网络信息安全等级保护条例精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络信息安全等级保护条例主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络信息安全等级保护条例范文

在对当前信息安全工作开展情况进行调研的基础上，与信息系统的信息安全等级保护工作相结合，阐述了在实施信息安全工作中管理措施的重要性和紧迫性。

【关键词】风险 管理 等级保护

在现实的工作生活中，大家对计算机病毒、黑客攻击这些词汇都很熟悉，因为这些安全事件是我们经常听说，也经常遇到的。但是安全事件的范围其实远远不止上述两个词汇。

1 前言

随着我国经济的快速发展和社会信息化进程的全面加快，网络和信息系统的基础性、全局性作用日益增强，各行各业都在充分享受着信息系统带来的方便和快捷。随之而来的安全事件也因为各行各业的不同存在着千变万化。例如经常在网上冲浪的朋友都知道，维护不善的网站经常会被挂马；还有就是在网购风靡的今天，网上交易经常因为域名劫持，而将个人的金融信息暴露。为了防止这些层出不穷的安全事件，信息系统的管理者们是绞尽脑汁，不惜花费重金聘请安全服务机构制定详细的安全建设方案，并且采购了大量含有最新技术的安全产品。很多人都认为，在这样的努力下，安全事件应该就此杜绝了吧。但现实却给了我们一个很遗憾的答案。为什么会这样呢？是安全服务机构技术力量不足，还是安全产品功能不够强大？从我们对多个信息系统的调查上来看，两者都没有明显的不足，而是很多信息系统的管理者忽视了信息安全中的管理措施。

在科技高速发展的如今，追求技术已成为一种时髦，无论是作为卖家的产品制造商还是作为买家的信息系统管理者，大家谈的最多的是新技术的新优势、新特点等等。当然注重技术的更新是无可指责的，也是很有必要的。但是无论是何种新技术，最后落实到的使用者还是我们一线的技术人员和管理人员。对这些人员的有效管理往往决定了是否能最大化实现既定安全方案的预期成果。

2 信息泄露实例分析

举一个简单的例子，现在大部分的信息系统在网络边界上均部署有防火墙、IDS或IPS设备，以阻止外部的非授权访问，来达到保护内部资源的目的。凡是对防火墙和入侵检测设备有一定了解的朋友都知道，只要对防火墙和入侵检测设备进行合理的配置，从外部获取内部资源的可能性是很低的。但是为什么现在还有很多敏感信息泄露的现象存在呢？其实很多的信息系统管理者都有一个错误的判定，就是“风险都来自于系统外部，内部是绝对安全的。”据公安机关和安全机构的多年调查发现，其实很多安全事件的真正发生原因来自于内部，由于对内部资源访问控制不够严密，导致一些并无访问权限的内部人员获取到了部分资源，同时对移动介质管理的空白，最终导致内部资源外流。

还有一个典型的案例就是网络设备的防护，很多信息系统的管理部门在对网络设备的防护方面采取了很多的技术手段，比如将登陆网络设备的管理终端设置在中心机房内，并和其他网络进行完全的物理隔离来避免网络上的黑客行为和恶意代码。但在机房出入的地方却没有进行严格的控制，虽然设置了门禁，但是常年开放，对出入机房的人员也没有进行记录。管理上的疏忽对网络设备的防护带来了很大的风险。

另一个证明管理措施重要性的例子就是我国目前在实施的信息安全等级保护制度。

我国政府针对信息安全这个大课题，早在1994年就由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。2003年又出台了《国家信息化领导小组关于加强信息安全保障工作的意见》。最近又于2004年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发了《关于信息安全等级保护工作的实施意见》，这一系列的国家层面的文件的制定，逐步明确了信息系统安全等级保护将作为我国信息系统安全建设的基本要求。

那到底什么是信息系统安全等级保护呢？通俗的讲，就是信息系统根据其重要性进行分级，并且根据其安全级别进行相应的安全建设。我们知道，一个完整的信息系统涵盖了网络、主机、应用、数据等多种技术层面，事实上等级保护也是根据了信息系统组成的特点，分别在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理十个层面对信息系统的安全建设提出了要求。等级保护的相关要求是在听取众多信息安全专家的意见和建议，并结合大量安全事件的经验教训的基础上制定的，具有广泛的代表性和严密的科学性。从安全等级保护要求的内容上我们可以看出，管理措施竟然占到了总体内容50%的比例，足以说明管理措施在信息安全建设中的重要性。

