公務(wù)員期刊網(wǎng) 精選范文 信息安全戰(zhàn)略范文

信息安全戰(zhàn)略精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全戰(zhàn)略主題范文,僅供參考,歡迎閱讀并收藏。

信息安全戰(zhàn)略

第1篇:信息安全戰(zhàn)略范文

【 關(guān)鍵詞 】 信息安全架構(gòu);企業(yè)戰(zhàn)略;信息安全服務(wù); 信息安全價值; 一致性;可追溯性

【 文獻(xiàn)標(biāo)識碼 】 A 【 中圖分類號 】 TP393.08

1 引言

信息安全技術(shù)和管理經(jīng)過不斷的發(fā)展和改善,已經(jīng)能夠比較有效地解決一些傳統(tǒng)信息安全問題,如信息安全風(fēng)險管理、訪問控制,脆弱性管理、加密解密和災(zāi)難恢復(fù)等。隨著信息越來越成為組織的核心資產(chǎn),保護(hù)信息的安全已不再只是局限于技術(shù)和日常管理層面的討論,信息的安全越來越關(guān)系到組織自身發(fā)展的安全。一次重大的信息泄露事故就能使企業(yè)的市值一落千丈。同時,一套合理的訪問控制解決方案能夠幫助企業(yè)快速推出核心產(chǎn)品(尤其是電子商務(wù))和兼并其他企業(yè)。當(dāng)前信息安全發(fā)展呈現(xiàn)出新的趨勢和要求:(1)信息安全部門逐漸從成本中心轉(zhuǎn)向價值中心,信息安全的各項活動越來越和企業(yè)戰(zhàn)略緊密相連;(2)企業(yè)內(nèi)部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務(wù)來支持業(yè)務(wù)的運(yùn)行。

企業(yè)的信息安全部門在不斷增強(qiáng)其核心影響力的同時,也承擔(dān)著隨之而來的更多責(zé)任和挑戰(zhàn)。其一是如何將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃,將信息安全融入到組織的業(yè)務(wù)流程中,并且保持信息安全控制措施與企業(yè)戰(zhàn)略的一致性和可追溯性;其二是如何使信息安全的價值得到認(rèn)可并在組織內(nèi)部最大化;其三是如何滿足企業(yè)內(nèi)部各部門有計劃或無計劃的信息安全服務(wù)需求;其四是如何確保以一種系統(tǒng)主動和集中統(tǒng)一的方式來管理業(yè)務(wù)和遵從性需求,并實現(xiàn)清晰的測量和不斷的改進(jìn)。

當(dāng)前各企業(yè)廣泛采用的標(biāo)準(zhǔn)或最佳實踐有幾種:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。這些標(biāo)準(zhǔn)各有優(yōu)點,但也有明顯的缺憾,如表1所示(缺憾部分用X表示)。

設(shè)計本信息安全架構(gòu)旨在解決上述問題并建立一種高效機(jī)制達(dá)到如下目標(biāo)。

* 將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃,確保信息安全的可追溯性、持續(xù)一致性和簡潔性,以降低成本、減少重復(fù)和提高效率。將信息安全融入到組織的業(yè)務(wù)流程中,建立一致性和可追溯性;建立清晰的信息安全架構(gòu)和愿景,以減少重復(fù)和指導(dǎo)信息安全投入和解決方案的實施。

* 基于客戶服務(wù)理念,信息安全服務(wù)價值得到認(rèn)可,信息安全靠攏業(yè)務(wù)部門,為信息安全管理和業(yè)務(wù)管理建立共同語言。

* 全面管理信息安全,滿足目前絕大多數(shù)法律法規(guī)、標(biāo)準(zhǔn)的最佳實際的要求,并具有靈活的可擴(kuò)展性,當(dāng)新需求出現(xiàn)后能夠?qū)⑵淦交娜谌氲浆F(xiàn)有架構(gòu)中。

* 系統(tǒng)和集中統(tǒng)一的方式,使信息安全管理可預(yù)測和可測量,并不斷的改進(jìn)。

2 信息安全架構(gòu)設(shè)計

2.1 信息安全架構(gòu)設(shè)計所基于的原則

本信息安全架構(gòu)的設(shè)計遵循四大原則。

1) 業(yè)務(wù)驅(qū)動:所有的信息安全目標(biāo)應(yīng)該從業(yè)務(wù)需求中來,從而保證信息安全管理總是做“正確的事”。

2) 整合、統(tǒng)一的架構(gòu):現(xiàn)在有數(shù)以十計的信息安全相關(guān)的法律法規(guī),標(biāo)準(zhǔn)和最佳實踐需要去符合或參考,且其各有不同的要求側(cè)重點和優(yōu)缺點。因此很有必要將所有相關(guān)的信息安全關(guān)注點整合到一個統(tǒng)一的架構(gòu)中,以保證所有要求都被滿足,同時避免不要的重復(fù)。例如,ISO27001關(guān)注全面安全控制和風(fēng)險管理,PCIDSS側(cè)重支付卡環(huán)境中技術(shù)控制和策略管理等。

3) 系統(tǒng)化思維:運(yùn)用系統(tǒng)化思維可以幫助組織解決復(fù)雜且動態(tài)的問題,適應(yīng)運(yùn)營中的各種變化,減輕戰(zhàn)略上的不確定性和外部因素的影響。例如,需要整合機(jī)構(gòu)、人員、技術(shù)和流程;需要考慮安全、成本和易用性的權(quán)衡;需要靠持續(xù)改進(jìn)(Plan-Do-Check-Act);需要考慮全面防護(hù)和縱深防護(hù)。

4) 易用性:信息安全架構(gòu)的最大價值在于被理解和廣泛應(yīng)用于組織的實踐當(dāng)中。因此,信息安全架構(gòu)必須易于理解并且實際可操作性要強(qiáng),應(yīng)避免太過復(fù)雜和晦澀。

2.2 信息安全架構(gòu)實現(xiàn)

2.2.1 信息安全架構(gòu)-域試圖

基于上面的基本原則,本信息安全架構(gòu)由三個域組成(如圖1所示):治理(Governance)、保障(Assurance)和服務(wù)(Services)。

治理(Governance): 信息安全治理域強(qiáng)調(diào)戰(zhàn)略一致性,風(fēng)險管理,資源管理和有效性測量。治理域又包括三個子域:愿景與戰(zhàn)略、風(fēng)險與遵從性管理和測量。各子域主要功能如下所述。

* 愿景與戰(zhàn)略: 將遵從性要求,信息安全的發(fā)展趨勢,行業(yè)發(fā)展趨勢和業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為信息安全愿景、戰(zhàn)略和路線圖。

* 風(fēng)險與遵從性管理: 管理信息安全風(fēng)險使信息安全風(fēng)險控制在組織可接受的范圍內(nèi)。

* 測量: 監(jiān)控和測量整體信息安全的有效性并持續(xù)提升信息安全對組織的價值。

保障: 保障域側(cè)重于信息安全的全面與縱深防護(hù)措施。保障域包含預(yù)防、監(jiān)測、響應(yīng)和恢復(fù)四個部分。各部分主要功能如下所述。同時保護(hù)的對象為不同層面的信息資產(chǎn):數(shù)據(jù)層、應(yīng)用層、IT基礎(chǔ)設(shè)施層和物理層。

* 預(yù)防: 實施信息安全控制措施包括管理措施和技術(shù)措施,防止信息安全威脅損害組織的信息安全控態(tài)。

* 監(jiān)測: 部署信息安全監(jiān)測能力監(jiān)控正在發(fā)生或已經(jīng)發(fā)生的信息安全事態(tài)。

* 響應(yīng):部署信息安全響應(yīng)體系迅速、高效的抑制信息安全事件。

* 恢復(fù): 建立組織的可持續(xù)性能力,但重要信息系統(tǒng)不可用時,可以在計劃的時間內(nèi)恢復(fù)。

服務(wù): 服務(wù)域顯示了面向客戶(內(nèi)部和外部),協(xié)作與知識更新對信息安全實踐非常重要。服務(wù)域包含三個部分:信息安全服務(wù)、知識管理、意識與文化。各部分主要功能如下所述。

* 信息安全服務(wù): 信息安全團(tuán)隊?wèi)?yīng)對待組織內(nèi)部其他部門和對外部客戶一樣,基于服務(wù)基本協(xié)議,提供高質(zhì)量的信息安全服務(wù)。

* 知識管理: 知識是信息安全實踐和服務(wù)的基石。信息安全知識管理包括獲取、維護(hù)和利用知識去獲取最大的信息安全專業(yè)價值。信息安全知識應(yīng)不僅在信息安全團(tuán)隊內(nèi)部而且在整個組織被共享。

