國家信息安全的重要性范例6篇

前言：中文期刊網精心挑選了國家信息安全的重要性范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

國家信息安全的重要性范文1

0引言

 

隨著光纖寬帶、移動電話、移動互聯網的普及，通信服務在我們的日常生活中發揮了越來越重要的作用。伴隨社會的信息化推進，通信技術也得到了快速發展。通信得到了社會的廣泛認可。近年來，伴隨著互聯網技術在全球迅猛發展，信息化給人們提供了極大的便利，然而，同時我們也正受到日益嚴重的來自網絡的安全威脅，比如黑客攻擊、重要信息被盜等，網絡安全事件頻發，給人們的財產和精神帶來很大損失。但是，在世界范圍內，黑客活動越來越猖狂，黑客攻擊者無孔不入，對信息系統的安全造成了很大的威脅，對社會造成了嚴重的危害。除此之外，互聯網上黑客網站還在不斷增加，這就給黑客更多的學習攻擊的信息，在黑客網站上，學習黑客技術、獲得黑客攻擊工具變得輕而易舉，更是加大了對互聯網的威脅。如何才能保障信息系統的信息安全，怎樣才能確保網絡信息的安全性，尤其是網絡上重要的數據的安全性。

 

在通信領域，信息安全尤為重要，它是通信安全的重要環節。在通信組織運作時，信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面，小到人與人之間聯系的紐帶，大到國與國之間的信息交流。因此，研究信息安全和防護具有重要的現實意義。

 

一、通信運用中加強信息安全和防護的必要性

 

1.1搞好信息安全防護是確保國家安全的重要前提

 

眾所周知，未來的社會是信息化的社會，網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點，如果信息安全防護工作跟不上，一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此，信息安全防護不僅是未來戰爭勝利的重要保障，而且將作為交戰雙方信息攻防的重要手段，貫穿戰爭的全過程。一旦信息安全出現問題，可能導致整個國家的經濟癱瘓，戰爭和軍事領域是這樣，政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡，關系到世界的安定和平。比如，美國加利弗尼亞州銀行協會的曾經發出一份報告，稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞，造成的后果將是致命的，3天就會影響加州的經濟，5天就能波及全美經濟，7天會使全世界經濟遭受損失。鑒于信息安全如此重要，美國國家委員會早在2000年初的《國家安全戰備報告》里就強調：執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》，第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來，我國也越來越重視信息安全問題，相關的研究層出不窮，為我國信息安全的發展奠定了基礎。

 

1.2我國信息安全面臨的形勢十分嚴峻

 

信息安全是國家安全的重要組成部分，它不僅體現在軍事信息安全上，同時也涉及到政治、經濟、文化等各方面。當今社會，由于國家活動對信息和信息網絡的依賴性越來越大，所以一旦信息系統遭到破壞，就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂，其后果不堪設想。由于我國信息化起步較晚，目前信息化系統大多數還處在“不設防’，的狀態下，國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面：首先，全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解，對因忽視信息安全而可能造成的重大危害還認識不足，信息安全觀念還十分淡薄。因此，在研究開發信息系統過程中對信息安全問題不夠重視，許多應用系統處在不設防狀態，具有極大的風險性和危險性。其次，我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上，還是在計算機軟件上，我國信息化系統的國產率還較低，而在引進國外技術和設備的過程中，又缺乏必要的信息安全檢測和改造。再次，在軍事領域，通過網絡泄密的事故屢有發生，敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后，我國國家信息安全防護管理機構缺乏權威，協調不夠，對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離，管理混亂，缺乏與信息化進程相一致的國家信息安全總體規劃，妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。

 

二、通信中存在的信息安全問題

 

2.1信息網絡安全意識有待加強

 

我國的信息在傳輸的過程中，特別是軍事信息，由于存在擴散和較為敏感的特征，有的人利用了這一特點采取種種手段截獲信息，以便了解和掌握對方的新措施。更有甚者，在信息網絡運行管理和使用中，更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此，我們更要深層次地加強網絡安全方面的觀念，認識到信息安全防護工作不僅僅是操作人員的“專利”，它更需要所有相關人員來共同防護。

 

2.2信息網絡安全核心技術貧乏

 

目前，我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用，忽略了一定的安全隱患。技術上的落后，使得設備受制于人。因此，我們要加大對信息網絡安全關鍵技術的研發，避免出現信息泄露的“后門”。

 

2.3信息網絡安全防護體系不完善

 

防護體系是系統頂層設計的一個重要組成部分，是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防，技術單一?，F代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統，并擔負著網絡攻防對抗的重任。因此，現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。

 

2.4信息網絡安全管理人才缺乏

 

高級系統管理人才缺乏，已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術，還要熟悉安全技術。既要具有豐富的網絡工程建設經驗，又要具備管理知識。顯然，加大信息安全人才的培養任重而道遠。

 

三、通信組織運用中的網絡安全防護

 

網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注，如何防范病毒入侵、保護信息安全是人們關心的問題，筆者總結了幾點常用的防范措施，遵循這些措施可以降低風險發生的概率，進而降低通信組織中信息安全事故發生的概率。

 

3.1數據備份

 

對重要信息資料要及時備份，或預存影像資料，保證資料的安全和完整。設置口令，定期更換，以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術，在磁盤子系統中有兩個系統進行同樣的工作，當其中一個系統故障時，另一個系統仍然能正常工作。加密對網絡通信加密，以防止網絡被竊聽和截取，尤其是絕密文件更要加密處理，并定期更換密碼。另外，文件廢棄處理時對重要文件粉碎處理，并確保文件不可識別。

 

3.2防治病毒

 

保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件，定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性，保證在使用前對軟盤進行病毒檢查，殺毒軟件應及時更新版本。一旦發現正在流行的病毒，要及時采取相應的措施，保障信息資料的安全。

 

3.3提高物理安全

 

物理安全是保障網絡和信息系統安全的基本保障，機房的安全尤為重要，要嚴格監管機房人員的出入，堅決執行出入管理制度，對機房工作人員要嚴格審查，做到專人專職、專職專責。另外，可以在機房安裝許多裝置以確保計算機和計算機設備的安全，例如用高強度電纜在計算機的機箱穿過。但是，所有其他裝置的安裝，都要確保不損害或者妨礙計算機的操作。

 

3.4安裝補丁軟件

 