3 小结

依照国家目前对信息系统建设的要求，每个信息系统都要按照等级保护的要求建设，还要按照等级保护的要求进行测评。笔者作为全国众多测评人员中的一员，参加了很多个大型信息系统的安全等级保护测评工作。在多个测评项目中，发现被测评的很多信息系统在管理方面的措施与等级保护的相关要求有着一定的差距。在与信息系统的管理者们访谈时，很多管理人员对管理措施重要性的认识还停留在满足当前情况的基础上，缺乏风险的预见性。对于这个被忽视的另一半，笔者深深地体会到了信息安全建设任务的任重而道远。也在此呼吁信息系统的管理者们在重视技术更新的同时，能将更多的目光能够投到管理措施的建设上来，并严格按照管理制度执行。当技术和管理两者相辅相成的时候，相信我们今后的工作生活中将越来越少碰到因为安全事件而带来的不愉快，信息安全建设工作也将跃上一个新的台阶。

第2篇：网络信息安全等级保护条例范文

第一条为了规范信息化管理，加快信息化建设，促进经济发展和社会进步，根据有关法律和行政法规，结合本市实际情况，制定本条例。

第二条本市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动，适用本条例。

第三条本市信息化发展遵循统筹规划、资源共享、务求实效、保障安全的原则。

第四条市和区、县人民政府应当将信息化发展工作纳入国民经济和社会发展规划，健全信息化工作领导协调机制，统筹协调解决本行政区域内信息化发展工作中的重要问题，加大信息化发展的经费投入。

乡镇人民政府和街道办事处应当推进本辖区内的信息化发展工作。

第五条市和区、县信息化主管部门负责本行政区域内信息化发展的统一规划、组织协调和监督管理工作。

发展改革、财政、科技、通信管理、质量技术监督、工商、公安、保密等行政管理部门按照职责分工负责信息化发展的相关工作。

第六条市信息化主管部门会同有关部门依照国家信息化发展规划和本市国民经济和社会发展规划，组织编制本市信息化发展规划，报市人民政府批准后公布实施。

区、县信息化主管部门会同有关部门依据本市信息化发展规划，结合本区、县实际情况组织编制本行政区域的信息化发展规划，经市信息化主管部门审核后，报同级人民政府批准后公布实施。

本市国家机关编制的本部门和本行业、本系统的信息化发展规划，应当符合本市信息化发展规划。

第七条市质量技术监督行政主管部门应当会同信息化主管部门及其他有关部门，根据信息化发展趋势和要求以及职责权限，制定并及时完善有关信息化标准。

单位和个人从事信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障等活动应当执行国家和本市有关信息化标准。

市和区、县质量技术监督、信息化及其他有关部门对有关信息化标准的执行情况进行监督。

第八条市和区、县人民政府应当制定优惠政策和措施推动现代信息技术创新，并通过政府采购、宣传教育、培训考核等活动促进具有自主知识产权的信息技术应用。

市和区、县人民政府应当对在信息化工作中作出突出贡献的单位和个人给予表彰。

第九条本市鼓励信息化人才的培养和引进，加强市民的信息化知识和技能普及，提高信息技术应用能力。

本市建立并完善基础课程体系，在中小学校普及信息技术教育。

广播、电视、报刊、网站等应当开展信息化宣传、教育和科普活动。

第二章信息化工程建设

第十条信息化工程建设需要进行招标投标的，应当依法进行，并按照国家和本市有关规定实施监理；政府投资的信息化工程建设，应当符合政府采购等有关法律、法规的规定。

第十一条从事信息化工程建设的单位依照国家有关规定需要经过资质认证的，应当依法取得资质认证。未经资质认证的单位，不得承揽或者以其他单位名义承揽相应领域内的信息化工程；已经资质认证的单位，不得超越本单位资质等级承揽信息化工程。

第十二条本市政府投资建设的信息化工程年度计划，由市和区、县信息化主管部门会同同级发展改革、财政等相关部门制定并监督落实。

第十三条使用政府投资新建信息化工程的，建设单位在报发展改革部门或者其他有关部门立项审批前，应当通过同级信息化主管部门的审查；使用政府投资对信息化工程进行改建、扩建、运行维护的，建设单位在报财政部门审批经费前，应当通过同级信息化主管部门的审查。

