前言:中文期刊网精心挑选了网络信息安全等级保护条例范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络信息安全等级保护条例范文1
关键词:信息系统安全 等级保护 福建
一、引言
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别,从第一级到第五级逐级增高,对不同安全级别的信息系统实施不同的安全管理。
二、我国信息系统安全等级保护思想的形成
1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
20世纪80年代初,美国国防部制定了“国家计算机安全标准”等系列标准,包括《可信计算机系统评估准则》(TCSEC,即俗称的“桔皮书”)及其他近40个相关标准,合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准,具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起,设立了4类7级。
1999年,我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。
2000年11月10日,国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。
2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法(试行)》,并于2007年6月修订。
2007年6月,公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
三、开展信息系统安全等级保护工作的必要性和重要性
⒈开展信息系统安全等级保护工作的必要性
随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现了许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。
一是网上斗争日趋复杂,不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点,使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。
二是网络违法犯罪活动迅速增多,造成的后果越来越严重。随着新技术、新应用的发展,暴露出来的网络与信息安全问题也日益增多。
三是漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。
四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查,2007年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。
⒉开展信息系统安全等级保护工作的重要性
开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
四、加快推进福建省重要信息系统安全等级保护工作
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日,福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。
信息系统安全保护工作的首要环节是定级,定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。
1.突出重点,全面准确划定定级范围和定级对象
此次重要信息系统定级的范围是国家基础信息网络和重要信息系统,这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围,体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。
2.依据《管理办法》,准确确定信息系统安全保护等级
福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上,根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素,依据《管理办法》,参照《定级指南》所提供的定级方法,综合确定信息系统的安全保护等级。在确定等级的过程中,要最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。
3.及时备案,加强对定级工作的监督、检查和指导
为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况,保护重点领域的重要信息网络和信息系统,凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求,到公安机关进行备案。公安机关受理备案后要对备案材料进行审核,加强对重要信息系统安全等级保护定级工作的监督、检查和指导;对定级不准的,要及时通知备案单位重新定级。
4.依据《管理办法》和技术标准,开展整改、测评等工作
