安全防护的能力,便于进行网络信息的监控和管理,积极借鉴国外网络信息准人和许可制度的优秀经验,科学建立网络信息控制和审查制度,通过及时把握网络信息的状况,对网络信息内容进行控制与掌握;第二,网络舆论的监控和引导的政策。网络发展至今已经初步形成了较为成熟的网络体系,网络信息的传播也已经成为了社会各界进行信息获取和的重要平台,并且随着网络技术以及媒体技术的不断发展,网络媒体的发展前景不可估量,网络文化以及新兴的网络舆论状态即有着网络的特点,又潜在一定的信息安全的隐患,因此,要在网络媒体以及网络环境上进行必要的规范措施的规定,通过加强网络舆论的监控,实现对网络舆论状况的掌握,从而对进行网络舆论引导提供必要的分析和总结,达到避免出现网络大规模聚集事件以及杜绝因不法分子恶意煽动导致的不利舆论状況的发生,掌握网络舆论的主动权。

3.3提升网络信息安全技术,加强国际间的网络信息安全交流

就网络信息安全技术主要是网络信息安全管理理论以及先进技术的运用上,通过具体理论的实践和具体技术的应用,提高网络信息监管的能力和效率,就安全技术上来看,诸如信息通信的加密和防窃取技术、计算机系统电磁辐射控制、防火墙升级以及系统秘钥的设置等等方面,另外还包括一些数据统计技术便于进行网络信息安全调研和科学分析,就加强国际间的网络信息安全交流上来说主要是要加强网络信息安全信任管理的合作机制建设,通过彼此的某些领域达成共识和信任的状态,通过网络平台,共同致力于安全、信息资源共享以及资源交换等方面的合作,这一方面特别突出的是在国际网络犯罪的通缉追捕上,既能够解决犯罪问题,又能够实现国家间彼此信息的互动,促进良好的双边关系发展。

4结束语

国家信息安全的重要性篇9

一、电子政务中信息安全的几个基本问题 (一)信息安全的内涵 信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。 (二)信息安全在国家安全中的地位 电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。 信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。 (三)我国所面临的信息安全威胁 我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实,西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域,电子媒介成为国际意识形态斗争的主导工具;某些西方大国利用信息及信息传输技术优势,妨碍、限制、压制和破坏其他国家对信息的自由运用,甚至利用信息把本国的价值观念、意识形态强加于别国头上,以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位,通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域,网络泄密是军事信息安全的重要表现;军事泄密触目惊心;黑客攻击对军事信息安全的危害极大;信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域,电脑硬件面临遏制和封锁的威胁;软件面临市场垄断和价格歧视的威胁。 同时国家为加快信息化建设的需要,大量引进国外的基础设备,对引进的信息和技术缺乏相应的有效管理和技术改造,尤其是对发达国家或跨国公司在提供关键设备中可能做手脚(如在电脑芯片中隐藏着特定的程序,有可能在某种指令下被激活,或使电脑无法启动)缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患,买来不安全的后果。 (四)我国电子政务中信息安全的现状及表现 目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪,给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的

国家信息安全的重要性篇10

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Enhance Information SecurityAwareness Strengthen Information Security Management

Liu Yunan,Ren Xiujuan

(Pulandian Statistics Bureau of Liaoning,Dalian116200,China)

Abstract:Network security technologies,especially network information security,related to Internet users,businesses and even national information security.Improving information security awareness, enhance information security management,variety of security technologies will be combined,to build an efficient,applicable and secure network system.

