• 電話:0571-88994238/39/40
  • 傳真:0571-88994238-809
  • 地址:浙江省杭州市文三路259號 昌地火炬大廈 2號樓 1101
新聞詳細頁您當前位置:主頁 > 案例展示 > 專題文章 >

加強我國的信息安全管理工作(3)

作者:趙戰生 孫銳  發布日期:2007-10-12

  3.機構部門的安全管理原則

  維護信息安全,僅僅有專門的組織機構和法規政策仍然不夠。各個機構和部門都應在具備專門的安全管理機構,專門的安全管理人員,逐步完善的安全管理制度和逐步提高的安全技術設施的前提下.依據有效的管理原則進行保障信息安全的活動。其信息安全管理活動應涉及人事管理、設備管理、場地管理、存儲媒體管理、軟件管理、網絡管理和密碼密鑰管理等方面內容。其管理活動應遵循以下基本原則:

  1).規范原則:在信息系統的規劃、設計、實現和運行過程中,根據本機構(部門)的安全要求制定相應的安全政策,使該系統滿足必要的安全規范要求。安全政策應規定根據需要選用必要的安全功能和安全設備.避免盲目開發、自由設計、違章操作和無人管理的情況發生。

  2).預防原則:依據以預防為主的思想考慮信息安全問題,在信息系統的規劃、設計、采購、集成和安裝過程中同步考慮安全政策和安全功能所具備的程度。

  3).立足國內原則:未經許可和消化改造不直接使用國外的安全保密技術和設備、安全技術和設備的選用首先立足國內。

  4).選用成熟技術原則:在采用新技術時重視其成熟程度。

  5).注重實效原則:在信息系統的規劃、設計、實現和運行過程中,使資金、設備和人力投入盡可能地與該系統所需的安全功能相適應,不盲目追求與現實條件不符、難于實現或投資過大的目標。

  6).系統化原則:依據系統工程思想,使信息系統的前期投入與后期要求相匹配,以便不斷擴展系統安全功能,最大限度地利用和保護以有投資。

  7).均衡防護原則:注意安全防護的均衡性,注意安全防護中是否存在薄弱環節。

  8).分權制衡原則:對安全管理的重要環節采取分權制衡原則,在相互制約的同時提高系統安全性。

  9).應急原則:有安全管理的應急響應方案,在出現問題時能夠立即采取應急措施。

  10).災難恢復原則:在不同時受可能的災難影響的地區建立系統備份中心(對實時運行系統,備份中心應與主系統保持數據一致),保證在災難發生的情況下,通過立即啟用備份而使系統連續工作。

  四.建議

  1.增強全民信息安全意識。培養優秀的信息安全人才

  2.建立健全相關法律體系

  我國目前還沒有關于信息安全方面的專門法律。《中華人民共和國計算機信息系統安全保護條例》屬行政法規,《計算機信息網絡國際聯網安全保護管理辦法》屬部門規章。在我國的法律體系中,按法律效力和權威性,它們僅僅位于第4、5等級(該體系共有7個等級,憲法的等級最高,為第1等級)。由于在針對計算機犯罪進行查處和審判時,不能依據行政法規來量刑,所以有必要制定關于維護信息安全方面的專門法律——《信息安全法》.對維護信息安全工作中的以下主要方面做出完整、明確的法律規定:

  1).明確維護信息安全工作的主管機關,及各主管機關問明晰的職能范圍和配合關系。

  2).明確有關主管機關的職責、權限。

  3).明確危害信息安全的具體行為。

  4).明確危害信息安全行為應負的刑事法律責任,以及危害信息安全的一般違法行為應付的行政法律責任。

  5).明確機關、社會團體、組織和公民在維護信息安全方面的義務和權利。

  上述內容是對《刑法》、《國家安全法》、《國家保密法》等相關法律中有關原則規定的具體化。除了制定《信息安全法》,在當前情形下,對1997年3月14日八屆全國人大五次會議新修訂的《刑法》第285條、256條和257條中有關計算機犯罪的規定也應當進行適當修改。這是由于當時我國的計算機信息網絡的普及程度遠遠不如現在,過去通過高科技手段的犯罪在我國出現得較少,這方面的判例和實際犯罪認定的經驗不足造成的。具體內容如下:

  《刑法》第285條(見第31節)對于非法侵入計算機系統犯罪的客體范圍規定得過于狹窄。本罪的客體從法條上說是國家對特殊領域的計算機信息系統的保護和管理秩序;而其真正客體是這些特殊領域的計算機信息系統的安全性和內部數據的安全性。

  《刑法》第286條第三款(故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,后果嚴重的,依照第一款的規定處罰(即構成犯罪))的表述存在一些不妥之處。首先,計算機病毒之類的破壞性程序對系統的破壞不一定立即發生,且病毒一旦通過互聯網絡進行傳播則很難統計準確的被感染計算機的數量。其次,制作和傳播此類破壞性程序的行為,危害的是不特定的計算機系統,它不僅是直接對系統進行破壞,而且是對公眾計算機系統造成威脅。因此,沒必要將后果嚴重作為構成要件,只要實施了制作和傳播計算機病毒等破壞性程序,就可以構成犯罪。

  《刑法》第287條應當將以計算機為工具進行犯罪作為一個法定的加重情節,這是因為以計算機作為工具進行犯罪的危害后果遠比采用普通工具進行犯罪的危害后果嚴重。

  3.最大限度地發揮信息安全主管部門的管理職能

  維護國家信息安全是全社會的共同職責,公安部、國家安全部、國家保密局、國家密碼管理委員會國家技術監督局和信息產業部等各主管部門的管理職能顯得尤為重要。這些部門應該圍繞維護信息安全這一中心任務,形成一個有機的整體,通過明確分工,各司其職,嚴格執法,強化監管,組成一個維護信息安全的有效系統。各部門必須密切配合,既避免部門間的沖突,又不留任何工作“漏洞”.不給破壞者任何可乘之機。此外,各部門應在相應的法律和法規的授權范圍內依法定期進行安全檢查,進行法律和安全教育,加強對信息安全產品的研制和管理,以及為發現、追蹤和查處通過計算機信息網絡進行的違法和犯罪行為實行實時的網絡監控并不斷研制先進的網絡監控和網上追蹤技術及相關設備。

  針對信息安全事故突發性、隱蔽性強,危害性大.即時性和事后對事故的原因不易追查的特點以及我國目前信息安全管理的現狀.有必要成立專門的“網絡信息安全監控指揮中心”(以下簡稱“監控中心”)。“監控中心”分級建立,即在中央一級建立中國網絡信息安全監控指揮中心,在省、自治區、直轄市建立省(區、市)網絡信息安全監控指揮中心。“監控中心”的成員基本上由計算機及網絡專家組成。

  五.結論

  現代社會是信息社會。在信息安全問題受到人們廣泛關注的同時,積極加強我國的信息安全管理工作也是在眉睫。信息的安全程度已經與國家安全和個人利益息息相關。上至國家領導,下到普通百姓,都應該充分意識到信息安全和信息安全管理的重要性。

  眾多的國際組織和美國等許多國家圍繞實現信息安全所作的各種各樣的有益嘗試和已經取得的有效經驗表明,現階段的信息安全管理活動主要從討論和確立有關的法規政策與成立有效的管理機構兩方面進行。我國在這兩方面的工作已經初見成效。但是,隨著人們的日常工作和生活對信息技術依賴性的增強,勢必出現許多危害他人利益甚至危害國家安全的行為。因此,今后我國的信息安全管理工作應該主要從增強全民信息安全意識和培養優秀的信息安全人才,加強建立健全相關法律體系和最大限度地發揮信息安全主管部門的管理職能三方面進行。

  • 售前咨詢
  • 售后服務
  • 渠道管理
亚洲无吗|男女黄段视频高清|ten1819第一次处|在线观看视频亚洲电影