信息系统的安全保护等级确定后,运营使用单位要按照信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施;参照信息安全等级保护管理规范,制定并落实安全管理制度;选择符合《管理办法》规定条件的测评机构,依据技术标准对信息系统安全等级状况开展等级测评,使其尽快达到等级要求的安全保护能力和水平。
五、加大力度,确保福省重要信息系统安全等级保护工作任务落到实处
随着北京奥运会的日益临近,特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,信息安全等级保护的工作任务艰巨,责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合,及时开展监督、检查,严格审查信息系统所定级别,积极开展备案、整改、测评等工作。同时,充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,以确保福建省重要信息系统安全等级保护工作落到实处。
1.明确职责,落实责任
各级公安机关要积极向当地党委、政府专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持;或者成立专门的等级保护工作直辖市领导小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展定级、备案、建设整改等工作。
2.密切配合,通力协作
各级公安机关作为开展等级保护工作的牵头部门,要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合,尽快建立健全信息安全等级保护监管工作的协调配合机制;要主动与信息系统主管部门交流沟通,督促配合其组织下属信息系统运营、使用单位建立信息安全责任制,建立并落实等级保护制度,从而确保等级保护工作的顺利、有效实施。
3.加强宣传,强化培训
网络信息安全等级保护条例范文2
第一条为了规范信息化管理,加快信息化建设,促进经济发展和社会进步,根据有关法律和行政法规,结合本市实际情况,制定本条例。
第二条本市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动,适用本条例。
第三条本市信息化发展遵循统筹规划、资源共享、务求实效、保障安全的原则。
第四条市和区、县人民政府应当将信息化发展工作纳入国民经济和社会发展规划,健全信息化工作领导协调机制,统筹协调解决本行政区域内信息化发展工作中的重要问题,加大信息化发展的经费投入。
乡镇人民政府和街道办事处应当推进本辖区内的信息化发展工作。
第五条市和区、县信息化主管部门负责本行政区域内信息化发展的统一规划、组织协调和监督管理工作。
发展改革、财政、科技、通信管理、质量技术监督、工商、公安、保密等行政管理部门按照职责分工负责信息化发展的相关工作。
第六条市信息化主管部门会同有关部门依照国家信息化发展规划和本市国民经济和社会发展规划,组织编制本市信息化发展规划,报市人民政府批准后公布实施。
区、县信息化主管部门会同有关部门依据本市信息化发展规划,结合本区、县实际情况组织编制本行政区域的信息化发展规划,经市信息化主管部门审核后,报同级人民政府批准后公布实施。
本市国家机关编制的本部门和本行业、本系统的信息化发展规划,应当符合本市信息化发展规划。
第七条市质量技术监督行政主管部门应当会同信息化主管部门及其他有关部门,根据信息化发展趋势和要求以及职责权限,制定并及时完善有关信息化标准。
单位和个人从事信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障等活动应当执行国家和本市有关信息化标准。
市和区、县质量技术监督、信息化及其他有关部门对有关信息化标准的执行情况进行监督。
第八条市和区、县人民政府应当制定优惠政策和措施推动现代信息技术创新,并通过政府采购、宣传教育、培训考核等活动促进具有自主知识产权的信息技术应用。
市和区、县人民政府应当对在信息化工作中作出突出贡献的单位和个人给予表彰。
第九条本市鼓励信息化人才的培养和引进,加强市民的信息化知识和技能普及,提高信息技术应用能力。
本市建立并完善基础课程体系,在中小学校普及信息技术教育。
广播、电视、报刊、网站等应当开展信息化宣传、教育和科普活动。
第二章信息化工程建设
第十条信息化工程建设需要进行招标投标的,应当依法进行,并按照国家和本市有关规定实施监理;政府投资的信息化工程建设,应当符合政府采购等有关法律、法规的规定。
第十一条从事信息化工程建设的单位依照国家有关规定需要经过资质认证的,应当依法取得资质认证。未经资质认证的单位,不得承揽或者以其他单位名义承揽相应领域内的信息化工程;已经资质认证的单位,不得超越本单位资质等级承揽信息化工程。
第十二条本市政府投资建设的信息化工程年度计划,由市和区、县信息化主管部门会同同级发展改革、财政等相关部门制定并监督落实。
第十三条使用政府投资新建信息化工程的,建设单位在报发展改革部门或者其他有关部门立项审批前,应当通过同级信息化主管部门的审查;使用政府投资对信息化工程进行改建、扩建、运行维护的,建设单位在报财政部门审批经费前,应当通过同级信息化主管部门的审查。