為避免人為因素(如黑客攻擊)對計算機造成威脅，要及時安裝各種安全補丁程序，不要給入侵者以可乘之機。一旦系統存在安全漏洞，將會迅速傳播，若不及時修正，可能導致無法預料的結果。為了保障系統的安全運行，可以及時關注一些大公司的網站上的系統安全漏洞說明，根據其附有的解決方法，及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。

 

3.5構筑防火墻

 

構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的，能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊，也不能阻止惡意代碼的入侵，如病毒和特洛伊木馬。

 

四、加強通信運用中的信息安全與防護的幾點建議

 

為了應付信息安全所面臨的嚴峻挑戰，我們有必要從以下幾個方面著手，加強國防信息安全建設。

 

4.1要加強宣傳教育，切實增強全民的國防信息安全意識

 

在全社會范圍內普及信息安全知識，樹立敵情觀念、紀律觀念和法制觀念，強化社會各界的信息安全意識，營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢，自覺針對存在的薄弱環節，采取各種措施，把這項工作做好;另一方面要結合工作實際，進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。

 

4.2要建立完備的信息安全法律法規

 

信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來，我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規，但從整體上看，我國信息安全法規建設尚處在起步階段，層次不高，具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此，我們應當加快信息安全有關法律法規的研究，及早建立我國信息安全法律法規體系。

 

4.3要加強信息管理

 

要成立國家信息安全機構，研究確立國家信息安全的重大決策，制定和國家信息安全政策。在此基礎上，成立地方各部門的信息安全管理機構，建立相應的信息安全管理制度，對其所屬地區和部門內的信息安全實行統一管理。

 

4.4要加強信息安全技術開發，提高信息安全防護技術水平

 

沒有先進、有效的信息安全技術，國家信息安全就是一句空話。因此，我們必須借鑒國外先進技術，自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術，開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術，加強計算機網絡安全管理，為保護國家信息安全打卜一個良好的基礎。

 

4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節

 

首先，可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識，加大網絡安全教育的投入。其次，重要數據和信息要及時備份，也可采用影像技術提高資料的完整性。第三，及時更新殺毒軟件版本，殺毒軟件可將部分病毒拒之門外，殺毒軟件更新提高了防御病毒攻擊的能力。第五，對重要信息采取加密技術，密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六，嚴格執行權限控制，做好信息安全管理工作?！叭旨夹g，七分管理”，可見信息安全管理在預防風險時的重要性，只有加強監管和管理，才能使信息安全更上一個臺階。

 

4.6建立和完善計算機系統風險防范的管理制度

 

建立完善的防范風險的制度是預防風險的基礎，是進行信息安全管理和防護的標準。首先，要高度重視安全問題。隨著信息技術的發展，攻擊者的攻擊手段也在不斷進化，面對高智商的入侵者，我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時，可以借鑒國外相關研究，尤其是一些發達國家，他們信息技術起步早，風險評估研究也很成熟，我們可以借鑒他們的管理措施，結合我們的實際，應用到風險防范中，形成風險管理制度，嚴格執行。

 

其次，應當設立信息安全管理的專門機構，并配備專業技術人才，選拔防范風險的技術骨干，開展對信息安全技術的研究，對系統弱點進行風險評估，及時采取補救措施。完善信息安全措施，并落實到信息安全管理中去。

 

五、結論

 

通信在生活中有著廣泛的應用，涉及到人們生活的方方面面。它構建安全的通信系統是進行通信組織運用中信息安全防護的前提。通信系統網絡安全防護體系應以一個良好的安全策略為起點，建立在安全的網絡中，保障通信系統的安全，維護信息安全。

國家信息安全的重要性范文2

目前，我國的信息安全事件和事故的頻繁發生，這和老百姓最為直接的就是個人網絡賬號被盜。據賽門鐵克諾頓公司9月11日的諾頓安全報告顯示，從2011年7月至2012年7月，網絡犯罪致使全球個人用戶蒙受的直接損失高達1100億美元。同期，中國估計有超過2.57億人成為網絡犯罪受害者，直接經濟損失達人民幣2890億元。

針對日趨嚴重的網絡安全問題。工信部通信保障局網絡安全處副處長付景廣對記者說，工信部建立了通訊行業和網絡安全防護、應急演練等等，以保障網絡運行的穩定和安全。“針對網絡釣魚、垃圾信息等危險用戶的切實利益問題，我們與中國互聯網協會、中國網絡互聯網信息中心等建立了相關的機制，以凈化網絡環境?！?/p>

信息安全風險管理需常態化

國家信息化專家咨詢委員會委員、國家信息化中國專家委員會副主任寧家駿認為，當前，信息安全形勢變化總體來說是國家信息安全形勢的一種表現。2010年前后可以看到美國進一步調整它的國家信息安全戰略，俄羅斯、紐約也在調整，日本更明確把國家的安全防范對象轉向我們國家?！?·11恐怖事件”發生后，美國的多部門獨立管理，多種模式逐漸感到沒有辦法適應信息時代國家安全戰略調整需求。所以，它先后整合了一些部門通管他們信息安全技術，另外也任命了公安局的局長出任網絡司令部的司令整合軍內的信息戰略領域。

在當前我們必須看到我們國家的網絡信息安全工作面臨新的復雜的形勢。進入新世紀以來，經濟、社會發展對我們信息網絡和信息化的依賴程度越來越高，現在我們可以說金融、交通、電力、水務等都離不開信息網絡。

寧家駿指出，信息網絡的發展已經成為推動社會和經濟發展的重要力量，也是各國競爭的制高點。一方面我們看到信息化的大勢不可逆轉，但是同時我們要必須看到，隨著我們中國的迅速崛起，也引起了國際社會的廣泛關注。在這種背景下，在全球網絡空間國際競爭日趨激烈的背景下，我們的信息安全問題更加錯綜復雜。所以，對信息安全保障體系的建設需求更加緊迫，面對國內和國際形勢，必須進一步提高對我們重要性系統的信息安全保障體系建設的高度重視和對風險的應對能力。

特別是在當前互聯網這種特性——規模龐大、帶寬持續增長和應用邏輯日益復雜的情況下，如果繼續在不同的安全領域中間各自為戰將不能適應信息安全新的發展要求。如何處理這種信息訪問的瓶頸？如何應對這種開放協議的安全事件？如何來解決我們應用軟件中安全漏洞難以避免的現實？寧家駿認為，這些問題要求我們必須解決在信息安全保障中全局協同的問題，同時要提高我們的效能，提高我們對事件處置能力和事前應急預警的能力。

