網(wǎng)絡(luò)信息安全管理研究

張娜，張志琴，張龍波

（甘肅定西供電公司,甘肅 定西 743000）

1 研究背景和意義

20世紀(jì)90年代以來，覆蓋全球各國的互聯(lián)網(wǎng)絡(luò)已隨著信息技術(shù)日新月異的革命而逐漸建成，世界已經(jīng)進(jìn)入了信息化與網(wǎng)絡(luò)化時(shí)代。不僅人們的日常生活已日益依賴龐大的信息網(wǎng)絡(luò)，而且政府機(jī)關(guān)、金融和能源等至關(guān)重要的基礎(chǔ)性部門也越來越多地使用信息網(wǎng)絡(luò)來傳輸和管理數(shù)據(jù)資源。由于網(wǎng)絡(luò)自身的開放性、跨國性、非對稱性和不可控性，信息安全已經(jīng)成為世界各國無法回避的巨大威脅，同時(shí)也是信息時(shí)代國家安全中最核心的問題，直接影響到國家政治、經(jīng)濟(jì)、軍事等各個(gè)方面的安全。因此在網(wǎng)絡(luò)全球化的今天，信息安全管理問題已經(jīng)受到世界大部分國家和政府的高度關(guān)注，信息安全管理戰(zhàn)略成為國家整體安全戰(zhàn)略中的重要組成部分，信息化水平成為衡量一個(gè)國家綜合實(shí)力的重要指標(biāo)。

2 信息安全的基本現(xiàn)狀

2.1 我國信息安全的基本現(xiàn)狀

我國的信息技術(shù)水平仍處于發(fā)展初期，網(wǎng)絡(luò)信息安全的現(xiàn)狀并不容樂觀。在世界主要國家之中，我國保障信息安全的能力水平處于安全級(jí)別最低的第四級(jí)別國家之中，同為發(fā)展中大國的印度排在第二類國家之列。英國簡氏防務(wù)周刊的戰(zhàn)略報(bào)告也指出，我國的信息安全能力處于世界較弱國家的行列，大大低于美國、俄羅斯等信息安全強(qiáng)國。但信息安全問題卻頻繁發(fā)生，成為威脅我國互聯(lián)網(wǎng)安全的首要因素。目前我國國內(nèi)半數(shù)以上的網(wǎng)站均存在安全隱患和問題，受到過黑客的攻擊或侵入。信息安全事件不單集中在個(gè)人用戶電腦受到病毒感染，網(wǎng)絡(luò)信息遭到竊取，并且政府網(wǎng)站和國家關(guān)鍵系統(tǒng)部門的信息系統(tǒng)也頻繁遭受攻擊。根據(jù)近年公安部公共信息網(wǎng)絡(luò)安監(jiān)局所發(fā)布的互聯(lián)網(wǎng)信息安全情況調(diào)查顯示，我國網(wǎng)絡(luò)信息安全事故發(fā)生的比率已經(jīng)連續(xù)3年呈上升趨勢，產(chǎn)生過信息安全問題的被調(diào)查單位占65.7%,與2006年相比提高了11.7%，其中一半以上受到了計(jì)算機(jī)木馬病毒感染。

信息安全問題對我國國家安全的威脅主要包括對網(wǎng)絡(luò)基本設(shè)備系統(tǒng)的威脅、計(jì)算機(jī)病毒與網(wǎng)絡(luò)恐怖主義等因素。

2.2 我國信息安全存在的主要問題

（1）信息政策立法與防護(hù)理念有待加強(qiáng)。國家信息安全是一項(xiàng)涉及到政策法規(guī)、管理組織、技術(shù)支持等綜合因素的復(fù)雜龐大的系統(tǒng)工程。相對于我國基礎(chǔ)信息網(wǎng)絡(luò)的全面鋪設(shè)和高速發(fā)展，對比美歐等信息發(fā)達(dá)國家的立法情況，我國信息安全法律體系的發(fā)展緩慢和不盡完善的問題也日益突出。信息安全是代表著國家的根本利益和未來競爭力，制訂完善可行的信息安全法律法規(guī)，是保障國家信息安全至關(guān)重要的基礎(chǔ)性因素。

