前言:中文期刊网精心挑选了国家信息安全的重要性范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
国家信息安全的重要性范文1
关键词:信息系统安全 等级保护 福建
一、引言
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别,从第一级到第五级逐级增高,对不同安全级别的信息系统实施不同的安全管理。
二、我国信息系统安全等级保护思想的形成
1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
20世纪80年代初,美国国防部制定了“国家计算机安全标准”等系列标准,包括《可信计算机系统评估准则》(TCSEC,即俗称的“桔皮书”)及其他近40个相关标准,合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准,具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起,设立了4类7级。
1999年,我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。
2000年11月10日,国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。
2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法(试行)》,并于2007年6月修订。
2007年6月,公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
三、开展信息系统安全等级保护工作的必要性和重要性
⒈开展信息系统安全等级保护工作的必要性
随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现了许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。
一是网上斗争日趋复杂,不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点,使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。
二是网络违法犯罪活动迅速增多,造成的后果越来越严重。随着新技术、新应用的发展,暴露出来的网络与信息安全问题也日益增多。
三是漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。
四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查,2007年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。
⒉开展信息系统安全等级保护工作的重要性
开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
四、加快推进福建省重要信息系统安全等级保护工作
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日,福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。
信息系统安全保护工作的首要环节是定级,定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。
1.突出重点,全面准确划定定级范围和定级对象
此次重要信息系统定级的范围是国家基础信息网络和重要信息系统,这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围,体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。
2.依据《管理办法》,准确确定信息系统安全保护等级
福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上,根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素,依据《管理办法》,参照《定级指南》所提供的定级方法,综合确定信息系统的安全保护等级。在确定等级的过程中,要最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。
3.及时备案,加强对定级工作的监督、检查和指导
为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况,保护重点领域的重要信息网络和信息系统,凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求,到公安机关进行备案。公安机关受理备案后要对备案材料进行审核,加强对重要信息系统安全等级保护定级工作的监督、检查和指导;对定级不准的,要及时通知备案单位重新定级。
4.依据《管理办法》和技术标准,开展整改、测评等工作
信息系统的安全保护等级确定后,运营使用单位要按照信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施;参照信息安全等级保护管理规范,制定并落实安全管理制度;选择符合《管理办法》规定条件的测评机构,依据技术标准对信息系统安全等级状况开展等级测评,使其尽快达到等级要求的安全保护能力和水平。