在世界競爭日趨復雜的環境中，已經發生的一些重大信息安全事件對我國的發展產生不同的損失，對我國信息安全的重要性提出了更加緊迫的要求。特別是我們看到威脅在不斷的演變，有些部門的人覺得自己的電腦沒有什么可以保密的文件，疏忽管理。其實恰恰不然，很多的隱蔽性的網絡攻擊就是把這些看似沒有價值的電腦作為網絡攻擊的第一個跳板。特別是當前移動互聯網的發展，智能終端的廣泛應用已經成為當前在網絡攻擊中的一個最好的獲利的平臺。

所以，國外每年銀行卡信息被盜損失的金額非常巨大，特別是在當前我們這種移動終端，包括山寨手機內置的一些軟件，包括我們惡意捆綁那些流氓的軟件，使得我們的手機不僅僅是被吸取話費，而且把病毒傳播開來。寧家駿說：“未來一方面是信息化安全技術，一方面是面臨這種復雜的環境，使我們應對危機的難度在增加。所以，我們必須看到我們存在明顯的不足，清醒的認識到這種日益增加的戰略層面的巨大的威脅，包括我們很多的技術手段。同時，我們必須要解決這種各自為戰的，要克服這種誰主管、誰負責的局限性?！?/p>

“我們又必須看到風險管理的滯后和非常態化。當前，我們重視了風險評估工作，但是往往我們對風險的理解常常是限定在技術層面，而沒有考慮到相關方的核心力。”寧家駿說，“我們的風險評估常?；陟o態，沒有真正的開展常態化的、動態的持續的監管。特別是我們個人信息的保護嚴重的滯后，所以在這里既有我們用戶和企業的意識淡薄，更有我們法律的欠缺，也有我們相應的服務和管理上的約束的不足?！?/p>

手機信息安全不容忽視

黑客的入侵手法日益更新，傳統的網絡安全問題正逐漸向移動互聯網等領域延伸。付景廣介紹，手機終端與PC終端面臨的問題沒有本質的區別，都面臨木馬病毒等問題。但是，手機的繳費和扣費功能更容易受到黑客的關注。調查發現有些木馬病毒可以操控手機，定制收費業務，造成用戶的經濟損失，有的還可以遠程竊取手機的位置信息和通話記錄等，導致用戶隱私泄露。

今年以來，社會上有一些企業搜集用戶的個人信息引起人們關注。付景廣說：“我們需要增強安全意識，這與現實生活中的偷盜詐騙等相比，手機的安全問題和虛擬性、空間地域性，使網絡的安全問題變得更加隱蔽和復雜?！彼J為，人們只有樹立起正確的防范意識，才會自覺地養成良好的防范舉措。但是，還有很多在信息產業中的從業人員對信息安全的防范也是一知半解。

最近，工信部發文明確要求：

第一，手機制造企業和行業協會要承擔起指導用戶安全使用手機的責任，加強風險提示等。

第二，加強應用商店安全管理，控制手機惡意程序的渠道。對捆綁惡意功能的程序必須加大力度處理；另一方面開辦應用商店的基礎企業，移動互聯網企業和手機制造企業要切實履行好各自的責任和安全的審核機制。

國家信息安全的重要性范文3

確保信息網絡安全正在成為新世紀國家安全的重要基石和基本內涵。這就向我們提出了一個迫切需要解決的重大戰略性問題，即:如何切實保障信息網絡安全，以確保我國信息化建設快速、平穩、健康發展，避免信息網絡安全問題導致社會危機的發生。

同時，它也要求我們必須結合國情，從“發展是硬道理”出發看待和把握信息安全問題，對我國信息化發展進程中面臨的信息安全威脅演變趨向加以冷靜分析、正確判斷，制定科學、務實、有效的安全保障戰略。

提升應急能力

面對全球一體化的互聯網環境，國家公共互聯網應急體系的建立和應急處理能力的提高，并不能僅僅依靠政府的力量，而是需要世界各國相關組織在技術、資源、經驗方面的共同合作，需要政府與企業、全社會每個人的互動。

在互聯網這樣一個復雜的巨系統中，如何提高應急響應的處理水平確是擺在我們面前的巨大難題。目前的應急管理無法適應日益復雜的安全系統的要求。為了解決這些問題，我們在方法學上提出了“綜合集成”的思路，即自上而下、自下而上的結合（如圖1所示）。

要落實綜合集成的方法論就要綜合治理，不僅靠一個部門或一個企業制定信息安全應急預案，而且需要建立一個全球相互協作體系。在統一的標準、一致的應急處理方法下，達到體系的高度靈活性。

同時，我國也必須要建立自己的體系，并與全球的相關組織緊密合作，實現從定性到定量的協調機制。在不斷變化的技術環境中，今天最好的安全措施可能在明天會過時。安全措施必須緊跟這些變化，必須作為系統開發生命周期中的一重要組成部分加以考慮，并在每一階段明確其定位。

信息安全常被看作是一個技術問題，少有組織認為它是組織必需優先考慮的對象。 信息安全治理是我國信息安全保障體系建設的戰略需求。我國信息安全治理的方針和戰略是:以單項治理為主向以綜合治理為主轉變;從注重事后處理向以事前預警為重點轉變;從與電子政務和電子商務實際應用系統的松散結合向緊密相結合轉變;為經濟社會協調發展提供支撐;以人為本、自主創新、協同集成、重點跨越。

避免誤區

在評估和把握我國信息安全形勢的走向時，要避免出現兩種傾向:一是在信息安全領域中尚不存在特別重大威脅的情況下，對信息安全問題的演變趨勢估計不足、重視不夠，給國家信息化的持續發展留下安全隱患;二是對信息安全領域諸多屬于一般性威脅問題的嚴重性估計過高，把技術與管理不健全而造成的安全問題視為戰略問題，造成人力、財力的浪費，給國家管理和社會進步增添負擔。

思路和原則

抓住我國綜合實力進一步增強和加入WTO的機遇，統籌我國信息安全保障體系建設，在自力更生基礎上按需引進、充分利用和借鑒國外先進技術與管理經驗，在15～20年時間內，堅持與時俱進、求真務實的精神，通過統一規劃、分步實施，政府引導、全民參與的方式，通過信息安全治理，建立起完整的國家信息安全保障體系。應該按照如下原則來進行安全保障體系的建設:

堅持風險管理原則完全避免風險是不現實的，要對關鍵領域的信息安全風險進行識別和評估，采取必要的保護措施和應急措施來降低風險，使之控制在可承受的范圍內。

明確統籌兼顧原則在實施策略方面，要明確國家、企業和個人在信息安全方面的責任和義務，充分發揮各方面的積極性;要統籌城鄉信息安全建設，協調區域化信息安全建設與全國信息安全建設。