Keywords:Information;Security;Strengthened;Management

当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了。网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。提高信息安全意识是各种信息安全管理体系标准中共同的要求,提高办公人员的信息安全意识的要求,无非就是从实质上提高全体工作人员的信息安全意识。提高工作人员的信息安全意识又是安全项目中很容易被忽视的环节。

一、信息安全的重要性

信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。

传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

二、加强管理的必要性

20世纪90年代以来,科学技术的高度发展已经毋庸置疑地把我们带进了信息时代,随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现,如何管理信息,确保信息的安全为世人瞩目,信息安全管理则成为了当前全球的热门话题。传统的信息安全着眼于常规的信息系统安全设备,诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等,构成了信息安全的防护屏障。事实上,要保证信息安全需要有三个方面的工作要做,这就是需要技术、管理与法制。所以仅仅依靠技术保障信息安全的做法是不会达到应有效果的,“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息领域也同样适用。因此,在信息安全的重要性日益突出、信息安全手段日新月异的今天,加强信息安全管理工作就显得尤为重要。

我国历来非常重视信息安全保密工作,并且从敏感性,特殊性和战略性的高度把信息安全保密工作自始至终置于党和国家的绝对领导之下。中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。

为加强信息安全管理工作,中央批准成立了两个非常重要的机构,一个是国家信息安全产品测评认证中心,负责管理和运行国家信息安全的测评认证体系,对信息安全产品,信息系统,对提供信息安全服务的单位以及提供信息安全服务的人员进行测试,考试和认证。第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作。这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用。

国家信息安全的重要性篇11

但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。

在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。

1.2我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。

2.2信息网络安全核心技术贫乏

目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。

2.3信息网络安全防护体系不完善

防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

2.4信息网络安全管理人才缺乏

高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。

三、通信组织运用中的网络安全防护

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。

3.1数据备份

对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。

3.2防治病毒

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。

3.3提高物理安全

物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。

3.4安装补丁软件

为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

4.1要加强宣传教育,切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

4.3要加强信息管理

要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。

4.4要加强信息安全技术开发,提高信息安全防护技术水平

没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。

4.6建立和完善计算机系统风险防范的管理制度

建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。

国家信息安全的重要性篇12

[关键词]

信息安全;安全风险;信息安全防护体系

随着信息技术的不断发展、应用,极大的推动了人类社会的发展和进步,借助于信息技术人类步入了一个崭新的信息时代。信息系统已成为社会各个领域不可或缺、赖以生存的基础设施,信息已成为重要资源,信息化水平已成为衡量一个国家、一个企业现代化程度和综合实力的重要标志之一。然而,信息化技术在不断支撑、丰富国家、企业各项业务有效开展的同时,也为各行各业的发展带来了新的威胁和挑战。国家的信息安全已成为国家安全最核心的要素之一。在信息时代,信息系统的不安全,也就谈不上国家的整体安全,并会引发其他一系列问题的产生,使整个国家建设陷入被动。2014年2月27日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话,标志着中央网络安全和信息化领导小组的成立。强调,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。他指出,没有网络安全就没有国家安全,没有信息化就没有现代化。在会上还强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。

1企业信息系统安全防护现状

信息系统的建设已成为衡量各行各业发展的重要指标,其中不乏金融机构、高新技术产业、制造生产等行业领域。部分特殊的企业由于敏感性,对国家而言极其重要,当其安全性受到破坏后,将严重影响社会秩序、公众利益甚至国家的安全和稳定。因此,对于这些企业而言,信息安全除了强调保证信息的保密性、完整性、可用性之外,同时强调可靠性、可控性、不可抵赖性,总而言之,信息安全就是要保证信息系统及信息网络中的信息资源不因自然或人为的因素而遭到破坏、更改、泄露、窃取和非法使用。2003年9月7日,中办和国办联合下发《关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称27号文件)。该文件是我国信息安全保障工作的基础性文件,作为国家信息安全保障工作的总体指导,奠定了我国信息安全保障体系的构建方向。该文件是我国信息安全历史上最重要的、具有转折的文件之一,确立了信息安全的重要位置,开始从国家的层面上关注、重视信息安全问题。该文件明确了对重要信息系统实行等级保护制度,对涉及国家秘密的信息系统实行分级保护制度。