信息化主管部门对报审的信息化工程的需求效益、规划布局、技术标准、网络与信息安全、信息资源共享以及其他相关内容组织审查并出具审查意见。
信息化主管部门、发展改革部门、财政部门及其他有关部门对于不符合信息化发展规划和本条所规定审查要求的信息化工程,不予审查和审批通过。
信息化主管部门应当会同有关部门采取措施,积极推进已建信息化工程的整合工作。
第十四条建设单位应当组织进行信息化工程竣工验收。未经验收或者验收不合格的信息化工程,不得投入使用。
建设单位对使用政府投资的信息化工程进行竣工验收时,应当邀请信息化及其他有关主管部门参加。
第十五条本市实行信息化工程质量保修制度。承揽信息化工程的单位应当对信息化工程承担保修责任。
使用政府投资的信息化工程的保修期,自工程竣工验收合格之日起不得少于两年。
第十六条信息化工程建设和运行维护过程中,建设单位应当建立规范的管理制度,做好信息内容更新,加强信息资源管理、知识产权保护和信息安全保障工作。
本市信息化工程建设中应当使用合法授权的软件,鼓励使用国产信息技术和产品。
第三章信息资源开发利用
第十七条本市加强对政务信息资源采集工作的管理。
本市国家机关应当依法采集政务信息,加强对政务信息的管理,定期进行信息更新,保证政务信息的真实准确,并采取安全措施防止政务信息丢失、泄露或者被滥用。
市信息化主管部门组织建立政务信息资源目录,规范市和区、县两级行政机关采集政务信息的活动,避免重复采集政务信息资源目录内的信息。
第十八条本市统一建设人口、法人、自然资源和地理空间、宏观经济等基础数据库。基础数据库的建设和使用按照国家和本市有关规定执行。
本市各级国家机关应当充分利用基础数据库建设本行业、本部门的业务数据库;除涉及国家秘密或者法律、法规另有规定外,基础数据库的建设单位应当为本市国家机关提供信息共享服务。
第十九条本市各级国家机关和法律、法规授权的具有管理公共事务职能的组织应当建立健全政务信息公开工作制度,依法编制并公布本单位的政务信息公开指南和政务信息公开目录,按照国家和本市的规定通过公报、网站、新闻会以及报刊、广播、电视等便于公众知晓的方式公开政务信息。
本市各级国家机关和法律、法规授权的具有管理公共事务职能的组织应当依法建立政务信息公开的申请受理和处理机制,为市民提供信息公开服务。
第二十条本市教育、医疗卫生、供水、供气、供热、公共交通、环保等公共企事业单位,应当将服务承诺、收费标准、办事过程等信息通过网站及其他方式及时向社会公开,并逐步采用信息化手段开展业务办理工作。
市有关行业主管部门应当对公共企事业单位的信息公开和服务情况进行指导和监督。
第二十一条市和区、县人民政府统一建设政务信息共享交换平台,为各国家机关共享交换政务信息提供服务。
国家机关可以使用政务信息资源目录中的其他国家机关的政务信息。政务信息需求单位应当就需要共享的信息内容、范围、用途和方式与提供单位主动协商。协商未达成一致的,政务信息需求单位应当将有关情况报请同级信息化主管部门协调解决。
第二十二条市和区、县人民政府应当引导和规范对政务信息资源的增值开发利用,鼓励单位和个人进行信息资源公益性开发利用。
第二十三条信用服务中介机构开展征信活动时,应当遵循独立、客观、公正的原则,保守商业秘密,尊重个人隐私,维护被征信企业及个人的合法权益和社会公共利益。
信用服务中介机构对采集的信息应当在信息提供者许可的范围内使用。
鼓励在政府采购、市场监管、信贷、商务等活动中使用信用服务中介机构提供的信用产品。
第四章信息技术推广应用
第二十四条市和区、县人民政府应当采取措施推动企业和个人利用信息网络从事商务活动,引导社会逐步建立、完善信用体系和网上支付、物流配送系统,鼓励电子商务服务提供商的发展。
市人民政府有关部门应当制定以中小企业为主的企业信息化发展指南,建设面向中小企业的公共信息服务平台。
第二十五条本市统筹城乡信息化发展,加大公共财政投入,支持农村信息基础设施和农村综合信息平台建设和运行维护,推进农村现代远程教育;鼓励通过信息化手段为农民提供生产、生活实用信息服务,开发、利用涉农信息资源,开展面向农民的信息化知识和技能培训。
电信、广播、电视等公共服务单位应当采取措施加强农村信息网络服务。
第二十六条在本市从事互联网信息服务活动的,应当按照国家规定办理相应许可或者履行备案手续。
利用互联网从事经营活动的单位和个人应当依法取得营业执照,并在网站主页面上公开经营主体信息、已取得相应许可或者备案的证明、服务规则和服务流程等相应信息。
第二十七条电子商务服务提供商应当对利用其网站从事经营活动的经营主体的身份信息、合法经营凭证和反映交易信用状况的材料进行核查,并对相关信息做好数据备份,便于当事人和有关部门查询、核对。
电子商务服务提供商应当建立投诉受理机制,对利用其网站从事的经营活动进行监督,配合政府有关部门的管理活动,但不得妨碍相关经营主体开展正常交易活动。
第二十八条本市各级国家机关应当定期组织本单位工作人员学习电子政务相关知识,开展电子政务技能培训。
第二十九条本市建设统一的电子政务网络,促进相关业务应用系统的互连互通。
本市各级国家机关的业务应用系统,凡不宜通过互联网实现的,必须依托全市统一的电子政务网络;需要接入全市统一的电子政务网络的,应当符合有关规范,并经市或者区、县信息化主管部门审查同意。
