信息安全戰略范文

導語：如何才能寫好一篇信息安全戰略，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

>> 美國國家信息安全戰略解析 加快制定國家信息安全戰略等 互聯網時代的全球主要國家信息化戰略 從“棱鏡”透視國家信息安全 數據挖掘與國家信息安全 域名管理關乎國家信息安全 國力中的國家信息安全 中國國家信息安全的新特點與文化發展戰略 中軟:三大戰略護航國家信息安全 對國家信息化發展戰略及當前主要任務的理解 第二屆國家信息安全與國產化戰略高層論壇北京舉行 網絡傳播與國家信息安全保障 密碼技術：把握國家信息安全命脈 重估國家信息安全屏障 社會審美教育與國家信息安全 大數據時代的國家信息安全發展探究 信息通信業發展對國家信息化發展的戰略實施 新時代需要新的國家信息化戰略 《國家信息化發展戰略綱要》 國家信息化發展戰略綱要印發 常見問題解答 當前所在位置：.

[2] The National Strategy to Secure Cyberspace[EB/OL].

.

[3] The Comprehensive National Cybersecurity Initiative[EB/OL].

http：//whitehouse.gov/sites/default/files/cybersecurity.pdf.

[4] Cyberspace Policy Review： Assuring a Trusted and Resilient Information and Communications Infrastructure[EB/OL].

http：//whitehouse.gov/assets/documents/Cyberspace_Policy_Review_fina.pdf.

[5] National Strategy for Trusted Identities in Cyberspace[EB/OL].

http：//whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf.

[6] International Strategy For Cyberspace[EB/OL].

http：//whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.

基金項目：

國家信息安全戰略研究。

篇2

關鍵詞：數字化；信息安全；權限

信息科學技術發展助推檔案信息數字化進程，在高效滿足用戶查檔需求中提高了檔案工作服務質量和工作效率，但同時檔案信息泄露、檔案數據丟失、涉密文件被竊取等問題也愈發凸顯，給檔案信息安全帶來了嚴峻挑戰，在一定程度上削弱了檔案信息化建設工作成效。推進檔案信息化建設是適應新時代要求的必然選擇，也是順應檔案事業發展新趨勢的必然要求。我們要清晰地認識到，當下電子化檔案數量日益激增趨勢對保障檔案信息安全提出了更高要求，分析檔案信息數字化過程中面臨哪些風險挑戰，從實際出發，分析如何應對現存問題、規避化解潛在信息安全風險，是當下檔案界亟需解決的緊迫性課題。

一、檔案信息安全面臨的挑戰

目前，我國檔案信息化建設有了一定成就，在提高檔案管理、檔案服務指導、檔案資源化利用等方面取得了積極進展，但在發展過程中也暴露出不少信息安全問題，在一定程度上影響了檔案信息化建設質量和成效。當前，我國檔案信息安全面臨的風險主要表現在：

1.檔案信息在保管不當中泄露檔案在保管過程中面臨著信息泄露的風險，主要體現在：一是檔案工作人員對保障檔案信息安全的重要性認識不到位，重視不夠，尤其是對涉密文件缺乏安全保密意識，將一般文件與涉密文件混放，對查檔人員的查閱文件是否涉密未做細致甄別和區別管理，由此存在敏感文件信息外泄隱患，威脅著檔案信息安全；二是檔案工作人員專業素養參差不齊，尤其是非科班出生人員保密意識不足，另外在檔案人才隊伍中專職保密工作人員配置不足，使得檔案在收集—歸檔—保管—利用環節中出現檔案信息泄露現象；三是實體檔案面臨著被損毀的風險。實體檔案在搬運、拆卷歸類、反復查閱中因與設備接觸、人員拿捏不當、存儲環境發生變化等原因可能導致存在不同程度的磨損、遺失、失真。

2.檔案信息通過網絡漏洞泄露隨著電子檔案在線查閱功能上線，網絡安全漏洞成為檔案信息泄露的因素之一，主要體現在：一是檔案管理軟件程序存在缺陷，更新不及時，容易受到病毒入侵、黑客攻擊，一旦敏感信息或涉密文件泄露，后果不堪設想；二是網絡安全監管存在漏洞，數字化檔案需要利用網絡平臺對檔案數據進行著錄、信息處理和遷移轉存，往往因缺乏完善的網絡安全監管技術，造成檔案信息通過網絡傳播泄露的現象；三是檔案數據上傳和下載過程中面臨著數據缺失、信息失真的風險。一些檔案數據存儲在云環境中，由于云環境中的設備和網絡布局十分復雜，數據在計算、存儲、傳輸等環節中存在不少安全隱患，若云環境突然中斷處理，則會影響檔案信息的正常訪問和傳輸，從而降低了檔案信息的準確度。

3.檔案信息在管理制度不健全中泄露一是問責機制不健全，管理制度內容空泛、隨意性大、執行力和約束力不夠，檔案工作人員責任心和使命感不強，在檔案信息保管、數字化處理和利用過程中隨意性很強，不利于檔案信息安全；二是監督機制缺失或不完善，信息化時代下查檔工作主要在計算機檔案管理系統中完成，尤其是對外公開的檔案查閱平臺，查閱人員眾多，若缺乏對查檔人員的查閱軌跡進行跟蹤和分析，在系統有漏洞的情況下發生檔案信息泄露情況很難進行追溯和追責。

二、提升檔案信息安全水平的對策

針對當前我國檔案信息安全面臨的潛在風險，從基本實情出發，結合工作實際，應在完善存儲安全防范措施、健全檔案信息安全管理制度、引用先進技術保護檔案信息安全、強化檔案信息識別能力等方面下功夫，開創“人防、物防、技防”三位一體的檔案信息安全工作新局面。

1.完善存儲安全防范措施完善的安全防范措施是確保檔案信息安全的第一道防火墻。因此，需要在檔案管理系統中打牢防范基礎。第一，要勤殺病毒。檔案信息管理系統必須安全殺毒軟件并及時更新，設置定期病毒掃描程序，修復系統漏洞，防止病毒對系統構成破壞；第二，要設置用戶訪問權限保護信息。對訪問用戶按照一般用戶、系統操作員、系統管理員不同級別逐一設置訪問權限，可公開的文件可向一般用戶開放，需要審批或涉密文件則由系統管理員審核按照相關規定提供查閱；第三，要定期做好數據遷移。檔案存儲載體多樣，不同載體保存檔案的有效期限存在差異，對需長期保存的檔案應結合其存儲載體制訂靈活的存儲策略，跟進存儲技術發展步伐做好檔案數據遷移和轉存；第四，要建立檔案信息安全評估體系，安全專業人士組建檔案信息安全評估小組，對檔案保存環境安全狀況做全方位、系統化檢查，評估潛在的風險等級指數，并對可能發生的風險制定應急預案；第五，要強化檔案信息管理人員信息安全意識和責任意識，加強思想政治教育和保密意識培養，建立安全責任制度，避免出現意識不到位或操作不當導致檔案信息泄露。

2.健全檔案信息安全管理制度健全的安全管理制度是保障檔案信息安全的基礎。因此，應改進當下管理制度中存在的不足。第一，制定檔案信息管理規章制度。一方面防止不法分子采用惡劣手段篡改檔案信息；另一方面確保工作人員遵章辦事，保護檔案信息的真實性和完整性；第二，建立檔案信息系統安全監測機制，由信息運行系統自動對用戶訪問的每個階段進行跟蹤監測，包括用戶身份、訪問文件信息、訪問時間、訪問狀態等，一旦出現敏感信息泄露即發生報警信號。同時，系統管理員根據跟蹤軌跡檢查分析是否有危險檔案信息安全性的行為，結合實際情況實時更新預警參數，完善安全檢測機制；第三，建立信息安全日常管理制度。落實日常信息安全管理制度是最大限度將安全風險降到最低的重要手段之一，檔案管理部門從工作實際出發，細化工作細則，明確工作流程，將安全意識和盡責行為貫穿到檔案信息安全日常管理的每個環節，避免安全問題發生。

