好投稿
搜索

期刊大全 杂志订阅 SCI期刊 SCI发表 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 国家信息安全的重要性

国家信息安全的重要性精品(七篇)

时间:2023-11-12 15:17:23

国家信息安全的重要性

国家信息安全的重要性篇(1)

 

1对信息安全的理解

 

信息安全战略首先要回答什么是信息安全以及我国信息安全的特殊性问题。从内涵角度讲信息安全是指在社会发展信息化的趋势和环境下信息和信息网络、信息系统的整体安全。从外延角度讲信息安全是国家安全的重要组成部分,信息安全关系到国民经济健康发展、政治稳定、文化安全、国防安全和公民、企业的合法权益。

 

信息安全具有完整性、专有性(保密性)、可用性、可控性、不可否认性和合法性等六个基本属性。完整性是指,保证信息在传输、处理、存储中未被増加、修改、删除、替换;专有性是指,保证信息仅为信息享有者或者其授权者所专门知晓和拥有;可用性是指,保证信息系统和其中传输、处理、存储的信息,通过正常操作能够完整实现其预期功能;可控性是指,保证信息系统和其中传输、处理、存储的信息能够始终处于系统所有者或者其授权者的正常、有效控制和管理之中;不可否认性是指,保证信息系统能够准确记录系统的运行情况,追溯信息来源;合法性是指,保证信息内容和制作、、复制、传播信息的行为符合宪法和法律的规定。

 

我国的社会制度和面临的威胁,决定了信息安全的合法性是我国信息安全的特殊要求,是我国信息安全中的关键,也是与其他国家的最大区别,具有中国特色和时代特色。我国的信息安全不仅包括信息、数据自身不受破坏的属性,还特别强调制作、、复制、传播的信息数据的内容必须符合法律要求;制作、、复制、传播信息数据的行为方式必须符合法律要求。

 

2我国信息安全面临的严峻形势和主要威胁胡锦涛总书记指出,“信息安全是个大问题,必须把信息安全问题放到至关重要的位置,认真加以考虑和解决”。目前研究国家信息安全是在一个特定的历史时期和特定历史环境下的信息安全,信息安全离不开国家、历史和现实发展的大背景,同时也与国家政治、经济、文化以及社会生活的方方面面紧密相关。从全局高度,综合分析,我国信息安全问题面临着非常严峻的形势,各类威胁己经突出显现。主要体现在以下八方面:

 

(1)我国对信息化的依赖性

 

从目前总的信息化水平来看,我国社会信息化水平不高,整体依赖性不强。但必须看到,第一,我国涉及国计民生、经济发展的重要领域和高科技领域对信息安全的依赖性己非常强,信息安全问题造成的危害不比信息化发达国家弱;第二,高科技领域历来都对低科技领域起到主导和控制作用,因此重要领域和高科技领域对信息化的依赖程度,己经影响到国家安全、社会秩序和管理机制;第三,我国目前社会承受能力很弱,信息安全出现的问题有可能出现连锁反应,对社会造成严重冲击,如证券、银行、电力、铁路等。

 

(2)我国信息化的脆弱性

 

我国信息化的脆弱性体现在:一是技术的脆弱性。信息安全关键技术不能自主可控,西方信息技术优势对我国信息安全产生严重影响。二是设备的脆弱性。信息化建设中的核心元件、设备我们不能生产,要依赖进口。软硬件的安全漏洞、隐患甚至“后门”大量存在,很难发现,其安全性难以根本保证。三是管理的脆弱性。相当一些单位、企业适应信息化的现代化管理体系和机制尚未建立起来,计划经济下的传统管理方式造成安全的更加脆弱。四是安全防范的脆弱性。我国信息安全基础设施投资不足、管理不善,不能满足保障信息化建设的需要。信息安全市场的国际化,使得我国部分失去信息系统建设和信息安全服务的控制权。另外在管理层面,我国信息安全管理机关职责不清,多头管理,信息安全保障制度不健全、责任不落实、监管不到位,也是我国信息安全脆弱性的具体表现。

 

(3)来自于境内外敌对势力宣传煽动十分突出境内外敌对势力利用信息优势有组织有计划地利用互联网对我国进行渗透和破坏,成为部级的对抗。他们利用网络易攻难守的非对称性特点和技术优势,把互联网作为对我颠覆、渗透和破坏的重要工具和渠道。影响社会稳定的各种因素也往往通过网络进一步扩展、放大,造成很大的社会影响。

 

(4)网络违法犯罪快速増长,危害日趋严重近年来,利用和针对网络的违法犯罪一直呈成

 

倍増长的高发态势,现实危害性日益増强。传统犯罪和网络犯罪相互渗透,信息网络己经成为不法分子进行诈骗、盗窃、敲诈勒索、走私、贩毒、、色情交易等各种违法犯罪活动的重要工具,网上违法犯罪案件对社会的影响和危害加重。

 

(5)网上情报活动和窃密、泄密现象严重各国情报机关都将互联网和网络技术作为进行情报和窃密活动的渠道和工具,我国网上窃密、泄密的情况屡屡发生,对国家安全、经济安全造成严重危害。

