公务员期刊网 精选范文 网络等级保护条例范文

网络等级保护条例精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络等级保护条例主题范文,仅供参考,欢迎阅读并收藏。

网络等级保护条例

第1篇:网络等级保护条例范文

关键词:电子公文电子政务互联网

一、子公文及其特点

电子公文是指以电子形式表现的并通过网络传送的,用于政府机关相互之间联系事务的专用文件。电子公文的特点是基于电脑和互联网联网的特性而产生的,因为电子公文的制作、发送及接收都需要通过电脑和互联网这两种媒介来进行。首先是电脑,它的最大作用是将政府公文中所有具体的信息都进行了数字化的改变,这里所说的数字化是指电脑将输入的具体信息以“1”和“0”来进行存储和运作,这不像传统的政府公文是以具体的书面形式来表示的。其次是互联网,互联网将电脑里的数字化信息在各个政府机关之间迅速地传送。互联网本身有其特殊性,即公开性和全球性。所谓公开性是指任何人都可以自由地进出互联网,而全球性是指信息在互联网上的传递是没有边界障碍的。根据上述分析,较之传统的政府公文,电子公文有以下几个方面的特点:

(1)电子公文是一种数字化的、虚拟化的文件形式;(2)电子公文的传送是在公开环境下,通过互联网进行的;(3)电子公文的传送可以在各个地区、国家乃至全球范围内的政府之间进行;(4)电子公文的广泛应用能够极大地提高政府的办事效率。

显然,信息技术的发展给政府机构带来了一场深刻的变革。传统的公文传送方式使政府机构背负着沉重的时间负担和经济负担。传统公文在这一场变革中受到了电子公文这一新生事物的强有力的冲击。电子公文的制作、发送和接收可以突破时间和空间的限制,给人们以快速和便捷。可是电子公文毕竟是近年来才开始出现的新生事物,很多技术上的问题还有待解决。特别是,由于电子公文刚刚开始启用,有关电子公文的法律纷争还颇为鲜见。就世界范围来说,还没有专门的法律规范,也无强制性的原则可以遵循。可以说,其中还有很多值得研究的问题摆在我们的面前。

二、电子公文应用中存在的安全问题

目前,电子公文应用中出现的安全问题主要有:

1.黑客问题。黑客入侵网站的消息在近年被频频报道。以前黑客们往往挑选美国国防部和雅虎这些安全防范体系堪称一流的硬骨头啃。而随着各种应用工具的传播,黑客已经大众化了,不像过去那样非电脑高手不能成为黑客。如果安全体系不过硬的话,黑客便可以肆意截留、毁灭、修改或伪造电子公文,给政府部门带来混乱。

2.电脑病毒问题。自电脑病毒问世几十年来,各种新型病毒及其变种迅速增加,而互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径。试想一个完整的电子政府体系中某个环节受到病毒感染而又没有被及时发现,电子公文系统全面瘫痪,那将会产生怎样的后果?病毒的感染会使一些电子公文毁灭或送达延误,整个电子政府将会指挥失灵、机构运作不畅。

3.信息泄漏问题。目前,各大软件公司生成的网管软件使网络管理员拥有至高无上的权利,可以方便地对网上每个政府用户的各种使用情况进行详细的监测。此外,网络中存在不少木马程序,如果使用不慎,就会把公文中的重要信息泄漏给他人。而某些大公司生产的软件或硬件产品所带的后门程序更可以使这些公司对政府用户在网上的所作所为了如指掌。对政府而言,信息泄漏将会给其工作带来麻烦,甚至会危及到国家的政治、经济及国防利益,有关的政府工作人员会因此被追究法律责任,这是绝对不能接受的。而对这些大公司的法律管制,对于在信息产业中处于弱势地位的国家来说是根本无法解决的难题,但光靠处于优势地位的国家也是不行的,必须在国际范围内形成管制的合力。

