導語：信息安全發展論文(共10篇)一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

第一篇：大學生信息安全素質教育

一、大學生信息安全素養現狀分析

學生作為信息安全教育的接受者，其素養初始水平和學習需求直接影響教育目標、教育內容和教育方法的選擇。為了有效提高信息安全教育的針對性，筆者編制了《高校學生信息安全素養調查問卷》，并抽取第四軍醫大學2012級580名本科學生進行了調查分析。

1.問卷設計

問卷主要從信息安全意識、信息安全知識、信息安全技能和信息安全倫理4個維度對學生的素養水平進行考察，共32道試題。問卷采用內部一致性較佳的李克特氏5點量表進行設計，試題由一組陳述組成，每一陳述有5種不同的回答方式，分別記為5分、4分、3分、2分、1分，部分試題如表1所示。

2.調查結果

調查結果顯示，絕大多數學生能夠意識到信息安全對學習、工作、生活非常重要，需要遵守一定的信息安全法規和網絡道德規范，但不少學生信息安全知識比較匱乏，防范技能較弱，無法正確識別信息安全風險并進行有效防護。以信息安全技能維度為例，調查結果顯示，36.3%的學生不能夠正確設置Windows、Office、E-mail等的安全密碼；41.4%的學生不能夠定期整理和備份重要資料并存放到安全介質，36.2%的學生不能夠識別出不良網站(如釣魚網站、掛馬網頁)；50.5%的學生計算機操作系統受攻擊時，不能快速做出修復；超過60%的學生在計算機出現一般的硬件故障時，不能自主維修。此外，從近年來不斷涌現的青少年網絡犯罪(如熊貓燒香病毒事件等)和高校信息安全事件可知，以高智商為特征的大學生群體已經成為網絡犯罪的“易感人群”，信息安全素養整體水平偏低，亟需采取有效的教育方法進行提升和改善。

二、面向培養全過程的信息安全教育方案

基于對高校學生信息安全素養的現狀分析，筆者結合自身實踐經驗，從教育目標、教育內容、教育方法和教育評價4個方面提出了較為完善的信息安全教育方案，并結合本科學生培養過程，給出了具體的實施建議，旨在促進高校信息安全教育的深入開展。

1)信息安全教育目標。目標是信息安全教育活動的出發點和歸宿，起著重要的導向、激勵、調控和評價作用。總體目標可描述為通過信息安全教育，學生能夠充分認識到信息安全的重要作用，具備較強的敏銳性和責任感，掌握信息安全的基礎知識、基本技能和基本方法，有效規避信息安全風險，具備良好的信息安全倫理道德。

2)信息安全教育內容。教育內容作為整個方案的核心，是教育目標能否實現的重要基礎。本文根據學生的培養周期和自身發展需要，設計了課程教學與主題教育兩類信息安全教育內容，既保持內容體系相對完整，又能根據實際情況靈活實施。

3)信息安全教育方法。信息安全教育應根據內容特點和目標指向，靈活采用理論講解、案例分析、原理演示、操作實驗、角色扮演、宣傳教育等多種方式方法，充分發揮信息化教學的優勢，易化教學難點，提高教學效果。信息安全意識的教學方面，可通過舉辦信息安全警示教育、播放信息安全諜戰影片、組織失泄密案例分析研討會以及張貼信息安全意識海報等方式，使學生認識到信息安全的重要性，增強信息安全危機意識。信息安全知識的教學方面，可通過開展知識講座、知識競賽、問卷調查、發放信息安全知識手冊、印發保密教育宣傳材料等方式，使學生的信息安全理論知識和技能知識得到穩固提升。信息安全技能的教學方面，可通過計算機動畫進行技術原理演示，有條件的學校可以建立信息安全技術實驗室，為學生提供實驗操作平臺，模擬信息安全攻防過程，使學生掌握必要的防范和處理技能。

三、信息安全教育方案的實施建議

信息安全教育是一種素質養成教育，單靠獨立的一門課程或幾次講座很難實現教育目標，必須以系統科學為指導，在大學生的整個培養周期中采取靈活多樣的教育形勢進行“階梯式，不斷線”培養，因此，筆者提出了3階段信息安全教育實施建議：第一階段為初期普修，主要針對大一學生。此階段主要開展入學信息安全專題講座和信息安全通識課程教學。入學信息安全專題講座主要介紹信息安全的嚴峻形勢、重要地位及信息安全教育的目標、意義、流程等，引起學生對信息安全的關注，激發學習興趣。信息安全通識課程需要系統講授信息安全基礎知識、基本技能、基本方法，在開課之前，教學單位應進行一次全面的信息安全素養測評，及時了解學生現有的素養水平和學習需求。第二階段為中期，主要針對大二和大三學生。在學生掌握一定的信息安全知識的基礎上，開展豐富多樣的主題教育和實踐活動。經過第二階段的教育，學生將掌握一些日常生活中經常遇到的信息安全問題及解決策略，從而獲得穩固、全面的信息安全素養。此外，在中期應進行一次信息安全素養測評，旨在考察學生的素養水平有無提升，以及得出哪些方面還存在不足，為后期培養提供參考。第三階段為末期，主要針對大四學生。經過初期及中期的信息安全教育，學生整體素養水平已顯著提升，因此，此階段主要為學生畢業開展信息安全專題教育，為學生在求職中可能遇到的信息安全問題尋找解決方法，明確信息安全法規和管理要求，以使學生到工作崗位之后能夠正確、有效地處理信息安全問題，并保持良好的信息安全素養。《2006-2020年國家信息化發展戰略》明確指出“建設國家信息安全保障體系，提高國民信息技術應用能力，造就信息化人才隊伍”是我國信息化發展的重點戰略。高校是國家信息化人才的培養重地，對大學生進行信息安全通識教育，將能有效提升其信息安全風險識別、處理和防護能力，并形成良好的信息安全倫理道德，進而增強信息社會生存能力。

作者：沈霞娟1高東懷1許浩1寧玉文1蔡華2工作單位：1.第四軍醫大學網絡中心2.蘭州軍區綜合訓練基地二大隊

第二篇：電子政務信息安全問題分析

一、我國電子政務信息安全問題日益突出

(一)重信息安全建設，輕信息安全管理

在實際的安全管理工作中會經常出現這么一種狀況，領導往往更加重視系統的軟硬件建設，設備和人的管理工作相對抓的比較少。系統的風險管理、信息的審計跟蹤、數據的備份恢復以及突發事件的應急處理是電子政務安全系統運行必備的四個方面，而這四個方面的管理主體都是系統操作人員，因此管理人員的安全素質跟電子政務信息安全息息相關。另一方面，人是網絡上各類攻擊、破解、監聽等黑客工具和病毒的制造者，是互聯網的管理者，據調查由于管理人員的疏忽大意和懶惰無知而造成的黑客入侵案例占80%以上。從實際情況來看，我國的電子政務建設存在著不足，一方面政府部門在建設電子政務時實行“誰建設誰運維”的做法;另一方面政府對網絡專業人員的培訓相對薄弱，缺乏專、精、高的技術型人才，從而遇到一些相對專業和復雜的問題不能及時解決或交由網絡公司的專業人員來解決;同時部門中的網管人員責權不明確、人事管理制度不健全、人員頻繁變動等等這些問題都會給電子政務信息的安全造成重大隱患。

(二)信息技術發展滯后

1．硬件發展先天不足，核心技術是關鍵。我國因歷史原因，信息化的發展起步比一些發達國家要晚，硬件的核心技術還沒有掌握，因此電子政務建設中的很多關鍵設備都是從國外進口，我國的信息化發展從根源上被桎梏，也造成了很多的重要機密泄露事件。諸如Windows98操作系統和PⅢ處理器暗留“后門”等此類行為都會對用戶的信息造成極大的安全隱患。近年來我國信息化產業飛速發展，電腦制造技術也取得了豐碩成果，但像中央處理器等此類需要高端技術的設備研發仍然較弱，其核心技術都是來源于國外。由于缺乏相關的高端技術人才，對國外引進設備的技術監督和改造力量薄弱，導致我國電子政務的信息安全先天就存在著致命的隱患，一旦與這些國家的關系發生轉變，就可能給軍事、經濟、社會等領域帶來不可預料的后果［1］。

2．軟件開發滯后，安全和應用系統缺乏創新。我國電子政務系統中的應用、信息安全兩大系統開發相對滯后，因技術創新薄弱、核心技術和自主產品的缺乏、黑客行為防御能力弱等原因，造成了電子政務系統在針對各類入侵和破壞的防御薄弱。比如黑客攻擊，大部分都是利用軟件預留的“后門”進入系統的，而“后門”則是程序員為了方便自己而設計的，程序設計人員的變動極易讓這種后門代碼流轉出去，被一些別有目的的勢力或黑客獲得，一旦這些人打開了“后門”，后果將不言而喻。大家所熟知的諸如“熊貓燒香”、“灰鴿子”、“CIH”等病毒攻擊，就曾導致我國很多計算機的信息被破壞、修改，乃至癱瘓，這些事情無時都在提醒我們軟件系統的自主開發已經迫在眉睫了。

3．缺乏統一的技術標準，數據不一致，內容不共享。一方面由于職權的分割，造成各部門在搜集和存儲政務信息時產生了很多不一致乃至是矛盾的信息。比較突出的如稅務、海關、工商某些數據庫就沒有標準性的維護機制;由于各自的政務信息管理隊伍、管理機制和數據庫都已經建成，于是政府各部門間都想方設法要保留自己的成果而希望取締別人的雷同成果;同時，由于種種原因不能為他人提供及時的信息共享。另一方面就是“信息孤島”現象，目前由于缺乏統一的規劃，政務建設中的技術標準未統一，導致很多政府部門建立的政務系統和政務網站沒有應用到具體工作之中，經常處于“死網”或“死庫”的狀況。政府部門或單位間的軟硬件系統兼容性較弱，硬件缺乏接口或者接口的標準不一;軟件各為其政，設計重復，互相無法訪問;資源建設百花齊放，數據格式不一，無法共建共享。這種各自為政的電子政務建設不僅造就了大量的“信息孤島”，浪費國家資源，而且也很難實現政府部門間的互連互通和信息共享。

