1.我国信息安全管理的现状、问题及其对策

我国信息安全管理的现状、问题及其对策

摘要：信息安全是国家安全的基础和关键。在信息安全保障的三大要素（人员、技术、管理）中，管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。本文分析了信息安全管理的现状，并着重讨论了加强信息安全管理的策略。

关键词：信息安全；管理；现状；策略

信息安全管理是随着信息和信息安金的发展而发展的。在信息社会中，一方面信息已经成为人类的重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，这样将使组织在业务运作过程巾面临巨大的风险。这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞， 以及大量存在于组织内外的各种威胁， 因此对信启、系统需要加以严格管理和妥善保护，信息安全管理也随之产生。

1、国内信息安全管理现状

1.1在国家宏观信息安全管理方面的问题

(1)法律法规问题。健全的信息安 法律法规体系是确保国家信息安全的基础，是信息安全的第一道防线。我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷，一是现有的法律法规存在不完善的地方，如法律法规之间有内容重复交叉， 同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不

2.求开题报告《我国信息安全的现状及对策研究》

长期以来，人们对保障信息安全的手段偏重于依靠技术， 从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。

厂商在安全技术和产品的研发上不遗余力， 新的技术和产品不断涌现；消费者也更加相信安全产品， 把仅有的预算也都投入到安全产品的采购上。 但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意， 许多复杂、多变的安全威胁和隐患靠产品是无法消除的。

“ 三分技术，七分管理”这个在其他领域总结出来的实践经验和原则， 在信息安全领域也同样适用。据有关部门统计， 在所有的计算机安全事件中，约有52%是人为因素造成的，25% 由火灾、水灾等自然灾害引起，技术错误占10%， 组织内部人员作案占10%，仅有3% 左右是由外部不法人员的攻击造成。

简单归类， 属于管理方面的原因比重高达70%以上， 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。 因此，管理已成为信息安全保障能力的重要基础。

一、我国信息安全管理的现状 （1）初步建成了国家信息安全组织保障体系 国务院信息办专门成立了网络与信息安全领导小组， 成员有信息产业部、公安部、国家保密局、国家密码管理会员会、国家安全部等强力部门，各省、市、自治州也设立了相应的管理机构。2003年7月， 国务院信息化领导小组第三次会议上专题讨论并通过了《 关于加强信息安全保障工作的意见》， 同年9月，中央办公厅、国务院办公厅转发了《 国家信息化领导小组关于加强信息安全保障工作的意见》（ 2003[27]号文件）。

27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，并提出了“积极防御、综合防范”的信息安全管理方针。 2003年7月成立了国家计算机网络应急技术处理协调中心（ 简称CNCERT/CC），专门负责收集、汇总、核实、发布权威性的应急处理信息、为国家重要部门提供应急处理服务、协调全国的CERT组织共同处理大规模网络安全事件、对全国范围内计算机应急处理有关的数据进行统计、根据当前情况提出相应的对策、与其他国家和地区的CERT进行交流。

目前已经在全国各地建立了31个分中心， 并授权公共互联网应急处理国家级服务试点单位10家、公共互联网应急处理省级服务试点单位20家， 还有国内的10家骨干互联网运营企业成立自己的应急处理中心（ CERT），这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户，成为了CNCERT/CC的主要联系成员， 由此形成了一个立体交错的应急体系， 形成了信息上下畅通传递的通报制度。 2001年5月成立了中国信息安全产品测评认证中心（ 简称CNITSEC）， 代表国家开展信息安全测评认证工作的职能机构， 依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国 家信息安全测评认证体系。

负责对国内外信息安全产品和信息技术进行测评和认证、对国内信息系统和工程进行安全性评估和认证、对提供信息安全服务的组织和单位进行评估和认证、对信息安全专业人员的资质进行评估和认证。目前建有上海、东北、西南、华中、华北五个授权评认证中心机构和两个系统安全与测评技术实验室 。

