论文摘要
当今时代,信息化已经深入到社会生活的各个角落,深刻地改变了人类的生活。信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。随着信息技术在人们生活中扮演越来越重要的角色,越来越多的安全问题暴露出来。信息安全问题如果不能得到很好的解决,将严重人们的生产生活。随着对信息安全理解的逐渐深入,人们发现,解决信息安全问题不能只局限于技术,更重要的还在于管理。安全技术只是信息安全控制的手段,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那信息安全管理就是真正的粘合剂和催化剂,只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证。现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。我们常说,信息安全是三分技术七分管理,可见管理对于信息安全的重要性。针对我国日益严重的信息安全状况,我国政府主管部门以及各行各业已经认识到了信息安全的重要性,相继出台了一系列的法律法规和相应政策,成立组织机构,制定相关标准,促进我国信息安全管理水平的提高。尽管如此,我国的信息安全管理工作仍然存在着诸多不足,主要表现在:第一、国家信息安全战略研究滞后信息安全战略研究是制定网络与信息安全规划和政策的依据,是做好信息安全管理工作的基础。目前,世界各国都纷纷加紧研究和制订国家信息安全战略,而我国至今没有完整的国家信息安全战略,信息安全还没有被真正提升到国家安全战略的层次来考虑。第二、信息安全法律法规不完善健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线。我国存在着现有法律法规不完善、建设滞后等诸多问题,阻碍了我国信息安全管理工作的发展。第三、信息安全工作多头管理表现在多头管理、职能交叉、责任不清,许多部门都有一定的管理职能,缺乏一个强有力的的协调机构。第四、对信息安全产业支持力度不足由于我国对信息安全产业支持力度不足,导致我国在计算机硬件、软件产品上严重依赖国外厂商。此外,由于缺少信息安全国家标准与规范,即使已有的标准也存在执行困难等严重问题,导致我国信息安全产业与发达国家的差距不断加大。第五、对信息技术产品和服务缺乏有效监管尽管我国已经建立了多个部门对信息技术产品进行测评和安全认证,但是对信息技术产品的监管却十分薄弱,对国外产品缺乏安全审查和风险控制。第六、信息系统运维管理不规范在信息安全领域,三分技术、七分管理思想已逐渐成为共识。但在我国,重技术、轻管理的现象仍然十分严重,信息系统的运维管理缺乏规范,给国家安全和利益造成了巨大损失。第七、计算机犯罪严重和不良信息泛滥由于网络环境开放、匿名的特点,造成身份认证的困难,也造成人们对自己的言论行为更加不负责任。目前,我国利用信息系统进行违法犯罪的案件一直呈上升的趋势,这里包括黑客入侵、网络欺骗、泄密窃密。此外,在由计算机和互联网组成的虚拟世界里,还充斥着色情暴力、造谣诽谤、分裂言论等大量不良信息。这些犯罪活动和不良言论严重威胁着计算机信息系统的安全。在我国刚刚重视信息安全管理的重要性的时候,世界上其他国家和地区已经采取了有效措施加强信息安全管理工作。比如美国,在法律制定、组织机构设置、信息安全各部门间协调与配合、安全产品采购等诸多方面都采取了有力措施,已经形成比较完善的信息安全管理体系;英国制定了推广了著名的BS7799标准,得到了很多国家和地区的认可;韩国在网络管理方面推行实名制,加强网络管理;西方国家普遍明确网络服务商应承担的责任和义务,为企业配合政府开展信息安全管理创造了非常好的条件。以上都是我国可以借鉴的宝贵经验。针对我国在信息安全管理上存在的问题,本文有针对性的提出了解决这些问题的一些对策建议。首先,本文提出了促进我国信息安全管理的战略,并且提出了实现设想。战略的主要内容包括:第一、加强信息安全法制建设包括制定综合性的信息安全法律,制定急需的信息安全法律,统一规划立法,突出实用性三个方面。第二、改变信息安全多头管理的弊端由于我国多个部门涉及信息安全的基本国情在短时间内难以改变,基于我国“综合防范”的信息安全保障工作基本方针,本文提出在明确有关部门的权力和责任、建立强有力的协调管理机制、杜绝官僚作风三个具体措施。第三、加强对信息安全产业的支持力度为实现我国的信息安全战略,本文提出必须加强对我国信息安全产业的支持力度,并从信息安全产品产业、信息安全标准产业、信息安全服务产业三个方面予以分别描述。在提出以上战略内容后,本文还提出了具体实施步骤,分基础建设、重点突破、全面发展三个阶段,逐步实现我国的信息安全管理战略。由于信息安全管理战略是一个长期的工作,其效果需要较长时间才能显现,对于我国面临的一些较为急迫的信息安全问题,本文提出了一些较容易实施的政策建议,具体包括:第一、明确我国网络服务商责任设置面对由于缺乏有效监管,利用互联网进行网上盗窃、诈骗等犯罪案件不断出现的局面,本文提出通过进一步明确网络服务商的责任设置,确保网络服务商管理责任和管理措施,增强互联网管理的能力等具体措施,对我国的网络安全加以保障。第二、建议我国开展网络管理实名制目前,互联网上充斥着大量不健康的内容,虚假信息泛滥,随意造谣诽谤、蛊惑煽动。这些行为侵犯了公民的合法权益,扰乱了社会秩序。而实行网络实名制,既可以保护公民隐私和个人信息不被滥用,又有利于维护国家安全、社会稳定,保障和促进互联网的健康发展。实行网络实名制,可以有效地杜绝这些问题。建议我国仿照韩国的做法,结合我国具体国情,逐步开展网络管理实名制。第三、建议通过风险评估加强信息系统运维管理水平提出从风险管理角度,运用科学的方法和手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度的保障网络和信息安全提供科学依据。通过采取以上措施,可以较大程度地提高我国信息安全管理水平,缓解目前严重的信息安全形势。