3.引用先進技術保護檔案信息安全技術是保護檔案信息安全的重要手段之一，應進一步提高技術保障檔案安全的科技含量。第一，采用加密技術提升檔案信息安全性。根據檔案信息的重要程度劃分安全級別并進行加密處理，由特定人員管理權限，為確保檔案信息的保密性和安全性，訪問用戶需經管理員審核通過后輸入密碼或口令才能讀取數據；第二，采用數據冗余技術保障檔案信息原始數據的完整性。為防止病毒入侵、黑客攻擊對檔案原始數據造成致命性破壞，電子化檔案在形成初期應采用數據冗余技術將信息存貯在多個硬盤中，一旦其中一個硬盤出現問題，其它硬盤數據可作為備份替換；第三，配置安全技術人員，定期對檔案信息網絡環境進行監控、巡邏、檢測，及時排查非法訪問行為，一經發現異?，F象及時報告啟動應急預案，防治檔案信息遭到非法入侵、竊取和篡改，從而有效保護檔案信息安全。

4.強化檔案信息識別能力快速、準確、高效識別出檔案信息是規避檔案信息泄露風險的重要方法，應在檔案保管、人才培養等方面增強檔案信息識別能力。第一，對檔案進行歸類和編碼是快速定位檔案的有效手段，能為檔案信息風險評估工作提供路徑，進而對管理檔案風險程度進行評估，找到信息風險源頭，及時規避和化解風險；第二，要重視對檔案管理人員風險意識培養，制訂檔案信息化管理統一標準，通過教育培訓、實操演練等方式，增強其及時處理和預防風險的能力，能夠在總結工作經驗中快速識別風險源，將風險帶來的損失降到最低。

篇3

關鍵詞:反傾銷 出口貿易 被動局面 現狀和特點 應對策略

反傾銷是GATT/WTO所認可的用于維護國際貿易秩序，規范、保護進口國產業免受不合理侵犯和對付不公平競爭的合法而有效的措施。但是，隨著關稅減讓和傳統的非關稅措施的取消，反傾銷越來越多地被各國作為貿易保護主義的工具來使用，以至于完全違背了GATT/WTO反傾銷立法的初衷。反傾銷已嚴重影響了正常的國際貿易秩序，且已成為產生國際貿易摩擦又一新的壁壘。面對這一新的貿易壁壘，企業存在兩種戰略選擇:要么通過出口服務于進口國市場;要么繞過貿易壁壘，在進口國建立生產基地，從事生產經營活動，并在當地銷售其產品，這種模式就是所謂的“跨越反傾銷壁壘的對外直接投資(Antidumping-jumping FDI)，這種模式實際上表現為投資對出口的替代。它不僅能在相當程度上減弱進口國的貿易壁壘的保護效果(Bruce A.Blonigen and Kasaundra Tomlin，2002)，而且還能在某種程度上促使進口國政府降低其貿易保護水平(Bhagwati，1987)。

反傾銷壁壘會直接影響出口企業的市場進入方式選擇，對于這一國際經濟現象，西方理論界從不同的角度、不同的層面、采用不同的方法對其進行了廣泛而深入的研究。Smith(1987)在寡頭壟斷的分析框架下研究了外生性貿易保護壁壘對出口與對外直接投資的替代關系的影響。Motta(1992)在Smith 的研究框架基礎上考慮了附加信息成本的作用，并得出與Smith近乎相似的結論。Compa，Donnenfeld and Weber(1998)研究了進口國的市場結構對反傾銷引致的對外直接投資的影響。

我國出口貿易面臨的反傾銷措施

近年來，隨著我國經濟的高速增長，出口貿易發展較快，出口產品品種多、數量大。在成本上具有較強的競爭力，歐美等發達國家和一些發展中國家與我國的貿易逆差逐漸上升。他們為保護本國產品的國內市場，維護自身利益，頻繁地運用反傾銷措施來限制我國產品進入。于是我國遭受反傾銷的案件逐漸增多，起訴日益頻繁，范圍不斷擴大，反傾銷力度不斷上升，形勢越來越嚴峻。我國逐漸成為反傾銷的主要對象。為此，必須深入分析我國遭受反傾銷的實質，采取相應的對策，改變目前被動的局面。

近20多年以來，我國經濟和出口貿易獲得了飛速增長。但是，隨著我國商品出口貿易量的增加和在世界出口榜上排名的上升，我國對外出口產品屢屢受到反傾銷指控。尤其從20世紀90年代起，國外對我國產品提起的反傾銷調查有遞增的趨勢。據統計，到2002年底，我國共遭遇反傾銷案例519起，占全球反傾銷調查的14%。其中歐盟90起，美國78起，印度38起，澳大利亞、阿根廷、南非、墨西哥等均超過20起。據相關資料顯示，僅1998年，歐盟與美國就對我國出口產品進行了近30次的反傾銷調查。近幾年來，我國企業遭受反傾銷的訴訟不斷，涉及鋼鐵、五金、礦產、化工、彩電、大蒜、鞋帽、蘋果汁……國外對我國反傾銷訴訟的產品范圍不斷擴大，在20世紀80年代國外對華提起的反傾銷主要針對農副土特產品、小產品，后來擴大到礦產品、工業制成品，直至附加值較高的機電產品，其涉案商品達4000多種，涉案金額達數百億美元。尤其是美國的特別301條款和超級301條款相繼把保護的范圍由一般產品擴展到勞務、投資、知識產權等。我國已成為全球貿易反傾銷的最大受害國。2003年1～9月，國外對我國企業反傾銷立案34起，涉案金額約83億美元，與2002年同期相比，立案數目有所減少，而涉案金額則同比增長45%以上。其中，美國和土耳其對華立案各6起，位居榜首;美國涉案金額最大，超過6億美元。從表面看，數百億美元在我國出現并不算多，但這些數字卻反映了我國所面臨的嚴峻形式。

我國遭受反傾銷的特點

(一)以歐盟為主的發達國家是對我國反傾銷控訴的主力軍

在對我國產品提出反傾銷控訴的國家和地區中，歐盟一直是處于領先地位。近年來，歐盟對外國和地區產品的反傾銷指控與日俱增。1999年，歐盟對我國實施反傾銷和反補貼措施的案例達12件(1998年1件)，隨后逐年遞增，截止2003年底，歐盟已發起98起針對我國產品反傾銷的申訴。進入2004年，這一勢頭有增無減，年度立案數量大幅增加到9起。

(二)反傾銷多集中在我國出口的重要產品上

世界各國對我國的反傾銷不僅數量增多，而且品種范圍不斷擴大，多集中在我國出口的重要產品上。例如歐盟除了對我國彩電、自行車、箱包、鞋類產品、熱軋平板鋼材與可鍛鑄鐵管配件實施反傾銷措施外，近兩年來還對我國的手動叉車、鑄鐵井蓋、碳酸鋇、鎂磚、酒石酸、三氯異氰尿酸、不銹鋼緊固體、顆粒狀聚四氟乙烯樹脂等產品提起反傾銷申訴。

(三)反傾銷發起國和地區由發達國家向發展中國家和地區擴散

近幾年來，在歐、美等發達國家對我國提起反傾銷指控日益增多的同時，日本、韓國、墨西哥、阿根廷、智利、巴西、尼日利亞、俄羅斯、印尼、阿根廷、印度、中國臺灣等發展中國家和地區也紛紛對我國出口產品開展反傾銷調查。日本第一次使用反傾銷手段就是對我國商品;墨西哥在開始使用反傾銷措施不久，就對我國進行反傾銷史上最大規模的調查，涉及商品范圍廣，品種多;阿根廷對我國大到機電、化工等附加值高的產品和紡織品，服裝、玩具等大宗產品，小到餐具、煙花、掛鎖、紙牌等均提起了反傾銷，我國正日益成為這些國家使用反傾銷的新重點。

(四)反傾銷已成為跨國公司在全球市場上應對我國產品的重要法碼

由于我國的勞動力成本比較低，生產出來的產品物美價廉且量大。在國際市場上具有一定的競爭力，而一些發達國家的跨國公司在產業沒有升級以前不愿退出勞動密集型產品生產，或者盡可能地延長退出時間?？伤麄兊某杀久黠@高于我國出口產品的價格，競爭力較弱，加上他們國內保護主義的抬頭，因此他們就不停地對我國的出口產品提起反傾銷。

(五)具有明顯的歧視性

由于我國在國際上還沒有完全被認為是市場經濟國家，因此在對待同等產品的發展中國家中，歐美國家具有明顯的歧視性，我國往往被列為反傾銷國家，而其他的發展中國家則享受優惠待遇。

