• 電話:0571-88994238/39/40
  • 傳真:0571-88994238-809
  • 地址:浙江省杭州市文三路259號 昌地火炬大廈 2號樓 1101
新聞詳細頁您當前位置:主頁 > 案例展示 > 專題文章 >

加強我國的信息安全管理工作

作者:趙戰生 孫銳  發布日期:2007-10-12

  一.引言

  人們對信息安全的需求首先是信息的保密性,其次還包括信息的完整性、不可否認性、可用性和可控性。保密性要求信息不為非法用戶所知所用;完整性要求信息在傳遞或存儲過程中未被篡改、重放或延遲;不可否認性要求信息的發送者和接收者無法否認自己發送或接收信息的行為;可用性要求合法用戶不會因為計算機病毒或其它人為的原因而被拒絕服務;可控性要求政府能夠在任何必要的情況下,不受阻礙地實施對社會的監控管理行為。

  現有的信息安全技術、防火墻技術、病毒防治技術、數據庫安全保護技術,在一定程度上能夠滿足上述需求。另外,為了規范信息系統的建設和使用,增強信息系統的安全性,人們已經制定了一系列信息安全標準和安全信息系統標準。然而,有效的信息安全管理措施仍是實現信息安全的一個重要環節。信息安全管理以嚴格的法律規范為依據,以必要的組織機構為保證,以素質良好的人員隊伍為根本。信息安全管理的原則和要求體現在政府制定的政策法規和機構部門制定的規范制度上,而管理能否落實則取決于人們的信息安全意識,對安全管理的重視程度,以及對管理原則理解的深度和執行的力度。

  二.國際信息安全管理狀況

  1.法規政策

  信息安全問題涉及計算機安全和密碼使用,有關的政策法規也因此而分為計算機安全管理政策法規和關于密碼使用的政策法規。在信息安全問題出現的早期階段,各國立法和管理的重點集中在計算機犯罪方面。近幾年,立法和管理的點轉移到對于密碼的應用管理方面。

  美國的信息技術具有國際領先水平,它在這方面的做法也最為完善。美國早在1987年就再次修訂了計算機犯罪法。這部法律在80年代末至90年代初,一直被作為美國各州制定其地方法規的依據。這些地方法規確立了計算機服務盜竊罪、侵犯知識產權罪、破壞計算機設備或配置罪、計算機欺騙罪、計算機濫用罪、計算機錯誤訪問罪和非授權的計算機使用罪等罪名。此外,美國現以確立的有關信息安全的法規有:信息自由法、個人隱私法、反腐敗行經法、偽造訪問設備和計算機欺騙濫用法、電子通信隱私法、計算機欺騙濫用法、計算機安全法、正當通信法(一度被確立,但后又被推翻)和電訊法。其中.電訊法是為適應信息化發展而對30年代原有法律進行全面修訂而制定的一部全新的法律。其它國家.如德國、法國、英國、俄羅斯、新加坡和日本等也都有其相關法律。

  對于密碼使用的管理政策集中在使用密碼進行信息加密和使用數字簽名實施證書授權兩個重要方面。

  在信息加密政策方面,美國可謂獨領風騷。美國國內圍繞這一內容進行的爭論非常的多且頻繁。政府、軍界、企業和個人為了各自的利益而互不相讓。爭論主要圍繞密碼使用范圍和允許出口的密鑰長度進行。70年代,美國政府為保護政府無密級的敏感信息和社會生活(特別是金融領域)中的私有信息而頒布了國家數據加密標準GS-EDS。1993年,政府宣布的“托管加密行動”制定了美國的托管加密標準EES。此后,為解決在托管機構選擇問題上的爭議,政府又提出“商用密鑰托管”,允許密碼使用者自己選擇獨立性的組織作為托管機構。后來.政府進一步將密鑰托管改為密鑰恢復,在承諾實施密鑰恢復的自愿原則的同時,加強了聯邦公開密鑰基礎設施,聯邦密鑰管理基礎設施和全球密鑰管理基礎設施的研究與推行工作。

  目前,為了代替超期服役的GS-EDS和遭到抵制的EES.美國國家技術標準研究所正致力于研究發展一種高級加密標準AES。該所于1997年4月15日開始發起征集AES算法的活動,并成立了專門的AES工作組,以便確定一個非保密的、全球免費使用的、能夠保護政府敏感信息的分組密碼算法。1998年8月20日的第一次AES候選會議公布了15個AES候選算法。目前為評論階段,最終的結果將在2001年公布。

  此外,多國出口協調委員會,歐盟和國際商務委員會等組織以及英國、法國、德國、意太利、荷蘭、芬蘭、比利時、香港等許多國家和地區也有自己的信息加密政策。隨著數字簽名技術在電子郵件認證和遠程金融傳輸等方面越來越廣泛的應用,圍繞數字簽名的爭論也更加突出。問題的焦點在于企業,個人的利益和國家安全之間存在沖突。

  在密碼用于數字簽名方面,美國的猶它州于1995年通過了世界上第一部數字簽名法(1995年5月生效)。該法的目的主要有:通過可靠的電子保文促進商業發展,將偽造的數字簽名和電子商務中的欺詐行為降至最低程度.依法實施相關的技術標準(如X.509),通過多邊協商確立有關認證和電子報文的可靠性的統一規定。在猶它州的帶動下,美國其它一些州也相繼著手確立自己的數字簽名法但是,美國至今尚未確立聯邦級別的數字簽名法。因此,德國有幸成為世界上第一個以國家名義制定數字簽名法的國家。德國的這部法律在數據保護方面有以下明確規定:①證書簽發機構只有在當事人要求或必要時方可提供有關的個人數據;②當簽名密鑰持有者使用假名時,證書簽發機構必須按照有關要求將此人的相關數據上報主管部門,便防范危害公共安全和秩序的行為.并保證聯邦憲法保衛局、聯邦情報局、軍事反問局和海關刑警局依法執行任務。

  2.組織機構

  目前,國際上信息安全方面的協調機構主要有計算機應急響應小組(CERTCC),信息安全問題小組論壇(FIRST)。

  計算機應急響應小組協調Internet安全問題解決方案為目的。它的主要作用是解決Internet上存在的安全問題,調查Internet的脆弱性并發布有關信息。該組織實現這一目的的途徑是建立并保持與有關專家和受影響者的對話。其工作內容包括:提供問題解決方案;為使小組成員在解決問題的過程中能夠盡快獲得必要信息;在向Internet用戶收集脆弱性問題報告并對問題進行確認的基礎上建立脆弱性問題數據庫。

  隨著Internet的普及,分布于不同國家的軍界、政界和公司的眾多用戶都遇到了網絡安全問題。因此,在計算機應急響應小組成立之后,許多政府、商業和學術機構都組建了計算機信息安全問題小組但是,計算機應急響應小組始終是這一方面規模最大、最著名和最具權威性的組織。

  • 售前咨詢
  • 售后服務
  • 渠道管理
亚洲无吗|男女黄段视频高清|ten1819第一次处|在线观看视频亚洲电影