* 意識與文化: 信息安全意識與文化在組織內(nèi)部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全,關(guān)心信息安全、在日常工作中關(guān)注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風(fēng)險至關(guān)重要。

2.2.2 信息安全架構(gòu)-組件試圖

為支撐信息安全架構(gòu)的三個域,本信息安全架構(gòu)組件融合了不同標(biāo)準(zhǔn)和最佳實踐的精華部分,并自成一體,如圖2所示。本架構(gòu)參考的標(biāo)準(zhǔn)主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構(gòu)在企業(yè)內(nèi)實際應(yīng)用效果分析

本信息安全架構(gòu)已被推廣和應(yīng)用到各個行業(yè)中,如保險業(yè)、銀行業(yè)、教育和非盈利性機(jī)構(gòu)等。本文選取一個保險企業(yè)的案例來說明本信息安全架構(gòu)給企業(yè)帶來的積極變化。

背景:此保險公司有3000名員工,計劃在加拿大多倫多(Toronto)上市,因此需要符合加拿大和行業(yè)的一些法律法規(guī)的要求,如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標(biāo)準(zhǔn),如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構(gòu)的特點就是融合各法規(guī)、標(biāo)準(zhǔn)和最佳實踐的要求,因此不需要做任何大的改動的情況下(降低成本)就能應(yīng)用到此保險公司中。

經(jīng)過9個月的實際運(yùn)行,公司進(jìn)行了各項測量指標(biāo)重新評估并與實施本信息安全架構(gòu)前的指標(biāo)進(jìn)行了對比分析。

3.1 平衡計分卡(Balanced Scorecard)[10]測評分析

平衡計分卡是衡量信息安全對企業(yè)貢獻(xiàn)價值的一種分析工具。平衡計分卡包括四個測量項目:對企業(yè)的貢獻(xiàn),對愿景的規(guī)劃,內(nèi)部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構(gòu)前后分別進(jìn)行了兩次測評。測評方法是由公司高級管理人員和各部門經(jīng)理對信息安全部門進(jìn)行評估,0級表示無成績,5級表示完美,然后取平均值。2011年7月評估結(jié)果顯示“企業(yè)貢獻(xiàn)”為2.2,“愿景規(guī)劃”為2.5,“內(nèi)部流程”為2.8,“面向客戶”為2.1;2012年7月評估結(jié)果顯示“企業(yè)貢獻(xiàn)”為4.1,“愿景規(guī)劃”為3.9,“內(nèi)部流程”為3.8,“面向客戶”為4.1。如圖3所示。測評結(jié)果表明實施本信息安全架構(gòu)后企業(yè)高層及各部門對信息安全給企業(yè)帶來的價值的認(rèn)可度有較為明顯提升。

3.2 總體信息安全成熟度級別分析

本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級,5級是最高級。該保險公司在實施本信息安全架構(gòu)前后分別進(jìn)行了兩次自評估。2011年10月實施本信息安全架構(gòu)前成熟度水平是介于2.0-3.0之間, 2012年10月實施本信息安全架構(gòu)后成熟度水平是介于3.0-4.5之間,如圖4所示。成熟度級別分析結(jié)果表明實施本信息安全架構(gòu)后整體成熟度有較為明顯提升。

3.3 獨立審核發(fā)現(xiàn)點數(shù)量分析

第三方機(jī)構(gòu)獨立審核是從專業(yè)、客觀的角度來衡量整體信息安全控制措施,包括管理、技術(shù)和流程。審核發(fā)現(xiàn)點的數(shù)量越多,表明脆弱點越多,存在的風(fēng)險越大。該保險公司在實施本信息安全架構(gòu)前后分別邀請用一個第三方審核機(jī)構(gòu)對其進(jìn)行了全面審核與評估(依據(jù)上市公司的管控要求)。2011年9月審核結(jié)果顯示有4個高風(fēng)險項,8個中風(fēng)險項和13個第風(fēng)險項;2012年9月審核結(jié)果顯示無高風(fēng)險項,且只有2個中風(fēng)險項和4個第風(fēng)險項。如圖5所示。審核結(jié)果表明實施本信息安全架構(gòu)后整體風(fēng)險水平有較為明顯降低。

3.4 信息安全事件發(fā)生數(shù)量分析

信息安全事件(特別是1級與2級事件)發(fā)生的數(shù)量標(biāo)志著信息安全控制措施的全面性和有效性。信息安全事件數(shù)量越少,表明整體控制措施越有效。該保險公司統(tǒng)計了實施本信息安全架構(gòu)前后發(fā)生的信息安全事件數(shù)量。2011年1月-10月期間有4個一級安全事件(重大),12個二級安全事件(嚴(yán)重),25個三級安全事件和40個四級安全事件;2012年1月-10月期間有1個一級安全事件(重大),2個二級安全事件(嚴(yán)重),10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數(shù)量分析結(jié)果表明實施本信息安全架構(gòu)后安全控制措施的全面性和有效性有較為明顯增強(qiáng)。

3.5 魚叉式網(wǎng)絡(luò)釣魚模擬攻擊測試結(jié)果分析

模擬釣魚攻擊測試是對企業(yè)員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊(點擊鏈接)的人數(shù)越少,表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺,在實施本信息安全架構(gòu)前后分別選取了5個分支機(jī)構(gòu)(共200人)進(jìn)行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網(wǎng)絡(luò)域名,然后偽造一份看似從信息安全管理員發(fā)出的E-mail,此E-mail的大致內(nèi)容是說該保險公司于近期對相關(guān)系統(tǒng)進(jìn)行了升級,將會影響到原有的帳戶和密碼,要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網(wǎng)頁。

2011年5月測試結(jié)果顯示有47%的員工點擊了有害鏈接,點擊有害鏈接的員工中有18%的人輸入了密碼,點擊有害鏈接的員工中有68%的人完成了在線培訓(xùn)內(nèi)容;2012年5月測試結(jié)果顯示有14%的員工點擊了有害鏈接,點擊有害鏈接的員工中有3%的人輸入了密碼,點擊有害鏈接的員工中有98%的人完成了在線培訓(xùn)內(nèi)容。如圖7所示。模擬攻擊測試分析結(jié)果表明實施本信息安全架構(gòu)后該保險公司員工整體信息安全意識水平有較為明顯進(jìn)步。

3.6 信息安全服務(wù)客戶滿意度調(diào)查結(jié)果分析

客戶滿意度調(diào)查是從被服務(wù)客戶的角度來衡量信息安全團(tuán)隊的服務(wù)能力,以及給公司帶來的實際價值。滿意度百分比值越高,表明信息安全團(tuán)隊的能力和服務(wù)價值越被認(rèn)可。該保險公司在實施本信息安全架構(gòu)前后分別對精算部、個人保險部、商業(yè)保險部、索償部、渠道與銷售部做了信息安全服務(wù)滿意度調(diào)查。

2011年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為72%,對服務(wù)請求響應(yīng)速度的滿意度為46%,對服務(wù)態(tài)度的滿意度為67%,整體滿意度為60%;2012年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為95%,對服務(wù)請求響應(yīng)速度的滿意度為85%,對服務(wù)態(tài)度的滿意度為92%,整體滿意度為88%;如圖7所示。客戶滿意度分析結(jié)果表明實施本信息安全架構(gòu)后企業(yè)各部門對信息安全服務(wù)價值的認(rèn)可度有較為明顯提升。

4 結(jié)束語

現(xiàn)階段信息安全管理著重在信息安全的風(fēng)險控制,隨著信息安全管理角色的轉(zhuǎn)變,信息安全需要跟多的與組織戰(zhàn)略結(jié)合,為組織創(chuàng)造更多的價值,并通過提供信息安全服務(wù)使組織內(nèi)部各部門享受到信息安全給組織帶來的價值并認(rèn)可這些價值。當(dāng)前被廣泛采用的一些標(biāo)準(zhǔn)和最佳實踐有其優(yōu)點,但同時無法滿足一些新的挑戰(zhàn)。目前缺乏一種高效可執(zhí)行的信息安全架構(gòu)來將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃、基于客戶服務(wù)理念使信息安全服務(wù)價值最大化以及全面系統(tǒng)化管理信息安全。本文針對上述問題提出的一種面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)。通過將本信息安全架構(gòu)應(yīng)用到實際的企業(yè)中,驗證了本信息安全架構(gòu)能夠為企業(yè)提供更多的價值、增強(qiáng)客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。

參考文獻(xiàn)

[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.

[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.

[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.