信息化主管部门对报审的信息化工程的需求效益、规划布局、技术标准、网络与信息安全、信息资源共享以及其他相关内容组织审查并出具审查意见。

信息化主管部门、发展改革部门、财政部门及其他有关部门对于不符合信息化发展规划和本条所规定审查要求的信息化工程，不予审查和审批通过。

信息化主管部门应当会同有关部门采取措施，积极推进已建信息化工程的整合工作。

第十四条建设单位应当组织进行信息化工程竣工验收。未经验收或者验收不合格的信息化工程，不得投入使用。

建设单位对使用政府投资的信息化工程进行竣工验收时，应当邀请信息化及其他有关主管部门参加。

第十五条本市实行信息化工程质量保修制度。承揽信息化工程的单位应当对信息化工程承担保修责任。

使用政府投资的信息化工程的保修期，自工程竣工验收合格之日起不得少于两年。

第十六条信息化工程建设和运行维护过程中，建设单位应当建立规范的管理制度，做好信息内容更新，加强信息资源管理、知识产权保护和信息安全保障工作。

本市信息化工程建设中应当使用合法授权的软件，鼓励使用国产信息技术和产品。

第三章信息资源开发利用

第十七条本市加强对政务信息资源采集工作的管理。

本市国家机关应当依法采集政务信息，加强对政务信息的管理，定期进行信息更新，保证政务信息的真实准确，并采取安全措施防止政务信息丢失、泄露或者被滥用。

市信息化主管部门组织建立政务信息资源目录，规范市和区、县两级行政机关采集政务信息的活动，避免重复采集政务信息资源目录内的信息。

第十八条本市统一建设人口、法人、自然资源和地理空间、宏观经济等基础数据库。基础数据库的建设和使用按照国家和本市有关规定执行。

本市各级国家机关应当充分利用基础数据库建设本行业、本部门的业务数据库；除涉及国家秘密或者法律、法规另有规定外，基础数据库的建设单位应当为本市国家机关提供信息共享服务。

第十九条本市各级国家机关和法律、法规授权的具有管理公共事务职能的组织应当建立健全政务信息公开工作制度，依法编制并公布本单位的政务信息公开指南和政务信息公开目录，按照国家和本市的规定通过公报、网站、新闻会以及报刊、广播、电视等便于公众知晓的方式公开政务信息。

本市各级国家机关和法律、法规授权的具有管理公共事务职能的组织应当依法建立政务信息公开的申请受理和处理机制，为市民提供信息公开服务。

第二十条本市教育、医疗卫生、供水、供气、供热、公共交通、环保等公共企事业单位，应当将服务承诺、收费标准、办事过程等信息通过网站及其他方式及时向社会公开，并逐步采用信息化手段开展业务办理工作。

市有关行业主管部门应当对公共企事业单位的信息公开和服务情况进行指导和监督。

第二十一条市和区、县人民政府统一建设政务信息共享交换平台，为各国家机关共享交换政务信息提供服务。

国家机关可以使用政务信息资源目录中的其他国家机关的政务信息。政务信息需求单位应当就需要共享的信息内容、范围、用途和方式与提供单位主动协商。协商未达成一致的，政务信息需求单位应当将有关情况报请同级信息化主管部门协调解决。

第二十二条市和区、县人民政府应当引导和规范对政务信息资源的增值开发利用，鼓励单位和个人进行信息资源公益性开发利用。

第二十三条信用服务中介机构开展征信活动时，应当遵循独立、客观、公正的原则，保守商业秘密，尊重个人隐私，维护被征信企业及个人的合法权益和社会公共利益。

信用服务中介机构对采集的信息应当在信息提供者许可的范围内使用。

鼓励在政府采购、市场监管、信贷、商务等活动中使用信用服务中介机构提供的信用产品。

第四章信息技术推广应用

第二十四条市和区、县人民政府应当采取措施推动企业和个人利用信息网络从事商务活动，引导社会逐步建立、完善信用体系和网上支付、物流配送系统，鼓励电子商务服务提供商的发展。

市人民政府有关部门应当制定以中小企业为主的企业信息化发展指南，建设面向中小企业的公共信息服务平台。

第二十五条本市统筹城乡信息化发展，加大公共财政投入，支持农村信息基础设施和农村综合信息平台建设和运行维护，推进农村现代远程教育；鼓励通过信息化手段为农民提供生产、生活实用信息服务，开发、利用涉农信息资源，开展面向农民的信息化知识和技能培训。

电信、广播、电视等公共服务单位应当采取措施加强农村信息网络服务。

第二十六条在本市从事互联网信息服务活动的，应当按照国家规定办理相应许可或者履行备案手续。

利用互联网从事经营活动的单位和个人应当依法取得营业执照，并在网站主页面上公开经营主体信息、已取得相应许可或者备案的证明、服务规则和服务流程等相应信息。

第二十七条电子商务服务提供商应当对利用其网站从事经营活动的经营主体的身份信息、合法经营凭证和反映交易信用状况的材料进行核查，并对相关信息做好数据备份，便于当事人和有关部门查询、核对。

