信息安全战略范文

导语：如何才能写好一篇信息安全战略，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

>> 美国国家信息安全战略解析 加快制定国家信息安全战略等 互联网时代的全球主要国家信息化战略 从“棱镜”透视国家信息安全 数据挖掘与国家信息安全 域名管理关乎国家信息安全 国力中的国家信息安全 中国国家信息安全的新特点与文化发展战略 中软:三大战略护航国家信息安全 对国家信息化发展战略及当前主要任务的理解 第二届国家信息安全与国产化战略高层论坛北京举行 网络传播与国家信息安全保障 密码技术：把握国家信息安全命脉 重估国家信息安全屏障 社会审美教育与国家信息安全 大数据时代的国家信息安全发展探究 信息通信业发展对国家信息化发展的战略实施 新时代需要新的国家信息化战略 《国家信息化发展战略纲要》 国家信息化发展战略纲要印发 常见问题解答 当前所在位置：.

[2] The National Strategy to Secure Cyberspace[EB/OL].

.

[3] The Comprehensive National Cybersecurity Initiative[EB/OL].

http：//whitehouse.gov/sites/default/files/cybersecurity.pdf.

[4] Cyberspace Policy Review： Assuring a Trusted and Resilient Information and Communications Infrastructure[EB/OL].

http：//whitehouse.gov/assets/documents/Cyberspace_Policy_Review_fina.pdf.

[5] National Strategy for Trusted Identities in Cyberspace[EB/OL].

http：//whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf.

[6] International Strategy For Cyberspace[EB/OL].

http：//whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.

基金项目：

国家信息安全战略研究。

篇2

关键词：数字化；信息安全；权限

信息科学技术发展助推档案信息数字化进程，在高效满足用户查档需求中提高了档案工作服务质量和工作效率，但同时档案信息泄露、档案数据丢失、涉密文件被窃取等问题也愈发凸显，给档案信息安全带来了严峻挑战，在一定程度上削弱了档案信息化建设工作成效。推进档案信息化建设是适应新时代要求的必然选择，也是顺应档案事业发展新趋势的必然要求。我们要清晰地认识到，当下电子化档案数量日益激增趋势对保障档案信息安全提出了更高要求，分析档案信息数字化过程中面临哪些风险挑战，从实际出发，分析如何应对现存问题、规避化解潜在信息安全风险，是当下档案界亟需解决的紧迫性课题。

一、档案信息安全面临的挑战

目前，我国档案信息化建设有了一定成就，在提高档案管理、档案服务指导、档案资源化利用等方面取得了积极进展，但在发展过程中也暴露出不少信息安全问题，在一定程度上影响了档案信息化建设质量和成效。当前，我国档案信息安全面临的风险主要表现在：

1.档案信息在保管不当中泄露档案在保管过程中面临着信息泄露的风险，主要体现在：一是档案工作人员对保障档案信息安全的重要性认识不到位，重视不够，尤其是对涉密文件缺乏安全保密意识，将一般文件与涉密文件混放，对查档人员的查阅文件是否涉密未做细致甄别和区别管理，由此存在敏感文件信息外泄隐患，威胁着档案信息安全；二是档案工作人员专业素养参差不齐，尤其是非科班出生人员保密意识不足，另外在档案人才队伍中专职保密工作人员配置不足，使得档案在收集—归档—保管—利用环节中出现档案信息泄露现象；三是实体档案面临着被损毁的风险。实体档案在搬运、拆卷归类、反复查阅中因与设备接触、人员拿捏不当、存储环境发生变化等原因可能导致存在不同程度的磨损、遗失、失真。

2.档案信息通过网络漏洞泄露随着电子档案在线查阅功能上线，网络安全漏洞成为档案信息泄露的因素之一，主要体现在：一是档案管理软件程序存在缺陷，更新不及时，容易受到病毒入侵、黑客攻击，一旦敏感信息或涉密文件泄露，后果不堪设想；二是网络安全监管存在漏洞，数字化档案需要利用网络平台对档案数据进行著录、信息处理和迁移转存，往往因缺乏完善的网络安全监管技术，造成档案信息通过网络传播泄露的现象；三是档案数据上传和下载过程中面临着数据缺失、信息失真的风险。一些档案数据存储在云环境中，由于云环境中的设备和网络布局十分复杂，数据在计算、存储、传输等环节中存在不少安全隐患，若云环境突然中断处理，则会影响档案信息的正常访问和传输，从而降低了档案信息的准确度。

3.档案信息在管理制度不健全中泄露一是问责机制不健全，管理制度内容空泛、随意性大、执行力和约束力不够，档案工作人员责任心和使命感不强，在档案信息保管、数字化处理和利用过程中随意性很强，不利于档案信息安全；二是监督机制缺失或不完善，信息化时代下查档工作主要在计算机档案管理系统中完成，尤其是对外公开的档案查阅平台，查阅人员众多，若缺乏对查档人员的查阅轨迹进行跟踪和分析，在系统有漏洞的情况下发生档案信息泄露情况很难进行追溯和追责。

二、提升档案信息安全水平的对策

针对当前我国档案信息安全面临的潜在风险，从基本实情出发，结合工作实际，应在完善存储安全防范措施、健全档案信息安全管理制度、引用先进技术保护档案信息安全、强化档案信息识别能力等方面下功夫，开创“人防、物防、技防”三位一体的档案信息安全工作新局面。

1.完善存储安全防范措施完善的安全防范措施是确保档案信息安全的第一道防火墙。因此，需要在档案管理系统中打牢防范基础。第一，要勤杀病毒。档案信息管理系统必须安全杀毒软件并及时更新，设置定期病毒扫描程序，修复系统漏洞，防止病毒对系统构成破坏；第二，要设置用户访问权限保护信息。对访问用户按照一般用户、系统操作员、系统管理员不同级别逐一设置访问权限，可公开的文件可向一般用户开放，需要审批或涉密文件则由系统管理员审核按照相关规定提供查阅；第三，要定期做好数据迁移。档案存储载体多样，不同载体保存档案的有效期限存在差异，对需长期保存的档案应结合其存储载体制订灵活的存储策略，跟进存储技术发展步伐做好档案数据迁移和转存；第四，要建立档案信息安全评估体系，安全专业人士组建档案信息安全评估小组，对档案保存环境安全状况做全方位、系统化检查，评估潜在的风险等级指数，并对可能发生的风险制定应急预案；第五，要强化档案信息管理人员信息安全意识和责任意识，加强思想政治教育和保密意识培养，建立安全责任制度，避免出现意识不到位或操作不当导致档案信息泄露。

2.健全档案信息安全管理制度健全的安全管理制度是保障档案信息安全的基础。因此，应改进当下管理制度中存在的不足。第一，制定档案信息管理规章制度。一方面防止不法分子采用恶劣手段篡改档案信息；另一方面确保工作人员遵章办事，保护档案信息的真实性和完整性；第二，建立档案信息系统安全监测机制，由信息运行系统自动对用户访问的每个阶段进行跟踪监测，包括用户身份、访问文件信息、访问时间、访问状态等，一旦出现敏感信息泄露即发生报警信号。同时，系统管理员根据跟踪轨迹检查分析是否有危险档案信息安全性的行为，结合实际情况实时更新预警参数，完善安全检测机制；第三，建立信息安全日常管理制度。落实日常信息安全管理制度是最大限度将安全风险降到最低的重要手段之一，档案管理部门从工作实际出发，细化工作细则，明确工作流程，将安全意识和尽责行为贯穿到档案信息安全日常管理的每个环节，避免安全问题发生。