(三)安全管理機制不規范

我國電子政務信息安全的管理機制還不完善，其主要表現有以下幾方面:一是涉密信息的審查機制不夠完善:一方面，盡管制定了一系列諸如《政府信息公開條例》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等的規定，建立了政務網絡信息保密審查制度，可是在具體操作過程時，信息人員往往分不清哪些可以公開，哪些信息需要保密，往往僅注重了信息的真實性和及時性，稍一疏忽就把機密信息公開出去，從而造成了泄密。另一方面，涉密信息的審查機制和相關人員責任的追究機制還不完善，從而導致涉密信息上網審查和把關不到位，一些涉密信息被人為或無意地公布于網絡之上，致使政務信息泄密事件屢有發生，對政府的執政威信造成一定的影響。二是動態的監督機制不到位:電子政務信息的安全管理過程是動態的，也就是說突發事件隨時可能發生。目前我國對電子政務信息安全的動態監督不到位，風險評估機制和突發事件管理機制尚未完善，各級之間缺乏監管機制，全方位、常態化的巡查機制亟待完善，從而導致突發事件處理不當，不能及時將其消滅在萌芽狀態，造成一些電子政務網絡不能及時、恰當地應對各類網絡信息破壞和入侵等事件。三是信息的保密管理機制不健全:我國電子政務的起步較晚，電子政務信息安全管理方面的立法相對滯后，法律法規建設還不完善，只是對互聯網的管理制定了一些限制性的行政法規和條例，甚至一些地方政府制定的保密制度都已過時或不健全，且缺乏監督執行。因此，我國的電子政務信息安全領域亟待加強信息保密管理的機制建設。目前我國還缺乏一個具有最高權威的、能統籌管理的信息安全機構，以及一個與社會信息化建設進程步調一致的信息安全發展戰略規劃。電子政務建設的關鍵是做好長期的戰略規劃，否則就會出現部門重復建設和地區發展不平衡，不僅造成基礎建設和信息資源浪費，也會帶來管理上的混亂［2］。

二、齊抓共管構筑安全的電子政務系統

針對國內外信息安全形勢和我國信息安全的現狀，結合電子政務工作中實際存在的問題，為加強電子政務信息安全保障工作，可從以下幾個方面采取措施。

(一)基礎建設和安全管理兩手都要抓

1．加強信息安全防御資源的整合。全方位整合、清理信息防護資源，統一制定信息防護系統的戰略目標，避免重復建設和信息孤島現象的出現。系統的技術保障方面，先要統一與具有國家標準資質、專業且口碑好的安全技術服務公司簽訂服務合同，再根據本單位的具體情況來分步實施。

2．完善信息安全系統的管理機制。從戰略的高度制定覆蓋整個信息系統從建設到運行的安全管理制度，學習國外管理經驗，引入其先進的設計理念和管理機制到信息系統開發階段中去，加強信息系統基礎建設中的安全管理;強化整個信息系統運行維護階段的安全管理，形成常態化的定期風險評估和處理機制，以及突發信息安全事件的管理機制。

3．加強制定信息安全的管理規范。根據電子政務信息安全的發展趨勢，制定信息安全保障的中長期戰略規劃和工作目標，完善電子政務信息安全的管理細則，從而形成規范的電子政務信息管理體系。

4．加強專業人才培養，保障信息安全。安全保障體系建設不僅需要對管理人員進行專業的培養，還需要全體政務管理人員具有強烈的政務信息安全意識和專業的操作知識，各部門不僅要對專業的技術人才進行培養，還要對政務管理人員進行全員培訓，除了崗前培訓外，還要制定定期培訓、座談會、請專家演示等多種形式的信息安全培訓和考核機制，使信息安全操作成為一項政務信息管理人員的必備技能。

(二)自主研發，統一技術標準

電子政務運行的基礎是計算機和網絡技術，電子政務信息安全的關鍵是要有軟硬件的自主產權和核心技術。因此，我國應出臺相應政策，集中人力、物力自主發展專用芯片、密碼技術等，培養高端人才，完善安全評估和質量認證體系，發展具有先進性和自主性的信息化技術，逐步擺脫核心技術受制于人的現象。電子政務系統建設，要盡可能開發、利用具有自主產權的關鍵技術和基礎設備，自主建設具有可靠的技術、自主生產的軟硬件產品的電子政務信息系統，以確保我國電子政務持續健康的發展。電子政務統一的標準應當分層設計。一方面根據急用先行原則設計一些急需的標準;另一方面，規劃出我國電子政務發展的階段性目標和路徑，根據這些目標來一步一步設計電子政務標準。就我國目前的現狀來看，行政區域遼闊，地區之間的經濟發展和信息化水平存在的差異較大，不平衡性表現突出，因此在設計標準時，應當把這些客觀因素充分考慮進來;就我國地區間信息化水平差異較大的特點來看，可先制定網絡的標準，然后按照信息化水平由高到低逐步覆蓋;就“信息孤島”現象來看，可以統一程序編寫語言、數據庫架構、信息資源格式等標準，使得部門之間能夠互聯互通。然后把電子政務的種類和服務類型進行劃分，功能上由易到難，機構上由簡到繁，對相關標準的制定進行逐步推進，而不能一蹴而就地把電子政務的相關標準一次性設置出來，導致標準一次性設置過多，難以兼顧到細節且脫離實際，各部門在執行標準時也可能因為標準過多而無從下手，進而使得電子政務建設沒有達到預期的標準。標準的設立是一個長期的過程，要根據專家、政府、用戶等多方的反饋意見來不斷修改，最終才能確立，社會的廣泛參與是電子政務標準設立過程中必不可少。

(三)加強機制建設，構建安全的電子政務網絡

政府部門要嚴格督促下屬各單位、系統的管理機構，明確信息安全建設的領導及崗位責任制，制定相關管理措施，嚴格安全管理機制，確保政務信息的安全，并對破壞電子政務信息安全的事件進行嚴肅調查和處理。

1．提高保密意識。電子政務信息安全管理首要解決的問題是提高政務信息管理者的保密意識，要加強組織領導，加強電子政務信息安全知識的宣傳教育。采取授課、座談、知識競賽等多種方式，對政務信息管理人員進行全方位常態化的宣傳教育，提高其信息的安全保密意識，推動電子政務信息安全流轉。另外還要積極開展安全策略研究，明確安全責任，增強政務信息工作者的責任心［3］。

2．建立安全管理制度。沒有管理組織保證，再好的設備和技術也難以保障政務信息的安全。據調查，在已發生的網絡安全事件中，因為管理者問題造成的案例占80%以上，因此信息安全保障體系的建設，首要解決的就是各類相關組織體系的建設，如:信息與網絡安全領導小組、信息安全管理處、信息安全管理員等。另外，信息化貫穿了政務工作的全過程，政務信息安全不僅僅是相關信息化部門的問題，更是整個政府政務人員的綜合安全管理問題，因此政府領導和各部門對信息安全管理問題的重視很重要，要想把政務信息的安全保障體系建設落到實處，就只有把信息安全管理納入到政府整體的政務管理中去。

3．健全法律制度，嚴格依法執行。電子政務規范有序發展的保障是具有完善的電子政務法律體系。為了推動我國電子政務安全、健康的發展，就要樹立“立法先行”的理念，通過制定相應的法律法規、修訂現有的法律，逐步建立電子政務法律體系，促進我國電子政務持續健康的發展。

第三篇：供應鏈信息安全體系的構建

1供應鏈信息安全的特點

現代供應鏈中無論是企業內部的生產、銷售訂單、合作企業的生產進度，還是企業間的資金轉帳、招投標信息，都是需要高度保密的敏感信息，這些信息的準確性、機密性將直接影響到供應鏈企業的生產和經營決策［2］。在供應鏈中，由于信息在節點企業間共享，對信息安全提出了新的要求:(1)信息安全不再是某個企業個體的事情，而是整條供應鏈所有節點企業共同面臨的問題，任何一家企業由于自身原因導致的信息安全事故，將可能危害整條供應鏈的利益。供應鏈信息安全保障工作要遠比單個企業復雜。(2)供應鏈上下游企業形成“委托—”關系，具有優勢的方往往傾向于增加信息不對稱，來獲得額外的利益。(3)由于供應鏈企業間共享的信息具有較高的商業價值，有些企業為了自身利益，可能會將共享的信息泄露給供應鏈外企業。如何既保證節點企業間的信息共享，又防止企業泄露信息、身份欺詐等有害行為的發生是供應鏈信息安全需要研究的問題。

2供應鏈信息安全現狀與問題

目前，我國企業在供應鏈管理的實踐中，對供應鏈信息安全或者重視不夠或者束手無策，存在一些較為突出的問題。

(1)信息安全意識淡薄目前我國很多供應鏈節點企業沒有意識到信息是重要資產，沒有把信息安全管理工作作為日常工作的重點。據北京谷安天下公司開展的《2011年度中國企業員工信息安全意識調查》活動結果顯示，受訪者的工作胸卡保管、個人及公司物品保管、出差物理環境安全、辦公桌面安全、打印機安全、尾隨、口令/密碼設置、敏感數據保護、數據備份、密級資料處理、電腦桌面安全等相關安全意識相對較差。

(2)信息安全管理無章可循、有章不循現象普遍供應鏈信息安全工作缺乏統一的依據和準則，節點企業的安全制度互相間存在內容交叉甚至矛盾，邊界定義不明確，安全職責模糊不清，部門責任和崗位責任制得不到真正落實，執行監督機制薄弱。許多企業對移動存儲設備的使用無嚴格規定，員工可以隨意使用移動存儲設備對文件進行存儲備份，企業信息逐步成為個人資產，隨著人員流動而廣泛傳播。員工工作時間上網暢通無阻，無限制地使用QQ、MSN等傳送、接收文件，容易導致機密泄露和病毒、木馬、黑客的攻擊。掌握大量機密信息的特權員工，例如數據庫管理員、網絡管理員、營銷主管和技術研發人員容易將掌握的機密信息出售給企業的競爭對手。

(3)缺乏信息安全技術與管理人才信息化建設中存在重硬件，輕軟件和管理的現象，對信息人才的培養與引進關注不夠。為了節約人力成本，往往一個信息安全管理員既要負責系統的配置，又要負責系統安全管理，管理權限過于集中，一旦出現管理員的權限失控或離職等情況，極易導致重要信息泄露。