电子商务服务提供商应当建立投诉受理机制，对利用其网站从事的经营活动进行监督，配合政府有关部门的管理活动，但不得妨碍相关经营主体开展正常交易活动。

第二十八条本市各级国家机关应当定期组织本单位工作人员学习电子政务相关知识，开展电子政务技能培训。

第二十九条本市建设统一的电子政务网络，促进相关业务应用系统的互连互通。

本市各级国家机关的业务应用系统，凡不宜通过互联网实现的，必须依托全市统一的电子政务网络；需要接入全市统一的电子政务网络的，应当符合有关规范，并经市或者区、县信息化主管部门审查同意。

各级国家机关不得新建专用网络，已经建成的专用网络应当按照规划和标准逐步调整，接入电子政务网络。

第三十条本市国家机关的网站应当按照规定与本市政务门户网站建立链接，统一网站风格、标识和建设运行维护技术标准。

本市国家机关在互联网上注册域名的，应当遵守国家和本市的相关规定，并经过市信息化主管部门的审核。

第三十一条市和区、县信息化主管部门组织开展信息化成果展示和交流，对先进的信息技术、产品进行示范推广。

第五章信息安全保障

第三十二条本市对网络与信息系统按照国家和本市有关规定实行安全等级保护制度。

网络与信息系统的建设单位和运行维护单位应当按照国家信息安全等级保护管理规范和技术标准确定本单位网络与信息系统的安全保护等级，并按照国家和本市有关规定进行备案、审批。

第三十三条信息系统的建设单位和运行维护单位应当根据确定的安全保护等级，按照国家信息安全等级保护管理规范和技术标准，保证相应投入，同步开展信息系统安全建设或者改建工作；建设完成后，建设单位和运行单位应当按照国家有关规定开展安全等级技术测评工作，并根据结果采取措施保障网络与信息系统的安全。

第三十四条本市网络与信息系统的建设单位和运行维护单位应当加强安全管理，并制定网络与信息系统安全事件应急预案，定期进行演练。

发生网络与信息系统安全事故后，相关单位应当迅速采取措施降低损害程度，防止事故扩大，保存相关记录，并按照规定及时向同级信息化主管部门报告。

市和区、县人民政府有关部门应当组织制定相关行业的网络与信息系统安全事件应急预案，组织、协调有关单位做好应急预案的落实工作。

第三十五条本市组建公共服务网络与信息系统信息安全应急救援服务体系，建立信息安全情况通报和协调机制，为发生公共服务信息安全事件的单位提供救援服务，为全市应急指挥体系提供网络与信息系统安全保障。

第三十六条任何单位和个人不得利用网络与信息系统从事危害国家安全，扰乱公共秩序，损害公民、法人和其他组织的合法权益，危害网络和信息系统安全以及散布、传播违法信息等活动。

第三十七条涉及国家秘密的信息化工程的管理，按照国家保密有关规定执行。

第六章监督管理

第三十八条市和区、县信息化主管部门对信息化发展规划和政府投资建设信息化工程年度计划的落实情况进行监督检查，并组织开展对国家机关的电子政务绩效考核工作。

第三十九条市和区、县发展改革、财政、审计、信息化等部门对使用政府投资的信息化工程的资金使用情况和工程运行维护情况进行监督检查；统计、监察、信息化及政府信息公开主管部门对有关国家机关政务信息采集、公开、共享和信息服务工作进行监督检查。

第四十条本市各级国家机关应当加强对本单位政务信息采集、管理、公开、共享等工作的内部管理，并明确主管负责人和内部机构，负责本单位电子政务的规划、协调和管理工作，建立对本单位工作人员信息化知识、技能的定期考核制度。

第四十一条市和区、县人民政府的相关行业主管部门应当组织对本行业公共企事业单位的信息化服务水平进行检查和评估，并将有关情况向社会公布。

第四十二条市和区、县人民政府有关部门根据职责分工，做好信息化相关领域的监督检查工作，并将相关信息向同级信息化主管部门通报。

企业、事业单位和个人的违法行为可以依法纳入相关信用信息系统。

第七章法律责任

第四十三条违反本条例第十一条规定，未经资质认证的单位承揽、以其他单位名义承揽相应领域的信息化工程，或者已经资质认证的单位超越本单位资质等级承揽信息化工程的；由市或者区、县信息化主管部门给予警告，责令限期改正；情节严重的，处以1万元以上10万元以下罚款。

第四十四条违反本条例第三十四条规定，未按要求制定网络与信息系统安全事件应急预案，或者对网络与信息系统安全事故情况隐瞒不报、谎报或者拖延不报的，由市或者区、县信息化主管部门责令限期改正，并可处3万元以下罚款。