[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡介:

第2篇:信息安全戰(zhàn)略范文

1PHP網(wǎng)站設(shè)計中信息安全存在的問題

目前,在對PHP網(wǎng)站進(jìn)行編碼的過程中,存在程序員信息安全意識不高,沒有對用戶所輸入的信息進(jìn)行安全驗證等現(xiàn)象。因此,會間接導(dǎo)致計算機(jī)內(nèi)部的安全操作系統(tǒng)被不法分子所利用,使得一些錯誤、有害的指令也會被當(dāng)作正確的合法指令來運(yùn)行,進(jìn)而導(dǎo)致網(wǎng)站的信息會發(fā)生泄露,從而侵犯了用戶的隱私,給用戶的信息安全帶來不利影響。

1.1有sql的注入

從廣泛的意義上講,網(wǎng)站的程序設(shè)計員需要在編寫網(wǎng)站代碼的過程中對用戶輸入數(shù)據(jù)的合法性進(jìn)行分析與判斷,進(jìn)而防止網(wǎng)站信息泄露[1]。如果網(wǎng)站的程序設(shè)計員在編寫網(wǎng)站代碼的過程中忽視了這項操作,用戶就可以通過提交數(shù)據(jù)庫查詢代碼的方式來根據(jù)程序返回的結(jié)果獲取相關(guān)數(shù)據(jù)信息,這就是注入sql。注入sql容易導(dǎo)致網(wǎng)站用戶的信息發(fā)生泄露,所以相關(guān)網(wǎng)站的程序設(shè)計員要對用戶所輸入的數(shù)據(jù)進(jìn)行合法性的判斷與分析,進(jìn)而提高網(wǎng)站的信息安全。

1.2會發(fā)生or1=1及union語句的入侵現(xiàn)象

注入or1=1主要是可以在登錄某個網(wǎng)站系統(tǒng)時,繞過相應(yīng)的密碼驗證,進(jìn)而利用一個任意的用戶名來登入系統(tǒng),從而達(dá)到入侵系統(tǒng)的目的。這是一種在網(wǎng)絡(luò)中運(yùn)用較為廣泛的語句注入模式。這種注入模式主要是利用了程序員在編寫驗證代碼時,沒有對用戶輸入信息中是否含有非預(yù)期的字符進(jìn)行判斷,直接將用戶的操作請求傳達(dá)給計算機(jī)函數(shù)來執(zhí)行。這種注入語句的方式使得密碼驗證變得可有可無,不法分子可以直接繞過密碼驗證來入侵系統(tǒng),進(jìn)而輕而易舉地獲取到相關(guān)用戶的信息[2]。與or1=1語句注入所不同的是,union語句可以通過自身的特殊性來使程序的默認(rèn)語句出錯。并通過計算機(jī)程序執(zhí)行union后,通過自己構(gòu)建的sql語句來達(dá)到注入語句的目的,進(jìn)而入侵到內(nèi)部程序中。

1.3存在xss跨站攻擊

xss是一種較為常見的網(wǎng)站攻擊方式,它的工作原理跟sql相差不大,只是xss主要是通過JavaScript的腳本注入到html標(biāo)簽中,進(jìn)而將惡意內(nèi)容輸入網(wǎng)頁輸入框中。當(dāng)這些惡意內(nèi)容重新回讀到網(wǎng)站的客戶端時,網(wǎng)站瀏覽器會自動運(yùn)行這些惡意腳本,進(jìn)而通過影響網(wǎng)頁的正常顯示來達(dá)到注入腳本的目的。通過代碼植入網(wǎng)頁的方式來利用xss漏洞控制計算機(jī)操作系統(tǒng),進(jìn)而黑客利用安全漏洞來編寫惡意程序,從而破壞計算機(jī)操作系統(tǒng)的穩(wěn)定性。黑客利用xss來攻擊頁面,使得計算機(jī)用戶在瀏覽網(wǎng)站時會自動彈出一些窗口。黑客就是利用這些窗口來給網(wǎng)頁掛上相應(yīng)的木馬病毒,進(jìn)而讓網(wǎng)站用戶的計算機(jī)系統(tǒng)感染病毒,以此來獲取相關(guān)用戶的信息。

2對PHP網(wǎng)站設(shè)計中的信息安全進(jìn)行防御的具體措施

2.1使安全防御措施對用戶公開、透明

在保護(hù)網(wǎng)站的信息安全時,要讓安全防御措施對用戶公開、透明。讓用戶不能直接跳過信息安全保護(hù)驗證,進(jìn)而讓計算機(jī)網(wǎng)站運(yùn)行操作更為安全。最直接的方法就是在用戶進(jìn)入網(wǎng)站系統(tǒng)之前,首先要輸入相應(yīng)的用戶名及密碼,進(jìn)而達(dá)到保護(hù)網(wǎng)站信息安全的目的。

2.2跟蹤數(shù)據(jù)運(yùn)行流程

任何一個合格的網(wǎng)站程序員都會對用戶的數(shù)據(jù)進(jìn)行隨時跟蹤,通過掌握信息動向來防止發(fā)生信息泄露的問題。對數(shù)據(jù)信息進(jìn)行跟蹤是一種難度較高的信息監(jiān)測方法,特別是在一些程序開發(fā)者不能熟悉該原理的情況下,會無法深入理解web的運(yùn)作原理,進(jìn)而在程序開發(fā)過程中出現(xiàn)失誤,并產(chǎn)生一定的安全漏洞。

2.3篩選輸入信息

對用戶所輸入的信息進(jìn)行必要的篩選是保證網(wǎng)站信息安全的必要手段,也是對輸入的驗證信息進(jìn)行合法化的過程。相關(guān)網(wǎng)站工作者通過對用戶所輸入的信息進(jìn)行確認(rèn)并篩選,這種方法可以避免一些網(wǎng)站病毒在未知的情況下被誤用。

2.4防止注入sql

在目前來講,網(wǎng)絡(luò)的系統(tǒng)注入方式較為豐富,但在注入方面都存在一個共同點,就是利用程序缺乏必要的過濾手段這個缺點,以此來達(dá)到非法獲取用戶信息的目的。所以,要防止非法語句的注入,就要對查詢語句進(jìn)行必要的篩選及過濾。通常意義上,是利用計算機(jī)運(yùn)行程序里的函數(shù)通過正規(guī)的表達(dá)式來進(jìn)行常用語句的匹配,并對相應(yīng)的語句進(jìn)行必要的篩選及過濾。所以,只要利用了過濾函數(shù),就可以在較大程度上避免出現(xiàn)利用注入語句的方式來入侵網(wǎng)站的現(xiàn)象,從而達(dá)到保護(hù)網(wǎng)站用戶信息安全的目的。

3結(jié)語

第3篇:信息安全戰(zhàn)略范文

【關(guān)鍵詞】大數(shù)據(jù);信息發(fā)展;國家信息安全;戰(zhàn)略對策

2013年在上海召開的“中國信息化百人大會”上,有專家提出“大數(shù)據(jù)時代”已經(jīng)來臨。我們每天在微博、朋友圈等社交網(wǎng)絡(luò)每天更新照片信息,在搜索引擎上處理大量數(shù)據(jù),使用中國移動、聯(lián)通、電信等通信運(yùn)營商上發(fā)送短信息等,隨著信息化不斷發(fā)展,我們進(jìn)入了一個不折不扣的“大數(shù)據(jù)時代”。大數(shù)據(jù)在帶給人們方便快捷的同時,也給國家信息安全帶來了前所未有的挑戰(zhàn)和風(fēng)險。文章針對大數(shù)據(jù)給國家信息安全帶來的挑戰(zhàn),探討國家戰(zhàn)略層面的調(diào)整。

一、國家信息安全角度的大數(shù)據(jù)

大數(shù)據(jù)是指所涉及的資料量規(guī)模巨大到無法透過目前主流軟件工具,在合理時間內(nèi)達(dá)到獲取、管理、處理并整理成為幫助組織經(jīng)營決策的資訊。這些數(shù)據(jù)絕大多數(shù)是“非結(jié)構(gòu)化數(shù)據(jù)”,包括人們在互聯(lián)網(wǎng)上的信息,數(shù)碼傳感器測量和傳遞的有關(guān)位置、運(yùn)動乃至空氣中化學(xué)物質(zhì)變化的數(shù)據(jù)信息等。這些數(shù)據(jù)與傳統(tǒng)數(shù)據(jù)庫不同,但隨著人工智能技術(shù)的發(fā)展,將這些包羅萬象,意義深遠(yuǎn)的數(shù)據(jù)進(jìn)行專業(yè)化“加工”后,便會實現(xiàn)數(shù)據(jù)的“增值”。