五、加大力度,确保福省重要信息系统安全等级保护工作任务落到实处
随着北京奥运会的日益临近,特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,信息安全等级保护的工作任务艰巨,责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合,及时开展监督、检查,严格审查信息系统所定级别,积极开展备案、整改、测评等工作。同时,充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,以确保福建省重要信息系统安全等级保护工作落到实处。
1.明确职责,落实责任
各级公安机关要积极向当地党委、政府专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持;或者成立专门的等级保护工作直辖市领导小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展定级、备案、建设整改等工作。
2.密切配合,通力协作
各级公安机关作为开展等级保护工作的牵头部门,要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合,尽快建立健全信息安全等级保护监管工作的协调配合机制;要主动与信息系统主管部门交流沟通,督促配合其组织下属信息系统运营、使用单位建立信息安全责任制,建立并落实等级保护制度,从而确保等级保护工作的顺利、有效实施。
3.加强宣传,强化培训
国家信息安全的重要性范文2
【关键词】信息;网络化;安全
一、引言
由于计算机的普及和网络技术的发展,使得国家间的联系得以加强。由于网络开放性和互联性的特点,它在给用户带来便利的同时,也对信息安全带来极大的隐患,当今社会不断出现个人信息、军事信息甚至是国家重要信息在网上被盗取、破坏等事件,极大的威胁国家的安全和社会稳定。因此,信息网络安全的保障是各个国家研究的重要课题之一。
二、信息安全的意义
2.1以信息化网络为基础的信息化技术已成为国家经济安全的重要组成部分
经济安全是指在经济全球化的环境下,一个国家保持其经济系统运行和国民经济发展不受外来势力根本威胁,国家经济不受分割的状态和能力。其构成主要包括资源安全、金融安全、产业安全、财政安全和信息安全等。
2.2信息网络安全是构成国家经济安全的基础
由于信息化飞速发展和网络技术的迅速普及,经济信息也与网络紧密结合起来,信息化与经济的关系越来越亲密,经济信息化的程度越来越深。当前我国的互联网涉及到了社会经济的各个领域,并直接与世界各国连接。因此互联网既是政治关口,也是国家的经济命脉。而如今,我国各行各业对信息网络系统的依赖程度越来越高,这种高依赖性势必使得社会经济十分脆弱,一旦受到外来势力的打击和破坏,信息网络无法正常运行或陷入瘫痪,随之整个社会陷入动荡甚至崩溃。因此从信息网络安全角度看,信息化程度越高,国家安全、社会安全面临的风险越大。信息的网络安全保护问题已经成为制约我国经济社会发展的关键问题之一,也是构成国家经济安全的基础。
三、信息网络化的安全问题
3.1信息安全产品出现的安全隐患
信息产业已成为社会经济发展的巨大推动力,但由信息产业产生的信息安全产品也给经济安全带来了一些问题。首先,目前我国大部分的网络硬、软件和技术都从国外引进,如果这些设备设计有缺陷或故意留有漏洞,在非和平时期被产品提供国加以利用,则我国的经济安全甚至是国家安全遭到严重的破坏。其次,我国自主研发的防火墙技术、杀毒软件等信息安全产品本身也存在一定的滞后性。一些制造商本身信誉很差,只追求片面和短期的经济利益,而忽视法律法规,自己制作病毒再推出相关产品以取得利益,罔顾人们的利益和国家的信息安全。造成网络经济的混乱,使社会对网络化的信息产生不信任感。
3.2安全意识不高,现行法律制度不完善
计算机网络安全的首要威胁是计算机病毒,当今计算机病毒技术发展非常迅猛,每年出现的病毒数越来越多,危害也越来越大。而我国部分政府网站、商业网站由于缺乏相关专业技术人才,安全防范意识不强,防火墙技术及防病毒技术的使用跟不上,造成信息的泄露,数据的完整性遭到毁灭性的破坏,严重影响信息网络的安全。另一方面,由于法律和道德的约束不力,越来越多的人突破道德底线,利用计算机和网络技术进行经济犯罪,也给国家的经济安全带来极大的危害。
四、加强网络安全,建立信息安全体系
信息安全体系的建立,不是仅仅依靠几种安全设备的简单堆砌,或者一两个人的技术就能够实现的,还要设计管理制度、人员素质的意识、操作流程的规范、组织结构的健全性等众多因素。一套良好的信息安全体系需要综合“人+技术/产品+管理+维护”运用,从而才能建立起一套完备的、高保障的信息安全体系。
4.1强化自主创新意识,开发和使用有自主知识产权的信息安全产品
国家要重视强化自主创新意识的重要性,加大力度做好信息安全标准化建设规划、推动工作,设立专项资金,发挥产学研结合,实现校企合作,及早确立全面的信息安全技术标准、管理规范,同时通过实施信息安全研发、产业化重大专项,增加对信息安全保障体系关键技术研究的资金投入,鼓励企业开创自主开发意识,生产出拥有自主知识产权的信息安全技术和产品,特别是服务器、主机、交换机等主要设备及相关操作系统、数据库软件、安全服务器技术等方面迅速形成突破,提高我国信息安全技术产品水平,以此减低对国外产品和技术的依赖,降低国外对我国经济安全的威胁。