 

(6)境外意识形态和思想文化的渗透及侵略不可忽视

 

互联网文化从一开始就是西方文化,网上主流意识形态和主流的世界观、价值观都是西方化的。互联网己成为宣扬西方价值观念和政治准则的主要渠道,如不进行有效的控制,将对我国的青少年一代产生十分严重的负面影响。

 

(7)计算机病毒和黑客攻击对信息安全构成严重威胁和破坏

 

我国涉及国计民生的重要领域对网络的依赖性越来越强,但安全隐患大量存在,一旦遭受黑客攻击或发生信息网络安全问题,就可能导致灾难性的后果。去年以来,全球范围内较大规模的计算机病毒爆发已有数十次,均对我国造成了重大危害。

 

(8)信息战、电子战、心理战及网络恐怖等潜在威胁日益严重

 

信息战不可避免地成为未来军事战争的主要形式。信息获取、处理、传输、利用等各个环节上都存在着对抗,关键信息的泄露或破坏会给整个军事行动造成重大影响。恐怖主义向信息网络领域的渗透和扩张,网络恐怖活动威胁増大。信息网络既是恐怖活动的新领域也是恐怖活动的重要手段。一是可能以国家重要基础设施信息网络为目标,利用黑客和计算机病毒技术实施网络攻击,破坏国民经济和社会生活秩序;二是可能以互联网为媒体,进行网上恐怖心理战和宣传战,破坏政治稳定,制造社会恐慌;三是利用信息网络进行组织策划、联络和收集、窃取与恐怖活动相关的情报信息,以便在社会上实施常规恐怖活动。由于我国信息化发展起步较晚,面对信息战和网络恐怖等潜在威胁比西方发达国家更严峻。

 

3国家信息安全保障的战略目标、指导方针、基本原则和基本制度

 

3.1国家信息安全保障的战略目标

 

逐步建立健全系统、完整、有效的国家信息安全战略体系;全面提高信息安全防范能力、控制能力、保护能力、应急处置恢复能力和侦查打击能力;保障基础信息网络和重要信息系统的安全;创造安全健康的网络环境,实现信息安全与信息化建设同步发展,维护国家安全、社会稳定和公众合法权益。

 

3.2国家信息安全保障的指导方针

 

坚持“积极防御、综合防范”的方针,全面提高信息安全发现预警、防范控制、保护评估、应急恢复、查处打击、对抗反制、监督检查等能力,构建立体防御体系,提高我国信息安全保障的整体水平,促进信息化健康发展。

 

“积极防御、综合防范”是我国信息安全保障的基本方针。信息安全是防御性的安全,目前我国信息安全的被动局面在短期内不可扭转。积极防御,就是立足于安全保护、加强预警和应急处置,从更深层次和长远考虑,提高隐患发现、安全保护、应急反应、信息对抗等能力,实现对网络和信息系统的安全可控。综合防范,就是坚持预防、监控、应急处理和打击犯罪相结合,做好保护、检测、反应、恢复、预警、反制六个环节中的工作;从国家组织框架、监管、监控、打击犯罪、应急处置、法律、标准、人才、技术和产业发展等方面入手,通过全社会的共同努力,全面提高信息安全保障能力。信息安全是一个基于高技术、非对称、超常规的信息对抗过程,这个过程没有尽头。对抗的双方,主动攻击者在暗处,被动防御者在明处。少数人的主动攻击,会造成防御方很多人被动应付的局面。面对这种严重不对称现象,就必须制定一个”积极防御、综合防范”的战略方针,以扭转被动防御的局面。3.3国家信息安全保障的基本原则

 

信息网络把政府、企业和公民个人都联系起来,人们与信息网络的关系越来越密不可分。而随着信息网络的发展,现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全。信息安全不仅是国家、政府各部门的责任,也是各行业、各单位和每个公民的责任。国家信息安全存在于信息安全的各方面之中,也寓于所有单位和个人之中。

 

第一,信息安全要靠全社会的共同参与。信息安全是一项复杂的系统工程,也是一项长期的、社会化的工作,我国信息安全保障体系建设面临着非常繁重的任务,维护国家信息安全需要政府、单位、个人三方面共同参与和努力。

 

第二,实行“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的信息安全责任制。发挥网络使用和建设单位职能作用,提高他们对安全工作重要性的认识,建立健全各项安全管理制度和技术防范措施,完善和落实信息安全责任制,维护自身信息安全。广大网络用户要増强法制意识和网络安全防范意识,自觉遵守信息安全法规,维护信息安全。信息网络和信息系统主管部门负责领导本系统的信息安全工作,承担和落实信息安全责任,组织运营、使用单位落实安全措施。信息网络和信息系统运营、使用单位应当落实安全组织、人员和安全管理制度、安全技术措施。提供信息安全产品和安全服务的单位,应当保证其提供的服务和产品的安全,维护国家安全、公共利益,保守国家秘密,保护公民、法人和其他组织的合法权益。公民、法人和其他组织在信息网络和信息系统应用中,应当遵守国家法律、法规的规定,承担法律法规规定的安全责任。