(4)缺乏統一的信息安全戰略規劃和防范機制許多企業的信息安全措施隨意性很強，缺少嚴格的科學論證，采取的是“貼膏藥”式的安全策略，從而引起軟硬件安全設備(系統)間防護功能的重疊和弱化，導致管理難度加大，重復投資現象普遍［6］。有些企業經常出現“先業務，后安全”的現象［7］，安全管理嚴重滯后于業務的發展。安全事件發生后才去解決，信息安全人員變成“救火員”，安全建設經常是“亡羊補牢”。

(5)供應鏈企業之間信息的共享與交流存在安全問題供應鏈各節點企業在合作過程中一再強調依靠信息共享實現雙贏，但又都是獨立的利益個體，一旦企業之間發生利益沖突，則容易出現的主要問題有:①合作伙伴的逆向選擇風險［8］。由于信息不對稱，各節點企業形成的“委托—”關系往往導致了一種逆向選擇的風險。委托方往往比方處于更不利的位置，企業往往通過阻礙信息共享，增加供應鏈中信息的不對稱，從合作伙伴那里獲得更大利益。②供應鏈節點企業的敗德行為。當前我國企業與供應鏈(網絡信息犯罪)相關法律法規不健全的法制環境下，節點企業會利用信息優勢而采取一些違背供應鏈整體利益或者其它成員企業利益的措施。企業會主動或有意將供應鏈內共享的信息泄露給沒用參與共享的企業來獲得額外利益。企業成員間還存在欺詐行為，如不法企業利用身份欺騙，以某企業成員的名義，欺騙其他企業成員［9］。諸如此類敗德行為如不加控制會降低供應鏈的服務水準，導致供應鏈其余節點企業、顧客的不滿和利益流失。

3供應鏈信息安全體系框架

供應鏈信息安全系統中的各個安全組件或要素只有整合成為一個整體協同作用時，才能有效保證整體安全管控的目標得以實現。然而，對于我國大多數供應鏈企業說，信息安全存在上述諸多問題，主要原因是在信息安全建設之初，沒有根據供應鏈整體業務發展的需要確立合理的信息安全需求，導致供應鏈信息安全架構不合理。供應鏈信息安全框架旨在為供應鏈及其節點企業提供一個全面的、自上而下的、結合了國際國內相關安全標準的安全模172型［10］。供應鏈信息安全框架由企業信息安全治理、信息安全管理、基礎安全服務和架構、第三方信息安全服務與認證機構和供應鏈信息安全技術標準體系五個模塊構成。安全治理作為架構的核心內容，是安全管理模塊的服務對象，同時，它們也是信息安全策略制定的基礎和依據，還是基礎安全服務和架構模塊中的各個子系統提供選擇和建設的依據。基礎安全服務和架構模塊是信息安全建設技術需求和功能的實現者，是信息安全建設的重要支柱。中間的安全管理模塊則通過一系列控制措施，確保基礎安全服務功能的實現，最終實現安全治理的要求，滿足供應鏈系統的信息安全需求。供應鏈信息技術標準體系為供應鏈和第三方信息安全服務與認證機構提供了標準保障和依據，有利于形成健康法制的第三方信息安全服務市場環境。第三方信息安全服務與認證機構可彌補供應鏈企業信息安全技術和經驗的不足，提供安全托管及信息安全認證服務。

4供應鏈信息安全體系框架的應用

供應鏈信息安全框架參考了眾多企業所積累的經驗，吸取了供應鏈信息安全領域的最新理論研究成果。在具體運用中可結合信息安全相關方法論、模型及標準，從企業需求出發，參照供應鏈信息安全管理框架，通過評估和風險分析等方法，定義供應鏈及其節點企業安全需求，再根據安全需求定義信息安全建設的內容和方向，如圖2所示。圖2供應鏈信息安全體系框架應用。

5結論

首先分析了我國供應鏈普遍存在的信息安全問題，主要有:企業員工的信息安全意識淡薄;信息安全管理有章不循現象普遍;缺少信息安全技術與管理人才;缺乏統一的信息安全戰略規劃和防范機制;合作企業間存在逆向選擇風險和各種敗德行為等。上述問題阻礙了我國供應鏈信息安全水平的提高。本文參考了眾多企業所積累的經驗，吸取了供應鏈信息安全領域的最新理論研究成果，從信息安全戰略、信息安全技術和信息安全管理三方面提出了供應鏈信息安全框架。在具體運用中可結合信息安全相關方法論、模型及標準，從供應鏈整體業務需求出發，參照供應鏈信息安全管理框架，通過評估和風險分析等方法，定義供應鏈及其節點企業的信息安全需求，據此確定供應鏈及其節點企業的信息安全建設的內容和方向。需要指出的是，供應鏈信息安全問題是一個系統工程，其中供應鏈信息安全標準體系、第三方信息安全服務和信息安全管理體系認證是建立完善的信息安全服務市場的關鍵。這需要深入供應鏈企業做大量的調查研究，并對比借鑒國際上ISO28000等標準，研究適合我國供應鏈實際的信息安全標準體系，這正是筆者下一步要嘗試解決的問題。

作者：黃晟辰1李勤2李劍鋒3魏軍4工作單位：1.杭州電子科技大學通信工程學院2.中國計量學院繼續教育學院3.中國計量學院經濟與管理學院4.中國信息安全認證中心

第四篇：海洋空間信息安全技術研究

1國外海洋空間信息安全威脅研發概況

1）海洋空間信息安全威脅向立體化發展海洋空間是以海洋為核心的立體空間，包含海底、深海、淺海、海面、海空等不同特性的空間。隨著技術的發展，海洋空間信息安全威脅從海洋空間向臨近空間、外層空間拓展，針對不同的層次空間特征，包括不同的信息環境和自然條件，采用不同的方案，形成多層次、立體化體系，實現多源信息融合、多功能冗余互補，海洋空間信息安全令人擔憂。2）海洋空間信息安全威脅向一體化發展隨著高科技的發展，未來戰爭對空間的依賴越來越強，海戰將從海空一體戰拓展到深海、太空及網絡，信息安全威脅將以體系形式出現，因此，海洋空間信息安全威脅正在向一體化發展，跨越陸、海、空、天、賽博五維空間，適應聯合作戰的需求。另一方面，信息安全威脅手段也從單種方式（如電子或網絡等）向網電一體化綜合威脅（即網電一體）發展。3）海洋空間信息安全威脅向無人化發展隨著微電子、計算機、人工智能、小型導航設備、指揮控制硬件和軟件的發展，在海洋空間信息安全威脅中，無人化技術發展很快，海上無人機已經用于海洋信息偵察；水下無人航行器正在迅速發展，也應用于水下的信息獲取，包括海洋戰術數據收集、水下目標搜索和偵察等。無人化海洋信息獲取手段使用靈活，功能多，環境適應性強，風險低，大大提升了海洋空間信息安全威脅效能。

2海洋空間信息安全軍事需求

1）海洋空間信息安全是維護海權和國家安全的必需手段當今世界最引人矚目的特征是全球化，表現為商品、資本、技術、人員、信息、觀念文化等社會要素全球流動，以及各種事物相互影響的全球關聯性。全球化顯著改變著人類社會的總體面貌，孕育著對海洋的巨大依賴。海洋作為天然通道不僅是經濟大動脈，也是方便快捷的軍事交通線和廣闊的戰略機動空間，軍事大國利用海洋對別國安全構成威脅。國家生存安全和發展安全都與海洋密切相關，維護海洋安全、掌控國家海權是一種舉足輕重的國家戰略手段；隨著信息化戰爭轉型，海洋空間信息安全是維護海權和國家安全的必需手段。2）海洋空間信息安全是全軍信息安全的重要組成部分海洋空間占據地球空間的絕大部分，軍事大國借助海洋公共通道和戰略空間部署投放軍事力量，對世界局勢造成嚴重影響。海洋空間往往是覺察軍事行動和戰爭征候最有效的空間之一，然而海洋空間人煙稀少，海洋信息系統復雜，海洋空間信息安全既具有獨特性，又是全軍信息安全的重要組成部分。

3海洋空間信息系統特點

由于海洋空間浩瀚無際，人煙稀少，海洋信息來源比較少，隨著人們海洋活動日益頻繁，對海洋空間信息的需求與日俱增，因此海洋空間信息系統也越來越復雜，通常包括海洋氣象環境和海況信息系統，海洋通信系統，海洋導航系統，海洋警戒、預警系統，敵我識別系統，指揮控制系統等。海洋空間信息系統具有如下特點：1）海洋空間信息系統對外層空間的依賴密切海洋空間信息系統通常離不開天基的支持，海洋空間信息系統是空間信息系統的組成部分之一，因此海洋空間信息系統也具有空間通信的暴露性、脆弱性、鏈路距離長、誤碼率高等特點，海洋空間信息安全可借鑒空間信息安全技術。2）海洋空間信息系統移動性大由于海洋目標處于運動狀態，因此海洋信息鏈路的建立和保持通常是動態的，具有移動通信的特點，即海洋空間信息系統處于動態變化中，從而使得海洋空間信息安全技術復雜多變，難度大。3）海洋鏈路通信方式多海洋鏈路既有無線傳輸，又有電纜和光纜傳輸，無線傳輸使用的頻譜寬，從聲波到光波，傳輸介質從海水到外層空間，都有涵蓋，傳輸特性千變萬化。由于海洋目標姿態變化大，一般天線波束較寬，鏈路暴露性、開放性突出，海洋空間信息安全途徑擬采用聲納安全、電子安全、光電安全等手段。4）海洋空間信息網絡節點分散、規模小由于海洋范圍大，數據采集通常采用分散的數據收集平臺（含浮標等），數據率不高，而海洋艦船編隊相對規模也不大，網絡鏈路層比較脆弱，海洋空間通信網絡協議有一定特殊性，因此海洋空間網絡安全需要專門研究。5）海洋空間信號環境密度較低由于海洋范圍廣闊，海洋目標密度相對稀少，電磁信號的背景環境不像陸地那樣復雜，海洋上無線電干擾源很少，幾乎不存在工業干擾、無意干擾。無線電信號密度較低，電磁信號環境比較“凈”，信號安全相對容易實現。6）海洋空間信息系統開放性大海洋空間信息系統民用比例較大，有時軍、民交織，開放性較大，同時海洋的國際法規多，因此，海洋空間信息安全擬采用軍民結合、平戰結合、寓軍于民的策略。