各级国家机关不得新建专用网络,已经建成的专用网络应当按照规划和标准逐步调整,接入电子政务网络。
第三十条本市国家机关的网站应当按照规定与本市政务门户网站建立链接,统一网站风格、标识和建设运行维护技术标准。
本市国家机关在互联网上注册域名的,应当遵守国家和本市的相关规定,并经过市信息化主管部门的审核。
第三十一条市和区、县信息化主管部门组织开展信息化成果展示和交流,对先进的信息技术、产品进行示范推广。
第五章信息安全保障
第三十二条本市对网络与信息系统按照国家和本市有关规定实行安全等级保护制度。
网络与信息系统的建设单位和运行维护单位应当按照国家信息安全等级保护管理规范和技术标准确定本单位网络与信息系统的安全保护等级,并按照国家和本市有关规定进行备案、审批。
第三十三条信息系统的建设单位和运行维护单位应当根据确定的安全保护等级,按照国家信息安全等级保护管理规范和技术标准,保证相应投入,同步开展信息系统安全建设或者改建工作;建设完成后,建设单位和运行单位应当按照国家有关规定开展安全等级技术测评工作,并根据结果采取措施保障网络与信息系统的安全。
第三十四条本市网络与信息系统的建设单位和运行维护单位应当加强安全管理,并制定网络与信息系统安全事件应急预案,定期进行演练。
发生网络与信息系统安全事故后,相关单位应当迅速采取措施降低损害程度,防止事故扩大,保存相关记录,并按照规定及时向同级信息化主管部门报告。
市和区、县人民政府有关部门应当组织制定相关行业的网络与信息系统安全事件应急预案,组织、协调有关单位做好应急预案的落实工作。
第三十五条本市组建公共服务网络与信息系统信息安全应急救援服务体系,建立信息安全情况通报和协调机制,为发生公共服务信息安全事件的单位提供救援服务,为全市应急指挥体系提供网络与信息系统安全保障。
第三十六条任何单位和个人不得利用网络与信息系统从事危害国家安全,扰乱公共秩序,损害公民、法人和其他组织的合法权益,危害网络和信息系统安全以及散布、传播违法信息等活动。
第三十七条涉及国家秘密的信息化工程的管理,按照国家保密有关规定执行。
第六章监督管理
第三十八条市和区、县信息化主管部门对信息化发展规划和政府投资建设信息化工程年度计划的落实情况进行监督检查,并组织开展对国家机关的电子政务绩效考核工作。
第三十九条市和区、县发展改革、财政、审计、信息化等部门对使用政府投资的信息化工程的资金使用情况和工程运行维护情况进行监督检查;统计、监察、信息化及政府信息公开主管部门对有关国家机关政务信息采集、公开、共享和信息服务工作进行监督检查。
第四十条本市各级国家机关应当加强对本单位政务信息采集、管理、公开、共享等工作的内部管理,并明确主管负责人和内部机构,负责本单位电子政务的规划、协调和管理工作,建立对本单位工作人员信息化知识、技能的定期考核制度。
第四十一条市和区、县人民政府的相关行业主管部门应当组织对本行业公共企事业单位的信息化服务水平进行检查和评估,并将有关情况向社会公布。
第四十二条市和区、县人民政府有关部门根据职责分工,做好信息化相关领域的监督检查工作,并将相关信息向同级信息化主管部门通报。
企业、事业单位和个人的违法行为可以依法纳入相关信用信息系统。
第七章法律责任
第四十三条违反本条例第十一条规定,未经资质认证的单位承揽、以其他单位名义承揽相应领域的信息化工程,或者已经资质认证的单位超越本单位资质等级承揽信息化工程的;由市或者区、县信息化主管部门给予警告,责令限期改正;情节严重的,处以1万元以上10万元以下罚款。
第四十四条违反本条例第三十四条规定,未按要求制定网络与信息系统安全事件应急预案,或者对网络与信息系统安全事故情况隐瞒不报、谎报或者拖延不报的,由市或者区、县信息化主管部门责令限期改正,并可处3万元以下罚款。
第四十五条违反本条例规定,有下列行为之一的,由有关部门依照《中华人民共和国政府信息公开条例》、《中华人民共和国计算机信息系统安全保护条例》等有关规定责令改正,给予警告或者责令停机整顿,并对直接负责的主管人员和其他直接责任人员依法处理:
(一)违反第十九条规定,未按照国家和本市的规定公开政务信息的;
(二)违反第三十二条规定,网络与信息系统的建设单位和运行维护单位未依法进行安全保护等级备案、审批的;
(三)违反第三十三条规定,未进行网络与信息系统安全建设或者改建工作,或者未进行网络与信息系统安全等级技术测评的。
第四十六条违反本条例规定,有下列行为之一的,市或者区、县信息化主管部门可以对责任单位给予通报批评;造成重大损失的,依照有关法律、法规予以处理:
(一)违反第十七条规定,没有正当理由,重复采集政务信息资源目录内信息的;
(二)违反第二十九条第二款规定,未经审查同意擅自接入电子政务网络的。
第四十七条对于信息化发展过程中有危害国家安全,扰乱公共秩序,损害公民、法人和其他组织的合法权益,危害网络与信息系统安全以及散布、传播违法信息等活动的,由国家安全、公安、保密、工商以及其他部门依法处理;构成犯罪的,依法追究刑事责任。
第四十八条市和区、县信息化主管部门以及其他有关部门的工作人员在信息化工作中、、的,由有关部门依法给予行政处分;构成犯罪的,依法追究刑事责任。
网络信息安全等级保护条例范文3