（2）軟硬件的基礎(chǔ)技術(shù)有待發(fā)展。信息安全是以自主性和創(chuàng)新性為特征的，綜合數(shù)學(xué)、電氣自動(dòng)化、計(jì)算機(jī)與通信等自然科學(xué)領(lǐng)域知識(shí)與政治學(xué)、國際關(guān)系等社會(huì)科學(xué)知識(shí)的交叉學(xué)科領(lǐng)域，對安全問題的解決注重完善的、系統(tǒng)的、合作式的辦法。我國針對信息安全的研究起步較晚，無論軟硬件技術(shù)基礎(chǔ)均較為薄弱，采用的網(wǎng)絡(luò)硬件設(shè)備和操作防護(hù)軟件大部分源于國外，精通軟硬件技術(shù)的人才也十分缺乏，安全管理團(tuán)隊(duì)仍處于組建發(fā)展階段，對我國信息安全戰(zhàn)略的發(fā)展構(gòu)成了嚴(yán)重隱患。

（3）國民信息安全意識(shí)有待提高。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全產(chǎn)品的功能日趨強(qiáng)大，主動(dòng)防御的技術(shù)也在逐漸發(fā)展。但再完善有效的產(chǎn)品，如果其使用者沒有清晰的安全意識(shí)和應(yīng)用措施，都將使信息網(wǎng)絡(luò)遭受被攻擊的威脅，因此信息安全之中，最薄弱的環(huán)節(jié)其實(shí)就是人。人是網(wǎng)絡(luò)的建設(shè)者和使用者、網(wǎng)上內(nèi)容的提供者和消費(fèi)者，人網(wǎng)結(jié)合是網(wǎng)絡(luò)時(shí)代信息安全的本質(zhì)特征，黑客木馬、病毒的制造者是人，互聯(lián)網(wǎng)防線最薄弱的環(huán)節(jié)也是人，80%以上的成功入侵都是利用了人的無知、麻痹和懶惰，所以人的安全意識(shí)對互聯(lián)網(wǎng)的安全具有決定作用。

3 我國網(wǎng)絡(luò)信息安全問題的應(yīng)對策略

3.1 堅(jiān)持樹立新的綜合安全觀

國家安全觀是人們對國家安全的內(nèi)涵、威脅來源和維護(hù)手段及相關(guān)領(lǐng)域的基本認(rèn)識(shí)，是一國對本國所處的客觀環(huán)境態(tài)勢的自我認(rèn)知。傳統(tǒng)國家安全觀一般是以部隊(duì)為主體、以軍事安全為核心的現(xiàn)實(shí)主義傳統(tǒng)安全觀，一國安全感的提高常常會(huì)導(dǎo)致其他國家安全感的降低。冷戰(zhàn)結(jié)束至網(wǎng)絡(luò)全球化的今天，由于互聯(lián)網(wǎng)的全面普及延伸，世界各國的聯(lián)系日益緊密，在政治、經(jīng)濟(jì)、安全等方面的利益依存越來越深。信息時(shí)代的國家安全，已由傳統(tǒng)的海、陸、空的二維安全模式擴(kuò)展到海、陸、空、信息的四維安全模式，是內(nèi)涵更加豐富的綜合安全。我國確立自身的安全戰(zhàn)略時(shí)，應(yīng)從整體角度考慮新時(shí)期國家安全與國家利益之間的關(guān)系，樹立包括政治、軍事、信息和經(jīng)濟(jì)安全等在內(nèi)的多位一體的綜合安全觀，這就是新的綜合安全觀。

3.2 建立完善有效的國家信息安全保障體系

基于我國目前的國際安全大環(huán)境與存在的安全威脅和隱患，應(yīng)堅(jiān)持以新的綜合安全觀為核心，建立并完善一套行之有效的信息安全保障體系，才能從根本上維護(hù)我國的國家安全。