3.引用先进技术保护档案信息安全技术是保护档案信息安全的重要手段之一，应进一步提高技术保障档案安全的科技含量。第一，采用加密技术提升档案信息安全性。根据档案信息的重要程度划分安全级别并进行加密处理，由特定人员管理权限，为确保档案信息的保密性和安全性，访问用户需经管理员审核通过后输入密码或口令才能读取数据；第二，采用数据冗余技术保障档案信息原始数据的完整性。为防止病毒入侵、黑客攻击对档案原始数据造成致命性破坏，电子化档案在形成初期应采用数据冗余技术将信息存贮在多个硬盘中，一旦其中一个硬盘出现问题，其它硬盘数据可作为备份替换；第三，配置安全技术人员，定期对档案信息网络环境进行监控、巡逻、检测，及时排查非法访问行为，一经发现异常现象及时报告启动应急预案，防治档案信息遭到非法入侵、窃取和篡改，从而有效保护档案信息安全。

4.强化档案信息识别能力快速、准确、高效识别出档案信息是规避档案信息泄露风险的重要方法，应在档案保管、人才培养等方面增强档案信息识别能力。第一，对档案进行归类和编码是快速定位档案的有效手段，能为档案信息风险评估工作提供路径，进而对管理档案风险程度进行评估，找到信息风险源头，及时规避和化解风险；第二，要重视对档案管理人员风险意识培养，制订档案信息化管理统一标准，通过教育培训、实操演练等方式，增强其及时处理和预防风险的能力，能够在总结工作经验中快速识别风险源，将风险带来的损失降到最低。

篇3

关键词:反倾销 出口贸易 被动局面 现状和特点 应对策略

反倾销是GATT/WTO所认可的用于维护国际贸易秩序，规范、保护进口国产业免受不合理侵犯和对付不公平竞争的合法而有效的措施。但是，随着关税减让和传统的非关税措施的取消，反倾销越来越多地被各国作为贸易保护主义的工具来使用，以至于完全违背了GATT/WTO反倾销立法的初衷。反倾销已严重影响了正常的国际贸易秩序，且已成为产生国际贸易摩擦又一新的壁垒。面对这一新的贸易壁垒，企业存在两种战略选择:要么通过出口服务于进口国市场;要么绕过贸易壁垒，在进口国建立生产基地，从事生产经营活动，并在当地销售其产品，这种模式就是所谓的“跨越反倾销壁垒的对外直接投资(Antidumping-jumping FDI)，这种模式实际上表现为投资对出口的替代。它不仅能在相当程度上减弱进口国的贸易壁垒的保护效果(Bruce A.Blonigen and Kasaundra Tomlin，2002)，而且还能在某种程度上促使进口国政府降低其贸易保护水平(Bhagwati，1987)。

反倾销壁垒会直接影响出口企业的市场进入方式选择，对于这一国际经济现象，西方理论界从不同的角度、不同的层面、采用不同的方法对其进行了广泛而深入的研究。Smith(1987)在寡头垄断的分析框架下研究了外生性贸易保护壁垒对出口与对外直接投资的替代关系的影响。Motta(1992)在Smith 的研究框架基础上考虑了附加信息成本的作用，并得出与Smith近乎相似的结论。Compa，Donnenfeld and Weber(1998)研究了进口国的市场结构对反倾销引致的对外直接投资的影响。

我国出口贸易面临的反倾销措施

近年来，随着我国经济的高速增长，出口贸易发展较快，出口产品品种多、数量大。在成本上具有较强的竞争力，欧美等发达国家和一些发展中国家与我国的贸易逆差逐渐上升。他们为保护本国产品的国内市场，维护自身利益，频繁地运用反倾销措施来限制我国产品进入。于是我国遭受反倾销的案件逐渐增多，起诉日益频繁，范围不断扩大，反倾销力度不断上升，形势越来越严峻。我国逐渐成为反倾销的主要对象。为此，必须深入分析我国遭受反倾销的实质，采取相应的对策，改变目前被动的局面。

近20多年以来，我国经济和出口贸易获得了飞速增长。但是，随着我国商品出口贸易量的增加和在世界出口榜上排名的上升，我国对外出口产品屡屡受到反倾销指控。尤其从20世纪90年代起，国外对我国产品提起的反倾销调查有递增的趋势。据统计，到2002年底，我国共遭遇反倾销案例519起，占全球反倾销调查的14%。其中欧盟90起，美国78起，印度38起，澳大利亚、阿根廷、南非、墨西哥等均超过20起。据相关资料显示，仅1998年，欧盟与美国就对我国出口产品进行了近30次的反倾销调查。近几年来，我国企业遭受反倾销的诉讼不断，涉及钢铁、五金、矿产、化工、彩电、大蒜、鞋帽、苹果汁……国外对我国反倾销诉讼的产品范围不断扩大，在20世纪80年代国外对华提起的反倾销主要针对农副土特产品、小产品，后来扩大到矿产品、工业制成品，直至附加值较高的机电产品，其涉案商品达4000多种，涉案金额达数百亿美元。尤其是美国的特别301条款和超级301条款相继把保护的范围由一般产品扩展到劳务、投资、知识产权等。我国已成为全球贸易反倾销的最大受害国。2003年1～9月，国外对我国企业反倾销立案34起，涉案金额约83亿美元，与2002年同期相比，立案数目有所减少，而涉案金额则同比增长45%以上。其中，美国和土耳其对华立案各6起，位居榜首;美国涉案金额最大，超过6亿美元。从表面看，数百亿美元在我国出现并不算多，但这些数字却反映了我国所面临的严峻形式。

我国遭受反倾销的特点

(一)以欧盟为主的发达国家是对我国反倾销控诉的主力军

在对我国产品提出反倾销控诉的国家和地区中，欧盟一直是处于领先地位。近年来，欧盟对外国和地区产品的反倾销指控与日俱增。1999年，欧盟对我国实施反倾销和反补贴措施的案例达12件(1998年1件)，随后逐年递增，截止2003年底，欧盟已发起98起针对我国产品反倾销的申诉。进入2004年，这一势头有增无减，年度立案数量大幅增加到9起。

(二)反倾销多集中在我国出口的重要产品上

世界各国对我国的反倾销不仅数量增多，而且品种范围不断扩大，多集中在我国出口的重要产品上。例如欧盟除了对我国彩电、自行车、箱包、鞋类产品、热轧平板钢材与可锻铸铁管配件实施反倾销措施外，近两年来还对我国的手动叉车、铸铁井盖、碳酸钡、镁砖、酒石酸、三氯异氰尿酸、不锈钢紧固体、颗粒状聚四氟乙烯树脂等产品提起反倾销申诉。