重視經濟實用原則切忌空談和夸大，量力而行，突出重點。以我國信息安全領域最急需開展的工作作為突破點，扎實地做好信息安全工作。管理上要將關鍵信息網絡安全的整改作為信息安全建設的切入點，技術上要采用綜合集成思想，逐步完善關鍵基礎設施的安全保障，切實提高信息安全防護能力。

遵循循序漸進原則信息安全戰略要與國家信息化發展和社會轉型相適應，采取統一規劃、分步實施，以及短期和中長期目標相結合的方式進行。

治理三階段

國家信息安全戰略的總體目標是保障關系到國計民生的信息基礎設施的適度安全，實現國家對信息化環境與內容的治理（如圖2所示）。

第一階段，打基礎、保重點，初步建立我國信息安全防護體系。

戰略重點是保障“3＋7”關鍵基礎網絡安全、信息內容安全和加強網絡監管。戰略目標是確保國家信息化建設健康、穩步地發展。

保護關鍵基礎網絡安全指由電信網、廣播電視網和互聯網構成的三個基礎網和由稅務、電力、銀行、證券、海關、鐵道、民航構成的七個關鍵網。

保護信息內容安全指防止有害內容的產生、傳播和可獲得性。要建立信息網絡監管體系，實現對信息內容安全監控，對有害信息內容進行過濾，減少其精神污染。加強政府對信息網絡的監管力度及對網絡安全運行的監控和管理。

通過立法，將監控管理從行政管理的范疇納入到法制范疇。對電子保密信息進行合法的安全監管，增強信息犯罪取證調查能力。

第二階段，重體系、促發展，形成較強的國家信息安全保障能力。

戰略重點是確保政務網絡安全高效、商務網絡安全可靠、網絡文化健康向上。戰略目標是促進網絡經濟蓬勃發展，形成良好網絡秩序。

政務網絡安全保障重點是保證關鍵指令和信息的有效上傳下達，政務資源的有效整合和利用。為此，要加快安全保障體系與安全支撐平臺建設，這是政府在信息安全上的法律職責和義務。

第三階段，實現對信息網絡的有效治理，初步具備信息反制能力。

戰略重點是有效維護信息空間領域國家利益，大幅提高全民在信息化進程中生活質量和福利。

戰略目標是達到信息網絡的科學治理、維護經濟與社會的可持續發展。

在政策法規方面，建立完善的信息安全法律法規體系。在技術方面，依據信息安全技術戰略，在關鍵領域取得突破性進展。在產業方面，通過政策傾斜和市場競爭，孵化出信息安全“航空母艦”型企業，信息安全主要核心技術基本實現自主化。

五大安全治理規范（供參考）

一、經濟合作和發展組織，《信息系統安全指南》（1992）

《信息系統安全指南》用于協助國家和企業構建信息系統安全框架。美國、OECD的其他23個成員國，以及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息系統風險意識和安全措施，提供一個一般性的框架以輔助信息系統安全度量方法、操作流程和實踐的制定和實施，鼓勵關心信息系統安全的公共和私有部門間的合作，促進人們對信息系統的信心，促進人們應用和使用信息系統，方便國家間和國際間信息系統的開發、使用和安全防護。

這個框架包括法律、行動準則、技術評估、管理和用戶實踐，及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標桿，通過此標桿測量進展。

二、國際會計師聯合會，《信息安全管理》（1998）

信息安全目標是“保護依靠信息、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準則時可認為達到信息安全目標:數據和信息只透露給有權知道該數據和信息的人（機密性）;數據和信息保護不受未經授權的修改（完整性）;信息系統在需要時可用和有用（可用性）。 機密性、完整性和可用性之間的相對優先級和重要性根據信息系統中的信息和使用信息的商業環境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統的威脅既有可能來自有意或無意的行動，也可能來自內部或外部。信息安全事故的發生可能是因為技術方面的因素、自然災害、環境方面、人的因素、非法訪問或病毒。另外，業務依賴性（依靠第三方通信設施傳送信息，外包業務等等）也可能潛在地導致管理控制的失效和監督不力。

三、國際標準化組織，《ISO 17799國際標準》（最新版是2005）

ISO 17799（根據BS 7799第一部分制定）作為確定控制范圍的單一參考點，在大多數情況下，這些控制是使用業務信息系統所必須的。該標準適應任何規模的組織。它把信息作為一種資產，像其他重要商業資產一樣，這種資產對組織有價值，因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性，確保信息只被相應的授權用戶訪問;完整性，保護信息和處理信息程序的準確性和完整性;可用性，確保授權用戶在需要時能夠訪問信息和相關資產。信息安全保護信息不受廣泛威脅的損毀，確保業務連續性，將商業損失降至最小，使投資收益最大并抓住各種商業機遇。安全是通過實施一套恰當的控制措施實現的。該控制措施由策略、實踐、程序、組織結構和軟件組成。

四、信息系統審計和控制協會，《信息和相關技術的控制目標》（CoBIT）

CoBIT起源于IT需要傳遞組織為達到業務目標所需的信息這個前提，至今已有三個版本。除了鼓勵以業務流程為中心，實行業務流程負責制外，CoBIT還考慮到組織對信用、質量和安全的需要，它提供了組織用于定義其對IT業務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進一步把IT分成4個領域（計劃和組織，獲取和實施，交付和支持，監控），共計34個IT業務流程。CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細的控制目標，以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯結業務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例，以形成一個可控和邏輯結構內的活動。

五、美國注冊會計師協會(加拿大特許會計師協會)，《SysTrust TM系統可靠性原理和準則V20》（2001）

國家信息安全的重要性范文4

檔案信息安全保障問題最早是由美國提出的，對于信息安全保障他們給出了自己的定義，總結了信息安全的各種特性以及信息系統的功能。其實，對于信息安全保障系統可以從多種角度進行分析，主要包括信息安全技術和信息安全管理等方面。由于檔案信息安全問題關系到小單位甚至國家的安全，因此對于保障體系的構建宏觀上就上升到了國家的戰略高度，十分必要。