一、网络安全制度建设的必要性
1、制度建设是网络安全建设的根基
无论是电信网还是互联网,都植根于一定的制度环境之中。制度环境是一系列基本的经济、政治、社会及法律规则的集合,它是制定生产、交换以及分配规则的基础。在这些规则中,支配经济活动、产权和合约权利的基本法则和政策构成了经济制度环境。在一定的制度环境下,存在着一系列的制度安排。制度安排可以理解为游戏规则,不同的游戏规则导致人们不同的激励反应和不同的权衡取舍。
社会主义市场经济的建立为调整人们之间的关系构建了最广泛的制度环境,它作为经济活动的外生变量是人们无法选定的既成事实,但对于具体的制度安排,人们可以随着生产力的发展而不断做出相应的调整。电信网和互联网作为代表信息社会最先进的生产力组成部分,已逐渐渗透到社会的各个领域,在未来的军事对抗和经济竞争中,因网络的崩溃而造成全部或局部的失败,已成为时刻面临的威胁。这在客观上要求建立与之相适应的生产关系,也就是能促进网络安全有效运行的一系列制度安排。
网络安全可分为电信网络的安全可靠性、互联网的安全可靠性和信息安全三个层次。具体包括网络服务的可用性(Availability)、网络信息的保密性(Confi-dentiality)和网络信息的完整性(Integrality)。技术保障、管理保障和法律保障是网络安全运营的三项重要措施。只有从制度安排上保障网络的安全性即网络的可用性,才能在技术层面和管理层面上保障网络信息的保密性和完整性,才能使杀毒软件、防火墙、加密技术、身份验证、存取控制、数据完整性、安全协议等发挥其最大的效力。
2、网络的外部性客观上要求必须进行制度建设
网络产业具有很强的外部性特征。从经济学角度看,通过市场机制自身对经济活动外部性的克服主要是通过三个方面进行的。一是组织一个足够大的经济实体,即一体化经济组织来将外部成本或收益内部化;二是通过界定并保护产权而使市场交易达到帕累托最优;三是以社会制裁的道德力量规范负的外部性及其行为。
首先,电信网和互联网等网络产业不同于制造业,其面临的外部性不可能通过一体化效应来使外部成本或外部收益内部化。网络的正的外部性与负的外部性都主要通过麦特卡尔夫定律(Metcalfe’s Law)表现出来。麦特卡尔夫定律表明:网络价值同网络用户数量的平方成正比(即N个联结能创造N2的效益)。随着网络用户的增加,无论是技术知识等正面信息还是网络病毒及扰乱社会政治经济秩序等负面信息都呈几何级数扩散,其扩散范围之广、速度之快、对经济社会发展影响之深刻都是前所未有的。网络自身对国界、民族及地域的超越,使通过一体化来解决外部性问题成本极大。
其次,通过界定和清晰产权,不能解决电信网及互联网等网络产业的外部性问题。科斯定理(Coase’sLaw)对外部性的解决是建立在产权明确界定并受到法律有效保护这一基础之上的。而电信网和互联网作为一种公共资源,使每个人都可以自主地在网络上和获取信息,这种对公共资源均等使用的权力,使市场机制无法在这一领域充分发挥作用,而必须通过政府的制度建设克服人们对公共资源的滥用。
最后,以道德力量来建立电信网及互联网的安全体系几乎是不可能的。网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。网络空间秩序企图通过伦理道德、个人自律和对共同利益的维护和驱动来实现,几乎像现实世界没有国防、司法制度就可以保障一个国家的安全和社会的稳定一样不可想象。因此,只有通过制度建设,才能真正建立起对电信网及互联网安全有效运行的保护屏障。
3、信息安全要求政府必须建立网络空间秩序 从网络信息安全的角度看,绝对的网络自由是不存在的。那种认为网络空间创造了一种比以往任何文明所创造的世界更友善、更公正的新文明,从而使任何人可以在任何时间、地点自由发表自己的意见和主张,实践证明是不可能的。电信网和互联网不仅是重要的通信媒体,而且是各种信息特别是知识和娱乐信息的宝库,它既给人类社会的发展带来了巨大的福利,同时也向人们打开了一个潘多拉的盒子,而中立的技术无法对危害网络信息安全的行为进行根本性的抑制。因此,靠网络参与主体的自律和技术手段是不可能代替法律等制度安排来实现对网络参与者有效的规制的。基于信息安全的考虑,政府对电信网和互联网进行管制也就成为国家立法的重要内容。
二、我国网络安全在制度建设上存在的主要问题
网络安全的本质在于促进和维持社会发展与经济繁荣。因此,围绕着网络安全问题,各国都进行了一系列的制度建设,从而使技术层面和管理层面的安全设置更好地发挥其安全保障作用。
目前除了网络黑客的攻击和其他的网络犯罪危及我国的网络安全外,最大的风险是我国网络自身缺乏一整套完整严密的制度安排,从而使网络自身缺少一层制度屏障,降低了网络自身的免疫力。这种制度缺失主要体现在以下几个方面:
1、网络安全缺少最基本的法律保护层
电信网络作为国家信息化的基础设施,在保障网络与信息安全上担负着重要的责任。随着互联网的普及、IP业务的发展,电信网、互联网和有线电视网逐渐走向融合,如何保障电信网络信息服务的安全,将电信网络建成真正安全、可靠的网络,是网络信息社会亟待解决的重要问题之一。