(三)反倾销发起国和地区由发达国家向发展中国家和地区扩散

近几年来，在欧、美等发达国家对我国提起反倾销指控日益增多的同时，日本、韩国、墨西哥、阿根廷、智利、巴西、尼日利亚、俄罗斯、印尼、阿根廷、印度、中国台湾等发展中国家和地区也纷纷对我国出口产品开展反倾销调查。日本第一次使用反倾销手段就是对我国商品;墨西哥在开始使用反倾销措施不久，就对我国进行反倾销史上最大规模的调查，涉及商品范围广，品种多;阿根廷对我国大到机电、化工等附加值高的产品和纺织品，服装、玩具等大宗产品，小到餐具、烟花、挂锁、纸牌等均提起了反倾销，我国正日益成为这些国家使用反倾销的新重点。

(四)反倾销已成为跨国公司在全球市场上应对我国产品的重要法码

由于我国的劳动力成本比较低，生产出来的产品物美价廉且量大。在国际市场上具有一定的竞争力，而一些发达国家的跨国公司在产业没有升级以前不愿退出劳动密集型产品生产，或者尽可能地延长退出时间。可他们的成本明显高于我国出口产品的价格，竞争力较弱，加上他们国内保护主义的抬头，因此他们就不停地对我国的出口产品提起反倾销。

(五)具有明显的歧视性

由于我国在国际上还没有完全被认为是市场经济国家，因此在对待同等产品的发展中国家中，欧美国家具有明显的歧视性，我国往往被列为反倾销国家，而其他的发展中国家则享受优惠待遇。

我国应对反倾销的策略

(一)转换市场机制且提高产品质量

一方面要按照WTO“游戏”规则办事，各项工作尽量早点和国际接轨，建立让国际社会普遍承认的市场经济，另一方面积极开展多元外交，利用各种手段，千方百计的让世界各国承认我国是市场经济国家，同时也要充分发挥价值规律作用，使企业成为市场经济真正主体，独立承担风险，使产品价格与商品价值直接挂钩，建立起市场经济的价格体系。特别重要的是要尽量减少由国家定价的商品种类，以促进社会主义市场经济价格体系的早日建立。这样，即使我国企业出口商品遇到进口国厂商等的反倾销投诉的情况，由于我国企业出口商品的价格主要是市场因素决定的，并且是不受国家定价控制的，就有可能根据欧美反倾销法的相关规定，争取获得涉案企业的单独税率甚至整个行业的市场经济地位，从而使欧美等国家反倾销法中所规定的替代国标准不再对我国涉案企业适用，同时，我国应积极顺应市场要求，规范出口，提升产品附加值，避免企业在低附加值的产品中进行过度竞争。要求商务部、行业协会和出口商会及时汇总出口商品的销售状况和渠道，了解自己出口商品对进口国同类产品的影响，积极帮助企业作好申诉工作。

(二)尽量减少和取消国家对企业的直接管理和控制

欧美反倾销法认为，“在一个市场经济国家，政府通常在资源分配和价格决定中起的作用极小。可是私营企业受利润驱动，根据市场供求关系的变化制定其商业决策，不受政府的干预。因此私有企业的产品和生产成本，较能合理地反映经济现实”。对于我国出口企业来说，如能使外国对其市场经济地位认可，就意味着我国出口产品的成本和价格有了被直接认可的可能，否则，涉案企业的生产成本和产品价格就不会被认可，而要以一个所谓市场经济性质的第三国的类似产品的成本作为替代价格。由于这种替代价格选择具有很大的不确定性，因此会对我国出口企业造成实质的不公平和歧视。面对上述状况，我国出口企业一方面要通过自身的体制改革来促进企业理顺其产权制度，并以此作为建立现代企业制度的基础。另外，对现有的国有企业也要加快其股份制改革，并在理顺国有企业产权制度的前提条件下，有效地从机制上割断企业和国家在产权上的连接关系，从而为进一步减少和取消国家对企业的直接管理和控制创立良好客观条件。

(三)充分利用WTO多边争端解决机制积极应诉

一方面利用在多边贸易体系中的发言权来维护我国的合法权益，另一方面利用WTO争端解决机制挑战歧视做法，我国应加大对欧美等国在反倾销投诉方面的法律法规以及对我国的歧视政策放在WTO规则中加以评判的力度，以便尽早通过WTO这一多边贸易体制来维护我国取得的正常待遇。

针对我国出口产品反倾销案一直居高不下的现状，出口企业一方面要在国际反倾销案发前就应当未雨绸缪，尽早采取各种防范措施，另一方面要及时和充分了解本企业的出口产品或者其他类似出口产品在进口国的销售价格和走势，以及该出口产品对进口国同类产业所造成的各种影响。一旦遭到调查就立即应诉，同时，为了保证国内企业积极应诉国外反倾销诉讼，政府机构、行业协会、进出口商会应积极建立应诉机制，企业不要轻易放弃胜诉机会，要积极参与个案市场经济地位的申请，力争权益得到最大保护。

(四)出口企业要尽早了解反倾销后果并做好应诉准备工作

第一是反倾销案一旦发生，外国反倾销主管当局都会要求涉案企业在规定的时间里及时回答各类调查问卷，出口企业应根据客观情况认真填写 ;第二是出口企业一定要在国家反倾销主管部门和行业协会和进出口商会的共同协调和支持下迅速组织，积极应诉;第三是聘请有经验且对我国友好的当地律师进行申辩和负责处理案件。聘请当地律师进行反倾销诉讼不仅是必要的，也是必须的，这不仅因为当地律师同有关当局有众多的人事关系和业务联系，更重要的是他们谙熟当地法律和复杂的诉讼程序与手续，一般而言，只有当地律师才有权调阅与本案有关的档案和资料，尤其是保密性的材料，这样就能做到知己知彼。

参考文献

1.张晓东.加入WTO与修改中国的反倾销法[J].法学评论，2000

篇4

确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题，即:如何切实保障信息网络安全，以确保我国信息化建设快速、平稳、健康发展，避免信息网络安全问题导致社会危机的发生。

同时，它也要求我们必须结合国情，从“发展是硬道理”出发看待和把握信息安全问题，对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断，制定科学、务实、有效的安全保障战略。

提升应急能力

面对全球一体化的互联网环境，国家公共互联网应急体系的建立和应急处理能力的提高，并不能仅仅依靠政府的力量，而是需要世界各国相关组织在技术、资源、经验方面的共同合作，需要政府与企业、全社会每个人的互动。

在互联网这样一个复杂的巨系统中，如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题，我们在方法学上提出了“综合集成”的思路，即自上而下、自下而上的结合（如图1所示）。

要落实综合集成的方法论就要综合治理，不仅靠一个部门或一个企业制定信息安全应急预案，而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下，达到体系的高度灵活性。

同时，我国也必须要建立自己的体系，并与全球的相关组织紧密合作，实现从定性到定量的协调机制。在不断变化的技术环境中，今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化，必须作为系统开发生命周期中的一重要组成部分加以考虑，并在每一阶段明确其定位。

信息安全常被看作是一个技术问题，少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。

避免误区

在评估和把握我国信息安全形势的走向时，要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下，对信息安全问题的演变趋势估计不足、重视不够，给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高，把技术与管理不健全而造成的安全问题视为战略问题，造成人力、财力的浪费，给国家管理和社会进步增添负担。

思路和原则

抓住我国综合实力进一步增强和加入WTO的机遇，统筹我国信息安全保障体系建设，在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验，在15～20年时间内，坚持与时俱进、求真务实的精神，通过统一规划、分步实施，政府引导、全民参与的方式，通过信息安全治理，建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:

坚持风险管理原则完全避免风险是不现实的，要对关键领域的信息安全风险进行识别和评估，采取必要的保护措施和应急措施来降低风险，使之控制在可承受的范围内。

明确统筹兼顾原则在实施策略方面，要明确国家、企业和个人在信息安全方面的责任和义务，充分发挥各方面的积极性;要统筹城乡信息安全建设，协调区域化信息安全建设与全国信息安全建设。

重视经济实用原则切忌空谈和夸大，量力而行，突出重点。以我国信息安全领域最急需开展的工作作为突破点，扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点，技术上要采用综合集成思想，逐步完善关键基础设施的安全保障，切实提高信息安全防护能力。

遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应，采取统一规划、分步实施，以及短期和中长期目标相结合的方式进行。

治理三阶段

国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全，实现国家对信息化环境与内容的治理（如图2所示）。

第一阶段，打基础、保重点，初步建立我国信息安全防护体系。

战略重点是保障“3＋7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。

保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。

保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系，实现对信息内容安全监控，对有害信息内容进行过滤，减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。

通过立法，将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管，增强信息犯罪取证调查能力。

第二阶段，重体系、促发展，形成较强的国家信息安全保障能力。

战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展，形成良好网络秩序。

政务网络安全保障重点是保证关键指令和信息的有效上传下达，政务资源的有效整合和利用。为此，要加快安全保障体系与安全支撑平台建设，这是政府在信息安全上的法律职责和义务。

第三阶段，实现对信息网络的有效治理，初步具备信息反制能力。

战略重点是有效维护信息空间领域国家利益，大幅提高全民在信息化进程中生活质量和福利。

战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。

在政策法规方面，建立完善的信息安全法律法规体系。在技术方面，依据信息安全技术战略，在关键领域取得突破性进展。在产业方面，通过政策倾斜和市场竞争，孵化出信息安全“航空母舰”型企业，信息安全主要核心技术基本实现自主化。

五大安全治理规范（供参考）

一、经济合作和发展组织，《信息系统安全指南》（1992）

《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国，以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作，促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。

这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆，通过此标杆测量进展。

二、国际会计师联合会，《信息安全管理》（1998）

信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人（机密性）;数据和信息保护不受未经授权的修改（完整性）;信息系统在需要时可用和有用（可用性）。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动，也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外，业务依赖性（依靠第三方通信设施传送信息，外包业务等等）也可能潜在地导致管理控制的失效和监督不力。

三、国际标准化组织，《ISO 17799国际标准》（最新版是2005）

ISO 17799（根据BS 7799第一部分制定）作为确定控制范围的单一参考点，在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至最小，使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。

四、信息系统审计和控制协会，《信息和相关技术的控制目标》（CoBIT）

CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提，至今已有三个版本。除了鼓励以业务流程为中心，实行业务流程负责制外，CoBIT还考虑到组织对信用、质量和安全的需要，它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域（计划和组织，获取和实施，交付和支持，监控），共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例，以形成一个可控和逻辑结构内的活动。

五、美国注册会计师协会(加拿大特许会计师协会)，《SysTrust TM系统可靠性原理和准则V20》（2001）

篇5

［关键词］ 信息安全保障体系； 中国石油； 企业

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中图分类号］ TP309 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障体系概述

信息安全保障（Information Assurance，IA）来源于1996年美国国防部DoD指令5－3600．1（DoDD5－3600．1）。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery） 4个环节，即PDRR模型。

信息安全保障体系分为人员体系、技术体系和管理体系3个层面，人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护，多处设置保护机制，抵御通过内部或外部从多点向信息系统发起的攻击，将信息系统的安全风险降低到可以接受的程度。

2 国外信息安全保障体系建设

美国的信息化程度全球最高，在信息技术的主导权和网络上的话语权等方面占据先天优势，他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告，将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构，其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等，主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。

其他国家也都非常重视信息安全保障工作。构建可信的网络，建设有效的信息安全保障体系，实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家，如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展，在信息安全领域不断进行着积极有益的探索。

3 国内信息安全保障体系建设

我国信息化安全保障体系建设相对于发达国家起步较晚，2003年9月，中央提出要在5年内建设中国信息安全保障体系。2006年9月，“十一五”发展纲要提出科技“支撑发展”的重要思想，提出要提高我国信息产业核心技术自主开发能力和整体水平，初步建立有中国特色的信息安全保障体系。2007年7月20日，“全国重要信息系统安全等级保护定级工作电视电话会议”召开，标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求，不断完善与提升我国的信息安全体系，强调信息安全的重要性。

我国信息安全保障体系建设主要包括：① 加快信息安全立法、建立信息安全法制体系，做到有法可依，有法必依。② 建立国家信息安全组织管理体系，加强国家职能，建立职能高效、职责分工明确的行政管理和业务组织体系，建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系，使用科学技术，实施安全的防护保障。④ 在技术保障体系下，建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系，加大信息安全投入。⑥ 高度重视人才培养，建立信息安全人才培养机制。

我国通过近几年的努力，信息安体保障体系取得了长足发展，2002年成立了全国信息安全标准化技术委员会，不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展，但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口，受制于人。

4 企业信息安全保障体系建设

中国石油集团公司信息化建设在我国大型企业中处于领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，公司将企业信息安全保障体系建设纳入信息化整体规划中，并逐步实施。其中涉及管理类项目3个，控制类项目3个，技术类项目5个。

管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织，合理配置岗位并明确职责，建立完备的管理流程，为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训，较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队，提高信息安全风险自评估能力和风险管理能力，强化保障体系的有效性。

信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括：① 初步构建了制度和标准体系，了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度，开展了信息安全培训。③ 跟踪国家信息安全等级保护政策，开展信息系统安全测评方法研究等，规范了信息系统安全管理流程，提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范，提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务，支持国家等级保护、中国石油内部控制等制度的实施，使信息化建设与应用满足合规性要求。

信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台，实现关键和重要系统的用户身份认证，提高用户身份管理效率，保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心，员工受控访问互联网资源，并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略，完善域内安全监控手段和技术，规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括：① 对数据中心机房进行了风险评估，提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析，确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心，提高对信息安全事件的预警和响应能力。

5 存在问题及建议

中国石油作为国资委超大型企业和能源工业龙头企业，集团领导和各级领导，一贯重视信息安全工作，在落实等级保护制度，加强信息安全基础设施建设，深入开展信息安全战略、策略研究等方面，都取得的丰硕成果，值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题：

（1） 信息安全组织体系不够健全，不能较好地落实安全管理责任制。目前，部分二级单位没有独立的信息部门，更没有负责安全体系建设、运行和管理的专职机构，安全的组织保障职能分散在各个部门，兼职安全管理员有责无权的现象普遍存在，制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系，明确直属二级单位的信息部门建设，岗位设定、人员配备满足对信息系统管理的需求。

篇6

近期，美国众议院情报委员会发表一份报告称，中国的电信设备提供商华为、中兴可能对美国国家安全构成威胁，并警告美国公司不要与这两家中国公司有业务往来。

美国是一个国家，有着对国家安全的合理诉求，在华为、中兴会否威胁美国国家安全的最终定论出来之前，我们无法对美国的举动造成什么实质性的影响。然而，美国对占市场份额只有1%的华为、中兴的产品如此大开杀戒，倒让我们也不得不仔细审视，中国的信息安全是不是面临着同样的威胁和不安全因素。