第四十五条违反本条例规定，有下列行为之一的，由有关部门依照《中华人民共和国政府信息公开条例》、《中华人民共和国计算机信息系统安全保护条例》等有关规定责令改正，给予警告或者责令停机整顿，并对直接负责的主管人员和其他直接责任人员依法处理：

（一）违反第十九条规定，未按照国家和本市的规定公开政务信息的；

（二）违反第三十二条规定，网络与信息系统的建设单位和运行维护单位未依法进行安全保护等级备案、审批的；

（三）违反第三十三条规定，未进行网络与信息系统安全建设或者改建工作，或者未进行网络与信息系统安全等级技术测评的。

第四十六条违反本条例规定，有下列行为之一的，市或者区、县信息化主管部门可以对责任单位给予通报批评；造成重大损失的，依照有关法律、法规予以处理：

（一）违反第十七条规定，没有正当理由，重复采集政务信息资源目录内信息的；

（二）违反第二十九条第二款规定，未经审查同意擅自接入电子政务网络的。

第3篇：网络信息安全等级保护条例范文

关键词：策略 系统工程 动态

中图分类号：TP301 文献标识码：A 文章编号：1672-3791（2012）08（c）-0012-01

信息技术、通信技术、计算机技术对各个行业的影响越来越大，已成为国家和社会发展的重要战略资源。各个行业实现网络的互动互连、信息的共享已经成为必然趋势，中国的军工研究单位也不例外。3G/4G高速数据手机通信也已经渗透到每个人的工作、生活之中，如何在现有形式下保护开放网络环境下军工研究单位的军事秘密信息已经成为当前的重要任务。解决办法之一是建立独立的军队内部网，在物理上隔开与外界的互连，这样将直接影响到军工研究单位与非军工研究单位的协同工作，对中国武器装备科研发展带来不利的影响。最好的解决方法是按照军事级别的要求提高军工研究单位的网络安全，不仅能使用互联网、通信网络的优势，同时也能保护军事秘密。

1 网络安全体系

网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨行为的攻击。要提高网络安全性，任何单位都需要一个完整的网络安全体系结构，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素造成的安全脆弱性和潜在威胁。要从网络安全体系的各个层面来分析网络安全的实现，研究网络安全模型，来对网络安全体系进行研究与部署。一般的网络系统都要涉及到网络设施、网络操作系统和网络应用程序，仅仅从这三个方面实施网络不能完全保证网络的整体安全。因为在网络中信息是核心，如何保证数据的安全性以及使用这些信息的用户、实体和进程的安全性也是必须考虑，只有从这五个层次综合考虑，才能总整体上做到安全的防护。

网络安全体系的五层之间是相互依赖的，呈现了整体性，相互协作以立体化作业来提高整个系统的安全性。网络安全威胁按照攻击者的主动性可以分为主动威胁和被动威胁，在合适的网络安全模型的支持下，网络系统可以采用对应的主动防御技术和被动防御技术来提高网络系统的安全性。现在的网络主动防御技术和被动防御技术有很多，把最好的、最贵的防御产品部署到军工单位的网络中是不能提供足够的安全，应该按照网络安全策略指导网络安全技术来保护好网络安全，对网络安全整体体系进行保护，才能即保护了数据，同时也充分利用了网络的便利性和快捷性。

2 网络安全策略

网络安全策略（Security Policy）是指在一个特定的网络环境里，为保证提供一定级别的安全保护所必须遵守的一系列条例、规则。进行数据访问时，网络安全策略规定在安全范围内什么是允许的，什么是不允许的。网络安全策略通常不作具体规定，它仅仅提出什么是最重要的，而不确切地说明如何达到所希望的安全性。网络安全策略建立起安全技术规范的最高一级。安全策略具备普遍的指导意义，它针对网络系统安全所面临的各种网络威胁进行安全风险分析，提出控制策略，建立安全模型和安全等级，对网络安全系统进行评估并为网络系统的配置管理和应用提供基本的框架。有了网络安全策略系统才可能保证整体网络系统能够正常有序地运行，也才可能更安全合理地提供网络服务，有了网络安全策略才可能更加高效迅速地解决网络安全问题，使网络威胁造成的损失降为最小。