三、电子公文安全体系法律制度建构

1.科学的密钥使用制度规范。密钥是一种信息安全技术,又称加密技术,该技术被广泛应用于电子商务和电子政务中。它包括两种技术类型,即秘密密钥加密技术和公开密钥加密技术。其中秘密密钥加密技术又称对称加密技术。倘利用此技术,电子公文的加密和解密将使用一个相同的秘密密钥,也叫会话密钥,并且其算法是公开的。接收方在得到发送的加密公文后需要用发送方秘密密钥解密公文。如果进行公文往来的两个政府能够确保秘密密钥交换阶段未曾泄漏,那幺,公文的机密性和完整性是可以保证的。这种加密算法的计算速度快,已被广泛地应用于电子商务活动过程中。公开密钥加密技术又称为非对称加密技术。这一技术需要两个密钥,即公开密钥和私有密钥。私有密钥只能由生成密钥对的一方政府掌握,而公开密钥却可以公开。用公开密钥对公文进行加密,只有用对应的私有密钥才能解密。用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。此二种技术相比,显然第二种技术的安全系数更大一些,但这种技术算法速度较慢。我们可以根据各种公文的秘密等级,采用不同的加密技术。对于一般的公文往来数量大且频繁,不宜采用非对称加密技术,还有秘密等级较低的公文亦可采用对称加密技术。而对那些重大的通知及秘密等级较高的公文则必须采用非对称加密技术。凡违反上述技术性规范的要求造成公文泄密或是公文的完整性受到损害的,需追究其法律责任。

2.完善的政府证书管理制度。公文传送过程中数据的保密性通过加密和数字签名得到了保证,但每个用户都有一个甚至两个密钥对,不同的用户之间要用公开密钥体系来传送公文,必须先知道对方的公开密钥。公文传送中有可能发生以下情况:用户从公钥簿中查到的不是对方的公钥,而是某个攻击者冒充对方的假冒公钥;或者公文互换的双方在通讯前互换公钥时,被夹在中间的第三者暗中改变。这样的加密或签名就失去了安全性。为了防范上述风险,我们可以仿效电子商务中的做法,引入数据化证书和证书管理机构,建立完善的政府证书管理制度。这里所说的证书是指一份特殊文档,它记录了各政府机关的公开密钥和相关的信息以及证书管理机构的数字签名。证书的管理机构是个深受大家信任的第三方机构。考虑到电子政务的特殊性,电子政务系统中的根目录证书管理机构最好由一国的最高政策机关设立的专门机构出任,其它各级目录分别由地方各级政府设立的专门机构去管理。在我国,根目录的管理工作可由国务院信息办来承担,其它各级目录分别由地方各级人民政府设立的专门机构进行管理。各政府机关须向相应的证书管理机构提交自己的公开密钥和其它代表自己法律地位的信息,证书管理机构在验证之后,向其颁发一个经过证书管理机构私有密钥签名的证书。政府出面作为证书的管理机构,其颁发的证书信用度极高。这样一来将使电子公文的发送方和接收方都相信可以互相交换证书来得到对方的公钥,自己所得到的公钥是真实的。显然,电子公文系统的安全有效运转离不开完善的政府证书管理制度的确立。

3.有效的数字签名制度。在电子公文的传送过程中可能出现下列问题:(1)假冒,第三方丙有可能假冒甲机关给乙机关发送虚假公文;(2)否认,甲机关可能否认向乙机关发送过公文;(3)伪造,乙机关工作人员可能伪造或修改从甲机关发来的消息,以对自己有利。这些问题要靠数字签名来解决。数字签名在电子公文传送中的应用过程是这样的:公文的发送方将公文文本带入到哈希函数生成一个消息摘要。消息摘要代表着文件的特征,其值将随着文件的变化而变化。也就是说,不同的公文将得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为公文附件和公文一起发送到该公文的接收方。公文的接收方首先从接收到的原始公文中计算出消息摘要,接着再用发送方的公开密钥来对公文的附加的数字签名进行解密。如果两个消息摘要相同,那幺接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始公文的鉴别和不可抵赖性。目前数字签名在电子商务中已得到了广泛的应用,日本等国政府已通过专门的立法对数字签名的法律效力予以确认。在电子公文传送中引入数字签名也是必然的选择,只是我们要从法律上确认数字签名的效力,建立相应的制度规范,努力设法从技术和制度规范入手不断提高安全系数。以数字签名只有相对的安全性来作为反对其应具有法律效力的理由是站不住脚的,因为任何所谓安全保障都是相对的,橡皮图章就经常被不法之徒伪造。