大數(shù)據(jù)具有容量巨大、種類繁多、處理速度快、價值密度低等特征,大型數(shù)據(jù)集的容量單位達(dá)PB乃至ZB級別,容量和規(guī)模遠(yuǎn)遠(yuǎn)超過傳統(tǒng)數(shù)據(jù),而且包括不同來源、不同結(jié)構(gòu)、不同媒體形態(tài)的各種數(shù)據(jù),沖破傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)范疇,囊括了半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。由于大數(shù)據(jù)處理量大,往往需要實時處理,也就帶來了快速、持續(xù)的實時分析與處理的要求。大數(shù)據(jù)相對傳統(tǒng)數(shù)據(jù)來說其本身的價值密度較低,可能連續(xù)不斷的幾十分鐘甚至幾日的監(jiān)控過程,有用的數(shù)據(jù)留可能就只是短短的幾秒鐘。大數(shù)據(jù)并不只是人們普遍理解的“冰冰冷冷”的數(shù)值處理,它更多的包含了智能化和“以人為本”的內(nèi)涵,從互聯(lián)網(wǎng)非結(jié)構(gòu)化數(shù)據(jù)的龐大寶藏中“獲取知識和信息數(shù)據(jù)”,最終為人服務(wù),推動決策的制定和價值的形成,推動社會進(jìn)步。大數(shù)據(jù)對未來各行各業(yè)產(chǎn)生深刻的影響,更在全國范圍內(nèi)對政治、經(jīng)濟(jì)、軍事、科技領(lǐng)域帶來深遠(yuǎn)影響。2012年3月29日美國宣布投資2億美元啟動“大數(shù)據(jù)研究和發(fā)展計劃”,把“大數(shù)據(jù)”上升到國家戰(zhàn)略層面。美國政府認(rèn)為,大數(shù)據(jù)是“未來的新石油”,一個國家擁有數(shù)據(jù)的規(guī)模、活性和解釋運(yùn)用能力將成為綜合國力的重要組成部分,未來對數(shù)據(jù)的占有和控制將成為繼海陸空三權(quán)外國家另一核心資產(chǎn),成為各國政府競爭的新熱點。

二、大數(shù)據(jù)對國家信息安全是機(jī)遇與挑戰(zhàn)并存

大數(shù)據(jù)的迅猛發(fā)展,在成為國家綜合國力發(fā)展的競爭新焦點的同時,對國家信息安全也是機(jī)遇與挑戰(zhàn)并存。

大數(shù)據(jù)為國家信息安全的分析提供了新的可能。網(wǎng)絡(luò)攻擊總會留下些蛛絲馬跡,這些痕跡都是以數(shù)據(jù)的形式藏匿于大數(shù)據(jù)當(dāng)中,利用大數(shù)據(jù)技術(shù)整合和處理能更有針對性的應(yīng)對國家信息安全威脅。通過對海量數(shù)據(jù)的處理和預(yù)防性分析,信息安全服務(wù)提供商可以更好的發(fā)覺網(wǎng)絡(luò)異常行為,找出數(shù)據(jù)中的風(fēng)險點,有效的識別釣魚攻擊,阻止黑客入侵,使網(wǎng)絡(luò)攻擊行為無所遁形。

隨著網(wǎng)絡(luò)信息全球化的發(fā)展,大數(shù)據(jù)成為國家賴以正常運(yùn)轉(zhuǎn)的“神經(jīng)樞紐”,交織著民生、能源、金融等網(wǎng)絡(luò),把握著決定國家存亡的“命脈”。然而正是由于大數(shù)據(jù)存在于網(wǎng)絡(luò)空間中,使得它成為更容易被“關(guān)注”到的大目標(biāo),較易收到網(wǎng)絡(luò)攻擊,一些木馬和黑客藏匿于網(wǎng)絡(luò)漏洞中,加大信息泄漏風(fēng)險。像是一些銷售數(shù)據(jù)、身份信息、醫(yī)療記錄、證券交易信息等數(shù)據(jù)在一定程度上涉及個人信息會對國家安全和社會安全產(chǎn)生重大影響,匯集這些信息就可以對國家的經(jīng)濟(jì)、政治、民生、國防進(jìn)行分析,一旦這些大數(shù)據(jù)遭到泄露,對個人乃至國家信息安全都會造成巨大損失。

三、大數(shù)據(jù)時代國家信息安全的戰(zhàn)略調(diào)整

信息安全戰(zhàn)略是國家戰(zhàn)略不可分割的重要組成部分,其重要性不言而喻。面對大數(shù)據(jù)對國家信息安全的挑戰(zhàn)以及對國家信息安全戰(zhàn)略提出的新要求,盡管2012年我國計算機(jī)學(xué)會和通信學(xué)會也各自成立了大數(shù)據(jù)專家委員會,推動大數(shù)據(jù)的安全發(fā)展。但是目前我國尚無專門的大數(shù)據(jù)政策支持,國家信息安全在大數(shù)據(jù)時代仍顯緊迫,亟需國家信息安全戰(zhàn)略的調(diào)整。

一是加大國家信息安全的綜合管理。盡快形成國家信息安全管理的總戰(zhàn)略和方針,加強(qiáng)各部門、行業(yè)的整體協(xié)同管理,改變目前國家信息安全管理“九龍治水”的現(xiàn)狀,聚合各方的資源優(yōu)勢,推進(jìn)數(shù)據(jù)收集、儲存、保留、管理、分析和共享大數(shù)據(jù)的技術(shù)進(jìn)步。從國家層面進(jìn)行統(tǒng)籌,改變現(xiàn)階段群雄爭霸的局面,加強(qiáng)我國數(shù)據(jù)信息安全。

二是加強(qiáng)對軍隊、金融等重點領(lǐng)域敏感數(shù)據(jù)的監(jiān)管。海量數(shù)據(jù)的匯集加大了軍隊等敏感數(shù)據(jù)暴露的可能性。要害信息的泄露對國家信息安全的威脅是極大的,政府機(jī)構(gòu)應(yīng)該明確重點領(lǐng)域大數(shù)據(jù)的范圍,加大軍隊等內(nèi)部機(jī)構(gòu)管理,制定完善的重點領(lǐng)域數(shù)據(jù)庫管理和安全操作制度,加大日常監(jiān)管,尤其是移動設(shè)備的日常安全使用,規(guī)范大數(shù)據(jù)的使用方法和流程。

三是加大技術(shù)研發(fā)和人才培養(yǎng)。大數(shù)據(jù)的外部環(huán)境是不斷發(fā)展、不斷拓展和挖掘的,這對人才和技術(shù)也提出了新的要求。“科學(xué)技術(shù)是第一生產(chǎn)力”,解決大數(shù)據(jù)時代的國家信息安全問題的關(guān)鍵也是技術(shù)的發(fā)展,大力研究基于大數(shù)據(jù)的網(wǎng)絡(luò)攻擊追蹤技術(shù),以及網(wǎng)絡(luò)安全預(yù)防性分析技術(shù),加大對大數(shù)據(jù)安全保障關(guān)鍵技術(shù)研發(fā)的資金投入,培養(yǎng)一批高素質(zhì)、肯創(chuàng)新的人才,提高國家信息安全技術(shù)水平和人才水平。

大數(shù)據(jù)作為“未來的新石油”,是國家發(fā)展的競爭熱點。大數(shù)據(jù)時代給國家信息安全既帶來了機(jī)遇又帶來了挑戰(zhàn)。今天的中國,是一個人口大國、互聯(lián)網(wǎng)大國,更是一個數(shù)據(jù)大國。面對洶涌而來的大數(shù)據(jù)洪流,針對大數(shù)據(jù)時代的基本特征,制定行之有效的國家信息安全戰(zhàn)略成為緊迫而現(xiàn)實的重大問題。這就要求必須要加大國家層面的綜合管理,加強(qiáng)對重點領(lǐng)域的監(jiān)管,加大技術(shù)開發(fā)和人才培養(yǎng)方面的投入,多層次、多方位地維護(hù)國家信息安全。

參考文獻(xiàn)

[1]石海明,王文超,曾華鋒.大數(shù)據(jù):國家信息安全戰(zhàn)略邊疆[J].科技日報,2014-1.

[2]胡洪彬.大數(shù)據(jù)時代國家治理能力建設(shè)的雙重境遇與破解之道[J].社會主義研究,2014,4.