我國應對反傾銷的策略

(一)轉換市場機制且提高產品質量

一方面要按照WTO“游戲”規則辦事，各項工作盡量早點和國際接軌，建立讓國際社會普遍承認的市場經濟，另一方面積極開展多元外交，利用各種手段，千方百計的讓世界各國承認我國是市場經濟國家，同時也要充分發揮價值規律作用，使企業成為市場經濟真正主體，獨立承擔風險，使產品價格與商品價值直接掛鉤，建立起市場經濟的價格體系。特別重要的是要盡量減少由國家定價的商品種類，以促進社會主義市場經濟價格體系的早日建立。這樣，即使我國企業出口商品遇到進口國廠商等的反傾銷投訴的情況，由于我國企業出口商品的價格主要是市場因素決定的，并且是不受國家定價控制的，就有可能根據歐美反傾銷法的相關規定，爭取獲得涉案企業的單獨稅率甚至整個行業的市場經濟地位，從而使歐美等國家反傾銷法中所規定的替代國標準不再對我國涉案企業適用，同時，我國應積極順應市場要求，規范出口，提升產品附加值，避免企業在低附加值的產品中進行過度競爭。要求商務部、行業協會和出口商會及時匯總出口商品的銷售狀況和渠道，了解自己出口商品對進口國同類產品的影響，積極幫助企業作好申訴工作。

(二)盡量減少和取消國家對企業的直接管理和控制

歐美反傾銷法認為，“在一個市場經濟國家，政府通常在資源分配和價格決定中起的作用極小?？墒撬綘I企業受利潤驅動，根據市場供求關系的變化制定其商業決策，不受政府的干預。因此私有企業的產品和生產成本，較能合理地反映經濟現實”。對于我國出口企業來說，如能使外國對其市場經濟地位認可，就意味著我國出口產品的成本和價格有了被直接認可的可能，否則，涉案企業的生產成本和產品價格就不會被認可，而要以一個所謂市場經濟性質的第三國的類似產品的成本作為替代價格。由于這種替代價格選擇具有很大的不確定性，因此會對我國出口企業造成實質的不公平和歧視。面對上述狀況，我國出口企業一方面要通過自身的體制改革來促進企業理順其產權制度，并以此作為建立現代企業制度的基礎。另外，對現有的國有企業也要加快其股份制改革，并在理順國有企業產權制度的前提條件下，有效地從機制上割斷企業和國家在產權上的連接關系，從而為進一步減少和取消國家對企業的直接管理和控制創立良好客觀條件。

(三)充分利用WTO多邊爭端解決機制積極應訴

一方面利用在多邊貿易體系中的發言權來維護我國的合法權益，另一方面利用WTO爭端解決機制挑戰歧視做法，我國應加大對歐美等國在反傾銷投訴方面的法律法規以及對我國的歧視政策放在WTO規則中加以評判的力度，以便盡早通過WTO這一多邊貿易體制來維護我國取得的正常待遇。

針對我國出口產品反傾銷案一直居高不下的現狀，出口企業一方面要在國際反傾銷案發前就應當未雨綢繆，盡早采取各種防范措施，另一方面要及時和充分了解本企業的出口產品或者其他類似出口產品在進口國的銷售價格和走勢，以及該出口產品對進口國同類產業所造成的各種影響。一旦遭到調查就立即應訴，同時，為了保證國內企業積極應訴國外反傾銷訴訟，政府機構、行業協會、進出口商會應積極建立應訴機制，企業不要輕易放棄勝訴機會，要積極參與個案市場經濟地位的申請，力爭權益得到最大保護。

(四)出口企業要盡早了解反傾銷后果并做好應訴準備工作

第一是反傾銷案一旦發生，外國反傾銷主管當局都會要求涉案企業在規定的時間里及時回答各類調查問卷，出口企業應根據客觀情況認真填寫 ;第二是出口企業一定要在國家反傾銷主管部門和行業協會和進出口商會的共同協調和支持下迅速組織，積極應訴;第三是聘請有經驗且對我國友好的當地律師進行申辯和負責處理案件。聘請當地律師進行反傾銷訴訟不僅是必要的，也是必須的，這不僅因為當地律師同有關當局有眾多的人事關系和業務聯系，更重要的是他們諳熟當地法律和復雜的訴訟程序與手續，一般而言，只有當地律師才有權調閱與本案有關的檔案和資料，尤其是保密性的材料，這樣就能做到知己知彼。

參考文獻

1.張曉東.加入WTO與修改中國的反傾銷法[J].法學評論，2000

篇4

確保信息網絡安全正在成為新世紀國家安全的重要基石和基本內涵。這就向我們提出了一個迫切需要解決的重大戰略性問題，即:如何切實保障信息網絡安全，以確保我國信息化建設快速、平穩、健康發展，避免信息網絡安全問題導致社會危機的發生。

同時，它也要求我們必須結合國情，從“發展是硬道理”出發看待和把握信息安全問題，對我國信息化發展進程中面臨的信息安全威脅演變趨向加以冷靜分析、正確判斷，制定科學、務實、有效的安全保障戰略。

提升應急能力

面對全球一體化的互聯網環境，國家公共互聯網應急體系的建立和應急處理能力的提高，并不能僅僅依靠政府的力量，而是需要世界各國相關組織在技術、資源、經驗方面的共同合作，需要政府與企業、全社會每個人的互動。

在互聯網這樣一個復雜的巨系統中，如何提高應急響應的處理水平確是擺在我們面前的巨大難題。目前的應急管理無法適應日益復雜的安全系統的要求。為了解決這些問題，我們在方法學上提出了“綜合集成”的思路，即自上而下、自下而上的結合（如圖1所示）。

要落實綜合集成的方法論就要綜合治理，不僅靠一個部門或一個企業制定信息安全應急預案，而且需要建立一個全球相互協作體系。在統一的標準、一致的應急處理方法下，達到體系的高度靈活性。

同時，我國也必須要建立自己的體系，并與全球的相關組織緊密合作，實現從定性到定量的協調機制。在不斷變化的技術環境中，今天最好的安全措施可能在明天會過時。安全措施必須緊跟這些變化，必須作為系統開發生命周期中的一重要組成部分加以考慮，并在每一階段明確其定位。

信息安全常被看作是一個技術問題，少有組織認為它是組織必需優先考慮的對象。 信息安全治理是我國信息安全保障體系建設的戰略需求。我國信息安全治理的方針和戰略是:以單項治理為主向以綜合治理為主轉變;從注重事后處理向以事前預警為重點轉變;從與電子政務和電子商務實際應用系統的松散結合向緊密相結合轉變;為經濟社會協調發展提供支撐;以人為本、自主創新、協同集成、重點跨越。

避免誤區

在評估和把握我國信息安全形勢的走向時，要避免出現兩種傾向:一是在信息安全領域中尚不存在特別重大威脅的情況下，對信息安全問題的演變趨勢估計不足、重視不夠，給國家信息化的持續發展留下安全隱患;二是對信息安全領域諸多屬于一般性威脅問題的嚴重性估計過高，把技術與管理不健全而造成的安全問題視為戰略問題，造成人力、財力的浪費，給國家管理和社會進步增添負擔。

思路和原則

抓住我國綜合實力進一步增強和加入WTO的機遇，統籌我國信息安全保障體系建設，在自力更生基礎上按需引進、充分利用和借鑒國外先進技術與管理經驗，在15～20年時間內，堅持與時俱進、求真務實的精神，通過統一規劃、分步實施，政府引導、全民參與的方式，通過信息安全治理，建立起完整的國家信息安全保障體系。應該按照如下原則來進行安全保障體系的建設:

堅持風險管理原則完全避免風險是不現實的，要對關鍵領域的信息安全風險進行識別和評估，采取必要的保護措施和應急措施來降低風險，使之控制在可承受的范圍內。

明確統籌兼顧原則在實施策略方面，要明確國家、企業和個人在信息安全方面的責任和義務，充分發揮各方面的積極性;要統籌城鄉信息安全建設，協調區域化信息安全建設與全國信息安全建設。

重視經濟實用原則切忌空談和夸大，量力而行，突出重點。以我國信息安全領域最急需開展的工作作為突破點，扎實地做好信息安全工作。管理上要將關鍵信息網絡安全的整改作為信息安全建設的切入點，技術上要采用綜合集成思想，逐步完善關鍵基礎設施的安全保障，切實提高信息安全防護能力。