 

第三,国家要在信息安全中起主导作用。各级政府必须加强对信息安全工作的领导,组织、协调信息安全监管职能部门及政府其他有关部门、企事业单位和个人共同维护信息安全,在国家信息安全保障工作中起主导作用。在发生信息安全重大事件,对国家安全、社会秩序和公共利益造成危害、威胁时,各级政府应当启动应急处置预案,组织协调有关部门、企事业单位和个人做好应急处置工作。各级政府应当支持信息安全技术的研究开发,鼓励培养信息安全专业人才,开展信息安全宣传教育。

 

第四,执法和监督部门要充分发挥作用。公安机关、国家保密工作部门、国家密码管理机构等信息安全监管职能部门,依法监督、指导有关部门、企事业单位和个人履行信息安全职责、责任和义务,预防、制止和惩处危害信息安全的违法行为,维护国家安全、社会秩序和公共利益,保护公民、法人和其他组织的合法权益。

 

3.4国家信息安全保障的基本制度

 

如何全面和整体解决各行各业在信息化建设中的安全问题,是国内外信息安全界多年来一直关注的问题。美国及西方发达国家为了抵御信息安全的脆弱性和安全威胁,制定了一系列强化信息安全建设的政策和标准,其中一个很重要的思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。

 

《国家信息化领导小组关于加强信息安全保障工作的意见》中关于实行信息安全等级保护的重要决定,是国家解决信息安全保护问题的基本政策。信息安全“等级化的管理”制度主要体现在:一是信息安全等级保护制度要求国家、社会、单位和个人共同参与等级保护工作各方主体按照规范和标准分别承担相应的、明确具体的信息安全责任。二是根据信息和信息系统的重要程度和安全需求,划分安全保护级别。信息和信息系统按照等级保护的要求进行建设、管理。重点保障涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息和信息系统的安全,优先保护重要领域的高级别的信息系统。

 

三是国家运用规范和标准,要求信息和信息系统按照相应的建设和管理要求,进行自主定级、自行保护。四是国家指定行政执法部门,对重要信息和信息系统的安全进行监督。

 

实行等级保护制度是在借鉴国外先进经验和结合我国国情的基础上,解决我国信息安全问题的必然选择和有效途径。国家实行信息安全等级保护制度是国家统一并规范信息安全保护工作,扭转信息安全保护工作的不利局面的迫切需要;是国家基础信息网络和重要信息系统主管部门及建设、运营单位正确把握系统安全问题和安全需求,用统一规范进行信息系统安全建设与管理,改进、提高系统安全水平的需要;是信息安全检测评估机构进行科学、准确评估与验证系统和产品安全等级的需要;是信息安全职能部门有效履行信息安全等级保护职责,开展监督、检查、指导工作的需要;是信息安全企事业单位针对国家和市场需求研发信息安全等级保护科学技术和产品的需要;是提高信息安全保护职能部门查处违法犯罪案件的需要。

 

1980年以来,公安部组织各方面的力量就国家信息安全保护问题,从立法、管理、技术等方面做了深入的调查研究。在此基础上,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》,第一次以法律的形式确定了在我国实行信息安全等级保护制度。1999年国家颁布了《计算机信息系统安全保护等级划分准则》(GB17859—1999)。该标准将信息系统划分为五个安全保护等级,为开展我国信息系统安全保护等级工作确定了技术性指导原则。2000年起,公安部组织起草了30余项等级保护技术标准,研制了等级检测评估辅助工具,并在一些单位组织开展了信息安全等级保护试点工作,为进一步开展等级保护工作打下基础。根据《条例》的授权和要求,公安部自2002年起研究起草《中华人民共和国信息安全等级保护管理办法》,同时组织编写并己初步完成了《信息安全等级保护实施指南》、《信息安全等级保护评估指南》,为信息安全等级保护工作的实施做好了前期的准备。

 

4国家信息安全保障的战略措施随着社会信息化程度的不断提高,信息网络己经渗透到社会领域的各个方面。单靠任何一个领域或者部门都无法支撑整个国家的信息安全,必须采用综合集成的方法,对现有的各个领域、各个层面的资源、策略、手段进行整合,共同构建国家信息安全保障体系。胡锦涛总书记指出,“意识形态领域尤其是网上斗争十分复杂,有时还十分尖锐。我们也要学会这种斗争方式。要密切关注、适时揭露对我的造谣诬蔑,増强广大群众,尤其是青年一代的识别能力”。并要求,“我们要把掌握网上斗争的主动权放到十分重要的位置,立足长远,从领导力量、体制机制、技术手段、经费保障、人才培养等方面,采取一系列的综合措施”。为了实现国家信息安全战略目标,在战略方针的指导下,提出支持国家信息安全保障体系的十大措施。

 

4.1建立健全国家信息安全组织领导体系,解决信息安全工作的组织保障国家信息安全保障的关键在于组织领导,国家要有一个能够协调各个有关职能部门的高层机构来统一领导信息安全保障工作。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系。