4海洋空間信息安全技術途徑

海洋空間信息安全的任務可分為海洋空間的信息防御和信息支援。信息防御是指海洋空間信息系統所采用的旨在保持、保護、恢復和重構己方（含友方）信息系統的措施，可分為主動防御和被動防御。信息支援是為信息防御提供技術支持，也包括為軍事行動快速決策、提供近實時威脅識別而采取的行動。海洋空間信息安全技術途徑可分為陸基、海基、空基、臨近空間和天基海洋安全系統。陸基海洋空間信息安全系統是利用海岸、島礁構建的海洋空間信息安全系統。陸基海洋空間信息安全的繼承性和技術可行性較好，因為陸基設備的體積、質量和功耗可以不受限制，天線可以做大，所以既能接收微弱信號，也能發射大功率信號，但是由于受地球曲率和海況影響，其作用距離有限。海基海洋空間信息安全系統是利用艦船和水下航行器等構建的海洋空間信息安全系統。通常繼承性和技術可行性也較好，但是技術條件還要受到平臺一定的制約；海基信息安全系統活動范圍大，可利用公海海域、水上、水下完成海洋空間信息安全任務，可以擴大海洋空間信息安全的覆蓋范圍。空基海洋空間信息安全系統是以飛機或氣球為平臺構建的海洋空間信息安全系統。由于設備受到平臺技術條件限制，技術難度較大；而且飛機的活動范圍往往受到領空限制；另一方面，飛機的飛行速度快，駐留時間短，效能較低。臨近空間海洋信息安全系統是利用臨近空間飛艇構建的海洋空間信息安全系統，由于臨近空間處于空天過渡區，在覆蓋、靈敏度和精度等多種性能上常常有恰到好處的特點，并且能在給定海域上空長期駐留，但飛艇的技術難度大，當前還處于預先研究階段。天基海洋空間信息安全系統是利用空間飛行器構建的海洋空間信息安全系統，天基海洋空間信息安全系統瞬時覆蓋范圍大，效能高，不受地域、時域限制，與其它技術途徑相比，具有較大優勢和發展前景；但天基系統載荷設備受到體積、質量和功耗的嚴格限制，而且空間環境惡劣。

5關鍵技術

1）海洋空間信息安全總體技術分析研究海洋空間軍事信息威脅和信息環境背景，研究海洋空間信息安全系統任務功能、使命，研究海洋空間信息安全技術途徑，分析論證海洋空間信息安全體系構架和發展戰略，研究海洋空間信息安全系統總體方案，并進行可行性分析論證，分解關鍵技術。2）海洋空間電子系統安全技術研究海洋空間電子系統安全任務功能、總體方案、技術指標，進行可行性分析論證，研究關鍵技術，包括海洋目標高精度定位技術、海洋空間盲偵察技術、海洋空間電子防御技術、海洋空間電子干擾和抗干擾技術等。3）海洋空間聲納安全技術研究海洋空間聲納安全任務功能、總體方案、技術指標，進行可行性分析論證，研究關鍵技術：海洋目標高精度聲納定位技術，海洋空間聲納探測、識別和防御技術，海洋空間聲納干擾和抗干擾技術等。4）海洋空間光電安全技術研究海洋空間光電安全任務功能、總體方案、技術指標，進行可行性分析論證，研究關鍵技術等。5）海洋空間網絡安全技術研究海洋空間網絡特性，研究海洋空間網絡安全任務功能、技術途徑、總體方案、技術指標，進行可行性分析論證，研究關鍵技術等。6）海洋空間一體化信息安全技術研究信息化轉型，研究一體化聯合信息安全，研究信息安全指揮控制方案，研究信息安全數據融合和共享，研究信息安全一體化方案等。7）海洋空間氣象海況信息安全技術研究海洋空間氣象海況信息系統，研究海洋空間氣象、海況信息等關鍵技術。8）海洋空間信息安全仿真、評估技術研究海洋空間信息環境背景和模型，研究海洋空間信息安全模型，研究海洋空間信息安全指揮控制模型，研究海洋空間信息安全效果評估方法，構建系統仿真、演示研究平臺。9）新概念海洋空間信息安全技術跟蹤研究信息安全技術發展，研究海洋空間信息安全新概念、新技術。

6結束語

綜上所述，與外層空間相比，海洋空間是人類資源的第二大空間，且包含人類共享而又更易到達的公海空間。隨著經濟全球化的加速發展，以及國際軍事格局的變遷和信息化的轉型，海洋空間信息安全必將是信息化時代的戰略高地，開展海洋空間信息安全頂層設計研究、加速發展海洋空間信息安全系統具有深遠的戰略意義。

作者：黃漢文工作單位：上海衛星工程研究所

第五篇：數字化檔案信息安全管理策略

一、實施數字化檔案信息安全管理的意義

隨著我國信息化水平的迅速提升，我國對數字化檔案信息安全管理也有了更為深刻的認識。信息安全管理是維護數字化信息安全的重要手段，正所謂“三分技術，七分管理”，由此可見信息安全管理的重要性。數字化檔案信息保障體系建設過程中必須有一套較為完善的制度，只有這樣才能保證信息保障體系建設各個環節開展的規范性與合理性，而在信息保障體系建設中運用信息安全管理制度就能夠達到保障信息安全的目的。對數字化檔案信息進行安全管理，能夠使所有人員主動參與到數字化檔案信息保障建設過程中，不僅能夠大大提高員工工作質量，同時還能夠提高員工工作效率，因為科學有效的安全管理能夠提高企業員工的凝聚力與向心力，對維護數字化信息安全及企業發展都有一定的積極作用。

二、數字化檔案的信息安全問題分析

數字化檔案信息與計算機中其他普通數據一樣，都會受到多種不安全因素的影響。數字化檔案信息主要是以信息數據的形式儲存在于計算機內部系統中，若出現安全問題會直接影響檔案信息的完整性與安全性。據調查了解所知，目前數字化檔案信息主要存在的安全問題有以下幾個方面：

（一）計算機硬件故障

現在大部分計算機中各個部件都采用了一定的保護機制，但這并不能阻止一些硬件故障的出現。硬件故障對數字化檔案信息的危害性很大，比如若計算機中的硬盤磁道出現損壞或者嚴重故障，那么在很大程度上會造成信息數據破壞或者丟失，導致數字化檔案信息的不完整。近年來，隨著計算機設備的應用量越來越大，其內部硬件故障發生的頻率也隨之不斷增高。

（二）計算機軟件故障

要實現計算機對各項數字化檔案數據的處理，有賴于計算機操作系統及數據信息處理相關軟件。計算機軟件的性能高低直接關系著數字化檔案信息數據的安全性與完整性。隨著數字化檔案信息系統的不斷完善，信息系統對軟件的要求也越來越高，在這種情況下就出現了計算機軟件功能性無法滿足數字化信息系統的要求，在軟件使用中無法確保其性能的穩定性。雖然在數字化檔案信息系統操作中存在一些計算機軟件故障，但與硬件故障相比，其發生故障的機率較小。

（三）病毒及黑客侵襲

病毒及黑客入侵是影響數字化檔案信息安全的主要問題之一，這種問題較為常見，雖然一些計算機用戶設置了防火墻，安裝了多種殺毒軟件，但依然無法完全避免病毒及黑客的非法入侵。

（四）系統更換操作或者停機

硬軟件本身的兼容問題或者系統中包含的諸多無用資源，很容易導致計算機出現停機或死機狀況，這是導致信息數據丟失的一個原因。

（五）人為操作引起的故障

在數字化信息數據安全維護過程中由于信息管理人員計算機操作不當，會對數字化檔案信息安全造成一定的威脅，比如誤刪除信息數據的現象在日常工作中時有發生。

三、數字化檔案的信息安全管理策略

針對上述問題在數字化檔案信息安全維護中不僅要選擇可靠的硬件設備，采用先進的信息安全保障技術，更要進行全方位的數字化檔案信息安全管理，只有這樣才能有效解決數字化檔案信息安全問題，提高數字化檔案的安全性。以下是筆者結合目前數字化檔案信息安全問題所提出的安全管理策略：

（一）硬件設備安全管理

據調查了解所知，計算機硬件故障發生率十分頻繁，嚴重影響了數字化檔案信息安全，因此在信息安全管理工作中的首要任務就是對硬件設備進行科學選擇與管理。應根據數字化檔案信息系統的實際情況選擇合適且性能良好的硬件及軟件設備。另外在選擇過程中應重點考慮計算機服務器的品牌及客戶機，全面審核硬件設備的兼容性及拓展性，這樣做的目的是為了當系統升級時避免數據信息丟失。

（二）信息技術安全管理

在數字化檔案信息安全管理過程中僅靠管理人員的力量是不夠的，還需要信息技術的協助。為了保證數字化檔案信息數據的安全性，在管理工作中可以運用一些先進的信息技術來提高數字化檔案信息安全。比如可以設置信息訪問身份驗證、防病毒體系，還可以對相對機密的數據進行加密操作，采取數據加密的方式可以有效防止信息數據在傳輸過程中被一些木馬病毒及非法網站入侵，對保護數字化檔案信息十分奏效。

（三）完善信息安全管理制度

在數字化檔案信息安全管理工作中需要一套完善的信息安全管理制度，原因在于數字化檔案信息種類較多，且具有一定的復雜性，若不制定完善制度，實行全面的制度化管理，很容易導致信息安全管理內部一片混亂，為了避免這種狀況，企業應積極建立并完善信息安全管理制度。一般建立完善的信息安全管理制度需要從二個方面入手：

1.建立數字化文檔管理制度。對于已儲存在計算機中的信息應進行分類管理，大致應將其分為秘密、機密、絕密與非保密等幾種保護類型。另外對于一些相對機密及敏感信息不僅要采取加密措施，還要將其儲存在脫機的安全環境中，以免信息被他人非法竊取、破壞或修改。