（2） 制定和引进了一批重要的信息安全管理标准 为了更好地推进我国信息安全管理工作，公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895 -1999《计算机信息系统安全保护等级划分准则》， 并引进了国际上著名的《ISO 17799:2000：信息安全管理实施准则》、《BS 7799-2:2002：信息安全管理体系实施规范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 》、《SSE-CMM：系统安全工程能力成熟度模型》 等信息安全管理标准。信息安全标准化委会设置了10个工作组， 其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南，它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。

（3） 制定了一系列必须的信息安全管理的法律法规 从上世纪九十年代初起，为配合信息安全管理的需要，国家、相关部门、行业和地方政府相继制定了《 中华人民共和国计算机信息网络国际联网管理暂行规定》、《 商用密码管理条例》、《互联网信息服务管理办法》、《 计算机信息网络国际联网安全保护管理办法》、《 计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《 软件产品管理办法》、《电信网间互联管理暂行规定》、《 电子签名法》等有关信息安全管理的法律法规文件。 （4） 信息安全风险评估工作已经得到重视和开展 风险评估是信息安全管理的核心工作之一。

2003年7月， 国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准 的编制工作， 国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风 险评估试点工作，国家其它关键行业或系统（如电力、电信、银行等）也将陆续开展这方面的工作。 二、我国信息安全管理目。

3.我国网络安全法律

1、立法滞后、层次低，尚未形成完整的法律体系 在我国现行涉及网络安全的法律中，法律、法规层次的规定太少。

规章过多，给人一种头重脚轻的感觉.而且.在制定规章的过程中，由于缺乏纵向的统筹考虑和横向的有效协调。制定部门往往出于自身工作的考虑，忽视了其他相关部门的职能及相互间的交叉等问题，致使出台的规章虽然数量不少但内容重复交叉。

这种现状一方面造成部门问更多的职能交叉，另一方面。在一定程度上造成了法律资源的严重浪费。

法律法规的欠缺、规章的混乱，常常造成这样一种奇怪的现象对网络违法行为，要么无人管.要么争着管。 2、不具开放性 我国的信息网络安全法结构比较单一、层次较低。

难以适应信息网络技术发展的需要和日益严重的信息网络安全问题。我国现行的安全法律基本上是一些保护条例、管理办法之类的，缺少系统规范网络行为的基本法律如信息安全法、网络犯罪法、电子信息出版法、电子信息个人隐私法等。

同时，我国的法律更多她使用了综合性的禁止性条款，如《中华人民共和国计算机信息系统安全保护条例》第七条规定：“任何单位或者个人。 不得利用计算机信息系统从事危害国家利益.集体利益和公民台法利益的活动。

不得危害计算机信息系统的安全。“而没有具体的许可性条款和禁止性条款。

这种大一统的立法方式往往停留于口号的层次上。难以适应信息网络技术的发展和越来越多的信息网络安全问题。

3、缺乏兼容性 我国的安全法律法规有许多难以同传统的法律原则、法律规范协调的地方。 比如说，根据《中华人民共和国行政处罚法》第十二条规定，规章可以在法律.行政法规规定的给予行政处罚的行为、种类和幅度范围内作出具体规定。

尚未制定法律、行政法规的。规章对违反行政管理秩序的行为，可以设定警告或者一定数量罚款的行政处罚。

在我国现有相关法律、行政法规中.均未设定没收从事违法经营活动的全部设备的处罚，但是依据这些行政法规制定的《互联网上网服务营业场所管理办法》的第14条，却设定了没收从事违法经营活动的全部设备的处罚种类，显然这个处罚的设定与相关法规有矛盾之处。 4、缺乏操作性 我国的信息网络安圭法中存在难以操作的现象。

为丁规范网络上的行为。政府职能部门都出台了相关的规定，公安部、信息产业部、国家保密局、教育部、新闻出版署、中国证监会.国家广播电影电视总局、国家药品监督营理局、原国务院信息化工作领导小组等都制定了涉及网络的管理规定。