2012年9月20日，著名电信运营商AT&T的部分大客户在亚特兰大的ME业务出现故障，数据和电话线路中断长达3小时。后经查明，造成网络中断的原因，是某国际性大企业生产的核心路由产品出现了故障。

而该厂商的设备早在2005年7月12日，就曾造成中国网络出现大面积故障。当时，承载着200万用户以上的北京网通ADSL和LAN宽带网，突然大面积中断，事故大约影响了20万北京网民。

这也许只是一两起孤立事件，但由于目前整个信息产品领域普遍采用了远程升级和远程维护这一方式，一方面在带给用户方便，另一方面却将自己的命运交到厂家手中。在国家处于特殊时期，任何事情都可能发生，偶然事件触发必然事件的几率空前增大。而事实上，互联网的信息安全威胁离我们很近很近。

近日，信息安全专家、中国计算机学会常务理事潘柱廷针对中国的骨干网的接入设备大部分采用无法自主控制设备的现状，就显得忧心忡忡。他认为，“一旦发生安全问题，中国的信息网络会全面瘫痪，后果不可小觑。”

早年在联想主政技术开发，最早提出研发自有知识产权的IT产品和技术的中国工程院院士倪光南近日专门著文表示，“为了保障信息和信息安全，应当采用自主可控的核心技术。‘自主可控’在我国提了几十年，是经得起实践检验的。”

倪院士指出，“美国企业掌握了信息领域的主要核心技术，美国企业占据了中国信息领域市场的重要份额。如果按照美国的逻辑，美国企业对中国国家安全可能造成的威胁，应该比华为、中兴对美国国家安全可能造成的威胁大得多了。华为、在美国市场的销售额仅占其总销售额的1%，思科在中国市场的销售额要占其总销售额的16%。由此看来，如果要担心国家安全受威胁的话，首先应该是中国，而不应该是美国。”

这并非危言耸听，任何商业性公司，在国家处于战争状态或安全受到威胁的情况下，都应该无条件地服从于国家利益，商业道德在国家安全面前，并不具备任何约束力。与美国因国家安全考虑禁止中国电信设备进入基础建设，无法就此给其冠以狭隘民族主义或“中国”的帽子一样，中国建设可控的独立自主的国家信息安全体系，是为了保证国家信息稳定并在特殊时期不受制于人的一种基础性工程。

综观世界各国对国家信息安全的重视情况，不仅有美国从法律层面针对基础性设施进行约束，德国、日本、俄罗斯、韩国、瑞士等国家，自上世纪90年代起就着手进行国家信息安全体系的建设和完善。

我国目前虽然认识到了保障信息安全对国家安全的重要性，但仍然没有把保障信息安全放到国家战略的高度来进行系统化法治化管理，这导致我们在国家信息安全建设方面缺乏长远战略目标，而对可能影响国家战略安全的骨干网的建设缺少了自主可控的成分，国家信息安全缺乏基本法的一个关键因素。

篇7

【 关键词 】 高校；科研机构；信息安全；对策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

随着信息技术的发展和信息化应用的日趋深入，信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可或缺的一环。高校等科研单位对信息安全管理的认识程度越来越高，研究院等单位的信息系统规模和水平也在不断攀升，然而随着高校各系统建设程度的不断完善，以高校为代表的科研机构的信息安全管理问题也愈加突出。

2 高校科研机构存在的信息安全管理问题

近年来，高校等科研机构逐步认识到信息安全对于自身的重要性，于是不少单位成立了“信息管理部门”来推行统一的管理规范和进行信息安全知识普及，其主要目的是为了从安全技术和管理两个方面来解决高校中科研机构的信息安全问题，充分提高机构人员的信息安全管理意识和保密工作的能力。当下，虽然有一些高校的科研单位在信息安全和管理建设方面已经取得了长足的进步，但其科研单位内部仍然存在着很多问题。

(1)首先，在以往长期封闭的科研环境影响下，相关科研人员目前依然不具备良好的安全意识，对于信息安全的认识水平不高。同时高校等相关管理部门较容易忽视信息安全在其科研系统中的发展战略和计划，这些都间接导致了信息安全管理制度推行力度不够，实施安全教育的硬性条件有限。其次，由于学科建设和专业水平所限，也使得国内技术过硬的信息安全专业人才供应不足，间接影响了相关单位的人才储备水平。

(2)当下许多高校等科研单位在信息系统不断增加的情况下，对以往基础设施配备水平存在着一定的依赖性，不能够很好的适应新环境。在信息系统运作业务的安全风险和意识提升上，又缺乏有效性验证与评估办法。现实中的任何信息系统都是一连串复杂的环节，信息安全措施必须渗透到信息系统的每一个部位，其中一些问题的解决方案，需要信息系统的设计人员、测试人员和使用人员都熟知并能够成为规范来遵守。

(3)不安全因素对于信息系统而言总是存在的，没有任何一个信息管理方法能提供绝对的保障。因此，高校等科研单位在认识和进行信息系统安全管理教育的时候，应该着重加强基层人员的信息安全管理实践教育，应让相关人员充分意识到，虽然信息安全建设并非意在建设一个创收的平台，但它是一个保障科研成果和提升工作效率的平台。管理者有必要做出适合科研单位进行教育实施的信息安全教育发展战略和计划，充分加强信息安全教育在管理实践上的投入，严格有效地执行相应的安全策略、安全措施和安全管理制度，以最大限度避免使用和管理信息系统时的固有风险。

(4)近年来，我国大型科研单位相继出现过不同程度的泄密事件，这些事件的直接后果是不仅导致了科研成果的流失，还造成了较大程度的经济损失和不良的社会影响。虽然各大信息系统工程和信息化程度要求非常高的相关行业，也都出台了对信息安全技术产品的应用标准和规范，但只有建立一个严格的信息安全管理策略，才能全面的保障其安全性。

3 解决高校科研机构存在的信息安全的对策

3.1 技术层面

在技术层面上：高校科研管理系统是以计算机和数据库通信网络为基础的应用管理系统，是一个开放式的互联网络系统，与网络系统连接的任何终端用户都可以进人和访问网络中的资源。作为信息通讯数据平台，其所受到的安全威胁主要存在于信息通信传输、存储和加工的各个阶段。因此在制定技术对策方面就需要制定统一全面的安全策略，同时也注重建设统一认证和授权管理系统，通过硬件接入设备和定制化管理软件的配合部署，加强网络层面和应用层面的安全资源整合，形成覆盖全网的科研信息化安全保障能力，并充分利用自主创新的科研信息化安全技术，不断增强基础运行平台的网络安全能力，为科研信息化基础环境和应用系统提供有力的安全保障。

在保障网络基础设施和重要应用系统的安全方面，一方面需要构建身份认证管理系统、网络安全管理平台、恶意代码防护系统、安全审计平台等面向全网用户的网络安全基础设施，实现实时预警、事件分析、决策支持、资源调度等功能；另一方面需要建立起包括安全咨询、安全规划、安全检测、安全培训等环节在内的安全服务体系，引入除技术体系和管理体系以外的第三方服务支持，实现安全事件的及时发现。