遵循循序漸進原則信息安全戰略要與國家信息化發展和社會轉型相適應，采取統一規劃、分步實施，以及短期和中長期目標相結合的方式進行。

治理三階段

國家信息安全戰略的總體目標是保障關系到國計民生的信息基礎設施的適度安全，實現國家對信息化環境與內容的治理（如圖2所示）。

第一階段，打基礎、保重點，初步建立我國信息安全防護體系。

戰略重點是保障“3＋7”關鍵基礎網絡安全、信息內容安全和加強網絡監管。戰略目標是確保國家信息化建設健康、穩步地發展。

保護關鍵基礎網絡安全指由電信網、廣播電視網和互聯網構成的三個基礎網和由稅務、電力、銀行、證券、海關、鐵道、民航構成的七個關鍵網。

保護信息內容安全指防止有害內容的產生、傳播和可獲得性。要建立信息網絡監管體系，實現對信息內容安全監控，對有害信息內容進行過濾，減少其精神污染。加強政府對信息網絡的監管力度及對網絡安全運行的監控和管理。

通過立法，將監控管理從行政管理的范疇納入到法制范疇。對電子保密信息進行合法的安全監管，增強信息犯罪取證調查能力。

第二階段，重體系、促發展，形成較強的國家信息安全保障能力。

戰略重點是確保政務網絡安全高效、商務網絡安全可靠、網絡文化健康向上。戰略目標是促進網絡經濟蓬勃發展，形成良好網絡秩序。

政務網絡安全保障重點是保證關鍵指令和信息的有效上傳下達，政務資源的有效整合和利用。為此，要加快安全保障體系與安全支撐平臺建設，這是政府在信息安全上的法律職責和義務。

第三階段，實現對信息網絡的有效治理，初步具備信息反制能力。

戰略重點是有效維護信息空間領域國家利益，大幅提高全民在信息化進程中生活質量和福利。

戰略目標是達到信息網絡的科學治理、維護經濟與社會的可持續發展。

在政策法規方面，建立完善的信息安全法律法規體系。在技術方面，依據信息安全技術戰略，在關鍵領域取得突破性進展。在產業方面，通過政策傾斜和市場競爭，孵化出信息安全“航空母艦”型企業，信息安全主要核心技術基本實現自主化。

五大安全治理規范（供參考）

一、經濟合作和發展組織，《信息系統安全指南》（1992）

《信息系統安全指南》用于協助國家和企業構建信息系統安全框架。美國、OECD的其他23個成員國，以及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息系統風險意識和安全措施，提供一個一般性的框架以輔助信息系統安全度量方法、操作流程和實踐的制定和實施，鼓勵關心信息系統安全的公共和私有部門間的合作，促進人們對信息系統的信心，促進人們應用和使用信息系統，方便國家間和國際間信息系統的開發、使用和安全防護。

這個框架包括法律、行動準則、技術評估、管理和用戶實踐，及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標桿，通過此標桿測量進展。

二、國際會計師聯合會，《信息安全管理》（1998）

信息安全目標是“保護依靠信息、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準則時可認為達到信息安全目標:數據和信息只透露給有權知道該數據和信息的人（機密性）;數據和信息保護不受未經授權的修改（完整性）;信息系統在需要時可用和有用（可用性）。 機密性、完整性和可用性之間的相對優先級和重要性根據信息系統中的信息和使用信息的商業環境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統的威脅既有可能來自有意或無意的行動，也可能來自內部或外部。信息安全事故的發生可能是因為技術方面的因素、自然災害、環境方面、人的因素、非法訪問或病毒。另外，業務依賴性（依靠第三方通信設施傳送信息，外包業務等等）也可能潛在地導致管理控制的失效和監督不力。

三、國際標準化組織，《ISO 17799國際標準》（最新版是2005）

ISO 17799（根據BS 7799第一部分制定）作為確定控制范圍的單一參考點，在大多數情況下，這些控制是使用業務信息系統所必須的。該標準適應任何規模的組織。它把信息作為一種資產，像其他重要商業資產一樣，這種資產對組織有價值，因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性，確保信息只被相應的授權用戶訪問;完整性，保護信息和處理信息程序的準確性和完整性;可用性，確保授權用戶在需要時能夠訪問信息和相關資產。信息安全保護信息不受廣泛威脅的損毀，確保業務連續性，將商業損失降至最小，使投資收益最大并抓住各種商業機遇。安全是通過實施一套恰當的控制措施實現的。該控制措施由策略、實踐、程序、組織結構和軟件組成。

四、信息系統審計和控制協會，《信息和相關技術的控制目標》（CoBIT）

CoBIT起源于IT需要傳遞組織為達到業務目標所需的信息這個前提，至今已有三個版本。除了鼓勵以業務流程為中心，實行業務流程負責制外，CoBIT還考慮到組織對信用、質量和安全的需要，它提供了組織用于定義其對IT業務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進一步把IT分成4個領域（計劃和組織，獲取和實施，交付和支持，監控），共計34個IT業務流程。CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細的控制目標，以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯結業務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例，以形成一個可控和邏輯結構內的活動。

五、美國注冊會計師協會(加拿大特許會計師協會)，《SysTrust TM系統可靠性原理和準則V20》（2001）

篇5

［關鍵詞］ 信息安全保障體系； 中國石油； 企業

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類號］ TP309 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來源于1996年美國國防部DoD指令5－3600．1（DoDD5－3600．1）。其發展經歷了通信安全、計算機安全、信息安全直至現在的信息安全保障。內容包括保護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery） 4個環節，即PDRR模型。

信息安全保障體系分為人員體系、技術體系和管理體系3個層面，人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術體系由本地計算環境、區域邊界、網絡基礎設施及支撐性基礎設施組成。管理體系包括建立完善的信息安全管理體系、構建自上而下的各級信息安全管理組織架構、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護，多處設置保護機制，抵御通過內部或外部從多點向信息系統發起的攻擊，將信息系統的安全風險降低到可以接受的程度。

2 國外信息安全保障體系建設

美國的信息化程度全球最高，在信息技術的主導權和網絡上的話語權等方面占據先天優勢，他們在信息安全保障體系建設以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰略報告，將信息安全由“政策”、“計劃”上升到“國家戰略”及“國際戰略”的高度。美國國土安全局是美國信息安全管理的最高權力機構，其他負責信息安全管理和執行的機構有國家安全局、聯邦調查局、國防部、商務部等，主要根據相應的方針和政策結合自己部門的情況實施信息安全保障工作。

其他國家也都非常重視信息安全保障工作。構建可信的網絡，建設有效的信息安全保障體系，實施切實可行的信息安全保障措施已經成為世界各國信息化發展的主要需求。信息化發展比較好的發達國家，如俄、德、日等國家都已經或正在制定自己的信息安全發展戰略和發展計劃，確保信息安全沿著正確的方向發展，在信息安全領域不斷進行著積極有益的探索。

3 國內信息安全保障體系建設

我國信息化安全保障體系建設相對于發達國家起步較晚，2003年9月，中央提出要在5年內建設中國信息安全保障體系。2006年9月，“十一五”發展綱要提出科技“支撐發展”的重要思想，提出要提高我國信息產業核心技術自主開發能力和整體水平，初步建立有中國特色的信息安全保障體系。2007年7月20日，“全國重要信息系統安全等級保護定級工作電視電話會議”召開，標志著信息安全等級保護工作在全國范圍內的開展與實施。2011年3月《我國國民經濟和社會發展十二五規劃綱要》明確提出加強網絡與信息安全保障工作。通過一系列的文件要求，不斷完善與提升我國的信息安全體系，強調信息安全的重要性。

我國信息安全保障體系建設主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國家信息安全組織管理體系，加強國家職能，建立職能高效、職責分工明確的行政管理和業務組織體系，建立信息安全標準和評價體系。③ 建立國家信息安全技術保障體系，使用科學技術，實施安全的防護保障。④ 在技術保障體系下，建設國家信息安全保障基礎設施。⑤ 建立國家信息安全經費保障體系，加大信息安全投入。⑥ 高度重視人才培養，建立信息安全人才培養機制。

我國通過近幾年的努力，信息安體保障體系取得了長足發展，2002年成立了全國信息安全標準化技術委員會，不斷完善信息安全標準。同時在互聯網管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質性進展，但CPU芯片、操作系統與數據庫、網關軟件仍大多依賴進口，受制于人。

4 企業信息安全保障體系建設

中國石油集團公司信息化建設在我國大型企業中處于領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，公司將企業信息安全保障體系建設納入信息化整體規劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。