不论是等级保护或者分级保护,中心思想是按照被保护对象的防护需求和等级,采取相应的措施来构建相应等级的信息安全保障体系。随着27号文件的贯彻执行,经过多年的建设,大部分企业都初步建成了涵盖物理与网络安全、应用系统及数据安全以及安全保密管理等层面的信息安全体系,部署建设了防火墙、入侵检测、漏洞扫描、计算机防病毒、主机监控与审计、补丁管理、身份认证等安全产品,一些条件较好的企业还建设了存储备份系统和异地备份环境,进一步加强了对数据资产的安全防护。通过以上建设措施,实现了一定的防护目标,基本保证了业务发展的信息安全需求。

但就信息系统的组成而言,主要包括以下要素:1)硬件设备:包括服务器、终端计算机、网络设备、工控机、存储设备等。2)软件系统:包括操作系统、应用系统、数据库、中间件、软件工具(通用软件、专业软件)等。3)安全防护设备:包括防火墙、入侵检测系统、补丁分发系统、计算机防病毒系统、主机监控与审计系统、网络接入控制、漏洞扫描系统、身份认证系统、打印监控与审计系统、刻盘监控与审计系统、安全NAS、堡垒机、WEB应用网关、数据库漏洞扫描系统、WEB应用漏洞扫描系统等。4)数据资产:数据资产是信息系统的重点防护对象,其主要存储于数据库、应用系统、服务器、终端计算机、安全产品、存储设备等。5)人员:包括使用人员和运维管理人员。

2信息系统的防护难点及存在的主要问题分析

2.1信息系统的防护难点近些年,借助于等级保护和分级保护工作的推力,各个企业的信息系统在物理安全、运行安全、安全保密管理等方面取得了一定的成效,具备了一定的防护能力,但是,随着信息技术的飞速发展和广泛应用,信息安全防护难点更加突显出来,主要体现在以下几个方面:(1)高度脆弱性和风险性现如今,信息系统的应用需求在不断增加,涉及各个业务领域,网络规模不断增长,信息系统体系结构更加复杂。但是,由于信息安全的木桶效应,再加上难以控制的技术漏洞和管理不当,必然会导致不可避免的安全攻击和灾难,也就造成信息系统存在高度的脆弱性和风险性。(2)攻击源的多样性和防范对象的不确定性传统的国家安全中,有能力对国家的军事和政治安全构成威胁的主要是国家的敌对国家和敌对组织,当一个国家受到了攻击,也能很快确定攻击是由谁发动的,进而采取有针对性地措施。但是,随着信息化的不断推进,信息系统规模不断扩大,组成信息系统的各类硬件、软件、系统,以及各类人员都有可能成为威胁主体,软硬件的后门、漏洞、缺陷,包括对人员的诱惑都是攻击信息系统的常用手段。正是由于攻击源的多样性和防范对象的不确定性也就造成了企业信息系统的信息安全保障防不慎防。

