|
電子政務網(wǎng)中的信息安全
資源天下 2019/8/21 9:52:00
(接上頁)等各方面的核心問題���。在信息安全中其地位舉足輕重�����,尤其作為信息技術相對落后的我國如何調整信息安全戰(zhàn)略��,完善信息安全保障法律規(guī)范,不僅是提高信息安全保障能力的手段和方法����,而且是提高信息安全技術的前提和保證。所以我國“計算機信息安全的保護主要包括兩方面的內容��,一是國家安全監(jiān)督管理�,二是計算機信息系統(tǒng)使用單位自身的保護措施。實施計算機信息系統(tǒng)保護的措施包括:安全法規(guī)�����、安全管理�、安全技術三方面”。 信息安全是一項極其復雜的系統(tǒng)工程�,在安全法規(guī)、安全管理����、安全技術的保障措施中,安全技術是信息安全的基礎����;安全管理是信息安全的關鍵���;安全法規(guī)是信息安全的保證�。 采用先進可靠的安全技術是維護信息安全的有力保障�。事實上,大多數(shù)安全事件和安全隱患的發(fā)生與其說是技術上的原因����,不如說是管理中的緣故。我國已發(fā)生的許多計算機安全事件(包括計算機犯罪行為)���,技術手段并不高明�,僅僅是由于鉆了管理上的漏洞��。管理的關鍵在于管好人���。因為一方面各種安全措施要靠人實施�,另一方面有相當多的威脅網(wǎng)絡的行為出自系統(tǒng)內部人員��。因此必須提高安全管理人員的素質��,加強對系統(tǒng)內部人員和網(wǎng)絡用戶的教育和管理�。
采用安全技術,加強安全管理�,可以大大提高網(wǎng)絡的安全性���。為了切實貫徹執(zhí)行這些安全措施,并有實施的法律依據(jù)��,制定保障網(wǎng)絡安全的法律���、法規(guī)就顯得尤為必要�����。對于已經(jīng)發(fā)生的違法行為�����,只能依靠法律進行懲處���,當然也包括一些民事行為的法律調整,這是保護網(wǎng)絡安全的最終手段�����。同時通過法律的威懾力�����,還可以使有犯罪意識者產生畏懼心理,達到懲一儆百的效果����。法律還可以便公民了解在網(wǎng)絡的管理和應用中什么是違法行為����,而自覺地不為,從而創(chuàng)造一個良好的社會環(huán)境����,起到保護網(wǎng)絡安全的重要作用。所以說法律又是網(wǎng)絡安全的第一道防線���。
綜觀各國信息安全法律政策��,其主要特征有:
1.5.1 以國家信息安全的組織保障為原則
各國在其信息安全法律政策中����,無不明確規(guī)定了國家信息安全工作的管理機構以及各個機構的職責范圍�,在各個層次上都力求做到分工負責、各司其責�����。如美國的《計算機安全法》明確規(guī)定,由商務部所屬的國家標準和技術局(NIST)負責有關敏感信息的信息安全工作��,具體負責主持制定和推廣計算機安全標準和指導方針��,為聯(lián)邦政府解決各種信息安全問題����,其中包括安全規(guī)劃、風險管理���、應急計劃��、安全教育培訓���、網(wǎng)絡安全加密技術、身份認證���、智能卡應用�����、計算機病毒檢測與防治等等��;由國防部所屬的國家安全局(NSA)負責例如“國家安全系統(tǒng)”����,即由政府及其合同單位或代理機構管理的信息系統(tǒng)中保密信息的信息安全工作,其中包括國家保密信息���、美國憲法2315款第102項(Warner修正案)規(guī)定的信息、涉及諜報(Intelligence)的信息�����、涉及與國家安全有關的秘密活動(Crypt—logic)的信息���、涉及軍隊指揮和控制的佰息�����、涉及屬于武器和武器系統(tǒng)設備的信息以及對于完成軍事或情報任務至關重要的設備的信息等等�。
1.5.2 以國家信息安全的全面保障為基礎
信息安全是個巨大的系統(tǒng)工程���,需要各方面力量的綜合協(xié)調�����,更需要涉及信息活動的人員����、信息系統(tǒng)的實體、信息系統(tǒng)的運行和系統(tǒng)中的信息的安全�����。因此�����,信息安全保障應當以全面�、嚴密為基礎。如美國政府關于國家信息安全保障的行動策略主要有���,制定信息資源安全管理的全面政策����。實施風險評估�、安全規(guī)劃、運行安全和各種驗證的方法��;出版了《信息系統(tǒng)安全產品和服務自錄》�����;對信息系統(tǒng)的各個環(huán)節(jié)以及各機構信息安全管理工作的效率加以評估;全力支持對安全措施的投入��;協(xié)調各個機構的信息安全工作�����;監(jiān)督政府信息安全管理原則�、標準、指導方針的制定和推廣工作�;強化計算機信息系統(tǒng)人員的安全法律培訓等等��。
1.5.3 以國家信息安全的技術防范為核心
社會信息化的發(fā)展實質是計算機技術為核心的信息技術在人類社會生活中充分發(fā)揮其主導控制作用的過程�����。任何國家的信息安全保護都不能脫離信息技術本身�����,就信息安全的法律保護和技術保護的關系來說�����,技術保護是基礎和前提,法律保護只是技術保護的手段�。,因而各國信息安全立法都以國家信息安全的技術防范為核心���。20世紀80年代����,美國率先在計算機保密模型的基礎上�,制定了《可估計算機系統(tǒng)安全評價準則》(TCSEC),隨后又制定了關于網(wǎng)絡系統(tǒng)��、數(shù)據(jù)庫等方面的系列安全解釋�����,形成了安全信息系統(tǒng)體系結構的最早原則�。20世紀90年代初,歐洲英�����、法���、德��、荷四國共同提出了包括保密性�����、完整性�、可用性等性質的《信息技術安全評價準則》(ITSFC)。近年來�����,美國國家安全局���、美國國家技術標準研究所和加�、英��、法����、德�、荷等六國七方共同提出了《信息技術安全評價通用準則》(CC for ITSEC),綜合了國際上已有的評價準則和技術標準的精華����,給出了信息安全保護的框架和原則要求����。(未完��,下一頁)
|
|
|