管理類項目包括信息安全組織完善、信息安全運行能力建設、風險評估能力建設3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術服務組織，合理配置崗位并明確職責，建立完備的管理流程，為信息安全建設與運行提供組織保障。信息安全運行能力建設內容包括建立統一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓，較快形成基本的信息安全運行能力。風險評估能力建設是指通過建立風險評估規范及實施團隊，提高信息安全風險自評估能力和風險管理能力，強化保障體系的有效性。

信息安全控制類項目涉及信息安全制度與標準完善、基礎設施安全配置規范開發、應用系統安全合規性實施3個項目。信息安全制度與標準完善包括：① 初步構建了制度和標準體系，了《信息系統安全管理辦法》及系統定級實施辦法。② 建立和完善了信息系統安全管理員制度，開展了信息安全培訓。③ 跟蹤國家信息安全等級保護政策，開展信息系統安全測評方法研究等，規范了信息系統安全管理流程，提升安全運行能力?；A設施安全配置規范開發目標是制定滿足安全域和等級保護要求的信息技術基礎設施安全配置規范，提高信息技術基礎設施的安全防護能力。應用系統安全合規性實施是提供專業的信息安全指導與服務，支持國家等級保護、中國石油內部控制等制度的實施，使信息化建設與應用滿足合規性要求。

信息安全技術類項目由身份管理與認證、網絡安全域實施、桌面安全管理、系統災難恢復、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統一認證平臺，實現關鍵和重要系統的用戶身份認證，提高用戶身份管理效率，保證系統訪問的安全性。網絡安全域包括廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3項內容。廣域網邊界防護是指將全國各地的中國石油單位的互聯網集中統一到16個區域網絡中心，員工受控訪問互聯網資源，并最終實現實名制上網。廣域網域間與數據中心防護項目指建立。區域間訪問與防護標準、數據中心防護標準。廣域網域內防護將分離其他網絡并制定訪問策略，完善域內安全監控手段和技術，規范域內防護標準。桌面安全管理項目包括防病毒、補丁分發、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統。系統災難恢復包括：① 對數據中心機房進行了風險評估，提出了風險防范和改進措施。② 對已上線的18個信息系統進行業務影響分析，確定了災難恢復關鍵指標。③ 制定整體的災備策略和災難恢復系統方案。信息安全運行中心旨在形成安全監控信息匯總樞紐和信息安全事件協調處理中心，提高對信息安全事件的預警和響應能力。

5 存在問題及建議

中國石油作為國資委超大型企業和能源工業龍頭企業，集團領導和各級領導，一貫重視信息安全工作，在落實等級保護制度，加強信息安全基礎設施建設，深入開展信息安全戰略、策略研究等方面，都取得的豐碩成果，值得其他企業借鑒。公司在信息安全保障體系建設中還存在以下問題：

（1） 信息安全組織體系不夠健全，不能較好地落實安全管理責任制。目前，部分二級單位沒有獨立的信息部門，更沒有負責安全體系建設、運行和管理的專職機構，安全的組織保障職能分散在各個部門，兼職安全管理員有責無權的現象普遍存在，制約了中國石油信息安全保障體系建設的發展。需強制建立從上至下完善的管理體系，明確直屬二級單位的信息部門建設，崗位設定、人員配備滿足對信息系統管理的需求。

篇6

近期，美國眾議院情報委員會發表一份報告稱，中國的電信設備提供商華為、中興可能對美國國家安全構成威脅，并警告美國公司不要與這兩家中國公司有業務往來。

美國是一個國家，有著對國家安全的合理訴求，在華為、中興會否威脅美國國家安全的最終定論出來之前，我們無法對美國的舉動造成什么實質性的影響。然而，美國對占市場份額只有1%的華為、中興的產品如此大開殺戒，倒讓我們也不得不仔細審視，中國的信息安全是不是面臨著同樣的威脅和不安全因素。

2012年9月20日，著名電信運營商AT&T的部分大客戶在亞特蘭大的ME業務出現故障，數據和電話線路中斷長達3小時。后經查明，造成網絡中斷的原因，是某國際性大企業生產的核心路由產品出現了故障。

而該廠商的設備早在2005年7月12日，就曾造成中國網絡出現大面積故障。當時，承載著200萬用戶以上的北京網通ADSL和LAN寬帶網，突然大面積中斷，事故大約影響了20萬北京網民。

這也許只是一兩起孤立事件，但由于目前整個信息產品領域普遍采用了遠程升級和遠程維護這一方式，一方面在帶給用戶方便，另一方面卻將自己的命運交到廠家手中。在國家處于特殊時期，任何事情都可能發生，偶然事件觸發必然事件的幾率空前增大。而事實上，互聯網的信息安全威脅離我們很近很近。

近日，信息安全專家、中國計算機學會常務理事潘柱廷針對中國的骨干網的接入設備大部分采用無法自主控制設備的現狀，就顯得憂心忡忡。他認為，“一旦發生安全問題，中國的信息網絡會全面癱瘓，后果不可小覷?！?/p>

早年在聯想主政技術開發，最早提出研發自有知識產權的IT產品和技術的中國工程院院士倪光南近日專門著文表示，“為了保障信息和信息安全，應當采用自主可控的核心技術?！灾骺煽亍谖覈崃藥资?，是經得起實踐檢驗的?！?/p>

倪院士指出，“美國企業掌握了信息領域的主要核心技術，美國企業占據了中國信息領域市場的重要份額。如果按照美國的邏輯，美國企業對中國國家安全可能造成的威脅，應該比華為、中興對美國國家安全可能造成的威脅大得多了。華為、在美國市場的銷售額僅占其總銷售額的1%，思科在中國市場的銷售額要占其總銷售額的16%。由此看來，如果要擔心國家安全受威脅的話，首先應該是中國，而不應該是美國。”

這并非危言聳聽，任何商業性公司，在國家處于戰爭狀態或安全受到威脅的情況下，都應該無條件地服從于國家利益，商業道德在國家安全面前，并不具備任何約束力。與美國因國家安全考慮禁止中國電信設備進入基礎建設，無法就此給其冠以狹隘民族主義或“中國”的帽子一樣，中國建設可控的獨立自主的國家信息安全體系，是為了保證國家信息穩定并在特殊時期不受制于人的一種基礎性工程。

綜觀世界各國對國家信息安全的重視情況，不僅有美國從法律層面針對基礎性設施進行約束，德國、日本、俄羅斯、韓國、瑞士等國家，自上世紀90年代起就著手進行國家信息安全體系的建設和完善。

我國目前雖然認識到了保障信息安全對國家安全的重要性，但仍然沒有把保障信息安全放到國家戰略的高度來進行系統化法治化管理，這導致我們在國家信息安全建設方面缺乏長遠戰略目標，而對可能影響國家戰略安全的骨干網的建設缺少了自主可控的成分，國家信息安全缺乏基本法的一個關鍵因素。

篇7

【 關鍵詞 】 高校；科研機構；信息安全；對策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

隨著信息技術的發展和信息化應用的日趨深入，信息安全建設及其應用正在成為教育科研單位日常教育管理和科研生產不可或缺的一環。高校等科研單位對信息安全管理的認識程度越來越高，研究院等單位的信息系統規模和水平也在不斷攀升，然而隨著高校各系統建設程度的不斷完善，以高校為代表的科研機構的信息安全管理問題也愈加突出。

2 高?？蒲袡C構存在的信息安全管理問題

近年來，高校等科研機構逐步認識到信息安全對于自身的重要性，于是不少單位成立了“信息管理部門”來推行統一的管理規范和進行信息安全知識普及，其主要目的是為了從安全技術和管理兩個方面來解決高校中科研機構的信息安全問題，充分提高機構人員的信息安全管理意識和保密工作的能力。當下，雖然有一些高校的科研單位在信息安全和管理建設方面已經取得了長足的進步，但其科研單位內部仍然存在著很多問題。

(1)首先，在以往長期封閉的科研環境影響下，相關科研人員目前依然不具備良好的安全意識，對于信息安全的認識水平不高。同時高校等相關管理部門較容易忽視信息安全在其科研系統中的發展戰略和計劃，這些都間接導致了信息安全管理制度推行力度不夠，實施安全教育的硬性條件有限。其次，由于學科建設和專業水平所限，也使得國內技術過硬的信息安全專業人才供應不足，間接影響了相關單位的人才儲備水平。