 

国家组织领导体系要能够做到集中各级各方面的网络安全情况,及时正确地进行宏观决策;明确主管部门,有效地组织协调有关职能部门;建立统一指挥、统一行动的国家信息安全保障机制;统一指挥、调度、处置各种信息网络安全重大事件;部署各项信息安全保障措施。

 

各重要信息系统主管部门按照“谁主管、谁负责”的原则,组织开展本系统的信息安全保护工作,承担安全责任。公安部在信息安全领域负责指导、监督、检查。涉及国家秘密的信息系统,由保密局按照党和国家有关保密规定进行保护。涉及到密码问题,由密码办负责。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系。

 

4.2建立健全信息安全法律法规体系,解决信息安全管理的执法基础信息安全法律体系是依据宪法和国家信息安全保障的总体框架,制定信息安全的基本法以及与之相配套、相协调、相统一,并且与现有法律规范相衔接的信息安全法律、法规和部门规章,形成一个能够基本覆盖信息安全各种法律关系、调整范围、主要内容的相互关联的有机整体。

国家信息安全的重要性篇(2)

一、搞好信息安全防护是确保国家安全的重要前提

众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。

二、我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

三、积极采取措施加强信息安全防护

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

第二,要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

国家信息安全的重要性篇(3)

信息安全等级保护制度是我国信息安全保障工作的基本制度。本文从信息安全等级保护的概念入手,结合金融行业的实际情况阐述了信息安全等级保护实施的必要性。

【关键词】信息安全 等级保护 建设

随着全球信息化程度的不断提高,人类生活对信息网络的依赖程度不断提高,信息网络科技已经逐步渗透到人们生活的方方面面,对国家安全、社会秩序和公众权益的影响日益突出,各国在信息安全方面的重视程度也日趋提高。我国为了保障国家安全,维护社会秩序和公众利益不受侵害,在2007年制定了信息安全等级保护制度。实施信息安全等级保护工作不仅是提升信息化安全防护水平的重要手段,更是落实国家信息安全保障要求的重要内容。

1 信息安全等级保护综述

“信息安全等级保护”是国家制定的信息安全管理规范和技术标准,是保障和促进信息化建设健康发展的一项基本制度。具体地说,就是对基础信息网络和重要信息系统按其重要程度及实际安全需求,分等级进行保护,按标准进行建设,按要求进行管理和监督,确保信息系统安全正常运行,提高信息系统安全综合防护能力,维护国家安全、社会稳定和公共利益。

2 信息安全等级保护的现状

2.1 各主要行业信息安全等级保护工作开展程度不一

电力、电信、铁路、税务等一些重要行业等级保护工作进展较快,在进行信息安全等级保护工作中结合各行业特点和行业的特殊安全需求制定了行业的等级保护规范或细则。相对而言,银行、交通、文化等行业目前等级保护工作进展缓慢。中国电力财务有限公司(以下简称“公司”)作为电力行业直属的非银行金融机构,按照国家电网公司要求很早已经开展相关工作,但由于公司业务与机构设置对于电力行业主业有很大区别,在信息安全等级保护的建设上只涉及公司总部,对于各分支机构的相关工作并未开展。直到2012年7月中国人民银行正式了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三个文件,对金融行业信息系统信息安全等级保护建设提出了具体要求,为等级保护实施、测评、整改工作提供了强大的政策支持,并明确了区域性金融机构信息系统安全等级保护工作的具体要求。金融行业等级保护标准依据国家要求和行业特点,细化、补充了大量内容,保留国家等级保护基本要求二级要求、三级要求、四级要求项590项,补充细化要求项193项,新增金融行业特色要求项269项。

2.2 金融机构对信息安全等级保护的认识不足

由于对信息安全的理解不够,在对于信息安全的资金投入,往往用于购买硬件安全设备,认为有了这些看得见摸得着的安全产品就可以确保安全了。但是根据人民银行颁布的《金融行业信息系统信息安全等级保护实施指引》中以国家等级保护要求为原则,以金融行业特点为基础,提出了构建“两项要求”和“两个体系”的金融行业信息安全保障总体框架。

该框架通过技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。也就是说必须是管理制度体系和技术防护体系互相融合,仅仅靠技术防护体系是无法构建完善的安全保障体系。同时,管理体系是遵照“建立、实施、执行、监控、审计、保持、改进”的过程进行类似生命周期的思路形成生命环的管理方法,而公司在这方面的认知还有待提高。与此同时金融行业从业人员以为财务及管理人员为主,而具有计算机、信息安全等级保护知识的人非常少,加强信息化人才与金融人才相结合的复合型人才培养,是推进金融行业信息化建设和信息安全等级保护工作的重点。