制订军工单位的安全策略必须以《保密法》、《中华人民共和国保守国家秘密法》、《中国人民保密条例》、《中华人民共和国计算机信息、系统安全保护条例》为根本依据，才能制订科学的、完善的网络安全策略。安全策略是规章制度，是网络安全的高级指导，需要考虑军工企业的各个方面，不仅仅是网络安全的技术，还必须包括各个级别的员工的安全教育、安全操作、危机意识的培养。比如现在手机终端功能越来越强大，很多人都喜欢手机终端的通信，这样就为军工单位的网络打开一个缺口，黑客软件可以控制手机摄像头的打开和摄像操作，在军工单位内使用智能手机就有可能泄露军事秘密。所以军工单位的安全必须采用系统工程的方法进行，作为一个复杂的系统来考虑，这样才能制定一个科学的安全策略。军工单位的网络安全策略制定是属于社会领域的研究，可以采用软系统方法论，采用一个系统方法，以国家法律和法规为基础，在军工单位的各个层面的人员进行讨论和辩论，使大家从各个层面考虑网络安全问题，是问题得到充分的认识和问题解决的考虑，使制定的安全策略得到全面的考虑，同样对军工单位的人员的一个安全教育。

安全策略出自对军工单位的要求、网络设备环境、军事机构规则、国家军事秘密法律约束等方面研究，在网络安全专家的协助下制定详细的规范，但仅仅使提供安全服务的一套准则，具体的实现需要各种网络安全防御技术提供的安全服务和安全机制来保障。军工单位的网络安全策略是一个动态策略，它是要在安全策略的执行过程中，实时进行监测，实时对各个层面的人员进行安全教育，对于出现的问题及时对安全策略进行修订和补充。

3 结语

各个国家的军工单位都是重点保护的对象，因为它拥有军事秘密信息，也是各种敌对势力、竞争对象、商业间谍进行网络攻击的目标，提高网络安全是军工单位网络边界的第一道防线，网络安全策略就是指导各种网络安全防御技术保障整个网络体系的安全。不要认为网络全策略仅仅是一个规则和制度，仅仅采购高级网络技术就可以了，军工单位的网络必须在网络安全策略的宏观指导下才能综合各种网络安全产品构建一个动态的安全网络，它是各个部分工作的规范，包括人员。网络安全策略是一个军工单位的核心，只有充分认识网络安全策略的动态发展过程，才能使军工单位充分使用网络的优点，也能保护好单位内部秘密。

参考文献

[1] 尹开贤.军工单位信息系统的安全保密形势与对策[C].第十一届“保密通信与信息安全现状研讨会”，2009（8）：186-187.

第4篇：网络信息安全等级保护条例范文

【关键词】互联网 金融 犯罪 防控

随着互联网技术的快速发展，互联网正逐步渗透进经济、金融、社会、民生等领域，改变人们的思维、行为习惯及投资、消费方式。与其他借助互联网技术进行行业革新的领域类似，互联网金融也随着互联网技术的不断演进，经历了不同的发展阶段。从最早的各大商业银行的“网上银行”到如今以大数据、云计算、社交网络和搜索引擎为基础的互联网金融业务全面勃发，互联网金融实现了从单纯的互联网技术支持到互联网业务的转变。

可以预见的是，在国家战略层面实施“互联网+”行动计划的驱使下，具有人群覆盖优势、数据挖掘、分析优势和平台操作便利、无门槛等优势的互联网金融将实现进一步的发展，并迫使传统金融行业进行革新。同时，由于自身处于方兴未艾的探索阶段，存在着从运营到监管层面的诸多风险。近来频发的泛亚、e租宝、大大集团等p2p网络借贷平台的著名案件，只是互联网金融存在风险的冰山一隅，全国3464家被监测的P2P借贷平台，正常运营的仅有1876家，问题平台约占46%，加之网络金融诈骗手段翻新，案件层出不穷等现象，则为加强互联网金融犯罪防控敲响了警钟。

一、大数据时代互联网金融犯罪的类型

所谓大数据，是指对信息爆炸时代产生的海量数据进行数据挖掘、分析，并为之所用的技术革新，它所承载的平台主要集中于互联网平台。互联网金融是最为典型的数据驱动型产业，它通过大数据实现信息挖掘、信用风险管理和资金转移管理上的需求。但由于信息的无界性，一旦使用大数据的用户怀有恶意目的，那么很可能酿成金融犯罪，目前我国典型的互联网金融犯罪类型主要有以下3种：

一是金融诈骗。互联网金融诈骗主要有三类。第一类是网络钓鱼诈骗。这是互联网金融犯罪最传统也是最常见的犯罪方式。不法分子利用大数据盗取、收买用户信息，通过传播木马、伪造钓鱼网站、发送含有欺诈信息的电子邮件等引诱上当的方式，采取诱骗用户自己划转资金或盗取用户的账户密码划转资金等手段对用户实施网络诈骗。由于第三方支付平台在社会层面的广为运用，目前，第三方支付已取代银行卡诈骗成为网络诈骗的最新作案工具。第二类是假造借钱行为。利用p2p网络借贷平台信用审核不严的漏洞，通过伪造个人身份信息、工作证明、银行交易流水、资金用途、联系方式等手段骗取借款，然后携款潜逃。第三类是信用卡金额套取诈骗。通过虚构交易的方式，套取信用卡内金额。这两类案件也层出不穷。