4.2加大专业技术人员培养力度,完善信息安全管理制度
信息安全体系的建立,需要专业技术人才的支持。我国应着重培养具有经济知识的信息安全专业的技术人才,使之在网络信息的维护发挥重要作用。可喜的是现今国内很多高校已经设立了信息安全专业,信息安全学科和人才培养进入热潮阶段。同时,我们也要不断的强化专业技术人才安全意识和提高专业素质,规范和完善信息安全管理制度,保障和维护信息安全,防范内部人员出现信息破坏和犯罪现象发生。
4.3完善相关的法律法规,保障网络信息安全
法律是网络信息安全的重要保障,只有健全的法律法规制度的建立,才能有效保证网络系统安全运行、信息安全传递。随着国家的高度重视和宏观管理,我国关于信息安全的法律日益趋于完善。但是我们必须清楚的认识到,由于信息化产业发展过于迅速以及网络和计算机技术的成熟,目前的法律法规已经不能满足于现实需求,各种利用计算机进行的经济犯罪层出不穷,方式与手段不断变化,甚至达到无孔不入的地步,让人防不胜防,大量的政府信息、军事信息、经济信息等被泄露甚至破坏,严重威胁着国家安全和社会稳定。因此我国应根据信息网络化迅猛犯罪的特点,结合现今存在的现实问题,补充和完善现行的法律法规,日益健全法律体系,进一步维护网络信息系统的安全。
总之,网络化的飞速发展和计算机技术普及的推动,我国的信息化产业显现出蓬勃发展的良好势头。但是,随之而来的信息安全保护问题变得更加严峻。为此,我们应不断研究和探索,建立起一套完善的信息安全保护体系,以拥有自主知识产权的软硬件为基础,培养专业技术人才为关键,进一步完善法律法规和管理制度,努力维护网络信息安全,进而保障我国的经济安全和国家安定。
参考文献
[1]郭秦.试论信息网络安全在国家经济安全中重要性及其维护[J].理论导刊,2007.9
[2]陈爱玲.浅析煤炭营销信息网络安全[J].山东煤炭科技,2006(3)
[3]房劲,庞霞.信息安全的常见问题及对策[J].信息与电脑,2009(11)
国家信息安全的重要性范文3
确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题,即:如何切实保障信息网络安全,以确保我国信息化建设快速、平稳、健康发展,避免信息网络安全问题导致社会危机的发生。
同时,它也要求我们必须结合国情,从“发展是硬道理”出发看待和把握信息安全问题,对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断,制定科学、务实、有效的安全保障战略。
提升应急能力
面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动。
在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题,我们在方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合(如图1所示)。
要落实综合集成的方法论就要综合治理,不仅靠一个部门或一个企业制定信息安全应急预案,而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。
同时,我国也必须要建立自己的体系,并与全球的相关组织紧密合作,实现从定性到定量的协调机制。在不断变化的技术环境中,今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化,必须作为系统开发生命周期中的一重要组成部分加以考虑,并在每一阶段明确其定位。
信息安全常被看作是一个技术问题,少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。
避免误区
在评估和把握我国信息安全形势的走向时,要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下,对信息安全问题的演变趋势估计不足、重视不够,给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高,把技术与管理不健全而造成的安全问题视为战略问题,造成人力、财力的浪费,给国家管理和社会进步增添负担。
思路和原则
抓住我国综合实力进一步增强和加入WTO的机遇,统筹我国信息安全保障体系建设,在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验,在15~20年时间内,坚持与时俱进、求真务实的精神,通过统一规划、分步实施,政府引导、全民参与的方式,通过信息安全治理,建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:
坚持风险管理原则完全避免风险是不现实的,要对关键领域的信息安全风险进行识别和评估,采取必要的保护措施和应急措施来降低风险,使之控制在可承受的范围内。
明确统筹兼顾原则在实施策略方面,要明确国家、企业和个人在信息安全方面的责任和义务,充分发挥各方面的积极性;要统筹城乡信息安全建设,协调区域化信息安全建设与全国信息安全建设。
重视经济实用原则切忌空谈和夸大,量力而行,突出重点。以我国信息安全领域最急需开展的工作作为突破点,扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点,技术上要采用综合集成思想,逐步完善关键基础设施的安全保障,切实提高信息安全防护能力。
遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应,采取统一规划、分步实施,以及短期和中长期目标相结合的方式进行。