市场经济的典型特征是政府通过一系列制度安排来规范市场主体的经济行为。电信法是网络安全最基本的保护层,也是网络安全技术得以发挥作用的制度安排。而在电信市场,我国政企合一的电信管理体制使电信法至今仍处于难产状态。早在1956年我国就组织起草过电信法,几上几下之后,最终未能修成正果。上世纪90年代中期,政府再一次启动电信法的起草工作,千呼万唤的电信法到2000年也只是出台了《电信管理条例》。2001年又开始了新一轮电信法的起草工作。电信法是保障网络安全的最基本的制度安排,法律制度的缺失使政府无法公平公正地调整利益冲突各方的关系。有数据显示从1998年开始,上报到信息产业部的互联互通恶性案件达540起,至少影响到l亿人次的用户使用,造成10亿元的直接损失和20亿
元的间接损失①。在全国范围内,由于恶性竞争而砍电缆、锯铁塔等破坏通信设施的恶性事件屡禁不止,严重影响了网络安全与畅通。除了物理性破坏之外,更多的情况则是在通信软件上做手脚或者恶意修改信令,对竞争对手经营的电信业务进行各种形式的限呼、拦截,造成了网间接通率偏低甚至完全中断。1999年,兰州市电信公司采用恶性竞争手段使本市27万手机用户打不通固定电话。目前,阻碍互联互通的情况已经从几年前的直接挥大刀砍电缆、互联中继不足、整个省不通IP卡等现象,转化为落地拦截、掉线、噪音等更为隐蔽的技术手段,甚至出现了主导运营商不再对一个局向或者一个号段全部进行干扰拦截的方式,而是针对个别用户特别是高端用户直接进行拦截干扰,手段更为有效和隐蔽。对于这些影响网络安全的无序竞争,来自体系内的监管力量发挥的作用一直相当有限。出台电信法的呼声越来越高。随着我国在WTO中电信承诺表的兑现,国外电信运营商及外资的进入,会使竞争更加激烈。允许竞争但却缺乏竞争规则,会使无序的恶性竞争愈演愈烈,这一切都使网络随时面临着瘫痪的可能。因此,没有法律制度的网络运行是网络最大的安全隐患。
2、制度摩擦使网络存在安全隐患
如果一国的制度安排有利于基于网络交易的电子商务市场容量最大化,有利于网络安全运营及经济效率的提高,那么就可以说该国具有高的制度资本。不利于网络市场交易的制度,则使交易的成本变高,这种成本通常被称为“制度成本”。当然,制度成本不仅仅指在网络市场交易发生过程中实际要支付的成本,也包括由于制度障碍而根本无法进行或选择放弃的市场交易所带来的机会成本,这种机会成本包括“本来可深化的市场”因制度障碍而只能半途而废的情况,以及市场勉强得到发展的情况。根据国际惯例,广播和电视网络都属于电信。有史以来,欧洲多数国家和日本的广播电视业都归口国家邮电部直接管理,美国则由联邦通信委员会统一归口管理,国际电信联盟(ITU)也设有广播电视分支机构。世界公认的电信定义就是“利用有线、无线,电磁和光的设备,发射、传输、接收任何语音、图像、数据、符号、信号”。但是由于我国某些历史原因,广播电视属于意识形态重要宣传机构,不能划归信息产业部,使网络电视(IPTV)之类的新业务难以发展,并使不同网络之间由于管理归口问题而纷争不断,人为阻断网络运行的情况时有发生。
3、制度资本投入不足导致网络安全运行成本较高
网络互联互通是一道世界难题,各国电信引入多家竞争机制以后,原来由一家公司完成一次通信服务现在改为多家来共同完成。网络的全程全网性使运营商之间形成既竞争又合作的关系。因此,各国都通过电信法等一系列制度安排及相应的管制机构来协调各运营商之间的行为和利益关系。在我国,竞争规则等一系列制度安排的缺失,导致网络安全运营成本较高。目前,RSA信息安全公司了一项新的指数来反映网络的不安全程度,即“互联网不安全指数”(Inter-net Insecurity Index)。计数方法从1到10,显示每年的互联网不安全程度。例如互联网不安全指数从2002年的5上升到2003年6.5,说明网络安全运行状况越来越令人担忧。这一指数是从网络安全受到威胁的间接角度来衡量网络安全的,笔者认为若直接从安全角度来衡量网络安全,则网络安全指数(S)最大化主要取决于以下变量的投入及其组合关系:网络安全的制度资本(I)、技术强度(T)、管制水平(R)、资本投入量(K)和人力资本状况㈣,并与以上各变量投入呈正相关关系。其函数关系式可写成:
S=(I,T,R,K,L)
在技术强度、资本投入和人力资本既定的条件下,网络安全指数大小主要取决于制度资本的投入和管制水平的高低。与互联网相关的法律制度的健全是保障网络安全的最基本的制度资本。而制度资本投入滞后于网络的快速扩展和纵深延伸,致使我国网络安全运行成本相对较高。制度资本的投入应建立最有利于促进市场交易发生、尽量使交易成本最低、保证网络安全运营的一系列法律规章制度。当一国的制度机制不利于市场交易时,人们相当一部分技术投入、资本投入和人力资本投入等都是为了对冲制度成本而没有形成社会经济效益。例如,联通公司与移动公司用户互发短信的结算争议,电信公司出售“手机休息站”设备拦截移动手机业务量,全国手机与固定电话互通结算问题,用户驻地网纠纷,全国电话卡出售与结算矛盾等问题此起彼伏、接连不断。制度成本过高致使我国为获得同样的网络安全要投入更多的技术和人力物力财力。
三、完善我国网络安全制度建设的建议
公用电信网是国家信息网的基础,其安全方面的某一弱点可能把其他部分都置于风险之中。网络遭到重大破坏,除了对社会和国家经济造成重大损失外,还可能使国家安全受到威胁,因此,各国都非常重视加强对公用电信网的安全管理。
1、尽快完善以电信法为核心的一系列制度建设