(2)當下許多高校等科研單位在信息系統不斷增加的情況下，對以往基礎設施配備水平存在著一定的依賴性，不能夠很好的適應新環境。在信息系統運作業務的安全風險和意識提升上，又缺乏有效性驗證與評估辦法?，F實中的任何信息系統都是一連串復雜的環節，信息安全措施必須滲透到信息系統的每一個部位，其中一些問題的解決方案，需要信息系統的設計人員、測試人員和使用人員都熟知并能夠成為規范來遵守。

(3)不安全因素對于信息系統而言總是存在的，沒有任何一個信息管理方法能提供絕對的保障。因此，高校等科研單位在認識和進行信息系統安全管理教育的時候，應該著重加強基層人員的信息安全管理實踐教育，應讓相關人員充分意識到，雖然信息安全建設并非意在建設一個創收的平臺，但它是一個保障科研成果和提升工作效率的平臺。管理者有必要做出適合科研單位進行教育實施的信息安全教育發展戰略和計劃，充分加強信息安全教育在管理實踐上的投入，嚴格有效地執行相應的安全策略、安全措施和安全管理制度，以最大限度避免使用和管理信息系統時的固有風險。

(4)近年來，我國大型科研單位相繼出現過不同程度的泄密事件，這些事件的直接后果是不僅導致了科研成果的流失，還造成了較大程度的經濟損失和不良的社會影響。雖然各大信息系統工程和信息化程度要求非常高的相關行業，也都出臺了對信息安全技術產品的應用標準和規范，但只有建立一個嚴格的信息安全管理策略，才能全面的保障其安全性。

3 解決高校科研機構存在的信息安全的對策

3.1 技術層面

在技術層面上：高校科研管理系統是以計算機和數據庫通信網絡為基礎的應用管理系統，是一個開放式的互聯網絡系統，與網絡系統連接的任何終端用戶都可以進人和訪問網絡中的資源。作為信息通訊數據平臺，其所受到的安全威脅主要存在于信息通信傳輸、存儲和加工的各個階段。因此在制定技術對策方面就需要制定統一全面的安全策略，同時也注重建設統一認證和授權管理系統，通過硬件接入設備和定制化管理軟件的配合部署，加強網絡層面和應用層面的安全資源整合，形成覆蓋全網的科研信息化安全保障能力，并充分利用自主創新的科研信息化安全技術，不斷增強基礎運行平臺的網絡安全能力，為科研信息化基礎環境和應用系統提供有力的安全保障。

在保障網絡基礎設施和重要應用系統的安全方面，一方面需要構建身份認證管理系統、網絡安全管理平臺、惡意代碼防護系統、安全審計平臺等面向全網用戶的網絡安全基礎設施，實現實時預警、事件分析、決策支持、資源調度等功能；另一方面需要建立起包括安全咨詢、安全規劃、安全檢測、安全培訓等環節在內的安全服務體系，引入除技術體系和管理體系以外的第三方服務支持，實現安全事件的及時發現。

3.2 管理和教育層面

在管理和教育層面上：以企業為參考標度，對高?？蒲袡C構工作人員進行信息安全意識以及管理實踐知識的普及，將信息安全管理理念提到戰略高度來看待。充分遵循信息安全流程制定相應管理制度，除技術保障外，將人員、網絡、環境有關的技術和管理規程的有機集合充分納入其中。充分認識到信息安全管理實踐是保障信息實現有效管理與控制的重要途徑。所在部門應客觀評估實現信息安全管理的需求水平，落實安全的組織和管理人員，明確每個人的角色與職責；制定并開發安全規劃和策略，定期開展培訓和工作會議；實施風險管理制度，制定業務持續性計劃和災難環境下恢復計劃；選擇實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監控、檢查、處理安全事件。針對專業人員的培訓和績效需要有效結合目標管理和信息安全管理兩方面來展開。

3.3 管理政策層面

在整個管理策略的制定上：建議采用分級策略，如果高校對于自身科研信息安全風險水平認定為較高，而自身建設能力有限，則可以考慮與相關專業咨詢機構合作，引入專家機制來完成相關工作，提升建設效率。

4 結束語

在國家大力推行科教興國與自主創新發展戰略的今天，信息安全建設對于保障科技創新自有成果，確保自主知識產權的創造價值，都有著極其重要的作用。而如何確保其信息安全能夠實現自主可控的目標，也是以高校為代表的科研機構行使和保障自身合法權益的重要途徑。因此我們必須綜合多方因素，系統考量，盡可能提供全面的、多方位的信息安全建設策略和信息安全管理與教育規范，以切實滿足高校等科研單位對信息安全保障體系的需求，降低科研成果的安全風險，發揮高效的科研效率，保障科研生產的安全順利進行。

參考文獻

[1] 張廣欽．信息管理教程[M]．北京：北京大學出版社，2005.

[2] 徐茂智．信息安全概論[M]．北京：人民郵電出版社，2007.

[3] 彭盛宏.淺析校園網存在的安全隱患及其對策[J].信息安全與技術，2012，(1).

篇8

2007年11月27日，普華永道了第五次年度全球信息安全狀況調查。報告顯示: 經過幾年的發展，全球信息安全問題得到了空前的重視，每花費1美元的信息化投資，就有15美分用于安全。但問題依然不少，企業雖然通過聘用專業安全人員、規范管理流程和使用技術手段來應對信息安全的問題，可是對于如何解決問題仍一籌莫展，中國在常見的有關隱私安全與信息安全的大多數方面均處于滯后狀態。同時，報告提醒，2008年，全球CIO/CSO應該關注的領域有了一些新的變化。

調查顯示，企業比以前更清楚地看到信息安全問題是因為企業采用了一些新的工具和方法。例如:

添加方法: 三年前，僅37%的公司制定了整體安全策略，2007年則是57%。另外，每五家公司中有近四家至少會定期開展企業風險評估;

部署技術: 十個人有九個說自己在用防火墻，監視用戶并依賴入侵檢測設施，大公司（收入超過10億元）的這一比例高達98%。采用了加密技術的比例空前高，達到72%，而2006年這一數字為48%;

雇傭人員: 首席信息安全官（CISO）的人數不斷升高，每個公司信息安全人員最多可達100人。

企業正在經歷從對計算機安全漏洞的一無所知到了解后的惶恐不安。但了解安全狀況并不等于進步，擁有了安全技術也并不意味著安全。企業必須變得更成熟。

2008全球信息

安全形勢

將發生新變化

未來的信息安全威脅會有以下的轉變:

內部威脅逐漸展露: 2007年企業內部“員工”首次超過“黑客”成為造成安全事故的主要原因，內部員工所造成的安全危險成為信息安全事件的重要組成部分。

安全攻擊手段變得更加復雜: 隨著企業安全措施的不斷進步，安全攻擊也變得越來越復雜。跡象顯示如今電子郵件病毒已經沒有2005年時那么流行，但是系統有效用戶身份的濫用、社會工程學、網絡釣魚攻擊以及對于已知應用系統弱點的攻擊會變得更頻繁。

保護數據隱私將會得到進一步關注: 盡管在保護數據隱私方面取得了一些進展，但步伐不夠快: 到2007年，22%的企業設立了首席隱私官; 56%的企業沒有定期檢查隱私政策是否持續執行; 61%的傳輸數據經過加密，但在更多領域，像數據庫、共享文件、筆記本電腦和可移動媒體里的數據沒有加密，成為數據泄露事故的源頭。

開始關注合作伙伴的安全: 許多企業沒有意識到，即使數據是由第三方運行和儲存，他們仍然有責任保護數據: 76%的企業沒有保留其客戶數據的記錄; 少于一半（41%）的企業要求第三方（包括外包服務商）遵循隱私政策; 42%的企業針對外部合作伙伴、客戶、供應商及服務商建立了安全基本線; 65%的安全政策沒有明確設定讓合作伙伴和供應商遵循的方法。

2008中國CSO

需關注的領域

中國企業同樣面對以上的各項挑戰，在以下的領域需要尤其關注:

數據隱私: 在許多數據隱私保護的領域中國都相對落后，超過一半（59%）的企業都不給員工提供關于隱私政策的培訓; 大多數企業（69%）沒對網絡交易進行安全管理。

信息安全保障: 綜合人文、流程、技術等因素，中國在信息安全保障方面仍然較為滯后: 只有31%的中國受調查對象建立了定期的威脅和弱點評估; 72%的中國企業承認他們沒有知識產權保護策略和流程; 70%的中國企業承認他們沒有業務持續/災難恢復計劃和流程。