2.3 缺少信息安全等级保护相关知识经验

目前信息安全等级保护工作采用自主定级的方法,缺乏精确参考的标准和考量值。如果负责信息安全工作的人员对等级保护的概念不明晰,对等级保护的适用范围把握不准确,就会导致对信息系统的定级备案不合适,同时对于信息系统的升级或者调整导致需要重新定级备案的,如未能及时将信息上报备案,也将影响信息安全等级保护后续工作的顺利开展。如果信息安全定级过高,大于本单位要需要的等级,也将导致本单位资源浪费,降低系统运行效率,增加日常管理负担;如定级过低,将导致系统得不到必要安全保护,也容易引发系统安全问题。

3 开展信息安全等级保护的必要性

开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实行信息安全等级保护是在借鉴国外先进经验和结合我国国情的基础上,解决我国信息网络安全的必然选择。

3.1 落实国家政策标准和要求

对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全工作的有效办法,是信息安全工作的发展方向。我国政府对基础架构的安全一直非常重视,在“十二五规划”中首次将“加强网络与信息安全保障”作为重要章节突出,这充分显示了国家对信息安全的重视程度。国家态度明确了,信息安全等级保护制度作为国家信息安全保障领域的一项基本制度,必须在各单位得到有效贯彻落实。

3.2 有效降低信息化建设成本

等级保护测评的核心思想就是按照信息系统的重要程度及实际安全需求,合理投入,分级进行保护,将有限的资源最大化的投入到重要信息系统的建设中,更加有效的保障重要信息系统安全可靠运行,促进信息化建设健康发展。按照定级标准对信息系统进行符合性测评,根据测评结果,有针对性的在建设整改时,对造成信息系统高风险的漏洞和问题进行建设整改,能有效的控制信息化建设成本,既促进了信息化建设的健康发展,也保证了系统的可靠运行。

3.3 切实提高信息安全整体水平

信息系统安全等级保护作为对信息安全系统分级分类保护的一项国家标准,对于完善信息安全标准体系,提高信息安全的整体水平,以及增强信息系统安全保护的整体性、针对性和时效性都具有非常重要的意义。在信息化建设过程中同步建设信息安全设施,可以有效保障信息安全与信息化建设相协调;通过加强对重要信息系统的安全保护和管理监督,可以明确信息系统的安全责任,强化管理职能,有效落实各项安全建设和安全管理措施,最终切实提高信息安全整体防护能力。

作者简介

朱勇(1978-),男,陕西省西安市人。现为中国电力财务有限公司西北分公司信息化工作部经理助理。

国家信息安全的重要性篇(4)

关键词:信息;安全;加强;管理

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Enhance Information SecurityAwareness Strengthen Information Security Management

Liu Yunan,Ren Xiujuan

(Pulandian Statistics Bureau of Liaoning,Dalian116200,China)

Abstract:Network security technologies,especially network information security,related to Internet users,businesses and even national information security.Improving information security awareness, enhance information security management,variety of security technologies will be combined,to build an efficient,applicable and secure network system.

Keywords:Information;Security;Strengthened;Management

当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了。网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。提高信息安全意识是各种信息安全管理体系标准中共同的要求,提高办公人员的信息安全意识的要求,无非就是从实质上提高全体工作人员的信息安全意识。提高工作人员的信息安全意识又是安全项目中很容易被忽视的环节。

一、信息安全的重要性

信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。

传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

二、加强管理的必要性

20世纪90年代以来,科学技术的高度发展已经毋庸置疑地把我们带进了信息时代,随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现,如何管理信息,确保信息的安全为世人瞩目,信息安全管理则成为了当前全球的热门话题。传统的信息安全着眼于常规的信息系统安全设备,诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等,构成了信息安全的防护屏障。事实上,要保证信息安全需要有三个方面的工作要做,这就是需要技术、管理与法制。所以仅仅依靠技术保障信息安全的做法是不会达到应有效果的,“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息领域也同样适用。因此,在信息安全的重要性日益突出、信息安全手段日新月异的今天,加强信息安全管理工作就显得尤为重要。

我国历来非常重视信息安全保密工作,并且从敏感性,特殊性和战略性的高度把信息安全保密工作自始至终置于党和国家的绝对领导之下。中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。

为加强信息安全管理工作,中央批准成立了两个非常重要的机构,一个是国家信息安全产品测评认证中心,负责管理和运行国家信息安全的测评认证体系,对信息安全产品,信息系统,对提供信息安全服务的单位以及提供信息安全服务的人员进行测试,考试和认证。第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作。这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用。

网络安全不再仅仅是用户组网才会思考的问题,如今的网络情况纷繁复杂,网络安全更要考虑的详尽周到。1.必须有本地的安全策略;2.需要批准共享;3.文件许可非常重要;4.加密离线文件;5.评估你的网络安全。无论你使用什么工具,要确保实施经过身份识别的扫描和未经过身份识别的扫描。这会使你了解网络的真实状况,了解哪里配置错误了,并且了解不守纪律的内部人员或者外部黑客能够在你的系统里看到什么。这样我们就可以很好的解决的此项安全问题。

国家信息安全的重要性篇(5)

为了进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,*年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。*年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[*]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。

一、开展信息安全等级保护工作的重要意义

近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。

实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。

二、信息安全等级保护制度的原则

信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则:

(一)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。

(二)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。

(三)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

(四)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。

三、信息安全等级保护制度的基本内容

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。

根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:

1.第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。

2.第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

3.第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

4.第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

5.第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。

国家对信息安全产品的使用实行分等级管理。

信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置。

四、信息安全等级保护工作职责分工

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。

国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。

五、实施信息安全等级保护工作的要求

信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。实施信息安全等级保护应当做好以下六个方面工作:

(一)完善标准,分类指导。制定系统完整的信息安全等级保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导,确保等级保护工作顺利开展。

(二)科学定级,严格备案。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。

对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。

国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级专家评审委员会。重要的信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的安全保护等级时,应请信息安全保护等级专家评审委员会给予咨询评审。

安全保护等级在三级以上的信息系统,由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,分系统分别由当地运营、使用单位向本地地市级公安机关备案。

信息安全产品使用的分等级管理以及信息安全事件分等级响应、处置的管理办法由公安部会同保密局、国密办、信息产业部和认监委等部门制定。

(三)建设整改,落实措施。对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

(四)自查自纠,落实要求。信息和信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改,加强和完善自身信息安全等级保护制度的建设,加强自我保护。

(五)建立制度,加强管理。信息和信息系统的运营、使用单位按照与本系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理。信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作,发现问题,及时督促整改。

(六)监督检查,完善保护。公安机关按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的,要通知信息和信息系统的主管部门及运营、使用单位进行整改;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要限期整改,使信息和信息系统的安全保护措施更加完善。对信息系统中使用的信息安全产品的等级进行监督检查。

对第五级信息和信息系统的监督检查,由国家指定的专门部门、专门机构按照有关规定进行。

国家保密工作部门、密码管理部门以及其他职能部门按照职责分工指导、监督、检查。

六、信息安全等级保护工作实施计划

计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。

(一)准备阶段。为了保障信息安全等级保护制度的顺利实施,在全面实施等级保护制度之前,用一年左右的时间做好下列准备工作:

1.加强领导,落实责任。在国家网络与信息安全协调小组的领导下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分别制定详细的实施方案,积极推进信息安全等级保护制度的建立,推动信息安全管理运行机制的建立和完善。

2.加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。为此,《信息安全等级保护管理办法》和《信息安全等级保护实施指南》、《信息安全等级保护评估指南》等法规、规范要加紧制定,尽快出台。

加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。

3.建设信息安全等级保护监督管理队伍和技术支撑体系。信息安全监管职能部门要建立专门的信息安全等级保护监督检查机构,充实力量,加强建设,抓紧培训,使监督检查人员能够全面掌握信息安全等级保护相关法律规范和管理规范及技术标准,熟练运用技术工具,切实承担信息安全等级保护的指导、监督、检查职责。同时,还要建立信息安全等级保护监督、检查工作的技术支撑体系,组织研制、开发科学、实用的检查、评估工具。

4.进一步做好等级保护试点工作。选择电子政务、电子商务以及其他方面的重点单位开展等级保护试点工作,并在试点工作的基础上进一步完善等级保护实施指南等相关的配套规范、标准和工具,积累信息安全等级保护工作实施的方法和经验。

5.加强宣传、培训工作。地方各级人民政府、信息安全监管职能部门和信息系统的主管部门要积极宣传信息安全等级保护的相关法规、标准和政策,组织开展相关培训,提高对信息安全等级保护工作的认识和重视,积极推动各有关部门、单位做好开展信息安全等级保护工作的前期准备。

(二)重点实行阶段。在做好前期准备工作的基础上,用一年左右的时间,在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度。经过一年的建设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善,结束目前基本没有保护措施或保护措施不到位的状况。

在工作中,如发现等级保护的管理规范和技术标准以及检查评估工具等存在问题,及时组织有关部门进行调整和修订。

国家信息安全的重要性篇(6)

论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。

一、信息化的内涵、信息资源的性质及信息的安全问题

“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。

信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:

一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。

二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。

三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。

信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。

二、我国信息化中的信息安全问题

近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。

5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

三、相关解决措施

针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。

1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。

2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。

3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。

4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。

5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。

国家信息安全的重要性篇(7)

近年来,在市委、市政府领导下,我市在信息安全基础设施建设、计算机和互联网安全监管、互联网信息内容管理、密码技术和数字证书的应用等信息安全保障工作方面取得了明显成效。但是,仍存在领导与组织协调体系不够完善,信息安全基础设施比较薄弱,管理和技术人才缺乏,资金投入分散和不足等急需解决的问题。

根据《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强信息安全保障工作的意见〉的通知》(中办发〔〕27号)要求和全国信息安全保障工作会议精神,结合重庆实际,现就加强信息安全保障工作提出如下意见:

一、指导思想

我市加强信息安全保障工作的指导思想是:按照国家加强信息安全保障工作的总体要求,加强领导、统筹规划、提高认识、明确职责、以发展促安全、以安全保发展,全面提高信息安全防护能力,构筑我市信息安全保障和支撑体系,保障和促进信息化健康发展。