二、我國檔案信息安全保障體系建設

（一）檔案信息安全管理體系建設

宏觀檔案信息安全保障體系側重的是檔案信息安全管理體制，由于缺乏統一的管理體制，各地對檔案信息管理漏洞百出，使得許多機關信息無法保密，滋生了部分信息安全方面的犯罪。只有對檔案信息安全的相關政策和法規標準進行規范，才有利于對檔案信息的管理規制，進而保障信息安全。在這方面國家需要做的就是，在國家檔案局成立專門的檔案信息安全管理處以負責對檔案信息的管理工作，在各省市也成立相應的檔案信息安全管理部門，具體執行相關的安全保障工作。對于相關的法規完善是必不可少的，只有在國家法規的指導下，地方才可以制定出本地適用的地方標準，以便于檔案信息安全保障工作的順利開展。

（二）檔案信息安全技術體系建設

從技術上對檔案信息的安全進行保障，也是檔案信息安全技術體系的目標，可有效保障檔案信息的完整性、可追溯性、真實性等。隨著時代的發展，信息安全技術不斷進步，依據不同屬性可分為：物理安全技術、系統安全技術、數據安全技術、網絡安全技術、用戶安全技術等等。在運用這些安全技術時要考慮到檔案信息的特殊性，比如檔案信息的性，還有些檔案需要長時間保存，還需要保證其真實性，就需要對這樣的檔案信息進行特殊的物理安全技術保存?？梢?，對檔案信息采取安全技術進行保障時要謹慎保存。

（三）檔案信息安全法規標準體系建設

標準化是一種科學的管理手段，以標準行事可以減少檔案信息安全管理中出現的盲目性，有了標準就有了檔案信息安全保障工作的規劃和目標。為了促進檔案信息化建設的順利開展必須要加強立法，使得檔案信息安全保障工作有法可依，在法律的保護下進一步完善。國家制定了檔案安全法規后，地方就可以參照法律制定地方條例和標準，針對本地實際情況管理本地的檔案信息安全工作

（四）檔案信息安全基礎設施體系建設

檔案信息安全基礎設施體系就是要為檔案信息安全構建基本的設施，為保障檔案信息安全提供最有利的服務和支撐。這些基礎設施涵蓋面比較廣泛，主要包括檔案信息系統，這個系統需要檔案管理部門的協調和引導，運用計算機數據加密和數字簽名；檔案信息災備中心建設是檔案信息安全保障中的一項基礎設施，檔案部門可以通過多種途徑對檔案信息進行災難備份，以保障信息的長期性；檔案信息系統應急響應的工作需要利用政府或商業機構的應急服務，這項支援服務的關鍵就是選擇具有國家資質認可的服務機構，還要向缺乏信息安全專業人員的檔案部門提供安全服務。

（五）檔案信息安全人才培養體系建設

人才是科技發展的生力軍，檔案信息安全保障的根本離不開檔案信息安全人才的培養，我國對于信息安全人才培養體系的構建已經提上日程，對于這方面的教育也逐漸普及，主要包括高校信息安全學科教育、科研機構高學歷教育、商業化培訓以及各單位信息安全普及的教育等。另外我國也在各大高校開設了信息安全教育，設立了相關的專業，其中以中國科學院的教育工作做得最為出色。信息安全的教育要大力普及，宣傳檔案信息安全專業的重要性，讓更多的人去關注，吸引信息安全人才投身到檔案信息安全保障工作中，吸納高學歷人才成為檔案信息安全建設的主力軍，普及教育工作還要進一步推廣，盡快構建檔案信息安全人才培養體系。

三、總結

國家信息安全的重要性范文5

【 關鍵詞 】 信息安全；等級保護；現狀及問題；建議

【 中圖分類號 】 TP393.08 【 文獻標識碼 】 A

Discussion the Status of Information Security base on Graded Protection

Zhang Wei-li

（CCID Think tank， China Center of Information Industry Development Beijing100048）

【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country， and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ，development both at home and abroad were introduced in this paper， as well as the status quo of Graded Protection in China. On this basis， the paper analyzes the problems existing in the Graded Protection in China， and put forward some Suggestions for bettering Graded Protection work.

【 Keywords 】 information security； graded protection； status and problems； suggestion

1 引言

目前對信息及信息系統實行分等級保護是各國保護關鍵基礎設施的通行做法。在我國信息安全等級保護是保障國家信息安全的一項基本制度。通過信息安全等級保護工作，實現信息安全資源的優化配置，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全，有效提高我國信息和信息系統安全建設的整體水平。

1.1 信息安全等級保護的概念及等級劃分

信息系統安全等級保護是指對信息以及信息系統分等級進行安全保護和監管；對信息安全產品的使用進行分等級管理；對信息系統中發生的信息安全事件分等級響應、處置的綜合性工作制度。

根據信息系統在國家安全、經濟建設、社會生活中的重要程度，以及信息系統遭到破壞后對國家安全、社會秩序、公共利益，以及公民、法人和其他組織的合法權益的危害程度等因素，將信息系統安全等級由低到高分為五個等級：第一級，自主保護級；第二級，指導保護級；第三級，監督保護級；第四級，強制保護級；第五級，?？乇Ｗo級。依據安全保護能力也劃分為五個等級：第一級，用戶自主保護級；第二級，系統審計保護級；第三級，安全標記保護級；第四級結構化保護級；第五級訪問驗證保護級。

1.2 國外信息安全等級保護的發展歷程

等級保護思想最早源于20世紀60年代的美軍文件保密制度，其中第一個比較成熟并且具有重大影響的是1985年的《可信計算機系統評估準則》（TCSEC），該準則是當時美國國防部為適應軍事計算機的保密需要提出的，主要是針對沒有外部連接的多用戶系統提出。

受美國等級保護思想的影響，歐盟和加拿大也分別制定自己的等級保護評估準則。英、法、德、荷等四國于1991年提出了包含保密性、完整性、可用性等概念的歐共體的《信息技術安全評估準則》（ITSEC）。ITSEC 作為多國安全評估標準的綜合產物，適用于軍隊、政府和商業部門。1993年加拿大公布《可信計算機產品評估準則》（CTCPEC）3.0版本。CTCPEC作為TCSEC和ITSEC的結合，將安全分為功能性要求和保證性要求兩部分。功能性要求分為機密性、完整性、可用性、可控性等四個大類。

為解決原各自標準中出現的概念和技術上的差異，1996年美國、歐盟、加拿大聯合起來將各自評估準則合為一體，形成通用評估準則（Common Criteria）。1999年出臺的CC2.1版本被ISO采納，作為ISO15408。在CC中定義了評估信息技術產品和系統安全性所需要的基礎準則，是度量信息技術安全性的基準。