安全事故的影響: 中國企業需要關注安全事故對企業帶來的影響，因為不夠成熟的信息安全保障措施已經影響到商業運作，包括財務損失（23%）以及知識產權被盜取（18%）等問題。

信息安全架構: 中國企業雖然雇傭了許多全職人員投入信息安全。但是，74%的公司指出他們的組織沒有首席信息安全官，而59%的中國公司沒有總體信息安全戰略（調查總平均值為43%）。

知識產權: 只有28%的中國公司有知識產權的政策。

對中國CSO的三大建議

企業普遍把信息安全看成為一個技術問題。既然主要的投入是在技術方面，那回報也主要來自技術: 工具會告訴你在發生的事情，并阻擋最低級的攻擊。但技術一般比較被動，僅限于當一些預定的規則一旦被違反，就會發出警報和事后對異常情況報告。猶如博物館窗戶上的玻璃破碎傳感器，對于警告有人破窗方面特別有效，但對油畫如何被盜以及為何被盜，傳感器不會也不能做任何解釋，更不會幫助預防下次窗戶被打碎或下一次油畫被盜。

當安全人員看到了問題時，往往并未發現所有的問題。企業會發現錢花錯了地方，還會發現好的員工帶著良好的愿望把工作帶回家，因為不慎丟失筆記本電腦，或將數據放入其家庭電腦時，會發生安全隱患。這種例子枚不盛舉。

信息安全已經不再是一個純技術問題，要從根本上解決，企業必須制定戰略計劃。安全投資必須從重技術轉向重情報，要樹立風險分析和防范思想。安全管理人員必須同時考慮三個相關的領域: 管理流程、人員和技術。只有這樣，企業才會走出被動局面。

對戰略及管理流程的建議

制定總體信息安全戰略，使信息安全在企業里有明確的定位;

制定業務持續及災難恢復戰略和計劃，減低一旦發生安全問題對企業所可能造成的影響;

制定配置架構的標準和流程;

制定致力于知識產權和信息保護的政策和流程;

執行定期的穿透測試、威脅和弱點評估及風險評估。

對人員設置的建議

設立首席信息安全官（Chief Information Security Officer / Chief Security Officer）和首席信息隱私官（Chief Privacy Officer）崗位，并由有適當經驗的人員擔任;

聘請富經驗的信息安全顧問協助企業制定安全策略和處理信息安全問題。

對信息安全技術的建議

使用適當的安全技術，如遠程登錄技術和VPN技術來加強對系統和數據的訪問控制;

篇9

［關鍵詞］信息安全;網絡空間;網絡空間安全管理

隨著互聯網技術在全世界范圍內的普及，互聯網已經成為國家安全的“無形疆域”，互聯網安全威脅問題也日益成為世界性難題。美國等西方發達國家由于網絡技術起步早、普及廣，且壟斷和控制著網絡的核心技術，從而在信息化進程中占據主導地位。我國在內的大多數發展中國家，迄今仍處于“信息貧困”之中，被“數字鴻溝”分隔在另一邊。由于技術、管理以及安全意識上的原因，中國面臨的信息安全問題更為嚴重。主要表現在基礎信息技術嚴重依賴國外、網絡技術的廉價與跨國性使安全問題泛化、人員對保密認識模糊、保密觀念薄弱、人員流動無序、保密法律約束力不強、缺少確保信息安全的核心技術等問題。其中，軟件隱患、芯片“陷阱”、計算機病毒和“黑客”入侵是信息系統面臨的普遍性的問題。如果我們不重視互聯網安全問題，那么我們國家的政治、經濟、文化、軍事等各個領域都將存在巨大的風險，所以我們應當重視互聯網安全技術的發展，采取有效的手段來抑制互聯網安全威脅，保證我們在互聯網世界中占據主動。

1強化網絡空間安全教育管理

信息技術是未來世界強國競爭的主題，誰掌握了信息制高點，誰就在未來世界競爭中處于優勢，誰落后就要被淘汰。以軍事為例，除了傳統意義上的“陸、海、空、天”戰場，電磁和信息領域的戰斗更是不見硝煙的戰場，信息戰、電磁戰等領域無不凸顯信息安全的重要性，摧毀了敵方的信息安全防線，就能在未來戰爭中占有極大的優勢。事實上，國內外的許多失泄密事件早已證明，就信息安全與保密而言，“內防”和“防內”才是真正的工作重點。以美國為例，與計算機有關的犯罪活動，80%都是內部人員所為。換言之，信息安全問題不能只限于保密規定和開會，應當落實在人的思想上，因為只有人的思想決定他的行為，是他對網絡安全保密問題的認識。認識不到位，具體到工作上自然就“卡殼”，這也是一些單位安全保密意識淡薄，規章制度不落實，技術防范措施流于形式的主要原因。因此，對于信息安全的防控，除了要從硬件上進行把控，比如建立健全安全保密制度、應急處理機制，還應從人的管理上下功夫，要認識到不是把保密制度掛在墻壁上，或者開開保密會就可以把安全保密工作做好，網絡是開放的，思想是開放的，但不是沒有界限的，要對從事網絡安全的人員進行深度的宣貫和思想教育，嚴把思想觀，鑄牢網絡安全的防線，保證在任何時候都緊繃網絡安全這根弦，發揮人在網絡安全管理方面的主觀能動性，在構建的安全管理機制中凸顯人的基石作用，加強考核和監督監管機制建設，實行網絡安全問題一查到底模式，追根溯源，全方位保證網絡安全不出問題。

2注重網絡空間安全人才梯隊建設和技術創新

隨著網絡信息安全對國家安全影響的日益加劇，作為全球互聯網用戶最多的國家，應該做好籌建網絡信息專門組織的準備，其主要任務，一是機密資料的防竊取;二是進行輿論戰;三是直接的網絡對抗。要實現這一目標，人才梯隊建設至關重要。人才是信息化產生和發展之本，也是信息戰和信息安全之本。除了要培養信息網絡安全專家外，還要培養信息安全的法律和管理專家。要在高層次上開展網絡攻擊技術研究，以確保我國在未來信息戰中處于主動地位。網絡安全技術平臺在網絡安全問題上發揮基礎作用，可以試想一個有著致命網絡安全漏洞的系統再怎么補救也無濟于事，會造成無可挽回的損失。因此，應該大力加強網絡安全平臺的設計研發工作，充分發揮網絡信息安全技術人才的主觀能動性，投入資金和力量，完善和健全網絡安全平臺，以技術為保障，人才為核心，安全為牽引，把握信息安全的主動權，在信息安全核心問題上下功夫，加大自主知識產權技術的研發，形成我們自主品牌的技術和產品，擺脫發達國家信息技術制約的瓶頸，力爭在信息加密、信息安全測評等領域的理論和技術突破，實現安全路由器、防火墻、加密系統的國產化進程，確保硬件過關。

3制定網絡空間安全戰略目標，搞好規劃及預測

信息安全戰略目標是指一個國家在某一個時期內，在信息安全領域所需達到的目的、標準和水平。信息安全的戰略目標既不能過高，又不能過低，應該是積極可靠的，通過努力可以達到的。只有網絡信息安全作為國家安全戰略的一部分，把網絡基礎設施列為戰略資產，實施保護才能真正地將信息安全戰略建設落到實處。應該增強對國家信息基礎設施和重點信息資源的安全保障能力建設，開發可以保護國家主要機關設施的網絡信息安全體系，逐漸在制度上和技術上完善網絡信息安全戰略，有效應對網絡信息安全帶來的威脅和挑戰。對于網絡安全問題，頂層規劃是重點，如果頂層設計有缺陷漏洞，那么接下來無論投入再多，技術再先進也是徒勞。所以我們應做到:一是確保網絡的用戶密碼都具有極強的健壯性，要對進入網絡的管理員進行分級分類;二是要構建應急事故反應和處理機制，確保一旦有安全事故發生能將損失降至最低;三是確保網絡安全平臺的硬件和軟件均處于受控狀態，注重穩健性設計;四是保證信息傳輸的安全，預防機密信息的泄密。隨著美國“斯諾登事件”的持續發酵，網絡安全泄密問題已經成為每個國家的新的威脅，傳統的安全防護技術已經無法滿足新型信息泄密，我們必須有一體聯防的思想，摒棄傳統事后修補的做法，要系統分析網絡安全的漏洞和可能存在的威脅，不但要深入研究防護技術，更要深入研究攻擊技術及破解方法，只有這樣，才能有效根治網絡安全問題，變被動補牢為主動作為。