二、主要任务及责任落实

(一)研究制定我市信息安全发展战略规划。根据国家统一部署,要从战略发展的高度充分认识信息安全工作的重要性和紧迫性,加强全市信息安全总体战略的研究,组织制定信息安全发展战略规划,指导全市信息安全保障工作有序、健康发展。重庆市信息安全发展战略规划由市信息产业局会同市级有关部门组织制定。

(二)抓好信息安全等级保护工作。信息安全等级保护工作是我市信息安全保障工作的重要任务之一。各部门、各单位对新建信息系统要根据国家规范和要求,确定信息安全保护等级,并同步规划、同步建设;已建信息系统,要在风险评估的基础上确定信息安全保护等级,按照等级保护的管理规定和技术标准,建设和完善信息安全保障设施。

由市公安局牵头,会同市国家保密局、市国家密码管理委员会办公室(以下简称市国密办)等部门,按照国家统一要求,研究提出我市实行信息安全等级保护的措施,开展信息安全等级保护试点。坚持“确保重点、兼顾一般、适度保护”的原则,逐步推行信息安全等级保护制度。

对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护,涉及国家秘密的信息系统的监管工作由市国家保密局牵头负责。

(三)建立和完善信息安全监控体系。按照国家信息安全监控系统的统一规划和要求,各基础信息网络和重要信息系统的运营单位或主管部门,要根据实际情况建立和完善信息安全监控系统,提高网络防范能力,依法为加强信息内容安全管理、查处违法犯罪和防范网络攻击、病毒入侵、网络失窃密、有害信息传播等工作提供工作机制和技术支持。

市公安局、市通信管理局要会同相关部门加强对互联网有害信息的监控。

(四)加强信息安全应急处理协调机制建设。建立健全信息安全应急处理协调机制,逐步形成全市统一、协调的应急指挥调度机制和信息安全通报制度,加强信息安全事件的应急处置工作。

由市公安局牵头建立信息安全通报制度。各基础信息网络和重要信息系统的运营单位或主管部门,发现涉及国家安全、经济建设、社会稳定和公众利益的重大信息安全问题和事件,要按照信息安全通报制度的要求及时报告;市公安局分析、汇总相关情况后,向市委、市政府报告并抄报市信息安全保障工作协调组办公室(以下简称协调组办公室)。

积极推动我市信息系统和网络安全报警处置机制建设,提高公安机关对信息网络安全事件(案件)的预警、报警和快速处置能力。各重要计算机信息网络应建立与市公安局“网络安全报警处置系统”的联动机制,有效预防和打击计算机违法犯罪活动,及时防治和查处危害网络安全的事件,确保重要信息网络安全。鼓励信息安全技术服务机构加入信息网络安全报警处置联动服务,提高信息网络应急响应能力。

(五)统筹重要信息系统灾难备份体系建设。各基础信息网络和重要信息系统的运营单位或主管部门,要加强对基础信息网络和重要信息系统的保护,高度重视应急备份和灾难恢复工作,提高基础信息网络和信息系统网络的抗毁性、容灾性。按照国家和市的要求,结合实际,制定有效、完善、可行的灾难恢复计划和应急处置预案,报上级主管部门备案,同时抄报协调组办公室。

重要信息系统的数据备份、灾难备份以及灾难恢复系统建设,要充分利用现有信息基础设施和网络资源,实现资源共享、互为备份。

由市信息产业局牵头,研究提出我市重要信息系统数据备份与灾难备份体系建设总体规划,指导全市灾难备份体系建设和发展。公安机关对灾难备份、灾难处置进行监督、指导。

(六)推动以密码技术为基础的信息保护和网络信任体系建设。由市信息产业局、市国密办会同市级有关部门,组织、协调和逐步推进全市以密码技术为基础的网络信任体系建设工作,规范和加强网络身份认证、授权管理和责任认定工作。

由市国密办牵头,加强密码、密码技术的规划、管理;建立健全我市密码管理与保障体制,按照国家统一规划,逐步建立覆盖全市的密钥管理体系,为全市信息安全保障和网络信任体系建设提供有效、可靠的密码支撑。

由市信息产业局牵头,根据国家法律法规和有关规定,规范电子认证服务工作,指导电子认证服务机构积极开展有偿服务。建立市数字证书管理中心,统筹全市数字证书的发放和管理工作,保障电子政务、电子商务等领域推进电子签名、身份认证等活动的安全性和可靠性。根据国家统一规划,逐步建立起区域性、跨地区的电子认证服务体系。

(七)加强信息内容的安全管理。信息内容的安全是保障信息安全的重要部分。各地区、各部门、各单位,根据各自的职责加强对信息的采集、生产、转换、存储、分发、应用等各环节的管理和监督,特别要对上网信息严格把关。对发生的问题做到“及时发现、及时上报、及时查处、及时清除”。

由市委宣传部牵头,负责信息内容的安全协调管理工作。对利用网络传播有害信息、危害公众利益和国家安全、泄露国家秘密等各种违法犯罪活动,由市公安局、市国家安全局、市国家保密局等部门按照职责分工依法进行查处。