治理三阶段
国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全,实现国家对信息化环境与内容的治理(如图2所示)。
第一阶段,打基础、保重点,初步建立我国信息安全防护体系。
战略重点是保障“3+7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。
保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。
保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系,实现对信息内容安全监控,对有害信息内容进行过滤,减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。
通过立法,将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管,增强信息犯罪取证调查能力。
第二阶段,重体系、促发展,形成较强的国家信息安全保障能力。
战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展,形成良好网络秩序。
政务网络安全保障重点是保证关键指令和信息的有效上传下达,政务资源的有效整合和利用。为此,要加快安全保障体系与安全支撑平台建设,这是政府在信息安全上的法律职责和义务。
第三阶段,实现对信息网络的有效治理,初步具备信息反制能力。
战略重点是有效维护信息空间领域国家利益,大幅提高全民在信息化进程中生活质量和福利。
战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。
在政策法规方面,建立完善的信息安全法律法规体系。在技术方面,依据信息安全技术战略,在关键领域取得突破性进展。在产业方面,通过政策倾斜和市场竞争,孵化出信息安全“航空母舰”型企业,信息安全主要核心技术基本实现自主化。
五大安全治理规范(供参考)
一、经济合作和发展组织,《信息系统安全指南》(1992)
《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
二、国际会计师联合会,《信息安全管理》(1998)
信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
ISO 17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT)
CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。
五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)
国家信息安全的重要性范文4
■ 中国信息安全产业分会
一、将信息网络应急纳入国家应急体系中
我国当前的国家安全和基础设施的安全应急体系中,并没有把信息网络应急纳入国家应急体系之中。我们强烈呼吁把信息网络应急体系纳入国家应急体系中。其理由如下:
我国政治、经济、产业、社会和文化的信息化依赖程度越来越高。
为了提高信息化的综合效益或者效益的最大化,我国许多行业与领域的信息化的运营体制是集中模式,为此配套的灾害备份、业务连续性和服务保障体系还十分脆弱。
我国基础设施的信息化体系的应急没有标准的问题十分突出,需要尽快改变。
我国的信息网络应急体系的产业需要在实际中大力扶持。
二、加快规划和建立我国网络可信执法体系
如同现实社会中不能仅靠建立不同等级的安全防护体系,还需要建立社会治安的执法体系一样,在网络世界中,同样需要建立网络可信执法体系来维系网络世界或社会的秩序和安全。
我国网络犯罪的形式不断变化,从过去的计算机病毒、蠕虫、木马、蓄意代码、流氓软件等犯罪,逐步发展为网络安全黑市、黄色网站、网络、网络传销、网络非法信贷、网络赌博、网络欺诈、网络偷税等危害更大、更直接的政治、经济、文化和社会的犯罪行为和活动。我国在网络世界或网络社会中执法没有相应的技术服务和支持体系,目前主要通过人机界面方法或人工手段发现网络犯罪,其手段相当落后,效率非常低下,基本不能适应网络执法的要求。
三、进一步促进我国监管工作信息化体系建设
如同现实社会中不仅有安全防护体系和社会执法体系,还需要监管体系一样,在网络世界中,同样需要建立可信的网络监管体系来实现各行业、各领域网络化和信息化的业务、办公、服务等方面的违规、违约、违法以及危害行为的监管。监管工作信息化是我国监管现代化的重要工作,涉及到财政、银行、证券、保险、税务、工商、海关、电信、电力、交通、物流、安全生产和政府公众服务国家的许多重要领域。监管现代化是我国电子政务的最重要和最急迫的工作之一。
我们建议,在监管部门要成立信息化风险的监管科技司或者监管司。对于这些问题,相关部门依然认识不够,虽然有的监管部门在原信息中心体制内,成立了IT监管处,显然这种工作力度与我国监管信息化和信息化监管体系的建立的要求差距还很远。
四、加强国家安全的技术标准和技术法规建设
虽然我国在法规建设方面取得了很大成绩,但是在国家安全方面的技术法规建设方面,我们认为还远远落后或者不满足我国信息化时代国家安全和信息化发展的要求。这些问题不解决,将会严重影响我国的国家安全和国家信息化事业的发展。
国家信息安全的重要性范文5