2.建立人員安全管理制度。首先要將信息安全管理貫徹落實到實際信息維護中，讓管理人員對信息安全管理有一個清晰客觀的認識。這樣一來，管理人員就會在工作中認真貫徹執行，極力維護數字化檔案的安全。信息安全管理部門總負責人應對各個管理人員的工作進行考核，對于一些管理操作不當或管理不夠嚴格的人員應給予相應的警告或處罰，讓其從思想上意識到信息安全管理的重要性。其次應對信息安全管理人員進行定期培訓，讓其及時學習其他企業及國外優秀的信息安全管理方法及理念，為信息安全管理工作注入新的血液。這樣一來，不僅能夠大大提高信息安全管理的時效性與合理性，同時還能夠提升信息安全管理人員的綜合素質，對數字化檔案信息安全管理工作的有效開展具有一定的積極意義。在數字化檔案信息安全管理中，要想充分發揮管理的作用，全面維護檔案信息安全，保障檔案信息的完整性，就要結合數字化檔案信息系統的實際運行特點，全面考慮信息安全問題，從而有針對性的采取相應的管理策略，實現數字化檔案信息的制度化管理。

作者：翟俊海工作單位：河北省邯鄲市中心血站

第六篇：網絡信息安全應急通報研究

1信息安全應急管理通報機制

信息安全應急管理通報機制是由政府組織的，對所轄范圍內的信息系統進行實時監控，對系統狀態、發生的安全事件等進行通知通告、對可能發生的安全事件進行預警通報的一種機制。建立良好的信息安全通報機制是做好應急管理的基礎，及時網絡與信息安全事件信息，進行預警，避免信息安全事件大規模爆發，及時進行事后總結，進行趨勢分析，為信息安全應急管理提供必要依據。同時，建立網絡與信息安全的信息共享和通報機制，能夠確保在發生網絡與信息安全事件時能統一協調行動，及時有效處置，加強聯合防護減少危害損失和影響。建立信息安全應急管理的通報機制，應本著統一領導、快速反應、分工協作、及時預警等原則。通報機制的內容應涵蓋組織機構、信息來源、通報內容、通報對象、通報流程與方式、通報后期處置等內容。省級信息安全管理通報機制的組織機構，包括應急管理的指揮機構、辦事機構、監測成員單位（含各行業主管單位）、信息系統運營使用單位、處置專家組、技術支持單位等。其中指揮機構主要負責統籌協調跨部門的信息安全工作；辦事機構是指揮機構的具體執行部門，承擔安全信息的收集、匯總和上報，以及其他日常事務處理工作；實施監測單位主要負責對各類信息安全事件和可能引發信息安全事件的有關信息進行安全監測工作；信息系統運營使用單位、處置專家組、技術支持單位主要執行應急處置決定等。

2省級信息安全應急通報范圍

在信息安全應急管理中，對信息安全事件的分類、分級是做好應急管理的基礎，根據事件等級進行相應處理，做到適時適度地利用人力、物力等資源。網絡與信息安全事件一般分為信息安全事件是已經發生的網絡信息安全事件。信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、系統故障和災害性事件等。這些事件可以按照嚴重程度劃分為四個級別：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般）。其中特別重大事件對國家安全、社會秩序、經濟建設和公眾利益造成的損害特別嚴重；重大事件指對國家安全、社會秩序、經濟建設和公眾利益造成嚴重損害，需要跨部門、跨地區協同處置的信息安全事件；較大事件是指某一區域或部門范圍內發生的，對國家安全、社會秩序、經濟建設和公眾利益造成較嚴重損害的事件；一般事件是指對國家安全、社會秩序、經濟建設和公眾利益構成一定威脅，對公民、法人和其他組織的權益有一定影響的信息安全事件為一般信息安全事件。在信息安全通報機制中，還應對預警信息進行分級。預警信息是指預警信息是指存在潛在安全威脅或隱患但尚未造成實際危害和影響的信息，或者對事件信息分析后得出的預防性信息。預警信息分為四級：I級、II級、III級、IV級，依次為紅色、橙色、黃色和藍色表示，分別對應可能發生特別重大、重大、較大和一般的信息安全事件。省級信息安全應急通報應根據實際情況分為兩種時期的通報，即緊急通報和常態化通報兩種。常態化通報主要用于日常信息的統計、預測和匯報。不定期通報是指緊急狀態下的信息安全情況通報。所謂緊急狀態，是指發生或者即將發生特別重大信息安全事件，需要國家機關及我省應急指揮部依照憲法、法律規定，行使緊急權力予以控制、消除其社會危害和威脅時的一種臨時性的嚴重危急狀態。在此狀態下，實施監測單位、事發行業主管單位及事發單位應執行24小時實時監測，并于每日16時前將當日監測結果報送至省協調小組辦公室。信息安全通報機制的信息來源應包括對重點領域網站的安全性監測信息、橫向信息來源、縱向信息來源和其他方面信息來源。網站監測信息是由省級網站監測部門實施的對全省的重點網站的信息安全事件及潛在風險進行的實時監測；橫向來源是指政府中具有監管職能的部門實施監測所獲得信息；縱向信息來源一般應由省級行業主管單位對本行業內部的信息安全事件和潛在風險實施監測所獲信息，如電力、證券期貨、銀行、衛生、通訊、廣電、教育，以及其他涉及國計民生的行業主管單位；其他信息來源指的是網絡安全產品研發企業提供的信息。這些信息經過匯總與研判再進行下發、通報與匯報等。

3通報結果的考核

作為信息安全應急管理工作的重要環節，應急通報過程中及過程后的工作響應情況、信息準確情況、及時程度等都是決定應急處理工作成敗的關鍵因素。因此，在進行應急信息通報及處理過程中，對通報的內容、結果進行考核是十分必要的。建立通報機制時，應考慮責任與考核問題。應能保證通報過程中各單位能夠認真履行職責，保證通報信息的及時、準確，因瞞報、緩報、謊報而產生的后果，將依法追究其相關責任。對落實信息安全工作中表現突出的部門也應予以表彰獎勵，對違反有關規定、未按要求落實工作或處理信息安全事件不積極、不及時的主管單位予以通報批評。考核能容至少包括安全整改情況、處置情況，信息安全事件等級與數量，預警信息等級和預警信息數量等因素。

4綜述

綜上所述，信息安全應急管理是一個多部門、多組織共同協調的過程，其中的信息安全應急通報機制也是實行分級管理、分級負責、統一指揮、立足防護的綜合過程，各級通報單位和部門主管單位通過建立和完善信息通報、報告制度與聯動工作機制，各司其職，形成合力，共同推進網絡與信息安全保障工作。

作者：王希忠黃俊強馬遙吳瓊工作單位：黑龍江省信息安全測評中心

第七篇：信息安全課程創新教育研究

1傳統信息安全教學模式存在的問題

目前在網絡安全專業課程教學中，高等院校主要講授網絡安全的基本概念和基本原理、計算機病毒木馬的特征類型、密碼學、網絡安全應用等課程。由于這些課程的理論性較強、概念繁多，因此學生普遍覺得太抽象，學不到與實際工程項目相關聯的網絡安全技術。

（1）課堂教學以教師的理論教學為主，主要講授網絡安全體系結構的基本概念和基本原理，只起到網絡安全導論的作用，缺少互動性和項目實踐。

（2）學生從大二第二學期才開始接觸到信息安全課程，在入學初期沒有培養起對信息安全的興趣，不了解信息安全的基本概念、重要性以及與信息安全有關的就業崗位，教師也沒有為學生科學地制定大學4年的學業規劃。

（3）隨著物聯網和云計算的普及，各種網絡安全攻擊手段和保障網絡安全的技術不斷推陳出新。目前，信息安全的一些專業課程還只是停留在基本原理的講解上，沒有做到與時俱進，很少講授前沿的網絡安全應用及其存在的安全隱患及解決方案。教師沒有引導學生利用發散性思維并投入到對前沿網絡技術和安全技術的研究中。

（4）缺少網絡安全工具實訓。現在很多網絡安全工具都是開源工具如Backtrack等，掌握這些工具需要花費大量時間，因此需要開設網絡安全工具實訓課程，讓學生掌握如何配置、安裝、使用和定制個性化的開源工具。

（5）缺少安全軟件設計等實踐課程。信息安全專業的學生除了要能夠利用安全工具進行系統安全測試外，還要掌握如何防御和解決系統安全漏洞，另外，還有很多學生希望從事安全軟件開發工作。這就要求高校設置安全軟件設計開發類的課程，幫助學生掌握安全軟件開發過程中所需的知識和技能。

（6）缺少創新思維的培養。國內大學生的創新性較歐美大學生有所欠缺，因此要注重信息安全專業學生的創新思維培養，并且要從大一開始就進行創新思維的鍛煉。

2創新思維在信息安全領域的重要性

物聯網、移動計算、云計算等新技術正在改變整個互聯網，新技術、新應用和新服務正帶來新的安全風險。這給網絡安全工作者和研究者帶來了新的挑戰，網絡安全從業人員應該具備創新思維以應對這些挑戰。我們將從以下幾個方面闡述創新思維在信息安全領域的重要性。

（1）社交網絡、智能終端、手機等逐漸成為病毒的攻擊目標。原有的安全防范技術和安全觀念已很難抵御新的網絡入侵技術和安全威脅。

（2）網絡犯罪日益增多，許多網站的服務以及手機操作系統向第三方應用程序開放，軟件通過掛木馬和隱藏后門的方式竊取信息并監聽用戶系統，因此安全隱患問題不容忽視[1]。隨著電子銀行、電子商務、網上支付和手機支付等應用的全面普及，攻擊支付網關、截取交易信息、搶奪虛擬財產等網絡犯罪行為增多，網絡犯罪的形式、手段和后果更加不可測。

（3）信息安全與網絡管理的變革勢在必行。由于互聯網的革命性發展以及云計算和物聯網的興起，未來的網絡將日益擴張并日趨融合，如“三網合一”。與此同時，網絡入侵、木馬病毒、手機病毒等惡意代碼和網絡犯罪方式也隨著新技術、新業務和新應用的誕生而不斷推陳出新，因此信息安全技術和網絡管理也需要與時俱進地進行創新性變革，應對互聯網的變革。