2.2存在的主要问题分析信息系统随着等级保护和分级保护工作的不断开展,初步具备了防止内部人员过失泄密的防护效果,但是信息系统在防止外部非法入侵和内部主动窃密等方面仍面临着严峻的局面。具体体现在以下几个方面:(1)终端、服务器层面1)计算机基本安全保密配置不到位或管理不到位,导致用户可以私自更改BIOS启动顺序,造成用户终端的所有安全防护产品功能失效,进而窃取用户终端所有的文件资料、植入病毒或者木马。2)安全产品配置不当,不能起到预期的防护效果,误报、漏报情况多见;安全产品之间、安全产品与应用软件之间兼容性存在问题,多数情况下为了保障业务应用的正常开展,只能放弃安全技术防护措施,仅仅借助于管理手段进行管理,然而实际过程中是否严格管理、是否有效监督不好衡量。3)服务器的防护、监控措施不足,大部分服务器仅仅安装了病毒防护软件,且大量服务器均存在刻录光驱,且安装有刻录软件,对服务器的输入输出没有监控审计技术手段。4)操作系统基本上都是用国外,服务器大部分为WindowsServer2003(已停止升级服务)、WindowsServer2008,用户终端操作系统WindowsXP(已停止升级服务),据了解,自WindowsXP、WindowsServer2003停止补丁升级以来,国内外已囤积大量的0day工具,一旦0day漏洞被利用,后果不堪设想。(2)网络层面1)网络设备安全配置不当,开启多余服务、端口,存在被非授权访问的隐患。2)未采取接入控制措施对接入设备进行一一绑定,造成存在设备非法接入的风险。3)未对设备、用户进行分域分级,未按照“最小化”原则采取严格的访问控制措施,导致网络拓扑混乱,重要资产(服务器、防火墙、核心交换机等)存在被非授权访问的安全隐患。(3)硬件设备层面所使用的大量硬件资产(服务器、交换机、工控设备等)采用国外进口,不了解底层硬件的工作机制,是否存在隐通道至今没有检测验证手段。国家层面缺少对该类设备的检测方法,存在诸如后门、系统缺陷的安全隐患,如惠普某型号服务器、三星某打印机已经被证实存在后门;另外,由于某些特殊的工作只能使用国外进口的专用设备,对其只能依靠厂商的专业维修团队来进行维修,也就造成在维修过程中存在被植入恶意程序或窃取数据的风险。(4)应用层面1)应用系统存在身份认证缺陷,如管理员弱口令、或者仅使用用户名、身份证号等简单信息作为身份认证的凭证,攻击者可以利用这些漏洞进行水平或者垂直提权,进而盗取数据、获得管理员权限,对系统实施非授权管理和控制。2)现有应用系统的开发重点关注业务需求的实现方面,很少考虑代码安全性,如SQL注入、跨站脚本攻击、文件上传等简单易用的高风险漏洞,导致在系统上线之后,轻易被攻击,获取权限、拖库,沦为攻击跳板。另外,在用的一些应用系统仍有部分使用开源代码,攻击者通过研究开源代码,就能轻松对系统实施攻击。为防止WEB应用的漏洞被利用,有些企业也采取了一些措施,比如实施WEB防火墙,但是,这种方法治标不治本,仅仅能防范一些低级攻击者。3)自2014年4月爆出的OpenSSL心脏流血漏洞[1]来看,目前所有使用的网络协议还有多少存在重大安全问题,都是未知数。4)目前大部分应用均配合使用了中间件,如Tomcat、Weblog-ic、普元等,中间件已经成为攻击者的重点攻击对象,中间件不可避免的不停升级,但是,大部分企业使用的应用系统基本都是一次付,很少及时为中间件升级;另外,在实际应用中仍然存在使用默认用户名口令的情况,为攻击提供了极大的便利。(5)数据层面在数据资源方面,目前,大部分数据仍以明文的形式、或者简单的格式变换存储于服务器、数据库、用户终端,服务器的运维人员能够非授权访问到业务数据。(6)安全审计层面1)虽然部署了一些安全产品,如杀毒软件、IDS、防火墙等,每一类产品仅能针对某一类安全问题较为有效,对于信息系统的审计目前过于松散、独立,没有关联性,不成体系,同时由于各类系统日志信息的不完整、误报、漏报,造成审计的实际作用未充分体现。2)虽然部分单位部署了安全管理平台类收集日志的系统,但存在日志收集不全面,智能分析能力弱,缺乏针对全局的整体安全形势监控手段,难以实现多信息系统的综合监控及安全事件及态势分析。

2.3攻击技术的主要特点近年来,网络安全攻击事件逐年增加,针对特定目标的各类攻击的精确性及针对性大大提高,目标对象范围不断扩大,从传统的互联网领域逐渐蔓延至涵盖了各类信息基础实施、通信链路的网络电磁空间领域,涉及到经济、工业、政府部门、国防军工、民用领域的各类网络基础设施。目前最流行、最大威胁的攻击就是APT攻击[2]。APT攻击:APT(AdvancedPersistentThreat高级持续性威胁),此类攻击的特点包括:(1)针对性强,目的明确1)重点针对具有大量有价值信息的特定组织机构,如:政府、军事机构、军工企业等;2)主要以窃取信息为主要目的,如:国家秘密、军事情报、政府文件等;(2)准备充分,攻击持续时间长1)利用几个月甚至更长的时间收集目标信息,分析目标系统漏洞,有针对性的设计开发漏洞利用工具;2)一旦攻击成功,将长时间潜伏在目标系统中,窃取关键信息;(3)影响广泛由于信息系统复杂的依赖关系,且此类攻击一般针对重要的组织机构,一旦攻击成功将波及其他信息系统安全。APT攻击的典型代表有“震网”病毒、“火焰”病毒以及“高斯”病毒等。