此外，还有许多相关的地方性法规.地方政府规章。数量虽大，但是它们的弊端是明显的。

由于没有法律的统一协调，各个部门出于自身利益，致使常常出现同一行为有多个行政处罚主体，处罚幅度不尽一致，行政审批部门及审批事项多等现象。这就给法律法规的实际操作带来了诸多难题。

4.2015目前网络信息安全的现状3000字

21世纪已经进入信息化时代，随着信息技术的快速发展和广泛应用，计算机网络在带来信息资源共享等极大便利，同时也出现了许多网络安全问题，并成为信息安全的重要研究内容和社会需求最大的研究方向，不仅关系到企事业机构的信息化建设与发展、对网络系统的正常使用、以及用户资产和信息资源的风险，也关系到国家安全和社会稳定，不仅成为各国关注的焦点，也成为热门研究和人才需求的新领域。

国内外网络信息安全的现状

【案例1】我国网络遭受攻击近况。据国家互联网应急中心CNCERT监测和国家信息安全漏洞共享平台CNVD发布的数据，2014年2月10日至16日一周境内被篡改网站数量为8965个，比上周增长79.7%；境内被植入后门的网站数量为1168个；针对境内网站的仿冒页面数量为181个。其中，政府网站被篡改418个、植入后门的35个。感染网络病毒的主机数量约为69万个，新增信息安全漏洞280个。

另据国家互联网应急中心（CNCERT）的数据显示，中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现，2013年1月1日至2月28日，境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机；其中位于美国的2194台控制服务器控制了中国境内128.7万台主机，无论是按照控制服务器数量还是按照控制中国主机数量排名，美国都名列第一。

国内外网络安全威胁的现状及主要因由，主要涉及以下5个方面：

(1)法律法规和管理不完善

随着信息技术快速发展和广泛应用，国内外的法律法规和管理政策等在解决信息资源保密性、完整性、可用性、可控性、可审查性等方面应用中出现的一些问题，显得相对滞后且不够健全与完善。出现了一些企事业机构或个人用户法制观念淡薄，对网络风险和隐患不甚了解，网络安全意识不强、自身管理措施和方法不完善等问题，甚至出现内部监守自盗案件。重技术、轻管理和网络安全知识不够普及成为一个重要问题。

(2)企业和政府的侧重点不一致

政府注重信息及网络安全的可管性和可控性，企业则注重其可用性、效益和可靠性。由国际标准化组织ISO制定的OSI协议及美国政府组织的KRS系统等，由于不受企业欢迎而难以实施和推广。在一些欠发达国家或地区，对网络安全技术重视不够，经费投入无法满足实际需要，或时常被挤占或挪用。

(3)网络安全规范和标准不统一

网络安全是一个系统工程，只有统一技术的规范标准，才能更好地进行实施。西方发达国家计算机网络技术最先进且对网络安全很重视，也同样存在网络安全规范和标准等问题。西欧国家则实行另一套信息安全标准，在原理和结构上与美国也有异同。

(4)网络安全技术和手段滞后

计算机网络技术不断快速发展，伴随的各种网络安全问题层出不穷，网络攻击及计算机病毒变化多端。相应的网络安全技术和手段相对滞后，更新不及时、不完善。

(5)网络安全风险和隐患增强

在现代信息化社会，电子商务、网络银行、电子政务、办公自动化和其他各种业务的应用对计算机网络的依赖程度越来越高，计算机网络的开放性、共享性、交互性和分散性等特点，以及网络系统及协议等从设计到实现自身存在的安全漏洞、缺陷和隐患，致使网络存在着巨大的风险和威胁，详见1.2.3介绍。各种恶意攻击、计算机病毒、垃圾邮件和广告等也严重影响了网络的正常应用。全球平均不足15秒就发生一次黑客入侵事件，全世界每年因网络安全问题造成的经济损失达几千亿美元。