1.3 我國信息安全等級保護的發展歷程

在國際信息安全等級保護發展的同時，隨著信息化建設的發展，我國的等級保護工作也被提上日程。其發展主要經歷了四個階段。

1994-2003年是政策環境營造階段。國務院于1994年頒布《中華人民共和國計算機信息系統安全保護條例》，規定計算機信息系統實行安全等級保護。2003年，中央辦公廳、國務院辦公廳頒發《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）明確指出“實行信息安全等級保護”。此文件的出臺標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障一項基本制度。

2004-2006年是等保工作開展準備階段。2004年至2006年期間，公安部聯合四部委開展了涉及65117家單位，共115319個信息系統的等級保護基礎調查和等級保護試點工作。通過摸底調查和試點，探索了開展等級保護工作領導、組織、協調的模式和辦法，為全面開展等級保護工作奠定了堅實的基礎。

2007-2010年是等保工作正式啟動階段。2007年6月，四部門聯合出臺了《信息安全等級保護管理辦法》。7月四部門聯合頒布了《關于開展全國重要信息系統安全等級保護定級工作的通知》，并于7月20日召開了全國重要信息系統安全等級保護定級工作部署專題電視電話會議，標志著我國信息安全等級保護制度歷經十多年的探索正式開始實施。

2010年至今是等保工作規模推進階段。2010年4月，公安部出臺了《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》，提出等級保護工作的階段性目標。2010年12月，公安部和國務院國有資產監督管理委員會聯合出臺了《關于進一步推進中央企業信息安全等級保護工作的通知》，要求中央企業貫徹執行等級保護工作。至此我國信息安全等級保護工作全面展開，等保工作進入規?；七M階段。

2 我國信息安全等級保護的現狀

2.1 等級保護的組織架構初步形成

截止目前，除了國家信息安全等級保護協調小組辦公室外，在大陸31個省、自治區、直轄市當中除天津、黑龍江、河南、重慶、陜西外，有26個行政區成立了省級的信息安全等級保護協調小組辦公室。22個省、自治區、直轄市建立了信息安全等級保護聯絡員制度，共確定1598名聯絡員。獲得信息安全等級保護測評機構推薦資質的測評機構共121家，除新疆外各省均有獲得資質的等級保護測評機構，其中國家的測評機構有7家，北京市有10家，江蘇省有14家，浙江省、山東省各有7家，廣東省有6家，其他省、自治區、直轄市有1-5家不等。25個行政區建立了等級保護專家組，共確定441名專家。

2.2 信息安全等級保護的政策體系初步形成

為組織開展信息安全等級保護工作，國家相關部委（主要是公安部牽頭組織，會同國家保密局、國家密碼管理局、原國務院信息辦和發改委等部門）相繼出臺了一系列文件，對具體工作提供了指導意見和規范，這些文件初步構成了信息安全等級保護政策體系。具體關系如圖1。

《中華人民共和國計算機信息系統安全保護條例》和《國家信息化領導小組關于加強信息安全保障工作的意見》分別是開展信息安全等級保護工作的法律依據和政策依據?！蛾P于信息安全等級保護工作的實施意見》和《信息安全等級保護管理辦法》是在法律依據和政策依據的基礎上制定的政策文件，其為等級保護工作的開展提供宏觀指導。在上述基礎上，針對信息安全等級保護工作的定級、備案、安全建設整改、等級測評、監督檢查的各工作環節制定具有操作性的指導文件。政策體系的形成，為組織開展等級保護工作、建設整改工作和等級測評工作提供了指導，明確了各環節的工作目標、工作要求和工作流程。

2.3 信息安全等級保護的標準體系基本完善

為推動信息安全等級保護工作，全國信息安全標準化技術委員會和公安部信息系統安全標準化技術委員會組織制訂了信息安全等級保護工作需要的一系列標準，匯集成《信息安全等級保護標準匯編》，為開展等級保護工作提供了標準指導。這些標準與等保各環節的工作關系如圖2所示。

《計算機信息系統安全保護等級劃分準則》及配套標準是《信息系統安全等級保護基本要求》的基礎?！缎畔⑾到y安全等級保護基本要求》是信息系統安全建設整改的依據，信息系統安全建設整改應以落實《基本要求》為主要目標。《信息系統安全等級保護定級指南》是定級工作的指導性文件，為信息系統定級工作提供了技術支持?！缎畔⑾到y安全等級保護測評要求》等標準規范了等級測評活動，為等級測評機構開展等級測評活動提供了測評方法和綜合評價方法?！缎畔⑾到y安全等級保護實施指南》是信息系統安全等級保護建設實施的過程控制標準，用于指導信息系統運營使用單位了解和掌握信息安全等級保護工作的方法、主要工作內容以及不同的角色在不同階段的作用。

2.4 信息安全等級保護的工作取得一定進展

各重點行業根據等級保護的政策要求開展了本系統內的等級保護工作。為落實相關等級保護政策有關行業制定了自己的行業標準，例如《廣播電視相關信息系統安全等級保護等級指南》、《水利網絡與信息安全體系建設基本技術要求》等。金融領域，人民銀行出臺了《中國人民銀行關于銀行業金融機構信息系統安全等級保護等級的指導意見》，并于2012年了金融行業的《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息安全等級保護測評服務安全指引》、《金融行業信息系統信息安全等級保護測評指南》等三項行業標準，在采用《信息系統信息安全等級保護基本要求》的590項基本要求的基礎上，補充細化基本要求項193項，新增行業特色要求項269項，為金融行業開展關鍵信息系統信息安全等級保護實施工作具奠定了堅實基礎。

測評和安全建設工作有序開展。截止到2012年底，全國已經開展了5萬多個第二級信息系統和4萬多個三級系統的等級測評，并完成了相應的信息系統的等級保護安全建設整改。2012年底，全國性銀行業金融機構完成了880個二級以上信息系統的定級評審。2012年對反洗錢中心、征信中心、清算中心和金融中心的48個重要信息系統進行了測評，共發現4284項安全問題，整改完整3451向，通過整改后其信息系統的整改測評率達到了90%以上。

3 我國信息安全等級保護存在的問題

3.1 信息系統運營使用單位對等級保護工作的重視程度還不夠

近年來信息安全等級保護主管部門高度重視等級保護工作，制定相關政策和標準，舉辦等級測評師培訓等，但信息系統主管部門以及全社會對信息安全等級保護在信息安全保障體系中的基礎性地位認識還不到位，難以將等級保護制度和已有信息安全防護體系相銜接，工作方式簡單，手段缺乏，甚至出現以其他工作代替信息安全等級保護工作的消極傾向。同時，在工作中，一些企業還存在不愿投資，不愿受監管的思想，為節省人力、物力、財力將本該定為三級的重要信息系統定位二級，這些都影響信息安全等級保護制度的全面落實。