（1）健全信息安全制度立法與國家機(jī)構(gòu)職能。盡管至今我國已頒發(fā)了如《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保障條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)聯(lián)網(wǎng)安全保護(hù)管理辦法》等一定數(shù)量的信息安全領(lǐng)域的法律規(guī)章，但信息立法理念相對滯后;已出臺(tái)的法律和規(guī)范之間的協(xié)作性不夠，缺乏實(shí)際操作性。因此，應(yīng)進(jìn)一步確立信息安全法制建設(shè)的重要地位，樹立科學(xué)的安全法制理念，從建立完備的信息安全法律保障體系。

（2）加快基礎(chǔ)設(shè)施建設(shè)與軟硬件發(fā)展速度。保障國家的信息安全，還需要建立完善的信息安全技術(shù)設(shè)施保障體系。技術(shù)是信息化發(fā)展的源動(dòng)力，如果沒有先進(jìn)的軟硬件技術(shù)作為基礎(chǔ)，信息安全必然無法獲得長期有效的保護(hù)。為建設(shè)自主可靠的信息安全技術(shù)體系，在我國信息領(lǐng)域的硬件建設(shè)上，首先國家應(yīng)促使互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)與信息安全同步發(fā)展，在加強(qiáng)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)，提高網(wǎng)絡(luò)覆蓋范圍和傳輸速度的同時(shí)，加大對信息安全方面資源的投入;其次，應(yīng)對我國現(xiàn)有的安全研究機(jī)構(gòu)進(jìn)行合理重組，加速推進(jìn)我國信息安全所欠缺的關(guān)鍵技術(shù)和核心設(shè)備的研制開發(fā)，并最終形成規(guī)?；a(chǎn);最后，設(shè)置內(nèi)部局域網(wǎng)和獨(dú)立光纖專線，確保關(guān)鍵機(jī)構(gòu)重要信息資源的絕對安全。國家應(yīng)協(xié)調(diào)各地政府和相關(guān)部門在進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的同時(shí)，完成重要信息的危機(jī)備份與安全監(jiān)控系統(tǒng)的建設(shè)。

（3）提高大眾的信息安全意識(shí)與人才培養(yǎng)?；ヂ?lián)網(wǎng)的主要特征是人與網(wǎng)的密切結(jié)合，信息安全體系的基礎(chǔ)和薄弱環(huán)節(jié)也是人，個(gè)人發(fā)生安全問題的主要原因往往是安全意識(shí)相對淡薄。所以，強(qiáng)化網(wǎng)絡(luò)用戶的安全意識(shí)、加強(qiáng)對信息安全專業(yè)人才的培養(yǎng)是阻止網(wǎng)絡(luò)威脅的重要途徑。在網(wǎng)絡(luò)全球化時(shí)代，培養(yǎng)提高民眾的信息安全意識(shí)具有重大意義。美國政府已經(jīng)深刻認(rèn)識(shí)到培養(yǎng)民眾信息安全意識(shí)對于國家安全的重要作用，于2006年開始舉辦美國高校信息安全意識(shí)視頻大賽，截止2010年已經(jīng)舉辦了二屆。大量美國高校師生積極參與，加之新聞媒體的廣泛宣傳，激發(fā)了民眾的參與熱情，使信息安全意識(shí)迅速的深入民心，取得了良好效果。