3信息系统的安全加固建议

基于信息系统存在的脆弱性以及面临的安全风险,应从以下几个方面进行加固和改进。

(1)采取措施加强对数据资源全生命周期的安全性、可控性、可用性防护。重点针对数据资源安全,围绕存储安全、标识安全、安全访问、备份安全开展数据资源安全防护体系建设。存储安全:采取加密技术,从数据资产产生之初就保障其安全性;标识安全:采取标识技术,对信息进行标识,经流程审定后,标识与信息主体在其整个生命周期内不可分离,不可随意篡改。安全访问:采取强制访问控制措施,严格限制数据资产的访问主体和访问权限,如只读、打印、编辑、再授权等细粒度权限控制。

(2)加强应用系统全生命的信息安全约束。重点针对应用安全,加强对应用系统在需求调研、系统设计、系统开发、系统测试、系统试运行、系统验收、系统运维等全生命周期过程中的安全保障。同时,应定期对应用系统开展渗透测试,有条件的建议开展软件源代码安全性分析,不断查找漏洞,不断提升应用系统的安全性,同时,将已发现的问题进行整理、分析、总结,形成应用系统的开发管理规范,指导后续应用系统安全建设。

(3)建立综合安全事件分析统计平台,形成统一安全监控能力。针对各类安全产品的孤岛现象,结合现有的安全产品的告警日志、应用系统的审计日志,建立异常事件审计模型,建设综合安全事件分析统计平台,对安全事件进行关联审计分析、实时报警,并展示出安全事件的发展路线图和影响范围。

(4)开展核心信息资产的梳理,提升应急与灾备能力。对信息资产按重要性进行分类梳理,开展应急灾备能力建设,定期开展应急恢复演练,确保备份的有效性和恢复的及时性。

(5)深入开展信息系统精细化管理,加强信息安全专项检查,切实提高信息系统运维管理能力。制定信息系统日常管理操作的详细规范,明确定义日常管理具体工作流程和操作步骤,使信息系统日常运行管理制度化、规范化、流程化和信息化,闭环管理所有信息安全和运维事件,杜绝低层次信息安全问题的出现,同时,进一步加强信息安全专项检查,提升信息系统安全运维能力。

(6)借助于攻击技术,不断完善信息安全防护体系。矛与盾、攻与防永远都是相对存在的,要验证盾的有效性就要用矛去不断的攻,信息安全同样。因此有必要培养、成立一支团队,学习、掌握、熟练攻的技术,并不断的实战验证,站在攻击者的角度去思考防的方法,信息系统的安全防护体系只有经历不断的攻防迭代过程,其防护效能才能有实质的提升。

(7)逐步开展国产自主化产品应用,提升自主可控能力。以试点的形式逐步开展国产自主化网络设备、硬件设备、操作系统、安全设备和各类应用系统的实际应用,逐步替代现有的国外产品,探索自主信息安全保障体系,提升信息系统的自主可控能力。

4结语

随着国家、企业对信息安全保障工作的不断重视,经过多年的信息安全体系建设,企业已经具备了一定的安全防范能力,但是现有的信息安全防护体系仍处于、并将长期处于如履薄冰的状态。从近些年持续不断爆出的各类安全事件(如OpenSSL协议漏洞、ApacheStruts2漏洞、USB固件漏洞等)来看,现在广泛使用的、所谓安全的基础信息技术都可能存在着深层次的、隐蔽的漏洞,因此,对于企业发展、国家安全来说如何在现有的条件下,构建一个完整、有效、可靠的信息安全保障体系显得极其重要。