第2篇:网络等级保护条例范文

电子公文是指以电子形式表现的并通过网络传送的,用于政府机关相互之间联系事务的专用文件。电子公文的特点是基于电脑和互联网联网的特性而产生的,因为电子公文的制作、发送及接收都需要通过电脑和互联网这两种媒介来进行。首先是电脑,它的最大作用是将政府公文中所有具体的信息都进行了数字化的改变,这里所说的数字化是指电脑将输入的具体信息以“1”和“0”来进行存储和运作,这不像传统的政府公文是以具体的书面形式来表示的。其次是互联网,互联网将电脑里的数字化信息在各个政府机关之间迅速地传送。互联网本身有其特殊性,即公开性和全球性。所谓公开性是指任何人都可以自由地进出互联网,而全球性是指信息在互联网上的传递是没有边界障碍的。根据上述分析,较之传统的政府公文,电子公文有以下几个方面的特点:

(1)电子公文是一种数字化的、虚拟化的文件形式;(2)电子公文的传送是在公开环境下,通过互联网进行的;(3)电子公文的传送可以在各个地区、国家乃至全球范围内的政府之间进行;(4)电子公文的广泛应用能够极大地提高政府的办事效率。

显然,信息技术的发展给政府机构带来了一场深刻的变革。传统的公文传送方式使政府机构背负着沉重的时间负担和经济负担。传统公文在这一场变革中受到了电子公文这一新生事物的强有力的冲击。电子公文的制作、发送和接收可以突破时间和空间的限制,给人们以快速和便捷。可是电子公文毕竟是近年来才开始出现的新生事物,很多技术上的问题还有待解决。特别是,由于电子公文刚刚开始启用,有关电子公文的法律纷争还颇为鲜见。就世界范围来说,还没有专门的法律规范,也无强制性的原则可以遵循。可以说,其中还有很多值得研究的问题摆在我们的面前。

二、电子公文应用中存在的安全问题

目前,电子公文应用中出现的安全问题主要有:

1.黑客问题。黑客入侵网站的消息在近年被频频报道。以前黑客们往往挑选美国国防部和雅虎这些安全防范体系堪称一流的硬骨头啃。而随着各种应用工具的传播,黑客已经大众化了,不像过去那样非电脑高手不能成为黑客。如果安全体系不过硬的话,黑客便可以肆意截留、毁灭、修改或伪造电子公文,给政府部门带来混乱。

2.电脑病毒问题。自电脑病毒问世几十年来,各种新型病毒及其变种迅速增加,而互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径。试想一个完整的电子政府体系中某个环节受到病毒感染而又没有被及时发现,电子公文系统全面瘫痪,那将会产生怎样的后果?病毒的感染会使一些电子公文毁灭或送达延误,整个电子政府将会指挥失灵、机构运作不畅。

3.信息泄漏问题。目前,各大软件公司生成的网管软件使网络管理员拥有至高无上的权利,可以方便地对网上每个政府用户的各种使用情况进行详细的监测。此外,网络中存在不少木马程序,如果使用不慎,就会把公文中的重要信息泄漏给他人。而某些大公司生产的软件或硬件产品所带的后门程序更可以使这些公司对政府用户在网上的所作所为了如指掌。对政府而言,信息泄漏将会给其工作带来麻烦,甚至会危及到国家的政治、经济及国防利益,有关的政府工作人员会因此被追究法律责任,这是绝对不能接受的。而对这些大公司的法律管制,对于在信息产业中处于弱势地位的国家来说是根本无法解决的难题,但光靠处于优势地位的国家也是不行的,必须在国际范围内形成管制的合力。