二是网络洗钱。不法分子一方面可以利用第三方支付平台等进行洗钱和转移赃款，而由于基于大数据的第三方支付平台具有门槛低、高频交易的特点，使赃款可以通过一系列复杂、快速的往来交易与资金转移，混淆资金来源，实现资金的快速洗白；另一方面利用大量p2p借贷平台对出借人审查不严格、游离于主流监管体系之外的漏洞，向p2p平台大量出借赃款，再借由p2p平台之手，将赃款转移，脱离监管视线。值得注意的是，随着国家有关部门逐渐加强对第三方支付平台的监管，不法分子p2p网络借贷平台正在成为隐秘、安全、快捷的洗钱通道。

三是非法集资。随着p2p借贷平台的纷纷涌现，以p2p为名义进行非法集资的案例近来呈高发态势，主要表现为擅自成立金融机构进行非法吸收公众存款等。一些不法分子未经过国家有关部门批准，组建p2p网络借贷平台，擅自开展向社会公众融资业务。在业务开展过程中，伪造信用评级和资金托管平台，许以高额利润回报，吸取大量公众资金，进行自我融资或期限错配吸储放贷，且产生的信贷存量没有存贷比、准备金等“防火墙”设置，杠杆极度放大，一旦投融资失败或发生客户大量挤兑，大量客户的资金血本无归。2014年及之前的杭州国临创投、深圳中贷信创、上海锋逸信投，2015年的E租宝、大大集团，均因涉嫌非法集资而站在了舆论的风口浪尖。

二、引起犯罪的风险原因

一是隐私风险导致用户信息容易泄漏。“大数据时代没有隐私”，虽然是一句夸大的用语，但却真实反映了互联网上的海量信息在增加便利的同时给个人生活造成的负面影响。由于当前互联网与现实世界的无缝衔接及网络信息扩散的迅速化和无界性，用户在现实世界及网络上的每一次消费行为及个人所在地、行径位置、健康和财务情况等基本信息都可以被挖掘和利用。而在大数据时代的互联网金融环境中，隐私问题远远超出了常规身份确认风险的范畴，一旦被别有用心的人攫取，就可能为实施网络诈骗提供前提条件。

二是安全风险导致金融系统易受攻击。由于互联网金融服务基本上是利用计算机程序和软件系统在万维网平台进行控制的，因此一旦承载网络的物理平台或网络本身出现安全漏洞，就可能对金融系统或用户财产安全造成致命影响。事实上，当前互联网安全技术虽已趋于成熟，但远不完美，加之网络黑客活动的增长率居高不下，使得包括恶意攻击和木马病毒等其他安全隐患仍是当前互联网金融系统的主要风险之一。在网络黑客的攻击行为中，既有针对用户个人的盗取账户、密码等犯罪行为，也有针对金融系统的入侵行为，轻则损失钱财，重则对金融秩序稳定造成危害。

三是平台风险导致金融行为缺乏规范。在互联网金融体系中，以p2p网络借贷平台为代表的小微企业占据了半壁江山。这些企业普遍存在法律意识不强、运营管理不规范、信用不高等问题。很多企业由于没有足够的底线意识，在资格条件不具备、各项配套措施不完善的前提下，开展互联网金融业务，游走于非法集资的边缘，较易构成犯罪，大多数小微企业在用户信用审核上做得不够，为了迅速达成交易，缺乏正规的审查流程，合同的签订也不规范，而人民银行征信体系又未覆盖到位，使一些不法分子有可乘之机，进行网络洗钱和恶意借钱的犯罪行为。

四是监管缺位导致金融风险缺乏监控。目前，我国针对互联网金融领域的法律制度建设严重滞后，行业准入的标准不清晰，金融监管的部门和相关权力不明确，互联网金融企业开展具体金融业务的规范性要求也不明晰，导致违法边际过大，产生了大量灰色地带。这些灰色地带由于监管缺位，被一些不法分子利用，不仅纵容了网络洗钱、非法集资、网络诈骗等犯罪行为，而且使互联网金融行业出现了大量乱象，互联网金融企业信誉、资质良莠不齐，影响了金融秩序的稳定运行和互联网金融的健康发展。