第4篇:信息安全戰(zhàn)略范文

關(guān)鍵詞:治理;信息安全;信息安全制度;策略

一般而言,在底層執(zhí)行中存在的不可調(diào)和的沖突,往往是由于高層設(shè)計中出現(xiàn)了問題。ISO/IEC27014:2013《信息技術(shù)安全技術(shù)信息安全治理》將信息安全治理定義為“指導(dǎo)和控制組織信息安全活動的體系”,并明確地指出“在信息安全方面,治理者的關(guān)鍵聚焦點是確保組織的信息安全方法是有效率的、有效果的、可接受的,與業(yè)務(wù)目的和戰(zhàn)略是一致的,并充分考慮到利益相關(guān)者的期望”[1]。信息安全治理的主要目的有:1)使信息安全目的和戰(zhàn)略與業(yè)務(wù)目的和戰(zhàn)略一致(戰(zhàn)略一致);2)為治理者和利益相關(guān)者帶來價值(價值提供);3)確保信息風(fēng)險得到充分解決(責(zé)任承擔(dān))。李維安等認(rèn)為公司治理的目標(biāo)不但要實現(xiàn)利益相關(guān)者之間相互制衡,而且要實現(xiàn)公司決策的科學(xué)化[2]。對比公司治理的目標(biāo),可見信息安全治理實際就是公司治理在信息安全情境中的細(xì)化。

1關(guān)于信息治理結(jié)構(gòu)

治理結(jié)構(gòu)的設(shè)計是信息安全治理的基本問題之一[3]。在公司治理領(lǐng)域,一般認(rèn)為治理結(jié)構(gòu)包括了董事會及高層管理的相關(guān)設(shè)計,處于組織內(nèi)外的交界處。在信息安全實踐中,治理結(jié)構(gòu)更多地體現(xiàn)為信息安全的分管結(jié)構(gòu)?;趯嵺`觀察,我們按照信息安全與IT之間的關(guān)系,對常見的分管結(jié)構(gòu)進(jìn)行了初步的分析,主要分為3種:治理結(jié)構(gòu)Ⅰ型(分開分管)、治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)和治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)。必須強(qiáng)調(diào)的是,這3種治理結(jié)構(gòu)沒有絕對的好與壞,重點在于治理結(jié)構(gòu)與組織戰(zhàn)略是否匹配。例如,某企業(yè)中,信息安全與信息化的分管領(lǐng)導(dǎo)不是同一個高管,導(dǎo)致的后果必然是信息安全部門公布的所有制度都“從嚴(yán)”,但是如果該企業(yè)的主營業(yè)務(wù)是典型的乙方性質(zhì),那么該企業(yè)在分管結(jié)構(gòu)上與公司戰(zhàn)略是否匹配則有待商榷。

1.1信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)

越來越多的組織試圖將首席信息官(ChiefInformationOfficer,CIO)與首席安全官(ChiefSecurityOfficer,CSO)分離,設(shè)計成與審計類似的架構(gòu)。信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)指的是信息安全與IT分屬不同的高層管理,如圖1所示。圖1信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)這種結(jié)構(gòu)強(qiáng)調(diào)了信息安全的重要性,尤其是對IT部門形成了制約,這是優(yōu)點。但缺點是容易導(dǎo)致?lián)p失便利性考慮。分離之后的信息安全部門往往顯得行動偏激,甚至?xí)蓴_正常業(yè)務(wù)運(yùn)轉(zhuǎn)。一個部門一旦獨立,為了爭取部門權(quán)益或存在合法性,必然最大化利用手中的權(quán)力,這在組織研究領(lǐng)域中已經(jīng)有較為充分的研究。在很多情況下,如果強(qiáng)調(diào)一件事的重要性,建立獨立的組織并招募一批以此為生的員工,為爭取生存,他們自然會最大化地強(qiáng)調(diào)這件事的重要性。更通俗的例子是,城管隊員可能會逐步表現(xiàn)出城市高層管理并不期望的偏激行為,例如,毆打小商小販,這不是管理技巧的討論范疇,而是一個治理層問題,因為在制度的頂層設(shè)計中,城管隊員與小商小販在生存權(quán)問題上存在根本的沖突。幾乎同樣的邏輯也會發(fā)生在信息安全情境中。此外,根據(jù)認(rèn)知失調(diào)理論(CognitiveDissonance),我們得知在個體認(rèn)知層面討論這種沖突亦無濟(jì)于事,因為沖突中的每一方往往都認(rèn)為自己是正義的,否則就不會發(fā)生公開的沖突。個體認(rèn)知只有在匯聚起來的時候,才能夠形成合法性,并由此改變社會結(jié)構(gòu)。如果缺乏足夠的人群,個體認(rèn)知不會改變整體組織架構(gòu),而是呈現(xiàn)了相反的影響路徑。通俗地講,在改變不了自身狀態(tài)的情況下,個體一般會選擇改變認(rèn)知,因為改變認(rèn)知結(jié)構(gòu)比改變社會結(jié)構(gòu)要容易得多。

1.2信息安全治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)

信息安全治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)指信息安全與IT是不同的獨立部門,但是歸屬同一個高管分管。具體如圖2所示。這種結(jié)構(gòu)的缺點很明顯,由于信息安全和IT部門同屬一個分管領(lǐng)導(dǎo),信息安全對信息系統(tǒng)管理的監(jiān)督作用有限,當(dāng)然這種做法的優(yōu)點同治理結(jié)構(gòu)Ⅰ型(分開分管)一樣,也會形成一定的制約,這種制約更多地體現(xiàn)為對其他部門。但是在實踐中,信息安全雖然是廣義的,包括了各種形式存在信息,例如,存在信息系統(tǒng)中的信息,打印在紙上的信息,直至員工大腦中的知識,即便如此,信息系統(tǒng)安全毫無疑問是其中最重要的部分。從這個角度講,治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)并不適合信息安全非常重要的組織。治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)更容易在“便利性”與“安全性”之間達(dá)到平衡,越來越多的組織開始采用這種治理結(jié)構(gòu)。

1.3信息安全治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)

在信息安全治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)中,信息安全還是作為IT部門中的一個部門,如圖3所示.治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)是目前最常見的形式,由于信息安全只是IT部門的其中一個部門負(fù)責(zé),也就是說,信息安全對IT運(yùn)維等很難形成制約,更多的作用是對其他部門的管理,很難避免“監(jiān)守自盜”的問題。信息安全在治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)中尚未上升到治理層次,僅僅在管理層中討論。

2小結(jié)

第5篇:信息安全戰(zhàn)略范文

隨著云計算技術(shù)的發(fā)展,大數(shù)據(jù)時代已經(jīng)降臨,而隨之而來的數(shù)據(jù)與應(yīng)用的安全性問題也日益突出。信息安全產(chǎn)業(yè)作為保障國家信息安全的戰(zhàn)略性核心產(chǎn)業(yè),肩負(fù)著為國家信息化基礎(chǔ)設(shè)施和信息系統(tǒng)安全保障提供信息安全產(chǎn)品及服務(wù)的戰(zhàn)略任務(wù)。

2010年以來,APT攻擊日益增多,震網(wǎng)、火焰等病毒肆虐。依據(jù)CNCERT數(shù)據(jù)統(tǒng)計,2012年我國被植入后門的網(wǎng)站有52324個,其中政府網(wǎng)站有3016個,較2011年月均分別增長了213.7%和93.1%。進(jìn)入2013年以來:3月,朝鮮、韓國爆發(fā)網(wǎng)絡(luò)安全戰(zhàn);5月,中國臺灣、菲律賓相互進(jìn)行網(wǎng)絡(luò)攻擊。

一系列安全事件凸顯出了在云計算背景下信息安全的重要性, 信息安全已經(jīng)成為國家安全戰(zhàn)略的重要組成部分。

作為中國最早從事信息安全產(chǎn)品、技術(shù)研究與推廣的廠商之一,浪潮一直秉承自主可控、安全可靠的研發(fā)理念,致力于為行業(yè)數(shù)據(jù)中心客戶提供安全、可靠的計算環(huán)境產(chǎn)品與方案。浪潮是中國主機(jī)安全技術(shù)標(biāo)準(zhǔn)的制定者之一,也是我國信息安全等級保護(hù)政策的參與者、制定者和推動者之一,更是我國數(shù)據(jù)中心大型機(jī)技術(shù)創(chuàng)新的中堅。浪潮自主研發(fā)的天梭K1打破國外的技術(shù)壟斷和封鎖,在金融、政府等關(guān)鍵領(lǐng)域的應(yīng)用中已得到成功和成熟的應(yīng)用。浪潮自主開發(fā)的浪潮SSR填補(bǔ)了我國在主機(jī)操作系統(tǒng)安全領(lǐng)域的空白,其在國內(nèi)市場的占有率處于領(lǐng)先地位。