三、电子公文安全体系法律制度建构

1.科学的密钥使用制度规范。密钥是一种信息安全技术,又称加密技术,该技术被广泛应用于电子商务和电子政务中。它包括两种技术类型,即秘密密钥加密技术和公开密钥加密技术。其中秘密密钥加密技术又称对称加密技术。倘利用此技术,电子公文的加密和解密将使用一个相同的秘密密钥,也叫会话密钥,并且其算法是公开的。接收方在得到发送的加密公文后需要用发送方秘密密钥解密公文。如果进行公文往来的两个政府能够确保秘密密钥交换阶段未曾泄漏,那幺,公文的机密性和完整性是可以保证的。这种加密算法的计算速度快,已被广泛地应用于电子商务活动过程中。公开密钥加密技术又称为非对称加密技术。这一技术需要两个密钥,即公开密钥和私有密钥。私有密钥只能由生成密钥对的一方政府掌握,而公开密钥却可以公开。用公开密钥对公文进行加密,只有用对应的私有密钥才能解密。用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。此二种技术相比,显然第二种技术的安全系数更大一些,但这种技术算法速度较慢。我们可以根据各种公文的秘密等级,采用不同的加密技术。对于一般的公文往来数量大且频繁,不宜采用非对称加密技术,还有秘密等级较低的公文亦可采用对称加密技术。而对那些重大的通知及秘密等级较高的公文则必须采用非对称加密技术。凡违反上述技术性规范的要求造成公文泄密或是公文的完整性受到损害的,需追究其法律责任。

2.完善的政府证书管理制度。公文传送过程中数据的保密性通过加密和数字签名得到了保证,但每个用户都有一个甚至两个密钥对,不同的用户之间要用公开密钥体系来传送公文,必须先知道对方的公开密钥。公文传送中有可能发生以下情况:用户从公钥簿中查到的不是对方的公钥,而是某个攻击者冒充对方的假冒公钥;或者公文互换的双方在通讯前互换公钥时,被夹在中间的第三者暗中改变。这样的加密或签名就失去了安全性。为了防范上述风险,我们可以仿效电子商务中的做法,引入数据化证书和证书管理机构,建立完善的政府证书管理制度。这里所说的证书是指一份特殊文档,它记录了各政府机关的公开密钥和相关的信息以及证书管理机构的数字签名。证书的管理机构是个深受大家信任的第三方机构。考虑到电子政务的特殊性,电子政务系统中的根目录证书管理机构最好由一国的最高政策机关设立的专门机构出任,其它各级目录分别由地方各级政府设立的专门机构去管理。在我国,根目录的管理工作可由国务院信息办来承担,其它各级目录分别由地方各级人民政府设立的专门机构进行管理。各政府机关须向相应的证书管理机构提交自己的公开密钥和其它代表自己法律地位的信息,证书管理机构在验证之后,向其颁发一个经过证书管理机构私有密钥签名的证书。政府出面作为证书的管理机构,其颁发的证书信用度极高。这样一来将使电子公文的发送方和接收方都相信可以互相交换证书来得到对方的公钥,自己所得到的公钥是真实的。显然,电子公文系统的安全有效运转离不开完善的政府证书管理制度的确立。