(八)加强信息安全技术产品研发与信息安全标准化工作,推进信息安全产业发展。市发展改革委、市科委、市经委、市信息产业局等部门要加强对信息安全应用技术和产品研究开发的引导和支持,提高我市信息安全产品的自主创新能力,促进我市信息安全测评体系的建立和健全,促进成果转化和标准化,积极创建国家信息安全产品产业化基地,推进我市信息安全产业发展。

使用财政性资金建设的信息化项目,各项目实施单位要按照《中华人民共和国政府采购法》的规定,采用通过国家相关部门测评认证的国产信息安全产品和服务。

进一步加强信息安全标准化工作。针对全市信息安全产业发展及信息化建设的需求,研究制定相关地方标准,逐步构建起由国家、行业、地方各级标准组成的全市信息安全标准体系。推广先进的信息产品标准,加大信息安全产品的采标力度。

由市质监局牵头,会同市信息产业局负责信息安全的标准化和认证工作。

三、保障措施

(一)加强领导,明确责任,建立健全我市信息安全保障协调体制。为加强对全市信息安全保障工作的统筹协调,在市信息化领导小组下成立信息安全保障工作协调组(以下简称协调组),由常务副市长、市信息化领导小组组长担任组长,市信息化领导小组副组长担任副组长;成员由市委副秘书长、市政府副秘书长及市委宣传部、市国密办、市国家保密局、市发展改革委、市科委、市教委、市公安局、市国家安全局、市信息产业局、市财政局、市广电局、市通信管理局、市质监局、重庆警备区等部门分管信息安全的领导组成;协调组办公室设在市信息产业局(市信息办),负责协调小组的日常工作。办公室主任由市信息产业局局长(市信息办主任)兼任。

协调组的主要职责是:综合协调全市信息安全保障工作;审议全市信息安全保障工作的重大发展战略、宏观规划和政策;审议全市信息安全基础设施重大项目建设有关问题;综合协调全市跨部门、跨地区信息安全保障工作中的有关重大问题。

建立健全全市统一协调、职责明确、分工合作、各司其职的信息安全保障管理责任制。在协调组领导下,按照“谁主管、谁负责、谁经营、谁负责”的原则,信息安全保障工作各相关责任部门在各自的职权范围内行使信息安全管理职能,并承担相应的管理责任。

各级政府、各部门、各企事业单位要将信息安全保障工作列入重要议事日程,主要领导要亲自抓信息安全工作,建立健全信息安全管理体制,明确主管领导,落实部门责任,切实把信息安全工作落到实处。

协调组办公室要会同市级有关部门,定期对全市贯彻落实国家和我市信息安全保障工作情况进行督促检查。对在信息安全工作中做出突出成绩的单位和个人,要给予表彰和鼓励;对或严重失职造成重大信息安全责任事故者,要给予严肃处理,情节严重构成犯罪的,依照有关法律法规追究刑事责任。

(二)保证信息安全资金的投入。信息安全建设是信息化建设的重要组成部分,必须同步规划、同步建设、同步验收。各地区、各部门、各单位在信息化建设中,要保证信息安全资金投入和信息安全设施的运行维护费用。信息安全资金的投入应综合平衡建设成本和安全风险,区别不同情况,分级、分类、分阶段进行信息安全建设和管理。

为保障和支持我市重点信息安全基础性工作和基础设施建设,市发展改革委、市科委、市财政局、市信息产业局等部门,每年应从各类科技经费和发展资金中安排一定资金,重点支持信息安全产品的产业化、信息安全人才培养、信息安全技术与服务支撑体系建设、以密码技术为基础的网络信任体系建设、重点信息安全工程建设、信息安全应用示范工程、信息安全战略、标准与政策法规研究等方面。

(三)重视信息安全人才培养,提高全社会信息安全意识。推动信息安全学科、院系和培训机构建设,积极培养和造就高素质的信息安全管理和技术人才队伍;吸引和用好海内外优秀信息安全人才,为我市信息化建设做好人才储备。同时,充分发挥我市现有信息安全人才作用。

加强信息安全知识普及教育与网络文明建设,宣传信息安全基础知识和基本技能,开展对全社会特别是对广大青少年的信息安全知识教育和安全法律法规教育。加强对各级领导干部的信息安全意识教育和技能培训,把信息安全作为各级党校、行政学院教育培训的重要内容。

(四)加快推进信息安全技术与服务支撑体系建设。加快建立全市信息安全技术与服务支撑体系,为我市信息安全法规宣传、信息安全知识普及、人才培养、产品研发、信息系统与网络等级及风险评估、发展战略研究等提供技术支持。

按照国家对信息安全产品认证认可和测评的统一要求,加强信息安全产品认证认可工作,建立全市统一的信息安全产品测评体系。对计算机信息系统安全专用产品,要加强安全产品的测评工作,推进认证认可制度的实施。

相关文章
热门文章
相关期刊