4構建全面網絡空間安全監測系統

全面的網絡空間安全檢測系統可以包含惡意病毒侵襲、檢測和監控及處理功能，這些功能分別實現如下意圖:惡意病毒侵襲。現代病毒的攻擊性、傳播速度和途徑都是傳統病毒無法比擬的，它可以通過用戶任何無意識操作或習慣進行傳播，比如瀏覽文件等，一旦中毒，往往很難消除，這就需要網絡具有實時監控、攔截騷擾、主動防御等方面的功能。入侵檢測。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。作為一種動態防御工具，其可以很好地作為防火墻等靜態被動防御工具的補充，共同維護網絡系統安全?，F在比較常用的360、瑞星等國產殺毒軟件都具有入侵檢測功能，可以主動消除病毒帶來的襲擾。網絡漏洞檢測。俗話說，“明槍易躲，暗箭難防”。除了網絡自身存在的天然缺陷，比如網絡自身方面的因素包括:通信線路遭到竊聽;通信協議、操作系統平臺本身存在的漏洞;“黑客”借助軟件“后門”入侵電腦。還包括人物方面存在的非技術方面的因素，如系統安全配置不當、用戶操作失誤、執行保密規定不嚴格等。只有通過嚴格網絡管理規范和安全制度，杜絕人為差錯的存在，通過網絡安全技術來使這種“不可避免”的網絡安全漏洞變為真正的安全鑰匙。

5形成“一攬子”網絡空間安全決策方案

要發揮網絡加密技術在網絡安全領域的主體主導地位，其中包括防火墻技術、數據加密技術，以及網絡協議、口令、身份認證和授權等。傳統的設置防火墻技術已經很難適應大規模“黑客”頻繁攻擊的需要，被認為是一種被動技術，要大力尋求主動防御的技術，諸如加密技術，這種技術在現今被證明為一種無可替代的主動防御技術，它是一種可以將信息通過隱藏的方式和技術發送給客戶的技術，其加密途徑可以是隱藏，也可以是加上水印，比如我軍現行的各級部門電腦中都加有水印系統，這種技術有效防止了機密文件被竊取的風險，還可以對所有處理的公文進行監控，一旦出現問題可以通過查詢該系統立刻追根溯源，找到問題的根源。我們還需要通過電子屏蔽的手段來保護我們的機密信息，在重要場合進行電子屏蔽，防止電子輻射竊密。

參考文獻:

［1］［美］SingerP.W.，［美］FriedmanA.．網絡安全:輸不起的互聯網戰爭［M］．北京:電子工業出版社，2015.

［2］郭宏生.網絡空間安全戰略［M］．北京:航空工業出版社，2016.

篇10

隨著中國國際航空股份有限公司(以下簡稱“國航”)信息系統建設的飛速發展，在2008年北京奧運會的安全保障工作中，安全不再只是空防安全和飛行安全，信息安全也已經成為奧運安保的重要環節，并被納入國航及信息管理部的年度重點工作之中。

在此背景下，國航與IBM公司合作啟動了信息安全規劃咨詢項目，它旨在為國航信息安全體系建設打下堅實的理論基礎。同時，國航也通過該項目完成了未來3～5年信息安全建設的發展規劃，建立了信息安全管理體系，并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認證，使國航成為國內民航業第一家獲得IS027001國際認證的單位。

與飛行安全一樣重要

由于信息化建設已經深入到國航業務的各個角落，所以，幾乎所有業務都與信息技術相關，特別是涉及到客戶信任度的商務及財務方面更是如此。因此，在國航未來的發展戰略中，信息安全已經占據了越來越重要的位置。現在，公司上下已經形成一個共識：打造信息安全管理體系這張保護網，就像確保飛行安全一樣重要。

基于這樣一個共識，我們從國航的業務愿景出發，引導出了國航的信息安全愿景，即國航需要建立起一個成熟的、具備國際水平的信息安全保障體系，這個保障體系第一要保證國航的核心業務不中斷，第二要保障國航信息系統不被攻擊，第三要保障重要的客戶信息不被泄漏，通過一個全方位的安全保障體系為國航的業務愿景保駕護航。

雖然現在已獲得了ISO27001國際認證，但國航的信息安全建設經歷了一個漫長的過程，大致可以分為四個階段：

第一個階段是在2006年以前，當時信息系統對于國航的支撐力度相對有限，同時從整個業界來看，的安全威脅還不是很明顯，所以，信息安全建設的特點是以零星建設和被動建設為主。

第二個階段是2007～2008年，隨著國航核心系統逐步投入運行，以及北京奧運會的臨近，的安全風險不斷增加，這是，國航開始針對性地對重點領域搭建技術防護措施。

第三個階段是從2008年開始，隨著國航對自身信息安全認識的不斷深入，國航按照Is02700 L的標準，建立起了信息安全的管理體系。同時，還啟動了全面的信息系統戰略規劃，根據國際最佳實踐并結合國航的特色，制定了未來3～5年信息安全技術平臺建設的藍圖和路徑。自此，國航整個信息安全建設有了一個更加科學和更加明細的路線圖。

搭建“安全翹翹板”

整體而言，國航的信息安全體系主要是以IT基礎架構和安全技術架構為基礎，通過信息安全組織與人員對業務邏輯的準確理解和制度流程的有效執行，實現完整的信息安全管理過程。

應該說，信息安全體系是一個非常復雜的體系。業界有個說法叫“安全翹翹板”，這個翹翹板主要是在IT基礎結構的基礎上，包括三方面內容：一是技術平臺，二是組織和人員，三是制度和流程，通過這三方面的有效執行，從而構成信息安全體系。另外，還要加上安全的管理架構和技術架構，最后和業務邏輯結合起來，這樣才能構成一個完整的信息安全體系。

目前，依據ISO27001標準，國航建立了包含三個一級方針，三十一個二級規章的信息安全管理策略體系。通過信息安全管理策略體系的建立、北京奧運會期間的整改措施以及1S02700I外審督促，國航的管理體系評測水平不斷提升，其中體系評價范圍從運行維護中心到全信息管理部，IS027001中要求的十一個領域都有大幅提高。

在技術平臺建設方面，國航針對一些緊迫性問題做了針對性的部署。比如網絡安全架構不清晰、來自互聯網的威脅日益增加、防護能力偏弱、用戶行為控制存在漏洞、系統服務器安全性不足等問題，國航不但劃分了安全領域，還部署了防DOS攻擊、入侵檢測、入侵防御等設備，另外，在重點用戶單位引入終端安全管理，利用弱點掃描工具發現系統漏洞等技術措施，配合各項管理措施，很好地完成了北京奧運信息安全保障工作。

在信息安全管理體系建立過程中，國航還特別成立了公司級的信息安全管理委員會，落實了信息安全管控中心職能，借鑒國際最佳實踐的功能劃分，采用兩級管控機制，在對組織機構不做大調整的情況下落實了安全管理責任。

國航ISO27001信息安全管理體系策略文件于2008年底正式，并組織了近200人次的信息安全培訓，采用自評結合復核為主的審查方式定期對體系文件的貫徹和執行情況進行了解。通過內部認證培訓，培養了專兼職質量安全員34人，以承擔未來各部門的安全內審職責。

納入安全運行標準體系

正如國航副總裁賀利所說，通過ISO27001國際認證，并不代表國航的信息安全工作已經做到位，而是意味著信息安全工作開始起步，后面需要完善的工作還有很多。

因此接下來，國航首先將不斷對現有管理體系的操作細則進行完善，進一步細化信息安全管理域成熟等級評價機制，在IBM公司提出的四級評價基礎上，針對國航實際情況再進行細分，持續強化規章的定期評審機制，同時要求所有部分在編寫自身業務指導書時落實信息安全規章。

另外，信息管理郝還將和國航相關部門一起建立基于崗位信息資源的管控機制。以后國航每一個崗位上的工作人員，可以訪問什么樣的內容，能夠訪問多大的資源，都和崗位密切結合起來，這樣就能使信息安全的控制預先做好相應的防控。

在技術平臺方面，國航將依照既定的信息安全建設規劃，在未來三年內，分步在用戶身份與信任憑證管理、訪問控制、信息流控制、完整性保護、安全監控與審計五大安全服務領域增加功能組件，建立起符合國航的、完整的信息安全技術平臺。