第6篇:信息安全戰(zhàn)略范文

想到了中國工程院院士沈昌祥的建議,“將網(wǎng)絡(luò)空間安全問題提升到國家戰(zhàn)略層面,恢復(fù)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組和辦公室的建制”。現(xiàn)在想想,這是很有遠(yuǎn)見的。

從來沒有像今天一樣,信息化和經(jīng)濟(jì)發(fā)展結(jié)成了“親密弟兄”。可信息高速公路也有“雙刃劍效應(yīng)”,如果做不好安全工作,同樣也會讓自我財產(chǎn)、經(jīng)濟(jì)安全和國際安全,遭遇“快捷損失”。因此,信息安全工作應(yīng)提升到國家戰(zhàn)略層面。

第一,安全事件頻發(fā)呼喚網(wǎng)絡(luò)安全國家戰(zhàn)略。據(jù)《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》,“2008年捕獲的惡意代碼樣本達(dá)160多萬次,比2007年增加了31%,同時網(wǎng)絡(luò)高危漏洞也頻頻出現(xiàn)?!?009年上半年,我國接收到國內(nèi)外報告事件總數(shù)達(dá)9117件,其中國外投訴量猛增,而增長最多的事件類型為垃圾郵件,此外還包括網(wǎng)頁掛馬、網(wǎng)絡(luò)仿冒及病毒、蠕蟲及木馬等。與此同時,感染主機(jī)3000多萬臺的“飛客”蠕蟲;影響多個省份的“5?19”暴風(fēng)影音事件。等等。網(wǎng)絡(luò)空間安全可謂是警鐘長鳴!在網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)攻擊呈現(xiàn)集團(tuán)化、惡意化的今天,單靠軟件研發(fā)企業(yè)和用戶,這種各自為戰(zhàn)的防御態(tài)勢,顯然和安全危機(jī),構(gòu)成了一種發(fā)展和信息不對稱,無法應(yīng)對大規(guī)模群體性及技術(shù)復(fù)雜的網(wǎng)絡(luò)空間安全事件。因此借助國家戰(zhàn)略,達(dá)成信息共享,形成技術(shù)合力,達(dá)成國家層面的網(wǎng)絡(luò)空間安全體系,勢在必行,很有必要。

第二,對心不在焉的信息安全懈怠意識是一個強(qiáng)制性提升和糾錯。雖然網(wǎng)絡(luò)安全意識被一再強(qiáng)調(diào),可目前互聯(lián)網(wǎng)行業(yè)的惡性競爭態(tài)勢仍然不斷,有的惡性競爭就是忽略用戶利益,強(qiáng)化自我利益,甚至將最起碼的安全屏蔽意識都扔掉了,比如“有些網(wǎng)網(wǎng)站為了方便操作,節(jié)省成本,一些網(wǎng)站竟長期使用明文密碼,以至輕易遭竊。再如,用戶注冊時禁用簡單密碼的網(wǎng)站并不普遍,有的網(wǎng)站不設(shè)置密保提問,甚至連驗證碼也沒有”。借助國家戰(zhàn)略中的某些強(qiáng)制性安全標(biāo)準(zhǔn),上述懈怠行為就能得到杜絕,提升安全系數(shù)。

第7篇:信息安全戰(zhàn)略范文

相關(guān)熱搜:信息安全  網(wǎng)絡(luò)信息安全  信息安全技術(shù)

隨著信息技術(shù)的飛速發(fā)展,特別是各國“信息高速公路”的開通互聯(lián),網(wǎng)絡(luò)已經(jīng)深入社會的各個領(lǐng)域、各個方面,特別是因特網(wǎng)的發(fā)展,引發(fā)了社會生產(chǎn)方式的一場革命,使得人類開始進(jìn)入網(wǎng)絡(luò)社會。時到今日,網(wǎng)絡(luò)已經(jīng)成為一個無時不在、無處不有、無所不用的工具,成為人們必須依賴并生活于其中的“新的環(huán)境”、“新的社會”。人類的經(jīng)濟(jì)、政治、軍事、文化、教育、科技和一切社會活動越來越強(qiáng)烈地依賴信息資源和信息網(wǎng)絡(luò)系統(tǒng)。然而,信息資源共享與信息安全天生是一對矛盾。信息共享的普遍性與信息遭受攻擊的廣泛性是一體兩面的,特別是以承載和輸送信息為天職的信息網(wǎng)絡(luò)因其固有的無主管性、跨國界性、不設(shè)防性和缺少法律約束等特點,它在為人們帶來利益、價值和方便的同時,也帶來了巨大的風(fēng)險和隱患,暗藏著極大的危險性甚至毀滅性。這就引發(fā)了信息社會最敏感、最具挑戰(zhàn)性的核心問題———信息安全問題,而且信息安全已經(jīng)成為信息時代安全問題的關(guān)鍵和基礎(chǔ),成為信息時代中最基本、最核心、最重大的頭號安全問題。

一、信息安全的含義

在很長一段時期內(nèi),信息的重要性常常與軍事機(jī)密聯(lián)系在一起,信息安全其實就是保守軍事秘密。然而,隨著計算機(jī)的發(fā)明和應(yīng)用,這種情況開始改變。信息的內(nèi)涵不斷豐富,不再局限于軍事領(lǐng)域,而出現(xiàn)了數(shù)據(jù)化、規(guī)約化、系統(tǒng)化、社會化和綜合化的傾向。20世紀(jì)70年代,信息安全由于建立在保護(hù)專用機(jī)房內(nèi)的主機(jī)及其數(shù)據(jù)安全的基礎(chǔ)上,是面向單機(jī)、面向數(shù)據(jù)的,其實質(zhì)是對信息的機(jī)密性、完整性和可獲性的保護(hù)。80年代以后,計算機(jī)開始走出專用機(jī)房,進(jìn)入辦公室和家庭,開始了微機(jī)和局域網(wǎng)時代。這時的信息安全既要依靠技術(shù)措施保護(hù),也要依靠管理規(guī)則規(guī)范。因此,這時的信息安全是面向網(wǎng)絡(luò)管理、面向規(guī)約的。90年代以后,人類進(jìn)入了互聯(lián)網(wǎng)時代。此時,通過網(wǎng)絡(luò),每個用戶都可以連接、使用和控制世界上每一個上網(wǎng)計算機(jī)。因此,網(wǎng)絡(luò)時代信息安全內(nèi)容更多,更為強(qiáng)調(diào)面向連接、面向用戶。信息安全的內(nèi)容已由保密性、完整性、可獲性和規(guī)則性等數(shù)據(jù)安全與規(guī)約安全概念,擴(kuò)展到鑒別、授權(quán)、訪問控制、抗否認(rèn)性和可服務(wù)性以及基于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的系統(tǒng)保護(hù)。而這些安全問題又要依靠密碼、數(shù)字簽名、身份認(rèn)證、防火墻、安全審計、災(zāi)難恢復(fù)、防病毒、防黑客入侵等安全機(jī)制加以解決。其中,完整性、可用性、保密性和可靠性是信息安全的特征,密碼技術(shù)和管理是信息安全的核心,安全標(biāo)準(zhǔn)和系統(tǒng)評估構(gòu)成信息安全的基礎(chǔ)。

從信息網(wǎng)絡(luò)系統(tǒng)看,現(xiàn)代信息安全主要包含兩層含義:一是運(yùn)行系統(tǒng)的安全,包括嚴(yán)格而科學(xué)的管理,如對信息網(wǎng)絡(luò)系統(tǒng)的組織管理、監(jiān)督檢查,規(guī)章制度的建立、落實與完善,管理人員的責(zé)任心、預(yù)見性、警惕性等;法律、政策的保護(hù),如用戶是否有合法權(quán)利,政策是否允許等;物理控制安全,如機(jī)房加鎖、線路安全、環(huán)境適宜等;硬件運(yùn)行安全;操作系統(tǒng)安全,如數(shù)據(jù)文件是否保護(hù)等;災(zāi)害、故障恢復(fù);死鎖的避免和解除;防止電磁信息泄漏等。二是系統(tǒng)信息的安全,包括用戶口令鑒別;用戶存取權(quán)限控制;數(shù)據(jù)存取權(quán)限,方式控制;審計跟蹤;數(shù)據(jù)加密,等等。整體上講,現(xiàn)代的信息安全是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共、國家信息安全的總和,是一個多層次、多因素、多目標(biāo)的復(fù)合系統(tǒng)。