3.有效的数字签名制度。在电子公文的传送过程中可能出现下列问题:(1)假冒,第三方丙有可能假冒甲机关给乙机关发送虚假公文;(2)否认,甲机关可能否认向乙机关发送过公文;(3)伪造,乙机关工作人员可能伪造或修改从甲机关发来的消息,以对自己有利。这些问题要靠数字签名来解决。数字签名在电子公文传送中的应用过程是这样的:公文的发送方将公文文本带入到哈希函数生成一个消息摘要。消息摘要代表着文件的特征,其值将随着文件的变化而变化。也就是说,不同的公文将得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为公文附件和公文一起发送到该公文的接收方。公文的接收方首先从接收到的原始公文中计算出消息摘要,接着再用发送方的公开密钥来对公文的附加的数字签名进行解密。如果两个消息摘要相同,那幺接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始公文的鉴别和不可抵赖性。目前数字签名在电子商务中已得到了广泛的应用,日本等国政府已通过专门的立法对数字签名的法律效力予以确认。在电子公文传送中引入数字签名也是必然的选择,只是我们要从法律上确认数字签名的效力,建立相应的制度规范,努力设法从技术和制度规范入手不断提高安全系数。以数字签名只有相对的安全性来作为反对其应具有法律效力的理由是站不住脚的,因为任何所谓安全保障都是相对的,橡皮图章就经常被不法之徒伪造。

第3篇:网络等级保护条例范文

关键词:策略 系统工程 动态

中图分类号:TP301 文献标识码:A 文章编号:1672-3791(2012)08(c)-0012-01

信息技术、通信技术、计算机技术对各个行业的影响越来越大,已成为国家和社会发展的重要战略资源。各个行业实现网络的互动互连、信息的共享已经成为必然趋势,中国的军工研究单位也不例外。3G/4G高速数据手机通信也已经渗透到每个人的工作、生活之中,如何在现有形式下保护开放网络环境下军工研究单位的军事秘密信息已经成为当前的重要任务。解决办法之一是建立独立的军队内部网,在物理上隔开与外界的互连,这样将直接影响到军工研究单位与非军工研究单位的协同工作,对中国武器装备科研发展带来不利的影响。最好的解决方法是按照军事级别的要求提高军工研究单位的网络安全,不仅能使用互联网、通信网络的优势,同时也能保护军事秘密。

1 网络安全体系

网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨行为的攻击。要提高网络安全性,任何单位都需要一个完整的网络安全体系结构,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素造成的安全脆弱性和潜在威胁。要从网络安全体系的各个层面来分析网络安全的实现,研究网络安全模型,来对网络安全体系进行研究与部署。一般的网络系统都要涉及到网络设施、网络操作系统和网络应用程序,仅仅从这三个方面实施网络不能完全保证网络的整体安全。因为在网络中信息是核心,如何保证数据的安全性以及使用这些信息的用户、实体和进程的安全性也是必须考虑,只有从这五个层次综合考虑,才能总整体上做到安全的防护。

网络安全体系的五层之间是相互依赖的,呈现了整体性,相互协作以立体化作业来提高整个系统的安全性。网络安全威胁按照攻击者的主动性可以分为主动威胁和被动威胁,在合适的网络安全模型的支持下,网络系统可以采用对应的主动防御技术和被动防御技术来提高网络系统的安全性。现在的网络主动防御技术和被动防御技术有很多,把最好的、最贵的防御产品部署到军工单位的网络中是不能提供足够的安全,应该按照网络安全策略指导网络安全技术来保护好网络安全,对网络安全整体体系进行保护,才能即保护了数据,同时也充分利用了网络的便利性和快捷性。

2 网络安全策略

网络安全策略(Security Policy)是指在一个特定的网络环境里,为保证提供一定级别的安全保护所必须遵守的一系列条例、规则。进行数据访问时,网络安全策略规定在安全范围内什么是允许的,什么是不允许的。网络安全策略通常不作具体规定,它仅仅提出什么是最重要的,而不确切地说明如何达到所希望的安全性。网络安全策略建立起安全技术规范的最高一级。安全策略具备普遍的指导意义,它针对网络系统安全所面临的各种网络威胁进行安全风险分析,提出控制策略,建立安全模型和安全等级,对网络安全系统进行评估并为网络系统的配置管理和应用提供基本的框架。有了网络安全策略系统才可能保证整体网络系统能够正常有序地运行,也才可能更安全合理地提供网络服务,有了网络安全策略才可能更加高效迅速地解决网络安全问题,使网络威胁造成的损失降为最小。