3網絡安全教學中融入創新思維培養的實踐

結合東華大學計算機科學與技術學院培養信息安全專業學生創新能力的經驗，我們闡述如何從學生入學到畢業的4年間培養其創新思維和實踐能力。

3.1培養學生對專業的興趣

首先，我們要積極發揮班級導師的作用。網絡安全的任課教師可以擔任信息安全專業學生的學業導師，學業導師在學生入學后通過學習方法和學業規劃等主題開展學習交流會，在會上介紹網絡安全的知識結構、科學背景、發展趨勢、行業需求、就業領域，并引用前沿網絡安全技術和最新的網絡安全隱患案例和視頻，如利用智能手機安全漏洞和“云”查殺病毒技術等案例激發學生的興趣。興趣是學生的學習動力，學生是教學的主體，在教學中對課程的參與度高低直接影響整個教學成果，因此要提高學生的學習效率，首先要增強他們對網絡安全技術的興趣。導師應在易班網上學生活動社區或其他社交網站上建立網絡班級，保持與學生的日常溝通，為學生選課提供幫助；協助學生進行學習生涯規劃，同時為專業學習提供幫助；在網上班級設置“我的Idea”專題，讓學生在論壇里發表自己的創新想法，如要做什么樣的系統或軟件解決生活中遇到的一些問題。該階段學生還沒有實現這些軟件的技術能力，導師可以指導學生學習某方面的技術以實現這些有創意的想法。

3.2以賽代練，參與國家和市級大學生創新項目和高水平信息安全競賽

在創新實踐中，輔導員和學業導師起著非常關鍵的作用。學業導師都是計算機學院的在職講師或教授，他們可以把自己主持或參與的科研課題介紹給學生，讓學有余力的學生參與學業導師的課題研究，一方面培養學生的自學能力并積累科研所需的知識，另一方面培養學生的創新思維。輔導員和學業導師經常組織學生參加信息安全大賽，如全國大學生信息安全競賽和信息安全技能大賽。同時，為了鼓勵學生進行科技創新，東華大學計算機科學與技術學院每年組織學生參與全國和上海市的創新實踐項目申請，學生組團挑選專業課教師作為項目導師，共同探討創新課題、撰寫科技創新項目申請書并提交給專家組，學院組織專家評選20多個創新性高且可行性強的課題并給予資助，在大四上學期對給予資助的項目進行結題審核。學院鼓勵獲得上海市級以上大學生創新實踐項目的學生將創新實踐項目的實施與大四畢業設計（論文）相結合，獲得專利創新設計的學生還可提前完成畢業設計并參與創業基金項目的申請或到優秀企業實習。在這些科技創新項目中不乏優秀作品，如基于手勢識別的文檔加密系統的開發、基于Android的動態一次性口令生產器開發、基于Android系統的短信隱私保護軟件的開發等。學院每年舉辦的這種創新性競賽激發了學生的創新思維、團隊合作意識、項目管理和軟件設計開發能力。參與科技創新競賽學生的學習成績和項目實踐能力遠遠高于平均水平，同時他們的創新能力和工程實踐能力也得到廣大教師和實訓單位的認可，大部分學生獲得了直研和被優秀企業聘用的機會。

4工程實踐課程的成果展示

在過去3年的信息安全工程實踐教學中，信息安全專業的學生完成了多個優秀工程實踐項目。大三學生在學習了DES和AES算法后，在工程實踐教學課程中利用HTML5中的動畫技術實現了DES算法和AES算法的動畫演示。圖1所示為學生在工程實踐課程中利用RC5算法實現Android手機短信加密系統，其中短信加密界面如圖1（a）所示，短信解密界面如圖1（b）所示。通信雙方利用這個系統只需共享加密和解密密鑰就可以進行加密通信，很好地解決了短信的隱私保護問題。

5結語

現今的網絡安全已經成為全球關注的課題，新的網絡應用與網絡結構對網絡管理和網絡安全技術提出新的要求，因此高校在培養信息安全專業人才時，要抓住網絡發展和網絡安全技術的最新趨勢，注重培養學生的工程實踐能力和創新能力。我們在教學工作中也應注重學生的興趣培養和學業規劃，發揮學業導師的作用，鼓勵學生參加科技創新競賽和各類課外創新活動，同時開設CDIO模式的工程教學課程，在培養學生創新能力的同時加強學生的工程實踐能力。

作者：李悅夏小玲王高麗李瑋工作單位：東華大學計算機科學與技術學院

第八篇：信息安全政策理論構建

1信息安全政策的定義

目前，我國對信息安全政策并未給出明確的定義，但我國很多專家學者都對信息政策做出了定義。雖然目前國內外關于信息政策的含義存在著不同的理解，對信息政策的范圍和內容也缺乏統一的認識，但對于作為我國信息政策重要組成部分的信息安全政策的定義仍有著重要的借鑒作用，因此，筆者首先對信息政策定義進行歸納研究，從而進一步探討我國信息安全政策的定義。當前，我國學術界對國家信息政策的概念有多種表述，歸納起來主要有以下幾種觀點：①從管理的角度出發，信息政策是國家根據需要規定的有關發展與管理信息事業的方針、措施和行動指南；②從決策的角度出發，信息政策是政府或實體為實現一定的目標，如信息自由流通、信息資源共享而采取的行動準則；③從信息活動出發，認為信息政策是調控社會信息活動的規范和準則。以上觀點從不同的角度對信息政策進行了定義，但它們在目標和功能上是一致的，可以歸納為信息政策是指在為解決信息管理和信息經濟發展中出現的，涉及公共權益、安全問題，保障信息活動協調發展而采取的有關信息產品及資源生產、流通、利用、分配以及促進和推動相關信息技術發展的一系列措施、規劃、原則或指南。借鑒信息安全和信息政策的定義，筆者認為：信息安全政策是指為保護信息的完整性、可用性、保密性和可靠性，使內部信息不受到外部威脅而制定的一系列措施、規劃、原則或行動指南。

2信息安全政策的作用

2．1信息安全政策是保障社會團體組織實現信息安全管理目標的行為準則

不同的組織團體根據自身的信息安全的需要制定一系列作用于組織內部的信息安全政策，這些政策主要包括保障信息在收集、傳播、服務和共享等方面安全的規章制度，以及相關的激勵和處罰條例，這些信息安全政策對組織內部人員對信息的安全使用提供了行為規范，從而保障了信息活動安全順利進行。

2．2信息安全政策是對信息系統安全運行機制進行調節的一整套政策體系，對我國信息事業安全發展具有宏觀推動作用

信息安全政策是一個龐大的政策體系集合，它是在國家信息政策的指導下，根據不同的信息安全狀況，而制定的一系列保障信息工作安全進行，信息市場快速、安全、穩定發展的原則、指南、規定、條例等。這些安全政策為我國信息工作和信息產業的安全發展起到了宏觀指導和規劃作用，從而在很大程度上推動著我國信息工作安全進行和信息產業安全發展。

2．3信息安全政策是我國信息安全建設的方針、原則和辦法，它對我國信息安全活動起到指南作用

隨著信息技術事業的發展，涉及信息安全領域的問題愈來愈多，如何才能保障信息在流通使用各個環節中的安全已成為國內外專家學者的研究熱點。信息安全技術的發展雖然為信息安全起到了技術保障作用，但卻不能對信息安全使用、保障信息安全建立起秩序并起到指導作用，信息安全政策彌補了技術上的不足，建立起了我國信息安全建設的方針、原則和辦法，對我國信息事業的發展建設和信息活動的安全進行起到了指南作用。

3信息安全政策的本質

信息安全政策是一種政治政策措施，而政治政策措施具有多種規定性，這些規定性放在一起使得政策成為權力機關為達到一定的目標而采用的方法和手段，它是理論與實踐的中間環節，因此它具有理論和實踐的二重性。

3．1信息安全政策是維護信息環境趨向和諧和正常運轉的基礎

信息安全政策是解決信息安全問題的最直接環節，信息安全政策制定的正確與否決定著信息安全政策目標能夠實現與否和信息安全政策實施的程度及范圍，信息安全政策的實施是完善、維護現有信息安全政策，制訂新的信息安全政策的基礎，通過信息安全政策的有效實施和完善健全，信息在信息流通的各個環節的正確性、安全性、完整性、冗余性得以保障，從而使信息環境更加美好和諧的運轉。

3．2信息安全政策是政策主體站在公共立場上維護信息不受侵害的重要工具

信息安全政策的制訂實施為維護信息安全提供了保障工具，它的制訂和實施從公共立場上維護了政策主體的利益，然而由于信息安全政策主體即信息安全政策的制定實施者和信息政策客體即政策目標人群之間存在著價值取向地位不同的問題，從而導致了信息安全政策主體和目標群體的價值能否獨立在信息安全政策過程之外，換而言之：信息安全政策制定者、執行者及目標群體自身的價值取向是否會影響政策最終地價值趨向就成為了研究關鍵。筆者認為：雖然信息安全政策的主體是站在維護公共信息安全的角度來制定和執行信息安全政策的，但是由于政策制定者和政策執行者在信息安全政策的制定中或多或少的受到個人主觀因素的影響，政策目標與政策目標群體在價值取向上不完全吻合，使得信息政策過程不再是直線過程，因此，希望信息安全政策一出臺就能解決所有的信息安全政策問題是不現實的，這是對信息安全政策主體和信息安全政策目標群體主觀能動性的否定，也是對信息安全政策過程中自上而下的信息流的忽視，更是把信息安全政策當做一成不變的決策結果和行動指南的唯心思想。

4信息安全政策的功能

4．1導向功能

信息安全政策的向導功能主要是通過兩種途徑表現出來的：①借助于信息安全政策目標群體目標因素，來規范目標群體的行為方式。信息安全政策的制定者根據其對信息安全事業發展的客觀過程、變化趨勢以及目標群體的需求分析進行預測，提出政策目標，并為目標實現制定具體方針、步驟、方法及措施等，以此規定人們的行為準則，從而使信息活動能夠安全進行。②借助目標群體的價值因素，來規范目標群體的行為方向。信息安全政策目標群體的自利性以及對信息安全政策的理解認知程度，都是影響信息安全政策頒布施行的關鍵因素，信息安全政策能夠通過其價值系統來明示人們信息安全政策的是非界限，統一人們的價值觀念，從而達到信息安全政策的目標。

4．2調控功能

隨著信息技術的進步，人們對信息需求量日益增加，信息為社會各個團體帶來的巨大利益清晰可見，信息的擁有量和經濟效益成正比例趨勢攀升。現實社會中的不同利益群體之間不可避免地會有摩擦、沖突和對抗，政府必須使用公共政策這種有效工具來對信息使用中的各種矛盾進行調控，從而減少利益團體在對信息使用爭奪過程中對信息造成的泄露、破壞、丟失等危害，以及這危害帶來的經濟損失。其次，信息社會之所以能夠運用信息安全政策對信息的安全流通進行調控，是因為現代信息社會的運行不是一個自發的無序的過程，而是一個依據客觀規律、有序的過程。