3.2 等級保護屬于合規性被動防護與目前信息安全主動防御需求還有差距

信息安全等級保護屬于政策性驅動的合規性保護，這種合規性保護只關注通用信息安全需求，并且屬于被動保護，對于當前信息安全保護中的主動防御要求還有差距。例如，中國鐵路客戶服務中心12306網站定義為等級保護四級，2012年，曾暴露出被黑客拖庫，以及因機房空調問題停止服務等問題，而這兩項內容都在等級保護規范中有明確的要求。所以，認為通過等級保護的評測就不會出問題顯然是一種誤區。

另外，2010年“震網”病毒事件破壞了伊朗核設施，表明網絡攻擊由傳統“軟攻擊”上升為直接攻擊要害系統的“硬摧毀”。2013年曝出的棱鏡門事件，2014年曝出的美國國安局入侵華為服務器等，這些事件表明當今信息安全的主要特征是要建立主動防御體系，例如建立授權管理機制、行為控制機制以及信息的加密存儲機制，即使信息得到泄露也不會被黑客輕易獲得。而等級保護是一種被動的、前置的保護手段，與當前信息安全保護所要求的實時的、主動防御還有一定的差距。

3.3 現有防護手段難以滿足新技術發展應用中的信息安全需求

信息安全等級保護政策標準的滯后，難以滿足新技術應用的信息安全需求。例如，當前的物聯網、云計算、移動互聯網的應用呈現出新特點，提出了新的安全需求，在網絡層面原本相對比較封閉的政府、金融、能源、制造系統開始越來越多的與互聯網相連接；計算資源層面，云計算的應用，呈現出邊界的消失、服務的分散、數據的遷移等特點，使得業務應用和信息數據面臨的安全風險愈發復雜化。用戶終端層面，移動互聯、智能終端大行其道，BYOD的應用等，都為企業信息安全管理提出新挑戰。

大數據的應用，很可能會出現將某些敏感業務數據放在相對開放的數據存儲位置的情況。針對這些邊界逐漸消失，服務較為分散，應用呈現虛擬化，敏感業務數據放在相對開放的數據存儲位置，等級保護的“分區、分級、分域”保護的原則已無法有效應用。如何有效滿足新技術應用下的信息安全需求，也是等級保護下一步需要考慮的內容。

4 進一步做好信息安全等級保護的相關建議

4.1 擴大宣傳力度，提高全社會對等保的重視程度

等級保護是我國信息安全建設的基本制度，需提高全社會對等級保護的重視程度，尤其是要提高信息系統主管部門對信息安全等級保護工作重要性的認識。在工作中，可以通過重要信息系統之間的項目依賴性分析，關鍵部門影響性分析等方法，來增強信息系統主管部門以及全社對信息系統信息安全重要性的認識。在各行業、企業內部，應當通過加強宣傳教育培訓，提高信息系統使用和運維人員的對信息安全等級保護的重視程度。在等級保護工作推進工作中，對故意將信息系統安全級別定低現象進行嚴查。

4.2 引入可信計算等主動防御理念，充分發揮等保在信息安全建設中的作用

要充分發揮等保在國家信息安全建設中的作用，需要從技術和管理兩個方面進行安全建設，做到可信、可控、可管；并且應當具有抵御來自敵對組織高強度連續攻擊（APT）的能力，以滿足當前信息安全形勢的需求。而可信計算技術可以實現計算處理結果與預期的相一致，中間過程可控制管理、可度量驗證。因此，可在信息安全等級保護基本要求等技術標準中引入可信計算的理念，將傳統的三重防護上升為可信計算環境、可信邊界、可信通信網絡組成的可信環境下的三重防護，從而實現主體的可信計算安全，進一步實現等級保護主動防御功能，充分發揮等級保護在信息安全建設中的作用。

4.3 完善等保技術標準體系，推進等級保護在云計算中的應用

針對當前的物聯網、工業控制系統、移動互聯網，云計算應用中帶來的數據高度集中、高虛擬化等的特點，信息安全等級保護應當在等級保護建設時必須加入對終端安全更高的基本需求。例如，在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；通過設定終端接入方式、網絡地址范圍等條件限制終端登錄等。同時在虛擬環境下，要求安全設備能識別網絡虛擬標簽，區分每臺虛擬機主機。針對云計算中邊界模糊化的特點，可以通過軟件安全實現對動態邊界的監測，保證其安全。具體推進中，可以通過完善等級保護相關整改建設指南，等級測評工作指南以及相關技術標準等，以指導具體工作的開展，從而以推進等級保護在云計算、物聯網、工控領域的等中的應用。

4.4 借鑒經驗，完善等級保護制度設計和體系建設

目前《信息安全等級保護定級指南》確定的對象是信息系統，《信息安全等級保護基本要求》也是針對自身具備運行的物理環境、網絡環境、系統環境和應用以及相關人員和管理體系等完整、標準的意義上的信息系統而提出的，而對于重要信息系統運行所依賴的網絡系統、IDC（互聯網數據中心）、災備中心等這樣的對象，無論是定級方法、保護要求還是測評結果判定方面等都還存在不合適的地方。

對此可以在定級過程中，參考美國經驗，引入系統法（特別是相互依賴性分析）和象征法，加深對定級對象的認識，通過仿真建模等分析技術進行定級合理性的驗證。在等級測評過程可以引入風險分析、威脅評價、系統分析等過程加強測評結果的可量化性。同時研究國外相關信息安全建設中的法律體系、標準體系、組織保障體系等，并在此基礎上進行自主創新，以改進我們等級保護實踐中發展的制度設計問題，提高政策、理論和技術水平。

5 結束語

當前信息技術發展迅速，信息安全面臨的國際形勢日益嚴峻，信息安全等級保護作為貫穿信息系統整個生命周期的信息安全保障措施，應當不斷完善其法律體系、技術標準體系以及實施保障機制等，以適應滿足新形勢下的信息安全需求。

參考文獻

[1] 《信息安全等級保護管理辦法》（公通字[2007] 43 號）.公安部，2007.

[2] 《計算機信息系統安全保護等級劃分準則》（GB17859）.

[3] DoD ，Trusted Computer System Evaluation Criteria（Orange Book）， 26 December 1985.