信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全系统,可以说是信息系统的免疫系统:如果免疫系统不健全,整个系统将是无能的,甚至有害的。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题。如果信息安全问题解决不好,将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战、信息恐怖和高度经济金融风险的威胁之中。
信息保障在国外
世界各国信息安全领域的研究,已经从早期的通信保密到信息安全发展到目前的信息保障。
美国:1998年5月22日,美国政府颁发了《保护美国关键基础设施》总统令(PDD-63)。围绕“信息保障”成立了多个组织,其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。
1998年美国国家安全局(NSA)制定了《信息保障技术框架》(IATF),提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。
2000年1月,美国发布了《保卫美国的计算机空间——保护信息系统的国家计划》。该计划分析了美国关键基础设施所面临的威胁,确定了计划的目标和范围,制定出联邦政府关键基础设施保护计划(其中包括民用机构的基础设施保护方案和国防部基础设施保护计划)以及私营部门、州和地方政府的关键基础设施保障框架。
俄罗斯:1995年颁布了《联邦信息、信息化和信息保护法》,为提供高效益、高质量的信息保障创造条件,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。
1997年,俄罗斯出台的《俄罗斯国家安全构想》明确提出:“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。
2000年,普京总统批准了《国家信息安全学说》,明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。
日本:已经制定了国家信息通信技术发展战略,强调“信息安全保障是日本综合安全保障体系的核心”,出台了《21世纪信息通信构想》和《信息通信产业技术战略》
我国的迫切性
党的十五届五中全会提出了大力推进国民经济和社会信息化的战略举措——“以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展”。同时,要求强化信息网络安全保障体系。
目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
当前的信息与网络安全研究,处于忙于封堵现有信息系统的安全漏洞阶段。要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。
如何强化保障体系
信息系统的信息保障技术层面可以分为应用环境、应用区域边界、网络和电信传输、安全管理中心以及密码管理中心。
国家信息安全的重要性范文6
党的十八届五中全会《关于制定国民经济和社会发展第十三个五年规划的建议》提出,坚持创新发展,必须把创新摆在国家发展全局的核心位置,不断推进理论创新、制度创新、科技创新、文化创新等各方面创新,让创新贯穿党和国家一切工作,让创新在全社会蔚然成风。在布置创新发展的具体任务时,进一步要求实施网络强国战略,实施“互联网+”行动计划,发展分享经济,实施国家大数据战略。未来的五年乃至更长时间,电子政府的深入发展是与我国网络强国战略相适应的,由此可见,网络、信息系统建设已经上升为国家的关键基础设施建设,电子政府信息安全也不单纯是技术性安全,而成为事关国家发展全局的国家安全问题。
一、电子政府信息安全的重要性
电子政府(electronic government) 是政府机构应用现代信息和通信技术,将管理和服务通过网络技术进行集成,在互联网上实现政府组织结构和工作流程的优化重组,超越时间和空间及部门之间的分隔限制,向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。简单来说,电子政府是在网络上建立的与现实政府相对应的“虚拟政府”。随着互联网+时代的到来,实体政府的信息、服务及处理措施需要被电子政府输出,以便更为及时、便捷、高效的被政府间、企业、社会组织、个人所接受。电子政府所履行的政府职能主要包括:E-服务,政府通过现代信息技术在网络上发布政府信息、计划及服务;E-民主,以网络为载体实现政府与公众的互动,实现网上民主,网络政治参与;E-商务,包括实物和服务的电子交换,例如市民交付税和公共设施费用、续办车辆登记、娱乐项目消费,或政府购买供给物品和拍卖剩余设备;E-管理,即利用信息与技术改进政府管理,从流线化业务流程到维护电子记录,改善工作流程并对信息加以整合。电子政府的运行必然会带来政府管理方式的巨大变革,显著提高政府效能,促进经济、社会的巨大发展。
信息安全是电子政府建设的根本保障。首先,信息安全是电子政府建设的关键,是国家安全的重要组成部分。国际标准化组织(ISO)将信息安全定义为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。由于网络的开放性、不确定性、虚拟性和超越时空性等特点,同时网络用户所具有的广泛性和跨地域性使得针对电子政府的攻击和入侵具有极高的隐蔽性。因此,电子政府信息安全的建设需要具有极高的可靠性和安全性。电子政府信息安全是电子政府网络平台建设和应用的关键,也是国家各级政府正常履行职能的基础。