三、互联网金融风险的防控对策

一是加强立法立规，完善监管、树立标准。梳理完善现行互联网金融法律法规，国家层面出台进一步促进互联网金融发展的指导意见，省级层面出台具体实施细则，在鼓励各类市场主体运用互联网、大数据、云计算等技术，对接各类金融资源，开展产品创新、技术创新、服务创新、管理创新和模式创新，打造互联网金融品牌的同时，界定互联网金融的范畴、准入门槛、运营规范、进出机制、监管主体及职责等问题，并构建多部门联动的互联网金融协同监管机制，切实加强监管。同时进一步完善相关法律，对互联网金融在第三方支付、网络金融理财、p2p网络借贷、众筹可能触犯法律的行为特别是对互联网金融技术的创新抵触现行法律的行为，如涉嫌非法集资、非法证券交易等的行为，作出明确规定，出台司法解释。同时，修正完善个人信息保护、等互联网金融配套法律体系，包括合同签订规范等在内的互联网金融行为指引和国家标准等规范性文件，规范资本运作，保障金融秩序。

二是加强网络安全技术研发与管理。修订完善《计算机软件保护条例》、《计算机病毒控制条例》、《中华人民共和国计算机信息系统安全保护条例》等相关网络安全法律，扩大适用范围和调整对象，使之与大数据时代下的互联网环境相适应，同时建立健全网络信息安全管理体系，严格落实信息安全等级保护制度，加强互联网金融企业网站规范管理，保障互联网金融环境安全。进一步加强网络金融基础设施建设，以统一的标准和规范加强网络安全系统的开发，以监测、预防、查杀可能的黑客攻击行为及病毒程序，并在各互联网金融企业强制安装。此外，还要做好网络安全及网络行为风险的社会宣传与教育，使社会公众逐步建立良好的安全意识。

三是利用大数据构建完善的信用风险机制。人民银行利用大数据技术，进一步加强征信体系建设，扩大人群覆盖范围，特别是对小微互联网金融企业服务对象的信用评级覆盖。互联网金融企业要利用大数据的挖掘、分析，对客户的社交网络信息、用户申请信息等网络行为进行深度的信息调查，同时加强客户的信贷历史挖掘，加强客户信用数据的审核，对于有网络洗钱、恶意借贷行为的对象，进行有效拦截。同时，要打通线上线下，采用先进的预测模型等策略，进行数据挖掘和信息分析，提高信用评估的决策效率，建立完备和科学的风控体系，降低违约风险，为客户投资安全提供坚实保障，解决国内互联网金融的信用风险管理问题。

四是加强行业自律。建立遍布各省的互联网金融协会，吸收省内有一定资质的互联网金融企业成为会员，充分发挥互联网金融协会的行业规范与自律作用，构建约束机制，组织会员签订行业自律公约，推动机构之间的业务交流和信息共享，营造公平的市场竞争环境。同时，完善互联网金融企业信用信息公示和准入退出机制，一方面建立互联网金融企业定期向社会、投资人信息披露制度，公布恶意行为人的黑名单，并开展投资者教育和金融消费者权益保护工作，引导社会公众增强投资风险意识，另一方面，制定经营管理规则和业务标准，开展互联网金融企业信用等级评定和公示工作，引导互联网金融企业依法合规开展业务，对违法违规的互联网金融企业进行社会公示并取消其协会会员资格。在此基础上，互联网金融企业树立底线思维，深入了解与互联网金融相关的法律法规问题，对违法违规行为坚决不触及，并严格执行相关行业标准，规范运营管理的各个环节，共同促进互联网金融的健康发展。

五是加强对互联网金融犯罪的侦防。公安经侦部门要跟踪了解互联网金融犯罪的主要类型和发展动态，对互联网金融体现出来的涉案人员范围广，涉案金额高，犯罪主体专业化、手段智能化、反侦查意识强，电子数据成为主要的证据形式，衍生犯罪特点显著等特点予以警惕，建立互联网金融犯罪风险监测、预警和管控工作机制，利用大数据等新型技侦手段，努力发现、挖掘、提炼深层次、预警性信息，及时提出防范涉及互联网金融经济犯罪活动的工作意见，助力犯罪防控。同时，加强情报信息的收集和分析研判，做好电子数据证据收集、网络信息查证和犯罪嫌疑人员追踪等工作，打击具体犯罪人员。此外，要对互联网金融经济犯罪的常见类型、惯用手法和动态特征开展多层面、多角度宣传，提醒公众理性投资，提升社会公众防范意识和能力。

参考文献

[1]刘坤，高春兴.互联网金融犯罪的特点与侦防对策研究[J].山东警察学院.2015（9）.

[2]中国人民银行.中国金融稳定报告（2014）[EB/OL]. http：///a/20140429/1320967.shtml.

[3]姚国章，赵刚.互联网金融及其风险研究[J].《南京邮电大学学报.自然科学版》.2015（2）.