隨著信息網(wǎng)絡(luò)系統(tǒng)的迅速發(fā)展和全面普及,人與計算機(jī)的關(guān)系發(fā)生了質(zhì)的變化,人類社會與計算機(jī)和網(wǎng)絡(luò)組成了一個巨系統(tǒng),出現(xiàn)了一個全新的世界———網(wǎng)絡(luò)社會,人類對信息網(wǎng)絡(luò)的依賴越來越強(qiáng),不僅人們的政治經(jīng)濟(jì)文化生活依賴于網(wǎng)絡(luò),而且個人、企業(yè)、民族、國家乃至全人類的安全(包括金融安全、經(jīng)濟(jì)安全、政治安全、軍事安全、科技安全、文化安全等)也建立于計算機(jī)中,信息安全的內(nèi)涵因此正在發(fā)生著前所未有的根本變化。概言之,網(wǎng)絡(luò)社會的信息安全不僅涉及到個人權(quán)益、企業(yè)生存、金融風(fēng)險防范、社會穩(wěn)定和國家安全,甚至關(guān)系到環(huán)境安全、生態(tài)安全和人類安全。

二、信息安全的意義和作用

在信息時代和網(wǎng)絡(luò)社會中,信息安全具有頭等重要的地位,它是一切安全的重中之重和先中之先,是社會發(fā)展的首要條件,是民族振興的根本保障,是信息社會健康成長的陽光,是國家生存須臾不可缺少的空氣,是21世紀(jì)各國努力爭奪的制高點。

信息安全是網(wǎng)絡(luò)時代國家生存和民族振興的根本保障。首先,信息安全是21世紀(jì)經(jīng)濟(jì)安全、國家安全和民族振興的首要條件。在和平與發(fā)展成為時代主題的信息時代,網(wǎng)絡(luò)為王,發(fā)展至上。國家安全已不單純是軍事安全,而是越來越表現(xiàn)為經(jīng)濟(jì)安全和綜合國力的強(qiáng)大。不發(fā)展就是最大的不安全。這就是說,國家安全與經(jīng)濟(jì)安全越來越不可分割,而經(jīng)濟(jì)安全卻越來越依賴信息基礎(chǔ)設(shè)施的安全,依靠信息資源的安全。因此,保證信息網(wǎng)絡(luò)的安全性、可靠性,保證信息資源的安全性、可用性就成為頭等重要的大事。如果不能保障網(wǎng)絡(luò)安全和信息安全,就不可能獲得信息化的效率和效益,在國際“信息戰(zhàn)”威脅和國內(nèi)外高技術(shù)犯罪的干擾破壞下,社會的經(jīng)濟(jì)生活就難以健康有序地進(jìn)行,國家的安全就無法保證,國家的生存就會受到威脅。因此,在21世紀(jì),一個國家的信息安全保障能力不僅是其綜合國力和經(jīng)濟(jì)實力的重要組成部分,而且是其國家安全的前提條件。

其次,信息安全是21世紀(jì)國家生存的前提條件。盡管人類剛剛步入信息時代,但是嚴(yán)重的現(xiàn)實告訴我們,發(fā)展中國家從一開始就面臨著巨大的危險,它們普遍遭受來自發(fā)達(dá)國家的信息霸權(quán)的威脅!眾所周知,當(dāng)代世界已經(jīng)出現(xiàn)了三類國家:一類是信息霸權(quán)國家,它們以其先進(jìn)的信息技術(shù)與網(wǎng)絡(luò)技術(shù)作為手段,極力推行信息霸權(quán)主義,大搞電信霸權(quán)、軟件技術(shù)霸權(quán)、信息利潤霸權(quán)和網(wǎng)絡(luò)霸權(quán)等;二是信息主權(quán)國家,它們有獨立的信息主導(dǎo)權(quán)、獨立的信息利潤及防范信息霸權(quán)的手段;三是信息殖民地國家,它們被動地接受別國的信息、受到霸權(quán)國家的信息支配和剝削、沒有防范信息霸權(quán)的能力。正因為如此,信息技術(shù)和信息網(wǎng)絡(luò)在國家間以及地域上的發(fā)展極不平衡,信息強(qiáng)國對于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息優(yōu)勢”,居于信息劣勢的國家的政治安全、經(jīng)濟(jì)安全、軍事安全乃至民族文化傳統(tǒng),都將面臨前所未有的沖擊、挑戰(zhàn)和威脅,互聯(lián)網(wǎng)成為超級大國謀求跨世紀(jì)戰(zhàn)略優(yōu)勢的新的工具?!靶畔⒔颉辈皇且詡鹘y(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分,而是以帶有政治影響力的信息輻射空間來劃分?!靶畔⒔颉钡拇笮?、“信息邊界”的安全關(guān)系到一個民族、一個國家在信息時代的興衰存亡。很顯然,在信息時代,一個缺乏信息安全保障能力的國家,是無法開拓自己的“信息疆域”的,也是無法保衛(wèi)自己的“信息邊疆”的,這樣的國家既無力構(gòu)筑自己牢固的“精神防線”,更無力搶占并擁有經(jīng)濟(jì)生活和軍事領(lǐng)域的“制信息權(quán)”,它在信息社會中將是難以生存的。

2.信息安全是信息社會健康發(fā)展和信息革命成功的關(guān)鍵因素。在信息社會,無論對于個人還是企業(yè),民族還是國家,信息安全的重要性前所未有。它既是行使和保障合法權(quán)益的基本手段,也是整個信息社會正常運(yùn)行的先決條件。信息安全保障能力既是個人素質(zhì)、企業(yè)實力的重要體現(xiàn),也是國家主權(quán)和社會健康的重要標(biāo)志,它對個人、企業(yè)乃至國家的生存提出了新的挑戰(zhàn)和要求,對國家的物質(zhì)文明建設(shè)、精神文明建設(shè)、社會的有序管理、政權(quán)的安全鞏固、國民素質(zhì)的提高以及人的全面自由的發(fā)展等正發(fā)生著前所未有的深刻作用。在日益成為國家經(jīng)濟(jì)運(yùn)行支柱的數(shù)字化、網(wǎng)絡(luò)化環(huán)境中,如果沒有信息安全,國家的經(jīng)濟(jì)體制與秩序安全,金融與貨幣安全,產(chǎn)業(yè)與市場安全,戰(zhàn)略物資與能源安全,對外貿(mào)易與投資安全就不能得到有效保障。也使諸如保障社會生產(chǎn)和生活的正常秩序,保持社會各階層的和睦共處,建立效率與公平兼顧的社會發(fā)展機(jī)制,控制犯罪、貧窮、腐敗等消極現(xiàn)象,尊重多數(shù)人的權(quán)利與選擇等社會和個人安全的要求,在未來社會中將難以實現(xiàn)。同樣地,如果沒有信息安全,作為信息社會之基礎(chǔ)的信息網(wǎng)絡(luò)、信息產(chǎn)業(yè)、信息基礎(chǔ)結(jié)構(gòu)和信息經(jīng)濟(jì)也將失控、紊亂、癱瘓甚至自毀。因此,從個人實現(xiàn)、國家發(fā)展和社會運(yùn)行的戰(zhàn)略高度來看,信息安全既是人們暢游信息社會的“通行證”,搏擊“第三次浪潮”的“護(hù)航艦”,也是信息革命成功的關(guān)鍵,是信息社會可持續(xù)發(fā)展的“守護(hù)神”。

第8篇:信息安全戰(zhàn)略范文

7月18日,在由中國信息協(xié)會信息安全專業(yè)委員會主辦、國家信息中心信息安全研究與服務(wù)中心協(xié)辦的“‘十一五’信息安全發(fā)展趨勢高峰論壇”上,許多到會主管部門領(lǐng)導(dǎo)、知名專家做了主題發(fā)言,內(nèi)容涉及信息安全技術(shù)、信息系統(tǒng)等級保護(hù)工作、風(fēng)險評估、信任體系以及電子政務(wù)建設(shè)等方面。

技術(shù)總是雙刃劍

隨著信息化的深入發(fā)展,信息安全的問題越來越突出。黑客技術(shù)發(fā)展迅速,攻擊工具越來越豐富、攻擊速度越來越快、攻擊造成的損失越來越大,所有這些都對信息安全技術(shù)的發(fā)展提出了更高的要求。