制订军工单位的安全策略必须以《保密法》、《中华人民共和国保守国家秘密法》、《中国人民保密条例》、《中华人民共和国计算机信息、系统安全保护条例》为根本依据,才能制订科学的、完善的网络安全策略。安全策略是规章制度,是网络安全的高级指导,需要考虑军工企业的各个方面,不仅仅是网络安全的技术,还必须包括各个级别的员工的安全教育、安全操作、危机意识的培养。比如现在手机终端功能越来越强大,很多人都喜欢手机终端的通信,这样就为军工单位的网络打开一个缺口,黑客软件可以控制手机摄像头的打开和摄像操作,在军工单位内使用智能手机就有可能泄露军事秘密。所以军工单位的安全必须采用系统工程的方法进行,作为一个复杂的系统来考虑,这样才能制定一个科学的安全策略。军工单位的网络安全策略制定是属于社会领域的研究,可以采用软系统方法论,采用一个系统方法,以国家法律和法规为基础,在军工单位的各个层面的人员进行讨论和辩论,使大家从各个层面考虑网络安全问题,是问题得到充分的认识和问题解决的考虑,使制定的安全策略得到全面的考虑,同样对军工单位的人员的一个安全教育。

安全策略出自对军工单位的要求、网络设备环境、军事机构规则、国家军事秘密法律约束等方面研究,在网络安全专家的协助下制定详细的规范,但仅仅使提供安全服务的一套准则,具体的实现需要各种网络安全防御技术提供的安全服务和安全机制来保障。军工单位的网络安全策略是一个动态策略,它是要在安全策略的执行过程中,实时进行监测,实时对各个层面的人员进行安全教育,对于出现的问题及时对安全策略进行修订和补充。

3 结语

各个国家的军工单位都是重点保护的对象,因为它拥有军事秘密信息,也是各种敌对势力、竞争对象、商业间谍进行网络攻击的目标,提高网络安全是军工单位网络边界的第一道防线,网络安全策略就是指导各种网络安全防御技术保障整个网络体系的安全。不要认为网络全策略仅仅是一个规则和制度,仅仅采购高级网络技术就可以了,军工单位的网络必须在网络安全策略的宏观指导下才能综合各种网络安全产品构建一个动态的安全网络,它是各个部分工作的规范,包括人员。网络安全策略是一个军工单位的核心,只有充分认识网络安全策略的动态发展过程,才能使军工单位充分使用网络的优点,也能保护好单位内部秘密。

参考文献

[1] 尹开贤.军工单位信息系统的安全保密形势与对策[C].第十一届“保密通信与信息安全现状研讨会”,2009(8):186-187.

第4篇:网络等级保护条例范文

第一条为了规范信息化管理,加快信息化建设,促进经济发展和社会进步,根据有关法律和行政法规,结合本市实际情况,制定本条例。

第二条本市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动,适用本条例。

第三条本市信息化发展遵循统筹规划、资源共享、务求实效、保障安全的原则。

第四条市和区、县人民政府应当将信息化发展工作纳入国民经济和社会发展规划,健全信息化工作领导协调机制,统筹协调解决本行政区域内信息化发展工作中的重要问题,加大信息化发展的经费投入。

乡镇人民政府和街道办事处应当推进本辖区内的信息化发展工作。

第五条市和区、县信息化主管部门负责本行政区域内信息化发展的统一规划、组织协调和监督管理工作。

发展改革、财政、科技、通信管理、质量技术监督、工商、公安、保密等行政管理部门按照职责分工负责信息化发展的相关工作。

第六条市信息化主管部门会同有关部门依照国家信息化发展规划和本市国民经济和社会发展规划,组织编制本市信息化发展规划,报市人民政府批准后公布实施。

区、县信息化主管部门会同有关部门依据本市信息化发展规划,结合本区、县实际情况组织编制本行政区域的信息化发展规划,经市信息化主管部门审核后,报同级人民政府批准后公布实施。