参考文献:

国家信息安全的重要性篇13

一、开展信息安全等级保护工作的重要意义

近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。

实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。

二、信息安全等级保护制度的原则

信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则:

(一)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。

(二)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。

(三)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

(四)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。

三、信息安全等级保护制度的基本内容

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。

根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:

1.第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。

2.第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

3.第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

4.第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

5.第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。

国家对信息安全产品的使用实行分等级管理。

信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置。

四、信息安全等级保护工作职责分工

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。

国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。

五、实施信息安全等级保护工作的要求

信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。实施信息安全等级保护应当做好以下六个方面工作:

(一)完善标准,分类指导。制定系统完整的信息安全等级保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导,确保等级保护工作顺利开展。

(二)科学定级,严格备案。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。

对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。

国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级专家评审委员会。重要的信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的安全保护等级时,应请信息安全保护等级专家评审委员会给予咨询评审。

安全保护等级在三级以上的信息系统,由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,分系统分别由当地运营、使用单位向本地地市级公安机关备案。

信息安全产品使用的分等级管理以及信息安全事件分等级响应、处置的管理办法由公安部会同保密局、国密办、信息产业部和认监委等部门制定。

(三)建设整改,落实措施。对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

(四)自查自纠,落实要求。信息和信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改,加强和完善自身信息安全等级保护制度的建设,加强自我保护。

(五)建立制度,加强管理。信息和信息系统的运营、使用单位按照与本系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理。信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作,发现问题,及时督促整改。

(六)监督检查,完善保护。公安机关按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的,要通知信息和信息系统的主管部门及运营、使用单位进行整改;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要限期整改,使信息和信息系统的安全保护措施更加完善。对信息系统中使用的信息安全产品的等级进行监督检查。

对第五级信息和信息系统的监督检查,由国家指定的专门部门、专门机构按照有关规定进行。

国家保密工作部门、密码管理部门以及其他职能部门按照职责分工指导、监督、检查。

六、信息安全等级保护工作实施计划

计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。

(一)准备阶段。为了保障信息安全等级保护制度的顺利实施,在全面实施等级保护制度之前,用一年左右的时间做好下列准备工作:

1.加强领导,落实责任。在国家网络与信息安全协调小组的领导下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分别制定详细的实施方案,积极推进信息安全等级保护制度的建立,推动信息安全管理运行机制的建立和完善。

2.加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。为此,《信息安全等级保护管理办法》和《信息安全等级保护实施指南》、《信息安全等级保护评估指南》等法规、规范要加紧制定,尽快出台。

加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。

3.建设信息安全等级保护监督管理队伍和技术支撑体系。信息安全监管职能部门要建立专门的信息安全等级保护监督检查机构,充实力量,加强建设,抓紧培训,使监督检查人员能够全面掌握信息安全等级保护相关法律规范和管理规范及技术标准,熟练运用技术工具,切实承担信息安全等级保护的指导、监督、检查职责。同时,还要建立信息安全等级保护监督、检查工作的技术支撑体系,组织研制、开发科学、实用的检查、评估工具。

4.进一步做好等级保护试点工作。选择电子政务、电子商务以及其他方面的重点单位开展等级保护试点工作,并在试点工作的基础上进一步完善等级保护实施指南等相关的配套规范、标准和工具,积累信息安全等级保护工作实施的方法和经验。

5.加强宣传、培训工作。地方各级人民政府、信息安全监管职能部门和信息系统的主管部门要积极宣传信息安全等级保护的相关法规、标准和政策,组织开展相关培训,提高对信息安全等级保护工作的认识和重视,积极推动各有关部门、单位做好开展信息安全等级保护工作的前期准备。

(二)重点实行阶段。在做好前期准备工作的基础上,用一年左右的时间,在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度。经过一年的建设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善,结束目前基本没有保护措施或保护措施不到位的状况。

精选范文
学术杂志
友情链接