国际上,特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题,经过30多年的发展,在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养等方面都取得了许多实用性成果。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国已经颁布的网络法规主要有:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。与网络安全相关的一系列制度建设是保障网络安全运营的第一道防护屏障,也是最基本的制度保障。而电信法又是保障网络安全运营的基础中的基础。在我国由于电信法至今仍未出台,也就无法从法律制度的角度来规范电信网、互联网等网络参与者的行为。电信法的难产,暴露了我国新旧体制转轨中制度建设的滞后性,使我国电信网和互联网处于不设防的状态,从而对网络安全运营构成致命威胁。并使微观经济主体要损耗掉比市场制度健全的国家更多的人力物力和财力,才能对冲阻碍市场交易的制度成本。因此,尽快完善以电信法为核心的一系列制度建设,是市场经济制度的必然要求,也是在国际互联网中布设保证国内网络安全的一道安全防线。
2、建立不同层级的网络安全保护制度
制定“国家网络安全计划”,建立有效的国家信息安全管理体系。例如,美国已将信息安全战略纳入国家安全的整体战略之中;美国的空间战略以强化部门协调和强化政府协调的互动合作而适应网络社会的需求和特点,其网络空间战略是一个全社会共同参与、实施的战略。我国要充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划
要能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。网络安全的制度安排和保护是分为不同层级的。要重点保护以电信网为代表的基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。信息安全领域中,密级分类、等级保护就是把信息资产分为不同等级,根据信息资产不同的重要等级,采取不同的制度安排及相应的技术措施进行防护。这样就可以在投入有限的情况下,确保网络及信息的安全性。
3、各种制度安排要随着网络的发展而不断深化
一个好的制度安排必须具有激励机制,推动生产力的快速发展,而不是阻碍生产力的发展与科学技术的进步。网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。一旦一国缺乏自主创新的网络安全策略和手段,国家的信息就有可能完全被葬送。例如,为适应电信飞速发展的要求,美国电信法几次修改,欧洲大部分国家也都是立法在先改革在后。因为一个成熟的社会,在涉及国计民生和千家万户的越来越重要的网络领域,没有完善的法律制度约束是不可能稳步发展的。我国电信领域出现的许多问题都与制度安排有关。由于没有完善的制度环境,企业明显违规,政府束手无策。即使已有了较完善的制度安排,各种制度安排也还要随着网络的发展而不断深化。正如制度经济学家道格拉斯・诺思所言:“制度安排的发展才是主要的改善生产效率和要素市场的历史原因”②。从长远来看,在电信网和国际互联网中,决定一国网络安全运营的最基本的要素是其制度资本,即制度机制是否更有利于网络社会的网络安全。
总之,关于网络安全问题,需要政府和各部门从上到下充分重视,并从国家政策、法律规范、技术保障和公众意识等方面来设置防线。必须在社会主义市场经济体制框架内进行各种制度安排,即建立游戏规则,才能不断降低阻碍市场交易的制度成本。这种制度资本投资的增加,将会在既定的管制水平、资本投入量和人力资本条件下,挖掘出网络安全技术的最大潜力,建立安全指数较高的网络世界。
注释:
①赵平:“河南互联互通问题铁幕调查,要如何保卫钱袋”,《中国经营报》2004年3月19日。
②道格拉斯・诺思(Douglass North):《制度变迁与经济增长》,引自盛洪主编:《现代制度经济学(上卷)》,第290页,北京大学出版社2003年版。
参考文献:
①盛洪主编:《现代制度经济学(上卷)》,北京大学出版社2003年版。
②李 娜:“世界各国有关互联网信息安全的立法和管制”,《世界电信》2002年第6期。
③吴瑞坚:“我国互联网信息政府管制制度探析”,《探求》2004年第3期。
网络信息安全等级保护条例范文4
【关键词】广播电视;信息安全;安全建设
一、广播电视信息安全体系
1.广播电视信息安全体系结构。为了紧跟广播电视新业务的发展,信息安全风险科学评估的,信息安全策略的科学构建,广播电视信息安全体系结构把信息安全相关的组织机构、政策法规、操作规范,设备安装施工规范,行为规范,技术实施等进行整合、归纳,形成逻辑紧密、关系明确、层次分明、结构完整的广播电视信息安全体系结构。这将为广播电视信息安全风险评估及信息安全策略的制定提供理论依据和方法。广播电视安全体系结构按照分层模型来建立。分为三层:管理层、运行层、技术层。