本市国家机关编制的本部门和本行业、本系统的信息化发展规划,应当符合本市信息化发展规划。

第七条市质量技术监督行政主管部门应当会同信息化主管部门及其他有关部门,根据信息化发展趋势和要求以及职责权限,制定并及时完善有关信息化标准。

单位和个人从事信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障等活动应当执行国家和本市有关信息化标准。

市和区、县质量技术监督、信息化及其他有关部门对有关信息化标准的执行情况进行监督。

第八条市和区、县人民政府应当制定优惠政策和措施推动现代信息技术创新,并通过政府采购、宣传教育、培训考核等活动促进具有自主知识产权的信息技术应用。

市和区、县人民政府应当对在信息化工作中作出突出贡献的单位和个人给予表彰。

第九条本市鼓励信息化人才的培养和引进,加强市民的信息化知识和技能普及,提高信息技术应用能力。

本市建立并完善基础课程体系,在中小学校普及信息技术教育。

广播、电视、报刊、网站等应当开展信息化宣传、教育和科普活动。

第二章信息化工程建设

第十条信息化工程建设需要进行招标投标的,应当依法进行,并按照国家和本市有关规定实施监理;政府投资的信息化工程建设,应当符合政府采购等有关法律、法规的规定。

第十一条从事信息化工程建设的单位依照国家有关规定需要经过资质认证的,应当依法取得资质认证。未经资质认证的单位,不得承揽或者以其他单位名义承揽相应领域内的信息化工程;已经资质认证的单位,不得超越本单位资质等级承揽信息化工程。

第十二条本市政府投资建设的信息化工程年度计划,由市和区、县信息化主管部门会同同级发展改革、财政等相关部门制定并监督落实。

第十三条使用政府投资新建信息化工程的,建设单位在报发展改革部门或者其他有关部门立项审批前,应当通过同级信息化主管部门的审查;使用政府投资对信息化工程进行改建、扩建、运行维护的,建设单位在报财政部门审批经费前,应当通过同级信息化主管部门的审查。

信息化主管部门对报审的信息化工程的需求效益、规划布局、技术标准、网络与信息安全、信息资源共享以及其他相关内容组织审查并出具审查意见。

信息化主管部门、发展改革部门、财政部门及其他有关部门对于不符合信息化发展规划和本条所规定审查要求的信息化工程,不予审查和审批通过。

信息化主管部门应当会同有关部门采取措施,积极推进已建信息化工程的整合工作。

第十四条建设单位应当组织进行信息化工程竣工验收。未经验收或者验收不合格的信息化工程,不得投入使用。

建设单位对使用政府投资的信息化工程进行竣工验收时,应当邀请信息化及其他有关主管部门参加。

第十五条本市实行信息化工程质量保修制度。承揽信息化工程的单位应当对信息化工程承担保修责任。

使用政府投资的信息化工程的保修期,自工程竣工验收合格之日起不得少于两年。

第十六条信息化工程建设和运行维护过程中,建设单位应当建立规范的管理制度,做好信息内容更新,加强信息资源管理、知识产权保护和信息安全保障工作。

本市信息化工程建设中应当使用合法授权的软件,鼓励使用国产信息技术和产品。

第三章信息资源开发利用

第十七条本市加强对政务信息资源采集工作的管理。

本市国家机关应当依法采集政务信息,加强对政务信息的管理,定期进行信息更新,保证政务信息的真实准确,并采取安全措施防止政务信息丢失、泄露或者被滥用。

市信息化主管部门组织建立政务信息资源目录,规范市和区、县两级行政机关采集政务信息的活动,避免重复采集政务信息资源目录内的信息。

第十八条本市统一建设人口、法人、自然资源和地理空间、宏观经济等基础数据库。基础数据库的建设和使用按照国家和本市有关规定执行。

本市各级国家机关应当充分利用基础数据库建设本行业、本部门的业务数据库;除涉及国家秘密或者法律、法规另有规定外,基础数据库的建设单位应当为本市国家机关提供信息共享服务。