注意：计算机病毒防范技术、网络防火墙技术和入侵检测技术，常被称为网络安全技术的三大主流。这些传统的安全“老三样”为网络安全建设起到了重要作用，却具有一定局限性，也存在许多新的问题：计算机病毒防范技术滞后于实际的发生各种新病毒及繁衍变异。用户在系统中安装了防火墙后，却难以避免垃圾邮件、病毒传播和拒绝服务的侵扰。入侵检测技术在提前预警、精确定位、实时交互、整体性、漏报误报率和全局管理等方面存在着先天不足。另外，内网的安全还包含安全策略的执行、外来非法侵入、补丁更新及合规管理等问题。

摘自：网络安全技术与实践，贾铁军主编，高等教育出版社2014.8

5.个人信息法律保护现状是怎样的

个人信息法律保护现状 对个人信息的保护在我国也不是一片空白。

对个人信息的保护从民法上通过对个人人格权的保护表现出来。我国民法中对人格权的保护见于民法通则的各个章节。

这些条款表明了对个人信息保护已经有了立法上的体现。虽然人格，隐私、名誉、自由、信用等人格权的概念和范围各有不同。

但是，对个人信息的非法使用侵害了以上或是更大范围的私权利。对这些权利的保护就是对个人信息的间接保护机制。

在信息时代到来之前，个人信息的传播途径和方法比较原始和单一，个人信息的内容和保存的方法也比较单一。一般，个人信息只有个人的姓名、年龄、身高、体重、住址、单位、电话、学历、信仰。

保存的方法有保存于单位的和学校的档案或是家庭户口所在的街道及村组织中。信息发达以后，不仅通信、通讯这类信息交流的方式上飞速发展，个人信息的内容从20世纪60、70年代的一般信息扩展到个人金融信息、交友信息、商业信息等更广阔的领域。

对这些信息的非法使用已不仅仅是侵害个人人格权的问题，而是涉及到商业秘密的保护，个人信用的损害。 在网络个人信息立法上已在不少规范电信活动和互联网活动上已经作了规定。

例如：2000年第九届全国人大第十九此会议通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条。 比较个人信息的保护已不是间接和侧面的保护能够保护全面的，而是需要一部专门的法律加以详细的规定才能够实现法律的价值和达到法律的作用。

目前，我国已将个人信息的立法纳入立法议程。在最近几年的全国人大代表和全国政协委员提出的立法建议和立法议案每年不下10个，涉及代表或委员几百名。

4通过获得某个人的个人信息对其隐私予以公布，对名誉进行侵害，对自由加以限制和影响，对信用予以损坏的行为不论是对个人信息的实际利用还是将个人信息作为一种达到不法目的的手段，都是对个人私权利的侵害。 对要求个人信息保护法订立意愿反映出个人信息立法已经有一定的法律基础。

6.我国的信息安全存在的问题有哪些方面

我国网络信息安全现状九个方面问题

(1)法律法规和管理不完善

(2)企业和政府的侧重点不一致

(3)网络安全规范和标准不统一

(4)网络安全技术和手段滞后

(5)系统漏洞及复杂性。

(6) 网络协议及共享性。

(7) 网络开放性， 传输路径与结点不安全。

(8)身份认证难。

(9)信息聚集度高。

摘自 网络安全技术与实践 高等教育出版社

贾铁军主编 2014.8上海精品课程教材

7.我国信息安全领悟面临哪些问题

我觉得最大的问题是法律。科学技术发展非常迅速，很多新技术面世。但是法律法规缺相对落后，导致出现了很多空白区域。容易被不法分子钻空子。在成熟的法治社会里，应该是立法先行。比如无人驾驶汽车，如果法律不先做规定就进行推广，那么肯定会引起很多社会问题。

第二是安全意识普遍较差。我们看钓鱼网站、电话诈骗成本非常低，手段也很简单，但是每年却骗了那么多人，说明我国公民信息安全防护意识较差，需要加大宣传力度，和信息安全技术的推广。特别是在信息安全技术的研发设计时，不要忘了还有50、60、70后，他们是骗子攻击的主要对象，是弱势群体。