4．3管制功能

信息安全政策的解決，可以通過令信息安全政策對象不做什么來達成信息安全政策的目標，信息安全政策主體要制定相應的政策條例來禁止政策對象不做什么，或者說要使信息安全政策對象不發生政策主體不愿見到的行為，如信息泄露、信息丟失、信息盜用等行為，就必須使信息安全政策對政策目標的行為具有管制功能，這種功能是通過信息安全政策條文規定表現出來的。目前，我國還沒有相應的信息安全法律出臺，因此信息安全條例的管制功能就顯得尤為重要。

5結束語

綜上所述，筆者對信息安全政策定義、作用、本質、功能進行了論述，希望能為我國信息安全政策的發展起到推動作用。

作者：劉婷婷馬海群工作單位：黑龍江大學信息管理學院

第九篇：信息安全人才培養研究

1我國信息安全人才缺乏現狀及專科層次培養模式的不足

進入二十一世紀以來，信息安全人才的缺乏已經成為全球性問題，而這一點在我國尤為突出。權威數據顯示，我國現有的信息化安全專業人才和獲得中國信息安全產品測評認證證書的人員屈指可數。在目前的信息安全技術從業者中，能從事技術創新和產品開發的高端人才非常短缺，而能從事信息安全管理和服務的一般性人才同樣嚴重不足。由此可見，我國各類層次的信息安全人才缺口較大。目前，我國的信息安全人才培養大致分為安全知識普及、認證考試短期培訓和正規學歷教育三個層次。在學歷教育層面，我國高校自2001年開始培養信息安全專業本科生，目前提供本科層次教育的高校已經有50余所，且大都是有著雄厚辦學基礎的“985”、“211”重點院校。這些院校著重培養知識面寬廣、理論基礎扎實的理論研究人才和具有較強工程實踐能力的技術人才。然而，這些相對高端的人才并不能完全滿足當前各行業對能勝任普通的網絡安全設備安裝與調試，網絡系統漏洞修復，電子商務網站安全運營、安全服務營銷等人才的需要。盡管本科層次的人才培養體系日趨完善，然而以培養應用技能型人才為目標的專科培養層次仍處于起步和探索階段。目前，開設信息安全專科專業的院校較少，尚未形成完善的培養體系，大多是采用了本科培養體系的壓縮版或選摘版，既不符合專科學生的知識水平和學習規律，也無法真正實現應用技能型人才的培養目標。因此，對專科層次培養模式的研究是非常迫切和必要的。

2信息安全專科層次人才的培養定位、目標和能力要求

鑒于信息安全管理和服務人才的缺口較大，并結合專科層次人才“應用+技能”的基本培養目標，可以將專科學生的就業崗位目標定位在：網絡安全設備維護，網站維護與安全管理，安全產品營銷等。信息安全專科人才的培養目標是：培養能夠適應社會主義市場經濟發展需求的，德、智、體、美全面發展的，熟練掌握信息安全技術的基本理論，掌握防火墻、入侵檢測技術及配置方法，掌握主流操作系統的安全機制，掌握網絡病毒及網絡入侵的基本原理和防范技術。培養人格健全、具有一定的工程實踐能力且能勝任信息系統維護、網絡安全設備維護、網站維護與安全管理及數據庫應用系統管理等技術崗位和信息安全分析、規劃與管理崗位的高素質技能型專門人才。信息安全專業的能力要求包括基本素質與技能以及專業能力兩個主要方面。在基本素質與技能方面，要求學生具備基本的政治理論素質，思想品德與法律素質，計算機基礎應用能力，外語運用能力，邏輯思維與抽象思維能力和良好的身體素質。在專業能力方面，要求學生具備軟件系統分析設計能力（掌握算法的設計、分析技術，基本的計算機軟件理論體系），微機語言程序設計能力（熟練掌握一到兩門編程類語言并能靈活應用，掌握其編程思路及方法），數據庫管理與應用能力（掌握數據庫的基本原理，掌握數據庫設計及網絡數據庫應用系統的開發方法），信息安全分析、實施和管理能力（掌握信息安全理論體系，了解現代密碼學技術，掌握保護計算機網絡及典型網絡應用系統的安全協議、策略和解決方案），信息系統維護及防御能力（掌握計算機網絡基礎知識及組網方法，掌握信息安全產品的使用，熟悉信息安全管理規范，掌握黑客攻擊手段、分析與防范技術以及病毒防范的方法）。

3信息安全專科層次的課程體系設置

在課程體系的制定過程中，以培養學生具有信息安全系統的維護與管理能力為目標，結合當前信息安全專科學生的就業崗位能力要求，我們引入了多門當前安全行業所必備的專業課程。考慮到知識體系的完備性以及學生畢業后在專業領域的繼續發展，我們保留了計算機專業的核心專業基礎課。同時，考慮到專科學生與應用型本科學生間的差異，在制定專業基礎課的教學計劃時強調以“能真正掌握、夠用”為原則。具體地，信息安全專科專業的課程體系可分以下四個層次展開：公共基礎課的教學目標是培養學生具備良好的人格品質和基本的專業素養。主要課程包括思想道德修養與法律基礎、思想和中國特色社會主義理論體系概論（簡稱概論）、形勢與政策、大學英語、大學體育、計算機技術基礎、高等數學、職業規劃與就業指導。專業基礎課的教學目標是幫助學生為進一步學習專業課程打下堅實的基礎。主要課程包括信息安全導論、C程序設計、計算機網絡技術基礎、Java語言與面向對象程序設計、Web編程技術。專業課的教學目標是幫助學生建立完整的知識體系結構，掌握本專業最核心的、支撐性的理論與技術。主要課程包括數據結構、密碼學基礎、計算機操作系統、SQLServer與數據庫應用、信息安全綜合實驗、Lin-ux操作系統。專業選修課的教學目標是向學生介紹信息安全應用領域的關鍵性技術。主要課程包括安全電子支付、計算機病毒原理與防治、網絡攻擊與防御技術、信息系統安全管理等。

4信息安全專科層次培養計劃實施過程中的教學、實踐改革措施

為了確保信息安全專科人才培養的目標，需要在培養過程中重點加強以下幾點：（1）實施雙證培養模式（即畢業證+信息安全相關職業資格論證）。為了提升學生就業的競爭力，需要鼓勵學生參加國家推出的權威信息安全職業資格認證考試（例如國家信息安全技術水平考試）或者國際認證的安全資格考試。（2）以“工學結合”為指導思想，加強實踐教學環節培養，推進校企聯合、頂崗實習。具體地，在確保理論環節教學質量的同時，加強實訓教學環節建設。與企業合作，建立校內的工程實踐中心建設。借助學校特有的人才和智力優勢，將專業教師與部分優秀的學生編入項目組，承接部分校外的技術開發項目，從而提高學生的動手能力。拓寬渠道，建立校外頂崗實習基地，從而真正地實現工學結合。同時，以開展“訂單式”教育為起點，積極探索與企業開展深入合作的新模式。通過上述環節，可以使學生在走上工作崗位前就能熟練地掌握一些在今后工作中所需的專業技能，實現“零距離就業”和與企業的“無縫對接”。使學生成為走出校門就能迅速上崗的應用型人才。（3）加強對教師的培訓。在學校和學院的兩級支持下，積極支持骨干專業教師攻讀重點高校的信息安全專業學位或進修部分信息安全專業核心課程，定期組織專業教師赴省內外其他高校進行參觀考察。同時，選派部分專業教師去合作企業進行技術交流和短期工作，深入了解企業的項目管理模式和技術需求，提升專業教師的“雙師”素質。（4）加強信息安全教學實驗室的建設力度。信息安全教學實驗室是培養學生動手實踐能力的教學場所，是確保培養質量的重要環節。目前，實驗室開設的實驗內容包括重要網絡安全設備的安裝與配置，典型密碼技術的原理與演示，網絡攻防技術等。在此基礎上，重點加強綜合性實驗的實驗項目設置和實驗教學計劃的制定。此外，需要結合現有的實驗室環境和設備情況做好對實驗指導、講義的編寫工作，從而確保實驗教學的順利進行和學生完全掌握實驗步驟的具體細節。

5結語

針對當前信息安全專科層次培養體系的不足，圍繞信息安全管理和服務人才培養過程中的培養目標、定位、課程設置以及教學改革等一系列問題展開研究，提出了較為完善且可操作性強的信息安全專科層次人才培養方案。當然，針對信息安全專科層次人才培養模式的研究是一個實踐性強、困難較大且需要長期摸索的過程。我們相信通過不懈的努力與經驗積累，必定能探索出一條適應于符合地方經濟社會發展需要和地方高校生源實際情況的培養之路，從而為今后進一步提高信息安全人才的培養層次奠定堅實基礎。

作者：柳欣1，2工作單位：1.山東青年政治學院信息工程學院2.山東省高校信息安全與智能控制重點實驗室

第十篇：信息安全立法設計

一、中國網絡信息安全現狀

信息安全問題自古有之，只不過是在互聯網出現后，這一問題被無限放大。網絡顛覆了傳統的信息交流環境，導致網絡社會的信息安全問題較之傳統社會更加復雜。與其他國家一樣，信息安全已成為我國國家安全、公共安全和個人安全最嚴峻的威脅之一。

（一）國家安全受到嚴重威脅

網絡運轉是包括各種硬件設備和相應的軟件在內的技術的有機結合，一旦離開了這些技術，網上活動將無法進行。就目前而言，從互聯網資源到關鍵設備、網絡核心技術和應用等都由以美國為首的西方國家所掌控，導致我國的網絡安全岌岌可危。數據信息不僅蘊含著巨大的經濟價值，而且隱藏著政治利益和國家利益，網絡時代數據信息可能成為侵蝕他國主權和危害他國國家安全的一個強有力的武器。大數據時代，因各國的技術水平和收集、處理、控制數據的能力不同而導致信息流動出現了不對等：就經濟、貿易信息而言，我國是典型的流出國，信息技術強國的信息“逆差”直接威脅著我國的經濟主權和經濟安全。