3.2 管理和教育层面

在管理和教育层面上：以企业为参考标度，对高校科研机构工作人员进行信息安全意识以及管理实践知识的普及，将信息安全管理理念提到战略高度来看待。充分遵循信息安全流程制定相应管理制度，除技术保障外，将人员、网络、环境有关的技术和管理规程的有机集合充分纳入其中。充分认识到信息安全管理实践是保障信息实现有效管理与控制的重要途径。所在部门应客观评估实现信息安全管理的需求水平，落实安全的组织和管理人员，明确每个人的角色与职责；制定并开发安全规划和策略，定期开展培训和工作会议；实施风险管理制度，制定业务持续性计划和灾难环境下恢复计划；选择实施安全措施；保证配置、变更的正确与安全；进行安全审计；保证维护支持；进行监控、检查、处理安全事件。针对专业人员的培训和绩效需要有效结合目标管理和信息安全管理两方面来展开。

3.3 管理政策层面

在整个管理策略的制定上：建议采用分级策略，如果高校对于自身科研信息安全风险水平认定为较高，而自身建设能力有限，则可以考虑与相关专业咨询机构合作，引入专家机制来完成相关工作，提升建设效率。

4 结束语

在国家大力推行科教兴国与自主创新发展战略的今天，信息安全建设对于保障科技创新自有成果，确保自主知识产权的创造价值，都有着极其重要的作用。而如何确保其信息安全能够实现自主可控的目标，也是以高校为代表的科研机构行使和保障自身合法权益的重要途径。因此我们必须综合多方因素，系统考量，尽可能提供全面的、多方位的信息安全建设策略和信息安全管理与教育规范，以切实满足高校等科研单位对信息安全保障体系的需求，降低科研成果的安全风险，发挥高效的科研效率，保障科研生产的安全顺利进行。

参考文献

[1] 张广钦．信息管理教程[M]．北京：北京大学出版社，2005.

[2] 徐茂智．信息安全概论[M]．北京：人民邮电出版社，2007.

[3] 彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术，2012，(1).

篇8

2007年11月27日，普华永道了第五次年度全球信息安全状况调查。报告显示: 经过几年的发展，全球信息安全问题得到了空前的重视，每花费1美元的信息化投资，就有15美分用于安全。但问题依然不少，企业虽然通过聘用专业安全人员、规范管理流程和使用技术手段来应对信息安全的问题，可是对于如何解决问题仍一筹莫展，中国在常见的有关隐私安全与信息安全的大多数方面均处于滞后状态。同时，报告提醒，2008年，全球CIO/CSO应该关注的领域有了一些新的变化。

调查显示，企业比以前更清楚地看到信息安全问题是因为企业采用了一些新的工具和方法。例如:

添加方法: 三年前，仅37%的公司制定了整体安全策略，2007年则是57%。另外，每五家公司中有近四家至少会定期开展企业风险评估;

部署技术: 十个人有九个说自己在用防火墙，监视用户并依赖入侵检测设施，大公司（收入超过10亿元）的这一比例高达98%。采用了加密技术的比例空前高，达到72%，而2006年这一数字为48%;

雇佣人员: 首席信息安全官（CISO）的人数不断升高，每个公司信息安全人员最多可达100人。

企业正在经历从对计算机安全漏洞的一无所知到了解后的惶恐不安。但了解安全状况并不等于进步，拥有了安全技术也并不意味着安全。企业必须变得更成熟。

2008全球信息

安全形势

将发生新变化

未来的信息安全威胁会有以下的转变:

内部威胁逐渐展露: 2007年企业内部“员工”首次超过“黑客”成为造成安全事故的主要原因，内部员工所造成的安全危险成为信息安全事件的重要组成部分。

安全攻击手段变得更加复杂: 随着企业安全措施的不断进步，安全攻击也变得越来越复杂。迹象显示如今电子邮件病毒已经没有2005年时那么流行，但是系统有效用户身份的滥用、社会工程学、网络钓鱼攻击以及对于已知应用系统弱点的攻击会变得更频繁。

保护数据隐私将会得到进一步关注: 尽管在保护数据隐私方面取得了一些进展，但步伐不够快: 到2007年，22%的企业设立了首席隐私官; 56%的企业没有定期检查隐私政策是否持续执行; 61%的传输数据经过加密，但在更多领域，像数据库、共享文件、笔记本电脑和可移动媒体里的数据没有加密，成为数据泄露事故的源头。

开始关注合作伙伴的安全: 许多企业没有意识到，即使数据是由第三方运行和储存，他们仍然有责任保护数据: 76%的企业没有保留其客户数据的记录; 少于一半（41%）的企业要求第三方（包括外包服务商）遵循隐私政策; 42%的企业针对外部合作伙伴、客户、供应商及服务商建立了安全基本线; 65%的安全政策没有明确设定让合作伙伴和供应商遵循的方法。

2008中国CSO

需关注的领域

中国企业同样面对以上的各项挑战，在以下的领域需要尤其关注:

数据隐私: 在许多数据隐私保护的领域中国都相对落后，超过一半（59%）的企业都不给员工提供关于隐私政策的培训; 大多数企业（69%）没对网络交易进行安全管理。

信息安全保障: 综合人文、流程、技术等因素，中国在信息安全保障方面仍然较为滞后: 只有31%的中国受调查对象建立了定期的威胁和弱点评估; 72%的中国企业承认他们没有知识产权保护策略和流程; 70%的中国企业承认他们没有业务持续/灾难恢复计划和流程。

安全事故的影响: 中国企业需要关注安全事故对企业带来的影响，因为不够成熟的信息安全保障措施已经影响到商业运作，包括财务损失（23%）以及知识产权被盗取（18%）等问题。

信息安全架构: 中国企业虽然雇佣了许多全职人员投入信息安全。但是，74%的公司指出他们的组织没有首席信息安全官，而59%的中国公司没有总体信息安全战略（调查总平均值为43%）。

知识产权: 只有28%的中国公司有知识产权的政策。

对中国CSO的三大建议

企业普遍把信息安全看成为一个技术问题。既然主要的投入是在技术方面，那回报也主要来自技术: 工具会告诉你在发生的事情，并阻挡最低级的攻击。但技术一般比较被动，仅限于当一些预定的规则一旦被违反，就会发出警报和事后对异常情况报告。犹如博物馆窗户上的玻璃破碎传感器，对于警告有人破窗方面特别有效，但对油画如何被盗以及为何被盗，传感器不会也不能做任何解释，更不会帮助预防下次窗户被打碎或下一次油画被盗。

当安全人员看到了问题时，往往并未发现所有的问题。企业会发现钱花错了地方，还会发现好的员工带着良好的愿望把工作带回家，因为不慎丢失笔记本电脑，或将数据放入其家庭电脑时，会发生安全隐患。这种例子枚不盛举。

信息安全已经不再是一个纯技术问题，要从根本上解决，企业必须制定战略计划。安全投资必须从重技术转向重情报，要树立风险分析和防范思想。安全管理人员必须同时考虑三个相关的领域: 管理流程、人员和技术。只有这样，企业才会走出被动局面。

对战略及管理流程的建议

制定总体信息安全战略，使信息安全在企业里有明确的定位;