就信息安全技术而言 ，我相信随着我国政府对信息安全的重视，会逐步成为世界上先进的国家。现在感觉除了CPU、操作系统这种非常复杂，技术难度极高的不能自主外，大多数信息安全相关的软硬件我们已经和发达国家差得不多了，个别子领域已经处于世界领先水平。

8.近几年来我国出台的相关计算机信息安全法律法规

二○○六年十一月二十二日

最高人民法院关于修改《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》的决定（二）

(2006年11月20日最高人民法院审判委员会第1406次会议通过)

根据《中华人民共和国著作权法》第五十八条及《信息网络传播权保护条例》的规定，最高人民法院审判委员会第1406次会议决定对《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》作如下修改：

删去《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第三条。

根据本决定对《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》的条文顺序作相应调整后，重新公布。

最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释

法释〔2006〕11号

(2000年11月22日最高人民法院审判委员会第1144次会议通过根据2003年12月23日最高人民法院审判委员会第1302次会议《关于修改〈最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释〉的决定》第一次修正根据2006年11月20日最高人民法院审判委员会第1406次会议《关于修改〈最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释〉的决定（二）》第二次修正）

为了正确审理涉及计算机网络著作权纠纷案件，根据民法通则、著作权法和民事诉讼法等法律的规定，对这类案件适用法律的若干问题解释如下：

第一条 网络著作权侵权纠纷案件由侵权行为地或者被告住所地人民法院管辖。侵权行为地包括实施被诉侵权行为的网络服务器、计算机终端等设备所在地。对难以确定侵权行为地和被告住所地的，原告发现侵权内容的计算机终端等设备所在地可以视为侵权行为地。

第二条 受著作权法保护的作品，包括著作权法第三条规定的各类作品的数字化形式。在网络环境下无法归于著作权法第三条列举的作品范围，但在文学、艺术和科学领域内具有独创性并能以某种有形形式复制的其他智力创作成果，人民法院应当予以保护。

第三条 网络服务提供者通过网络参与他人侵犯著作权行为，或者通过网络教唆、帮助他人实施侵犯著作权行为的，人民法院应当根据民法通则第一百三十条的规定，追究其与其他行为人或者直接实施侵权行为人的共同侵权责任。

第四条 提供内容服务的网络服务提供者，明知网络用户通过网络实施侵犯他人著作权的行为，或者经著作权人提出确有证据的警告，但仍不采取移除侵权内容等措施以消除侵权后果的，人民法院应当根据民法通则第一百三十条的规定，追究其与该网络用户的共同侵权责任。

第五条 提供内容服务的网络服务提供者，对著作权人要求其提供侵权行为人在其网络的注册资料以追究行为人的侵权责任，无正当理由拒绝提供的，人民法院应当根据民法通则第一百零六条的规定，追究其相应的侵权责任。

第六条网络服务提供者明知专门用于故意避开或者破坏他人著作权技术保护措施的方法、设备或者材料，而上载、传播、提供的，人民法院应当根据当事人的诉讼请求和具体案情，依照著作权法第四十七条第（六）项的规定，追究网络服务提供者的民事侵权责任。

第七条 著作权人发现侵权信息向网络服务提供者提出警告或者索要侵权行为人网络注册资料时，不能出示身份证明、著作权权属证明及侵权情况证明的，视为未提出警告或者未提出索要请求。

著作权人出示上述证明后网络服务提供者仍不采取措施的，著作权人可以依照著作权法第四十九条、第五十条的规定在诉前申请人民法院作出停止有关行为和财产保全、证据保全的裁定，也可以在提起诉讼时申请人民法院先行裁定停止侵害、排除妨碍、消除影响，人民法院应予准许。

第八条 网络服务提供者经著作权人提出确有证据的警告而采取移除被控侵权内容等措施，被控侵权人要求网络服务提供者承担违约责任的，人民法院不予支持。

著作权人指控侵权不实，被控侵权人因网络服务提供者采取措施遭受损失而请求赔偿的，人民法院应当判令由提出警告的人承担赔偿责任。