我國信息安全保障工作從2003年的初步規(guī)劃起,一路走來,發(fā)展至今,成效如何呢?由于政府主管部門的有力推進(jìn)和規(guī)模化商用市場的形成等原因,我國在若干信息安全關(guān)鍵技術(shù)的研究開發(fā)和產(chǎn)業(yè)化方面,已經(jīng)取得了一批較好的技術(shù)成果。特別是在“十五”期間,在863計劃等國家計劃的支持下,已經(jīng)在PKI/CA技術(shù)、密碼標(biāo)準(zhǔn)和芯片、網(wǎng)絡(luò)積極防御、網(wǎng)絡(luò)入侵檢測與快速響應(yīng)、網(wǎng)絡(luò)不良內(nèi)容的監(jiān)控與處理等方面取得了較大的進(jìn)展。據(jù)參加論壇的863專家組專家馮登國介紹,我國目前信息安全技術(shù)在密碼技術(shù)、認(rèn)證授權(quán)技術(shù)、信息產(chǎn)品逆向分析技術(shù)、網(wǎng)絡(luò)內(nèi)容安全監(jiān)控技術(shù)、數(shù)字水印技術(shù)以及數(shù)據(jù)恢復(fù)技術(shù)等項技術(shù)上都有所突破甚至走在國際前列。

綜觀我國在信息安全技術(shù)領(lǐng)域的發(fā)展歷史,不難看到,雖然取得了很多優(yōu)秀成果,但仍存在一些問題,具體可總結(jié)為,第一,技術(shù)發(fā)展不平衡,比如對于某些熱點技術(shù),研究的單位、部門、人員很多、很集中,而另外一些領(lǐng)域卻幾乎無人問津,技術(shù)成果水平高低不一的現(xiàn)象,在領(lǐng)域?qū)Ρ壬虾芡怀?;其次,研究方向不全面,如病毒技術(shù)在廠商中研究得很多、討論得也很熱,而國家的相關(guān)研究機(jī)構(gòu)卻少有研究,研究工作主要集中在某幾個方向上而沒有覆蓋信息安全主要方向;第三,研究工作的系統(tǒng)性不強(qiáng),如一些技術(shù)產(chǎn)品的升級換代研究以及產(chǎn)品的不同版本兼容性都存在很大欠缺,研究工作缺乏系統(tǒng)性和持久性;第四,研究與應(yīng)用脫節(jié),作為偏應(yīng)用方面的工作需要企業(yè)和應(yīng)用部門的共同參與,才能做出滿足實際應(yīng)用的高水平研究成果,而這方面的合作卻很欠缺。馮登國專家指出,“總的來講:缺乏信息安全關(guān)鍵技術(shù)的創(chuàng)新研究?!?/p>

我國的信息安全技術(shù)還面臨著計算模型與計算能力、網(wǎng)絡(luò)化與普適化、智能化與自動化、理論研究與顯示需求的差異性等挑戰(zhàn)。首先,當(dāng)前的實用信息安全技術(shù),特別是密碼技術(shù),和計算技術(shù)密切相關(guān),其安全性本質(zhì)上是計算安全性;而計算模型的演變目標(biāo)則是追求更具表達(dá)能力、更符合人類思維模式、更具易構(gòu)造性和易演化性的計算模型,相互之間有矛盾。至于網(wǎng)絡(luò)化的挑戰(zhàn),可以看到,網(wǎng)絡(luò)在給人類社會帶來方便的同時,由于其開放性和共享性,也引發(fā)了很多安全問題,如網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)恐怖、垃圾信息等等。美國CRA(Computing Research Association)總結(jié)的五項挑戰(zhàn)之一就是,“創(chuàng)建無處不在的安全網(wǎng)”。網(wǎng)絡(luò)化的挑戰(zhàn)由此可見一斑。

其次,如同任何一項技術(shù),信息技術(shù)也是一把雙刃劍,帶來方便的同時也帶來了安全問題。例如,人們利用智能和自動化技術(shù)編寫了大量的攻擊工具、病毒、垃圾郵件等等。另外,網(wǎng)絡(luò)攻擊工具的智能化和自動化程度的提升,使得網(wǎng)絡(luò)攻擊更加容易、成本更低,以很小的開銷就可以造成嚴(yán)重后果或影響,智能化與自動化在幫助解決信息安全問題的同時,也會加大解決問題的難度。

最后,理論與實際的差距也構(gòu)成一大挑戰(zhàn)。因為理論研究相對比較單純、考慮因素和實驗環(huán)境有限,這與現(xiàn)實世界的復(fù)雜多變、環(huán)境的惡劣形成鮮明對比。而人們的實際需求,特別是有時政府的要求是“萬無一失”的,這就提出了安全的絕對性和緊迫性的要求。從人類認(rèn)識角度來講,安全是一個過程,只有相對安全,而沒有絕對安全。這樣,實際要求就與技術(shù)能夠解決安全問題的有限性也就是安全的相對性之間存在著鴻溝。因此,如上四條挑戰(zhàn)無疑是需要相關(guān)機(jī)構(gòu)與部門考慮對策的。馮登國還指出信息安全技術(shù)“抽象化、可信化、網(wǎng)絡(luò)化、標(biāo)準(zhǔn)化、集成化”的發(fā)展趨勢,并指出我國信息安全保障體系建設(shè)的三方面需求,即自主創(chuàng)新能力、國際競爭力、政策優(yōu)勢。

政策保障已趨完備

第9篇:信息安全戰(zhàn)略范文

一、搞好信息安全防護(hù)是確保國家安全的重要前提

眾所周知,未來信息化戰(zhàn)爭將在陸、海、空、天、電多維空間展開,網(wǎng)絡(luò)空間的爭奪尤其激烈。如果信息安全防護(hù)工作跟不上,在戰(zhàn)爭中就可能造成信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴(yán)重后果。因此,信息安全防護(hù)不僅是贏得未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。據(jù)有關(guān)報道披露,海灣戰(zhàn)爭前,美國特工曾在伊拉克從法國購買的打印機(jī)的引導(dǎo)程序中預(yù)埋了病毒,海灣戰(zhàn)爭一開始,美國就通過衛(wèi)星激活病毒,導(dǎo)致后來伊軍防空指揮通信系統(tǒng)陷入癱瘓。戰(zhàn)爭和軍事領(lǐng)域是這樣,政治、經(jīng)濟(jì)、文化、科技等領(lǐng)域也不例外。根據(jù)美國加利弗尼亞州銀行協(xié)會的一份報告,如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞,3天就會影響加州的經(jīng)濟(jì),5天就能波及全美經(jīng)濟(jì),7天會使全世界經(jīng)濟(jì)遭受損失。鑒于信息安全如此重要,美國國家委員會早在初的《國家安全戰(zhàn)備報告》里就強(qiáng)調(diào):執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于6月討論通過的《國家信息安全學(xué)說》,首次把信息安全正式作為一種戰(zhàn)略問題加以考慮,并從理論上和實踐上加強(qiáng)準(zhǔn)備。

二、我國信息安全面臨的形勢十分嚴(yán)峻

信息安全是國家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上,同時也涉及到政治、經(jīng)濟(jì)、文化等各方面。當(dāng)今社會,由于國家活動對信息和信息網(wǎng)絡(luò)的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導(dǎo)致整個國家能源供應(yīng)的中斷、經(jīng)濟(jì)活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設(shè)想。而令人擔(dān)憂的是,由于我國信息化起步較晚,目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防”的狀態(tài)下,國防信息安全的形勢十分嚴(yán)峻。具體體現(xiàn)在以下幾個方面:首先,全社會對信息安全的認(rèn)識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認(rèn)識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài),具有極大的風(fēng)險性和危險性。其次,我國的信息化系統(tǒng)還嚴(yán)重依賴進(jìn)口,大量進(jìn)口的信息技術(shù)及設(shè)備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機(jī)硬件上,還是在計算機(jī)軟件上,我國信息化系統(tǒng)的國產(chǎn)率還較低,而在引進(jìn)國外技術(shù)和設(shè)備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領(lǐng)域,通過網(wǎng)絡(luò)泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護(hù)管理機(jī)構(gòu)缺乏權(quán)威,協(xié)調(diào)不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進(jìn)程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關(guān)法規(guī)的貫徹執(zhí)行。

三、積極采取措施加強(qiáng)信息安全防護(hù)

為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強(qiáng)國防信息安全建設(shè)。

第一,要加強(qiáng)宣傳教育,切實增強(qiáng)全民的國防信息安全意識。在全社會范圍內(nèi)普及信息安全知識,樹立敵情觀念、紀(jì)律觀念和法制觀念,強(qiáng)化社會各界的信息安全意識,營造一個良好的信息安全防護(hù)環(huán)境。各級領(lǐng)導(dǎo)要充分認(rèn)識自己在信息安全防護(hù)工作中的重大責(zé)任,一方面要經(jīng)常分析新形勢下信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結(jié)合工作實際,進(jìn)行以安全防護(hù)知識、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。

第二,要建立完備的信息安全法律法規(guī)。信息安全需要建立完備的法律法規(guī)保護(hù)。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機(jī)構(gòu)計算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設(shè)尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。