制定业务持续及灾难恢复战略和计划，减低一旦发生安全问题对企业所可能造成的影响;

制定配置架构的标准和流程;

制定致力于知识产权和信息保护的政策和流程;

执行定期的穿透测试、威胁和弱点评估及风险评估。

对人员设置的建议

设立首席信息安全官（Chief Information Security Officer / Chief Security Officer）和首席信息隐私官（Chief Privacy Officer）岗位，并由有适当经验的人员担任;

聘请富经验的信息安全顾问协助企业制定安全策略和处理信息安全问题。

对信息安全技术的建议

使用适当的安全技术，如远程登录技术和VPN技术来加强对系统和数据的访问控制;

篇9

［关键词］信息安全;网络空间;网络空间安全管理

随着互联网技术在全世界范围内的普及，互联网已经成为国家安全的“无形疆域”，互联网安全威胁问题也日益成为世界性难题。美国等西方发达国家由于网络技术起步早、普及广，且垄断和控制着网络的核心技术，从而在信息化进程中占据主导地位。我国在内的大多数发展中国家，迄今仍处于“信息贫困”之中，被“数字鸿沟”分隔在另一边。由于技术、管理以及安全意识上的原因，中国面临的信息安全问题更为严重。主要表现在基础信息技术严重依赖国外、网络技术的廉价与跨国性使安全问题泛化、人员对保密认识模糊、保密观念薄弱、人员流动无序、保密法律约束力不强、缺少确保信息安全的核心技术等问题。其中，软件隐患、芯片“陷阱”、计算机病毒和“黑客”入侵是信息系统面临的普遍性的问题。如果我们不重视互联网安全问题，那么我们国家的政治、经济、文化、军事等各个领域都将存在巨大的风险，所以我们应当重视互联网安全技术的发展，采取有效的手段来抑制互联网安全威胁，保证我们在互联网世界中占据主动。

1强化网络空间安全教育管理

信息技术是未来世界强国竞争的主题，谁掌握了信息制高点，谁就在未来世界竞争中处于优势，谁落后就要被淘汰。以军事为例，除了传统意义上的“陆、海、空、天”战场，电磁和信息领域的战斗更是不见硝烟的战场，信息战、电磁战等领域无不凸显信息安全的重要性，摧毁了敌方的信息安全防线，就能在未来战争中占有极大的优势。事实上，国内外的许多失泄密事件早已证明，就信息安全与保密而言，“内防”和“防内”才是真正的工作重点。以美国为例，与计算机有关的犯罪活动，80%都是内部人员所为。换言之，信息安全问题不能只限于保密规定和开会，应当落实在人的思想上，因为只有人的思想决定他的行为，是他对网络安全保密问题的认识。认识不到位，具体到工作上自然就“卡壳”，这也是一些单位安全保密意识淡薄，规章制度不落实，技术防范措施流于形式的主要原因。因此，对于信息安全的防控，除了要从硬件上进行把控，比如建立健全安全保密制度、应急处理机制，还应从人的管理上下功夫，要认识到不是把保密制度挂在墙壁上，或者开开保密会就可以把安全保密工作做好，网络是开放的，思想是开放的，但不是没有界限的，要对从事网络安全的人员进行深度的宣贯和思想教育，严把思想观，铸牢网络安全的防线，保证在任何时候都紧绷网络安全这根弦，发挥人在网络安全管理方面的主观能动性，在构建的安全管理机制中凸显人的基石作用，加强考核和监督监管机制建设，实行网络安全问题一查到底模式，追根溯源，全方位保证网络安全不出问题。

2注重网络空间安全人才梯队建设和技术创新

随着网络信息安全对国家安全影响的日益加剧，作为全球互联网用户最多的国家，应该做好筹建网络信息专门组织的准备，其主要任务，一是机密资料的防窃取;二是进行舆论战;三是直接的网络对抗。要实现这一目标，人才梯队建设至关重要。人才是信息化产生和发展之本，也是信息战和信息安全之本。除了要培养信息网络安全专家外，还要培养信息安全的法律和管理专家。要在高层次上开展网络攻击技术研究，以确保我国在未来信息战中处于主动地位。网络安全技术平台在网络安全问题上发挥基础作用，可以试想一个有着致命网络安全漏洞的系统再怎么补救也无济于事，会造成无可挽回的损失。因此，应该大力加强网络安全平台的设计研发工作，充分发挥网络信息安全技术人才的主观能动性，投入资金和力量，完善和健全网络安全平台，以技术为保障，人才为核心，安全为牵引，把握信息安全的主动权，在信息安全核心问题上下功夫，加大自主知识产权技术的研发，形成我们自主品牌的技术和产品，摆脱发达国家信息技术制约的瓶颈，力争在信息加密、信息安全测评等领域的理论和技术突破，实现安全路由器、防火墙、加密系统的国产化进程，确保硬件过关。

3制定网络空间安全战略目标，搞好规划及预测

信息安全战略目标是指一个国家在某一个时期内，在信息安全领域所需达到的目的、标准和水平。信息安全的战略目标既不能过高，又不能过低，应该是积极可靠的，通过努力可以达到的。只有网络信息安全作为国家安全战略的一部分，把网络基础设施列为战略资产，实施保护才能真正地将信息安全战略建设落到实处。应该增强对国家信息基础设施和重点信息资源的安全保障能力建设，开发可以保护国家主要机关设施的网络信息安全体系，逐渐在制度上和技术上完善网络信息安全战略，有效应对网络信息安全带来的威胁和挑战。对于网络安全问题，顶层规划是重点，如果顶层设计有缺陷漏洞，那么接下来无论投入再多，技术再先进也是徒劳。所以我们应做到:一是确保网络的用户密码都具有极强的健壮性，要对进入网络的管理员进行分级分类;二是要构建应急事故反应和处理机制，确保一旦有安全事故发生能将损失降至最低;三是确保网络安全平台的硬件和软件均处于受控状态，注重稳健性设计;四是保证信息传输的安全，预防机密信息的泄密。随着美国“斯诺登事件”的持续发酵，网络安全泄密问题已经成为每个国家的新的威胁，传统的安全防护技术已经无法满足新型信息泄密，我们必须有一体联防的思想，摒弃传统事后修补的做法，要系统分析网络安全的漏洞和可能存在的威胁，不但要深入研究防护技术，更要深入研究攻击技术及破解方法，只有这样，才能有效根治网络安全问题，变被动补牢为主动作为。

4构建全面网络空间安全监测系统

全面的网络空间安全检测系统可以包含恶意病毒侵袭、检测和监控及处理功能，这些功能分别实现如下意图:恶意病毒侵袭。现代病毒的攻击性、传播速度和途径都是传统病毒无法比拟的，它可以通过用户任何无意识操作或习惯进行传播，比如浏览文件等，一旦中毒，往往很难消除，这就需要网络具有实时监控、拦截骚扰、主动防御等方面的功能。入侵检测。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。作为一种动态防御工具，其可以很好地作为防火墙等静态被动防御工具的补充，共同维护网络系统安全。现在比较常用的360、瑞星等国产杀毒软件都具有入侵检测功能，可以主动消除病毒带来的袭扰。网络漏洞检测。俗话说，“明枪易躲，暗箭难防”。除了网络自身存在的天然缺陷，比如网络自身方面的因素包括:通信线路遭到窃听;通信协议、操作系统平台本身存在的漏洞;“黑客”借助软件“后门”入侵电脑。还包括人物方面存在的非技术方面的因素，如系统安全配置不当、用户操作失误、执行保密规定不严格等。只有通过严格网络管理规范和安全制度，杜绝人为差错的存在，通过网络安全技术来使这种“不可避免”的网络安全漏洞变为真正的安全钥匙。