[4] Information Technology Security Evaluation Criteria；1994.

[5] The Canadian Trusted Computer Product Evaluation Criteria；Version 3 ；1993.

[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3， Version2.1. Augest 1999.

[7] ISO/IEC 15408-1：2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.

[8] 國務院.《中華人民共和國計算機信息系統安全保護條例》. 1994.

[9] 公安部、國家保密局、國家密碼管理委員會和國家信息辦.《信息安全等級保護的實施意見》（公信安[2007] 861 號）. 2007.

[10] 宋言偉，馬欽德，張健.信息安全等級保護政策和標準體系綜述.信息通信技術，2010（6）：59-61.

國家信息安全的重要性范文6

1.銷售系統設施建設。

硬件方面，各石油銷售企業都具有設施完善的中心計算機系統，供電采用UPS方式，采用“雙機熱備”的核心服務器工作模式，以確保整個硬件的可靠性和安全性；網絡方面，采用SDH光纖接入廣域網，包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式，設備之間，層層之間以光纖方式連接，以均衡網絡負載。除了安裝必備的防火墻，部分企業為進一步提高安全防范能力還安裝了外網入侵檢測系統；大多數加油站采用SSLVPN方式訪問企業內部網，以保證網絡接入的安全性。在PC系統方面，大多數企業統一安裝了企業版的病毒防護軟件系統和桌面安全網絡接入系統，實現PC機的MAC地址綁定。

2.銷售系統信息化建設。

目前，企業的銷售信息系統主要包括：加油卡系統、辦公自動化系統、加油站零售管理系統、企業門戶網站、ERP系統等。信息系統具有如下特點：一是用戶眾多，幾乎所有企業管理人員都是各系統用戶；二是應用領域廣，涉及企業經營、管理、對外服務諸多方面；三是要求連續運轉，如ERP系統必須滿足7×24小時運轉。由于信息系統的安全運轉不僅關系到企業經營管理的可持續性，其數據的安全性和保密性更關系到廣大客戶的利益。所以，基于上述的原因，企業對銷售信息系統的安全運轉提出了更高的要求。

3.銷售系統的信息安全現狀。

石油銷售管理系統是關系國家安全、經濟命脈、社會穩定的重要信息系統，國家對其信息安全高度重視，并在《2006-2020年國家信息化發展戰略》中強調，我國要全面加強國家信息安全保障體系的建設，大力增強國家信息安全保障能力，實現信息化建設與信息安全保障的協調發展。同時，國內石油銷售企業也長期重視信息安全工作，逐步建立了相應的保障體系和規章制度，但還存在以下問題：

（1）范圍涉及廣泛。

石油銷售企業分支機構多，終端運營組織龐大且分散，以中石油集團為例，其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統中，信息網絡承載著指導業務運行的重要功能。大量、分散部署的加油終端，必然會造成聯網方式的多樣化、網絡環境的復雜化。

（2）設備系統眾多。

石油銷售企業信息化管理系統中所涉及的設備精度髙、技術要求深，并且范圍廣泛，包括加油站、油庫等大量的自動化控制系統。因此，業務管理流程復雜，安全風險增大。

（3）人員素質不齊。

由于石油銷售屬于傳統行業，因此企業人員年齡跨度較大，對信息安全管理的職業組織參差不齊；甚至對于企業管理人員，對于信息安全的認識也多停留在紙上談兵；基層人員眾多，且直接面對客戶，流動性大，信息泄露風險極高。而且新生代的企業員工對計算機和網絡接觸早，應用水平高，日常使用頻繁，在缺乏網絡安全防護意識的情況下更易導致信息泄漏，甚至在好奇心理的鼓動下主動發起網絡攻擊行為，所以企業內網安全也成為一個突出的問題。

（4）資金投入有限。

國外企業在信息安全方面的資金投入達到了企業整體基建的5%-20%，而我國企業基本都在2%以下。全世界每年因信息安全方面的漏洞導致的經濟損失達數萬億美元，中國的損失也達到了一百億美元以上，但是中國企業在這方面的投資只有幾十億美元。因此，我國企業整體信息化安全建設預算不足。石油企業信息化工程是一項繁重的任務，需要在信息安全方面有更大的投入。大型油企需要建立復雜龐大的數據庫備份體系，建立并維護高效的網絡殺毒系統、企業級防火墻、IDS、IPS系統和完善的補丁更新及發放機制，以保證企業各方面的數據安全。建立這一復雜的系統需要大量的資金投入，而且其投入回報慢，因此石油企業普遍輕視這方面的投入和維護，信息安全建設相對于企業的發展整體滯后。

二、石油銷售系統的信息安全管理系統設計

石油銷售系統的信息安全管理系統是一個程序化、系統化、文件化的管理體系，以預防控制為主，強調動態全過程控制。建立相應的信息安全管理系統，需要從物理、信息、網絡、系統、管理等多方面保證整體安全；建立綜合防范機制，確保銷售信息安全以及加油卡、EPR等電子銷售系統的可靠運行，保障整體信息網絡的安全、高效、可靠運轉，規避潛在風險，供系統的可靠性和安全性。因此，石油銷售系統的信息安全管理系統構架分為以下組成：

（1）組織層面。

石油銷售部門應建立責任明確的各級信息安全管理組織，包括信息安全委員會、信息安全管理部門，并通過設立信息安全員，指定專人專項負責。通過這些部門和負責人開展信息安全認知宣傳和培訓，提高企業員工對信息安全重要性的認識。

（2）制度層面。

制定安全方針、安全管理制度、安全操作規程和突發事件應急預案等一系列章程，經科學性審核和測試后下發各級部門，提升企業的信息安全管理的效能，減少事故發生風險，提高應急響應能力。

（3）執行層面。

信息安全管理部門應當定期檢查和隨機抽查相結合，監督安全制度在各級部門的執行情況，評估安全風險，負責PDCA的循環控制。

（4）技術層面。

信息安全管理部門要提供安全管理、防護、控制所需的技術支持，全面保障企業整體信息安全管理系統建設。通常信息安全技術分為物理安全、網絡安全、主機安全、終端安全、數據安全以及應用安全等六個方面，主要包括監控與審核跟蹤，數據備份與恢復，訪問管理與身份認證，信息加密與加固等具體技術措施。通過有效的信息安全管理平臺和運作平臺，在最短時間內對信息安全事件進行響應處理，保障信息安全管控措施的落實，實現信息安全管理的目標。

三、結語