管理层:管理层作为广播电视信息安全的最高层,为其提供法律、政策及管理体制、机制方面保障。主要包括与广播电视信息安全相关的法律、法规、政策,广播电视信息安全管理体制、机制、管理组织机构等方面。运行层:运行层是广播电视信息传递的物质基础,为广播电视信息安全提供物质保障。主要包括设备安全运行维护规范、设备生产规范、设备安装规范、设备使用规范等。技术层:技术层为广播电视信息安全提供技术保障。它包括信源安全技术、信道及传输安全技术、接收者安全技术等。广播电视信息安全问题可以从管理层、运行层、技术层三层结构进行描述,三层结构把广播电视安全性问题变得更加有条理,能够更加清晰和完整得分析安全性问题。管理层、运行层、技术层三层结构之间既相互联系又相互制约。
2.广播电视信息安全横纵结构分析法。一般来说,信息的传递由信源、信道、信宿三部分组成,广义上来说,信源是信息发送端,信道是信息的传输通道,信宿是信息的接收端。广播电视系统中的信源、信道、信宿三个组成部分,因各部分的具体业务系统不同,所以其包含的具体内容就不同。依据广播电视信息安全体系结构的三层模型,对信息安全问题进行了管理、运行、技术的分类,具体到某一业务中,通过横向(分层)与纵向(按信源、信道、信宿)组成横纵结构,横纵交织形成九个节点便产生广播电视某一具体业务信息安全的观测点(如图2)。对每个观测点分别从安全评估、安全策略、安全预警、安全响应四个方面进行分析,通过三横三纵得到九个节点,每个节点的四个方面就构成了广播电视信息安全问题分析的整体架构。
3.广播电视信息安全体系应用。(1)按照广播电视信息安全体系结构模型建立了完备的信息安全评估体系,安全评估体系包括:管理层安全评估标准、运行安全评估标准、技术安全评估标准,每一层按照三个节点进行分析。依据相应的评估标准进行安全评估,可对整体安全体系作出正确评价。(2)依据广播电视信息安全体系结构制定信息安全策略,从管理层、运行层、技术层不同层面,利用安全评估指标体系,针对广播电视相关业务的安全漏洞及安全威胁制定相应的安全策略,以解决共性问题和核心问题。
二、广播电视信息安全体系存在的问题
(1)网络安全性与便利性的矛盾尚未得到很好解决。尽管互联互通的网络为广播电视工作提供了极大的便利,但是和网络配套的全面、有效、实时的运行监测系统还没有实现,同时目前广电系统所使用的播出服务器、核心交换机、存储设备及操作系统及所配置IDS入侵检测等设备,都没有达到完美的程度,因此,存在巨大的安全隐患。(2)广播电视技术发展不均衡。由于我国地域的差别造成各地广播电视安全保障能力不平衡,造成这种不平衡的关键是部分地区技术设施相对落后,数字化、固态化等广播电视高新技术装备尚未得到充分应用,安全运行、防范攻击破坏的能力相对来说比较薄弱。(3)广播电视卫星运行安全无法得到保障。自从鑫诺3号、中星6B还有中9号三颗广播电视专用传输卫星投入使用之后,我国卫星广播电视抗攻击能力发生了根本性的改变,成功地遏制了敌对势力对我国卫星广播电视的插播活动。(4)广播电视发射场地及有线网络安全无法保障。我国城市规模的不断扩大,出现了中波台发射天线场地搬离或在天线场地附近修建高层建筑的情况,这种情况对广播电视发射效能产生了严重影响。近年来,破坏广播电视有线网络的事情发生率不断上升,除了人为盗割、纵火等恶意破坏广播电视有线网络设施之外,部分单位的无序施工成为导致广播电视有线网络损毁也是其中一个重要原因。
三、如何加强广播电视信息安全建设
(1)增加网络安全技术的应用,构建信息安全保障体系。全面落实网络安全措施,充分利用防病毒软件、隔离网、防火墙等实时进行网络系统入侵检测、流量监测、漏洞扫描,建立必要的虚拟专用网络、安全隔离区,对未来广播电视网加大投入力度,构建适应广播电视网发展的安全保障体系建设方案需要提出来;防病毒软件需定期升级、系统漏洞需及时修复。(2)加大监督管理力度,确保节目内容安全。广播电视系统必须严格执行节目审查制度、重播重审制度,积极与节目内容供应商建立密切的合作制度,坚持使用合法的内容版权,对节目内容的监管力度的投入需要加大,努力为建立健康有序的广播电视宣传环境提供制度上的保障。(3)加强协调监督,确保广播电视设施和场地安全。各级广播电视系统的管理部门与地方政府和人民群众的联系沟通应加强,宣传和落实《广播电视设施保护条例》的力度应加大,社会公众对广播电视设施的保护意识还应不断强化。(4)坚持完善制度建设,构建安全播出保障体系。广播电视系统的安全播出管理部门应对安全播出管理规定和实施细则进一步细化,从可操作性及实用性两个方面,对《卫星广播电视安全播出应急预案》进一步完善,采用计算机、通讯、网络等领域技术手段,构建融合应急指挥、预警、设备运行状态实时监测及安全播出等日常管理功能为一体的安全播出保障体系,搭建覆盖面积到达全国重点播出单位的内部数据专网,全面提升安全播出保障水平。
信息安全应用贯穿于信息系统的整个生命周期,广播电视信息安全与国家安全息息相关,随着广播电视技术的飞速发展,尤其是各类新兴媒体的不断出现,广播电视信息安全将面临新的挑战。因此,应该采取有效的技术措施,不断加强技术监管,通过组织机构建设,制度建设和技术设施建设,建立和完善广播电视信息安全保障体系。
参 考 文 献
[1]张秋华.浅谈如何加强广播电视信息安全[J].信息安全.2010(5):42~43
[2]章文辉,杜百川,杨盈昀.模糊层次分析法在广播电视信息安全保障评价[J].电子学报.2008(10):2061~2064