5形成“一揽子”网络空间安全决策方案

要发挥网络加密技术在网络安全领域的主体主导地位，其中包括防火墙技术、数据加密技术，以及网络协议、口令、身份认证和授权等。传统的设置防火墙技术已经很难适应大规模“黑客”频繁攻击的需要，被认为是一种被动技术，要大力寻求主动防御的技术，诸如加密技术，这种技术在现今被证明为一种无可替代的主动防御技术，它是一种可以将信息通过隐藏的方式和技术发送给客户的技术，其加密途径可以是隐藏，也可以是加上水印，比如我军现行的各级部门电脑中都加有水印系统，这种技术有效防止了机密文件被窃取的风险，还可以对所有处理的公文进行监控，一旦出现问题可以通过查询该系统立刻追根溯源，找到问题的根源。我们还需要通过电子屏蔽的手段来保护我们的机密信息，在重要场合进行电子屏蔽，防止电子辐射窃密。

参考文献:

［1］［美］SingerP.W.，［美］FriedmanA.．网络安全:输不起的互联网战争［M］．北京:电子工业出版社，2015.

［2］郭宏生.网络空间安全战略［M］．北京:航空工业出版社，2016.

篇10

随着中国国际航空股份有限公司(以下简称“国航”)信息系统建设的飞速发展，在2008年北京奥运会的安全保障工作中，安全不再只是空防安全和飞行安全，信息安全也已经成为奥运安保的重要环节，并被纳入国航及信息管理部的年度重点工作之中。

在此背景下，国航与IBM公司合作启动了信息安全规划咨询项目，它旨在为国航信息安全体系建设打下坚实的理论基础。同时，国航也通过该项目完成了未来3～5年信息安全建设的发展规划，建立了信息安全管理体系，并最终于2009年5月26日通过了ISO27001信息安全管理体系国际认证，使国航成为国内民航业第一家获得IS027001国际认证的单位。

与飞行安全一样重要

由于信息化建设已经深入到国航业务的各个角落，所以，几乎所有业务都与信息技术相关，特别是涉及到客户信任度的商务及财务方面更是如此。因此，在国航未来的发展战略中，信息安全已经占据了越来越重要的位置。现在，公司上下已经形成一个共识：打造信息安全管理体系这张保护网，就像确保飞行安全一样重要。

基于这样一个共识，我们从国航的业务愿景出发，引导出了国航的信息安全愿景，即国航需要建立起一个成熟的、具备国际水平的信息安全保障体系，这个保障体系第一要保证国航的核心业务不中断，第二要保障国航信息系统不被攻击，第三要保障重要的客户信息不被泄漏，通过一个全方位的安全保障体系为国航的业务愿景保驾护航。

虽然现在已获得了ISO27001国际认证，但国航的信息安全建设经历了一个漫长的过程，大致可以分为四个阶段：

第一个阶段是在2006年以前，当时信息系统对于国航的支撑力度相对有限，同时从整个业界来看，的安全威胁还不是很明显，所以，信息安全建设的特点是以零星建设和被动建设为主。

第二个阶段是2007～2008年，随着国航核心系统逐步投入运行，以及北京奥运会的临近，的安全风险不断增加，这是，国航开始针对性地对重点领域搭建技术防护措施。

第三个阶段是从2008年开始，随着国航对自身信息安全认识的不断深入，国航按照Is02700 L的标准，建立起了信息安全的管理体系。同时，还启动了全面的信息系统战略规划，根据国际最佳实践并结合国航的特色，制定了未来3～5年信息安全技术平台建设的蓝图和路径。自此，国航整个信息安全建设有了一个更加科学和更加明细的路线图。

搭建“安全翘翘板”

整体而言，国航的信息安全体系主要是以IT基础架构和安全技术架构为基础，通过信息安全组织与人员对业务逻辑的准确理解和制度流程的有效执行，实现完整的信息安全管理过程。

应该说，信息安全体系是一个非常复杂的体系。业界有个说法叫“安全翘翘板”，这个翘翘板主要是在IT基础结构的基础上，包括三方面内容：一是技术平台，二是组织和人员，三是制度和流程，通过这三方面的有效执行，从而构成信息安全体系。另外，还要加上安全的管理架构和技术架构，最后和业务逻辑结合起来，这样才能构成一个完整的信息安全体系。

目前，依据ISO27001标准，国航建立了包含三个一级方针，三十一个二级规章的信息安全管理策略体系。通过信息安全管理策略体系的建立、北京奥运会期间的整改措施以及1S02700I外审督促，国航的管理体系评测水平不断提升，其中体系评价范围从运行维护中心到全信息管理部，IS027001中要求的十一个领域都有大幅提高。

在技术平台建设方面，国航针对一些紧迫性问题做了针对性的部署。比如网络安全架构不清晰、来自互联网的威胁日益增加、防护能力偏弱、用户行为控制存在漏洞、系统服务器安全性不足等问题，国航不但划分了安全领域，还部署了防DOS攻击、入侵检测、入侵防御等设备，另外，在重点用户单位引入终端安全管理，利用弱点扫描工具发现系统漏洞等技术措施，配合各项管理措施，很好地完成了北京奥运信息安全保障工作。

在信息安全管理体系建立过程中，国航还特别成立了公司级的信息安全管理委员会，落实了信息安全管控中心职能，借鉴国际最佳实践的功能划分，采用两级管控机制，在对组织机构不做大调整的情况下落实了安全管理责任。

国航ISO27001信息安全管理体系策略文件于2008年底正式，并组织了近200人次的信息安全培训，采用自评结合复核为主的审查方式定期对体系文件的贯彻和执行情况进行了解。通过内部认证培训，培养了专兼职质量安全员34人，以承担未来各部门的安全内审职责。

纳入安全运行标准体系

正如国航副总裁贺利所说，通过ISO27001国际认证，并不代表国航的信息安全工作已经做到位，而是意味着信息安全工作开始起步，后面需要完善的工作还有很多。

因此接下来，国航首先将不断对现有管理体系的操作细则进行完善，进一步细化信息安全管理域成熟等级评价机制，在IBM公司提出的四级评价基础上，针对国航实际情况再进行细分，持续强化规章的定期评审机制，同时要求所有部分在编写自身业务指导书时落实信息安全规章。

另外，信息管理郝还将和国航相关部门一起建立基于岗位信息资源的管控机制。以后国航每一个岗位上的工作人员，可以访问什么样的内容，能够访问多大的资源，都和岗位密切结合起来，这样就能使信息安全的控制预先做好相应的防控。

在技术平台方面，国航将依照既定的信息安全建设规划，在未来三年内，分步在用户身份与信任凭证管理、访问控制、信息流控制、完整性保护、安全监控与审计五大安全服务领域增加功能组件，建立起符合国航的、完整的信息安全技术平台。