（二）公共安全受到嚴峻挑戰

隨著微博、SNS（社會性網絡服務）的出現，信息在網上呈現瀑布式傳播和擴散。上述網絡創新應用所具有的強大的信息擴散力、滲透力可以將一般性局部事件快速演變為全局性的重大事件，使公共安全和社會穩定受到嚴重威脅。以美國為首的西方國家利用自身的網絡技術和信息優勢大量向我國灌輸其意識形態和價值觀念，恐怖組織、邪教組織、分裂勢力積極借助網絡空間攻擊我國的社會政治制度，企圖瓦解民族凝聚力，這直接威脅到黨的執政地位和社會安全。此外，信息網絡領域不斷出現各種以渲染暴力恐怖為目的的文字、圖片和視頻，以侵害信息網絡、破壞網絡關鍵設施、侵犯公民人身財產權利的“恐怖主義”、“網絡暴力”活動越來越猖獗，致使網絡社會的公共安全受到嚴峻挑戰。

（三）個人權益未獲有效保障

數據信息已成為網絡時代的重要資源。計算機網絡所具有的強大的信息處理能力，導致個人信息被非法收集、利用以及泄露的損害后果更加嚴重，個人信息在網絡時代受到了前所未有的威脅。蘋果公司曾被曝在沒有告知用戶并獲得許可的情況下，私自通過iPad和iPhone手機收集用戶的行蹤信息，經過處理后默認存儲在一個未經加密的數據包中，每隔幾個小時通過電信網或互聯網成批發回蘋果公司總部。DCCI互聯網數據中心的《2013移動隱私安全評測報告》顯示，有66.9%的智能手機移動應用（APP）在用戶不知情的情況下抓取用戶隱私數據，其中通話記錄、短信記錄、通訊錄是隱私信息泄露的三個高危地帶。違法收集和濫用個人信息不僅侵犯了權利人的人格尊嚴，且往往是其他違法犯罪的工具和手段。近年來，通過違法收集、竊取等濫用他人個人信息的手段實現詐騙、盜竊乃至侵犯他人生命權的犯罪形式呈逐年上升之勢。CNNIC的《中國網民信息安全狀況研究報告》顯示，2012年有4.56億網民遇到過信息安全事件，占網民總數的84.8%。在遇到信息安全事件的網民中，77.7%的網民都遭受了不同形式的損失，除花費時間和精力外，經濟損失總額為194億元。

二、信息安全法的立法目的

立法目的是需要通過立法、執法和司法來實現的基本價值。信息安全法是在網絡信息安全問題的不斷惡化，已嚴重威脅國家安全、社會安定和個人合法權益的情況下，由此引起人們的關注并由此產生了解決網絡信息安全的強烈需求和實現這一欲望或目的的法律規范。信息安全法的立法目的是指立法機關通過運用法律這種有效的社會調控手段確立一國的信息安全政策以及網絡信息安全與發展的目標。

（一）美、俄信息安全法的立法目的

信息安全法的立法目的是一國在分析其國內特殊的網絡安全形勢基礎上確定該國網絡信息安全政策的具體體現。美國的信息安全戰略經歷了從主張“發展優先”到“安全優先”，從“適度安全”到“先發制人”，根據國家需求，構建了“信息基礎設施保護”、“網絡信息安全管理制度”和“信息安全文化與價值觀”三位一體的國家信息安全戰略體系。奧巴馬政府出臺的《網絡空間國際戰略》改變了以防御為主的網絡空間戰略，轉而發展以“互聯網自由”為核心，以“控制—塑造”為基本特征的進攻型網絡空間戰略。［1］與國家的網絡空間政策相適應，美國在本世紀之初的信息安全法的立法目的是防范網絡攻擊，保障網絡安全，具體而言：減少美國對網絡攻擊的脆弱性，阻止針對美國至關重要的基礎設施的網絡攻擊，在確實發生網絡攻擊時，使損害程度最小化、恢復時間最短化。［2］可以預見，隨著美國網絡空間戰略的變化，美國今后的信息安全立法乃至整個網絡立法都會以實現控制為核心的進攻性網絡空間政策為目標。與美國不同，俄羅斯基于本國所面臨的內在和外在的信息安全威脅，提出信息安全法的立法目的是：確保信息安全并在激烈的信息對抗中獲得優勢以維護國家利益。［3］俄羅斯和美國信息安全法的立法目的之所以存在差異，原因在于信息安全法解決的是一國的特定問題，是與國內特定的信息安全形勢相關的。因此，不同的國情決定了各國的信息安全立法有著不同的目的。

（二）中國信息安全法的立法目的

以安全威脅的來源為標準，可以將威脅我國信息安全的因素分為以下兩類：一是網絡核心技術失控；二是網絡濫用行為。決定了我國信息安全法既要通過規制危害網絡安全的行為，又要通過促進網絡技術的發展以掌控網絡的新技術從而保障我國的信息安全。具體而言，我國信息安全法的目的應通過設定各類主體（政府、網絡用戶、信息基礎設施運營者和信息內容提供者等）的權力或權利、義務和責任，規范信息收集或生成、傳遞、控制和利用行為，促進網絡基礎理論的研究，掌控網絡的核心技術，實現信息的保密性、完整性、可控性、可用性和不可否認性，從而有效地保障國家安全和個人在信息社會的基本權益。安全主要體現工具性價值的特性又決定了它不可能被作為絕對的終極價值去追求［4］，信息安全法的終極目的是實現網絡主體的自由。信息安全法通過構建并維持網絡社會的基本秩序進而實現保障自由的目的。網絡社會秩序究其本質是網絡主體的一種有組織化的活動方式，是網絡主體行使其權利的基礎。自由只能在秩序中獲得，這決定網絡主體的自由必須依存于網絡社會的秩序。自由不是個體的任意，恰恰相反，自由是對個別人的任意的超越和對普遍性的認同。［5］信息安全法通過對危害信息安全的網絡濫用行為的約束以保障其他網絡主體的自由。從社會學的視角看，信息是社會結構中不可缺少的構成性要素。［6］14大數據時代，數據信息進一步從社會資源中獨立出來并成為一種新的結構性要素，對人類社會活動的各個領域發揮著深遠的影響：數據信息對人類的政治、經濟、文化等領域起到了基礎性的支撐作用。鑒于信息在網絡社會中的重要作用，信息安全法的目的應以實現信息的自由流動、保障網絡主體傳播和獲取信息的自由為其終極目標。中國已進入信息社會，網絡之于中國公民的意義不僅僅是賦權、賦能，更重要的是賦信息。信息的自由流通能使人們進行獨立思考并激發人們的創造能力。因此，網絡不單單是信息傳遞的工具，而且是解放國人個性的工具。通過保障信息安全以促進信息自由流動，實現信息的最大化共享與利用；通過保障網絡主體的行為自由，使其能夠自由的傳播和獲取信息，從而激發網絡主體的創造力。因此，信息安全法是提高國民素質，促進社會發展與進步，提升國家競爭力的重要制度保障。

三、中國信息安全立法的指導思想

信息安全立法的指導思想是指立法主體據以進行信息安全立法活動的重要理論根據，是為信息安全立法活動指明方向的理性認識。網絡的開放性、全球性、虛擬性等特征以及信息安全立法的目的決定了我國信息安全立法應遵循以下指導思想。

（一）適度安全

絕對安全不具有技術上的可能性，抑或是要支付巨額的成本。不能為了獲得絕對安全而不計成本，也不能因噎廢食而放棄使用網絡。因此，信息安全法的“安全”并非絕對安全，而應該是適度安全。適度安全是指信息安全法的制度設計應協調安全與其他價值之間的關系，不能為了保障信息安全而犧牲了網民的自由，進而扼殺了網絡技術創新。網民可以在網絡世界中自由地獲取、傳播、處理信息，這一權利已被我國憲法所確認，信息安全法律規范的制度設計不能因強調網絡安全問題而影響網絡的接入。原因在于，面對網絡安全和信息安全問題，恐懼并不理智，不僅對問題解決沒有效果，還可能導致過度控制。在個人生活和社會生活中，一味強調安全，只會導致停滯，最終還會導致衰敗。［7］401因此，信息安全法應保證國內網民以及世界其他國家和地區的網民都有安全的接入機會。網絡的可接入性應該有持續性的保障，除非發生危害國家安全的行為以及刑事犯罪行為。整體安全和個人自由都是需要重點保護的根本利益，對任何一方保護的偏頗或疏漏都有可能造成整個信息安全法律關系的不穩定。因此，未來中國的信息安全法在保障整體安全的同時，應充分重視對網民個體自由的保護，在提升國家和政府對網絡安全控制力的同時，協調好國家安全與公民個人自由之間的關系。

（二）開放性

云計算、移動互聯網、物聯網、大數據的出現將互聯網發展帶入一個全新的階段，這對個人信息保護和國家安全保障提出了更高的要求。博客、微博、SNS等網絡新業務新形態的出現，移動通信技術的日益成熟和廣泛應用，網絡信息傳播形式從以文字為主向音頻、視頻、圖片等多媒體形態轉變，不僅增加了監管的難度，而且使當事人之間的法律關系變得更為復雜。如果信息安全法律規范將有關范疇依附于某一特定的技術形態，而相關技術的發展則使得建立在先前某一特定技術基礎之上的法律無法適應新技術條件下的網絡活動。因此，信息安全立法應堅持開放性的原則，具有充分的前瞻性和預測性，保持適當的靈活性，避免將有關范疇局限于某一特定的技術形態而遺漏了對其他網絡技術特別是網絡創新應用的監管。

（三）依靠發展解決安全問題

安全問題最終要依靠網絡技術進步解決，在此意義上，發展是解決安全問題的終極手段和措施。鑒于國內嚴峻的信息安全形勢，決定了我國信息安全法既要側重安全，又必須促進發展，依靠發展解決安全問題，在安全中求得發展。以網絡攻擊為例，利用最新的網絡技術和應用可以有效地預防這一長期困擾行業健康發展的問題：通過對大數據的深入分析，能夠幫助企業提前發現惡意進攻發起的時間，做出快速應對，制定智能驅動的安全策略，減少惡意攻擊者的停留時間，建立以風險為基礎、具備關聯性、智能驅動的安全模型，幫助用戶防御當今日益增長的高級威脅及惡意進攻者。

作者：崔聰聰工作單位：北京郵電大學法律系