信息安全領(lǐng)域的專業(yè)人才是保障國家信息安全的重要基礎(chǔ)和關(guān)鍵資本，擁有高素質(zhì)高水平的信息安全專業(yè)人才隊(duì)伍對各個(gè)國家信息網(wǎng)絡(luò)的安全均起著十分重要的作用。當(dāng)前，我國較為缺乏信息安全的專門人才，具有尖端技術(shù)水平的信息安全專家則更為稀缺。雖然我國政府于2002年在武漢大學(xué)設(shè)立了全國第一個(gè)信息安全專業(yè)，并隨后在上海交通大學(xué)、電子科技大學(xué)、湖南大學(xué)等高校陸續(xù)設(shè)立了信息安全專業(yè)，但目前我國的信息安全專門人才，從人數(shù)和專業(yè)素質(zhì)上均仍難以滿足需要，與此同時(shí)，美歐等發(fā)達(dá)國家較好的科研環(huán)境和高待遇的人才政策，又使我國信息安全人才流失相當(dāng)嚴(yán)重。因此，我國政府更需要將信息安全人才的培養(yǎng)、引進(jìn)和管理使用提升到戰(zhàn)略高度。首先，應(yīng)對信息安全學(xué)科教育的發(fā)展進(jìn)行創(chuàng)新與改革，建立完善的信息安全教育和培養(yǎng)體系。加強(qiáng)信息安全學(xué)的學(xué)科建設(shè)，提高信息安全本科、碩士和博士階段的教學(xué)水平，創(chuàng)建以信息安全學(xué)為核心，信息技術(shù)工程學(xué)、國際關(guān)系學(xué)、信息管理學(xué)為分支的跨學(xué)科綜合體系，使學(xué)生成為精通信息安全技術(shù)并掌握信息安全政治背景知識(shí)的復(fù)合型人才，同時(shí)鼓勵(lì)各類專業(yè)人才將信息安全技術(shù)應(yīng)用于其本職工作中，掌握一定的安全技術(shù)，通過證書培訓(xùn)與崗位培訓(xùn)等職業(yè)培訓(xùn)，提高安全行業(yè)人員的技術(shù)水平;其次，采取完善有效措施，引進(jìn)人才并留住人才，改善人才的工作環(huán)境與生活環(huán)境，提高薪資等各項(xiàng)待遇，并制定信息安全專項(xiàng)獎(jiǎng)勵(lì)制度，從而激勵(lì)貢獻(xiàn)突出者;再次，進(jìn)行科學(xué)的人事制度改革，以人為本，用好人才。從工作實(shí)際出發(fā)，引入崗位競爭機(jī)制，不拘一格選拔并使用能真正勝任工作的人才，同時(shí)采取一定措施吸引從事信息安全領(lǐng)域研究的出國人員和愛國華人歸國，為國家服務(wù)。

3.3 加強(qiáng)信息安全的國際交流與合作

隨著信息技術(shù)的蓬勃發(fā)展和國際信息網(wǎng)絡(luò)的深入展開，信息安全帶來的威脅也日益上升。世界各國在信息安全上的共同利益增多，因此在安全上的相互依存日益緊密。由于信息安全威脅的無政府性和非對稱性，單靠一國的力量往往難以迅速有效地解決。因此，為更好地保障我國的信息安全，維護(hù)國家綜合安全，應(yīng)基于我國所處的國際大環(huán)境，積極參與信息安全領(lǐng)域的國際安全交流合作，才能有效應(yīng)對信息安全威脅帶給我國和全球各國的共同挑戰(zhàn)。

[1]Buzzard K.Computer security-what should you spend your money on[J].Computers Security,2002，(2):10-12.

[2]Ernie Jordan.Information Security Management-Part2:Specification for Information Security Management Systems[M].Computer Engineering，2002.

[3]Campbell AT,Micro environmental Modeling Integrated With Geo graphic Information Systems for Exposure Analysis[J].IEE Net work,2002，(3):15-18.

[4]Nishio,Shuichi.Standardization of evaluation criteria for IT securi ty[J].NTT Review,2002，(5):20-22

[5]Modiri N.The ISO reference model entities[M].IEEE Network:ratislava Slovakia，1999.

[6]Lawrence A Gordon,Martin P Loeb.CSI/FBI Computer Crimeand Security Survey 2004[M].Computer Security-Institute,2004

[7]Denning D.An Intrusion-Detectioax Model[M].IEEE transaction on Software Engineering,1987.

[8J張春江，倪健民.國家信息安全報(bào)告[J].北京:人民出版社，2000，（4）:113-117.

[9]李勁松.信息時(shí)代如何保障國家安全:信息安全的主要威脅及其對策[J].國家安全通訊，2007，（7）:67-69.