其次,信息安全主要是保障电子政府运作过程中的安全。具体包括:物理安全,主要是是对电子信息设备的保障,不因为外界条件的改变(自然灾害或者人为损害而使计算机硬件或者线路出现损害);数据安全,通过加密、签名、认证、鉴别的方式防止政府数据信息在存储或者传输中被窃取、篡改;运行安全,在系统运行过程中发现危险因素及时报警并采取处理措施以保障信息系统能够正常运行。
二、我国电子政府信息安全建设的制约因素
随着“互联网+”时代的到来和网络在全社会各领域的广泛应用,传统的物理基础设施与信息系统的融合程度不断加深,使得网络环境所带来的不安全因素对电子政府信息安全的的威胁日益凸显,政府必须面对各种的自然灾害、人为破坏、计算机系统故障等,这些威胁的根源突出表现在以下方面。
一是信息安全意识相对落后。信息安全是国家安全的重要组成部分,但我国从中央到地方对信息安全建设的重视程度还不够。一方面,国家层面还没有对信息安全建设做出清晰的全局规划。各级政府部门在规划和部署信息网络建设过程中缺乏科学论证和合理规划,在安全防范机制建设上也重视不够,往往把信息安全的保护寄托于防火墙和加密程序等安全产品的使用上,使我国政府信息安全保障方面存在巨大的安全隐患。
二是核心技术缺乏。党的十八届五中全会在布置创新发展的具体任务时,进一步要求施网络强国战略,实施“互联网+”行动计划,发展分享经济,实施国家大数据战略。但由于互联网具有开放性、不可控性、不确定性、跨区域性等特点,导致互联网自身防护能力较弱,许多应用系统处于不设防状态。我国信息化建设尚处在初级阶段,但面临的信息安全问题却是全方位的与世界同步的,而且我国还面临错综复杂的国际环境下与我国国情相关的特殊信息安全问题。我国信息化建设的基础设备和信息技术方面对国外具有较强的依赖性,自主研发能力较弱,在系统安全和安全协议的研发方面落后于发达国家,因此我国信息安全面临的最大威胁来自于核心技术的缺乏。
三是信息安全防护制度不够完善。首先,推动我国电子政府建设的管理机构层级较低,缺乏具有最高权威的信息安全管理机构,信息安全工程规划滞后于国家信息化进程,导致我国电子政府建设缺乏整体规划,存在重复建设与发展不平衡等问题,这一方面导致了基础网络和信息资源的浪费,另一方面也带来管理上的混乱无序。其次,电子政府安全信息防护制度存在管理缺陷。尽管大部分电子政府系统采取了内外网隔离、专用网与互联网隔离的办法,但由于缺乏对内部人员的操作进行监控和记录,更无法对非法操作进行屏蔽和阻断,电子政府系统仍不能够完全消除管理隐患。
四是法律制度的制约。缺乏相关法律保障是制约我国信息化建设发展的一大突出问题。我国目前有关电子政务的法律法规分散在信息法、行政许可法、互联网法、电信法、计算机软件保护法、计算机法、电子签名法等单行法律之中,适用法律较为分散,表现出法律层级较低、缺乏统一的规划,政出多门、相互交叉、权责不明、时有冲突的特点,严重制约了我国电子政府建设以及国家信息化建设。同时互联网领域的立法工作严重滞后与互联网领域的迅猛发展,无法约束新技术、新业务引发的经济、社会、文化领域出现的新问题。
三、电子政府信息安全建设对策
首先,加强信息安全技术建设。电子政府建设依托于计算机、网络、信息技术,无论是硬件还是软件建设都需要进一步加强,尤其是核心技术要有自主研发能力,自主的信息产业或信息产品需要国产化,研制自己的网络路由器、计算机芯片和电脑操作系统,同时还要加紧研制具有完全控制力的自主知识产权的信息安全产品,以避免国家保密信息及公民个人信息被轻易泄漏。
其次,加强信息安全制度建设。加强安全保护制度建设,构建我国信息安全保护制度应当包括信息安全保护对象的认定标准和程序,对国家关键基础设施进行脆弱性评估、信息安全测评、制定安全保障措施,对信息安全保护进行重要性分析。加强监测预警制度建设, 对信息安全网络空间实时监测、通报与及时预警能够确保国家关键基础设施、国家安全信息、政府保密信息不受信息安全事件。事件监测通报与预警制度应当包括三个方面的内容:一是信息安全事件监测通报规划和方案;二是确立信息安全漏洞通报机制;三是从预警级别、预警启动、不同级别预警的应对机制以及预警解除等方面完善信息安全事件的预警机制。加强应急处置制度建设,加强信息安全事件应急响应机制建设对保障社会正常持续运转具有重要意义。应急处置制度要遵循第一时间响应原则,要以维护国家机器正常运转为首要目标,协调各方面的力量,在最短时间内恢复政治、经济、社会生活的正常秩序。信息安全事件应急处置与恢复制度应当包括信息安全事件的分级处置和标准制定,以及应急预案的制定;信息安全事件的应急处置方案,包括信息安全事件的检测、信息安全事件应急预案的启动,以及特大、重大信息安全事件的紧急处置方案;信息安全事件恢复制度和信息安全事件应急处置和恢复的总结报告制度;最后,与《突发事件应对法》的衔接,制订符合信息安全应急处置与恢复的具体制度。
再次,完善信息法律体系。信息安全法是我国整个法律体系的有机组成部分,关系到国家信息安全和国家安全。建立信息安全法的目的在于保障网络的健康发展,信息及经济、社会的安全。在立法中应考虑如下基本原则。第一,设置法律法规应该遵循技术中立、保护竞争的原则。第二,加快电子政府整体立法。第三,注重信息立法的标准化,在信息安全标准的制定、认证、检测等方面制定统一标准。第四,信息自由权与国家主权、社会公共利益相结合。第五,信息立法应具有国际性。由于信息化是建立在互联网的基础上,联网化具有跨区域性、全球性特征,我国在制定信息安全方面的法律法规时,应与与国际信息法接轨,融入到国际大环境中。
作者简介