第十九条本市各级国家机关和法律、法规授权的具有管理公共事务职能的组织应当建立健全政务信息公开工作制度,依法编制并公布本单位的政务信息公开指南和政务信息公开目录,按照国家和本市的规定通过公报、网站、新闻会以及报刊、广播、电视等便于公众知晓的方式公开政务信息。

本市各级国家机关和法律、法规授权的具有管理公共事务职能的组织应当依法建立政务信息公开的申请受理和处理机制,为市民提供信息公开服务。

第二十条本市教育、医疗卫生、供水、供气、供热、公共交通、环保等公共企事业单位,应当将服务承诺、收费标准、办事过程等信息通过网站及其他方式及时向社会公开,并逐步采用信息化手段开展业务办理工作。

市有关行业主管部门应当对公共企事业单位的信息公开和服务情况进行指导和监督。

第二十一条市和区、县人民政府统一建设政务信息共享交换平台,为各国家机关共享交换政务信息提供服务。

国家机关可以使用政务信息资源目录中的其他国家机关的政务信息。政务信息需求单位应当就需要共享的信息内容、范围、用途和方式与提供单位主动协商。协商未达成一致的,政务信息需求单位应当将有关情况报请同级信息化主管部门协调解决。

第二十二条市和区、县人民政府应当引导和规范对政务信息资源的增值开发利用,鼓励单位和个人进行信息资源公益性开发利用。

第二十三条信用服务中介机构开展征信活动时,应当遵循独立、客观、公正的原则,保守商业秘密,尊重个人隐私,维护被征信企业及个人的合法权益和社会公共利益。

信用服务中介机构对采集的信息应当在信息提供者许可的范围内使用。

鼓励在政府采购、市场监管、信贷、商务等活动中使用信用服务中介机构提供的信用产品。

第四章信息技术推广应用

第二十四条市和区、县人民政府应当采取措施推动企业和个人利用信息网络从事商务活动,引导社会逐步建立、完善信用体系和网上支付、物流配送系统,鼓励电子商务服务提供商的发展。

市人民政府有关部门应当制定以中小企业为主的企业信息化发展指南,建设面向中小企业的公共信息服务平台。

第二十五条本市统筹城乡信息化发展,加大公共财政投入,支持农村信息基础设施和农村综合信息平台建设和运行维护,推进农村现代远程教育;鼓励通过信息化手段为农民提供生产、生活实用信息服务,开发、利用涉农信息资源,开展面向农民的信息化知识和技能培训。

电信、广播、电视等公共服务单位应当采取措施加强农村信息网络服务。

第二十六条在本市从事互联网信息服务活动的,应当按照国家规定办理相应许可或者履行备案手续。

利用互联网从事经营活动的单位和个人应当依法取得营业执照,并在网站主页面上公开经营主体信息、已取得相应许可或者备案的证明、服务规则和服务流程等相应信息。

第二十七条电子商务服务提供商应当对利用其网站从事经营活动的经营主体的身份信息、合法经营凭证和反映交易信用状况的材料进行核查,并对相关信息做好数据备份,便于当事人和有关部门查询、核对。

电子商务服务提供商应当建立投诉受理机制,对利用其网站从事的经营活动进行监督,配合政府有关部门的管理活动,但不得妨碍相关经营主体开展正常交易活动。

第二十八条本市各级国家机关应当定期组织本单位工作人员学习电子政务相关知识,开展电子政务技能培训。

第二十九条本市建设统一的电子政务网络,促进相关业务应用系统的互连互通。

本市各级国家机关的业务应用系统,凡不宜通过互联网实现的,必须依托全市统一的电子政务网络;需要接入全市统一的电子政务网络的,应当符合有关规范,并经市或者区、县信息化主管部门审查同意。

各级国家机关不得新建专用网络,已经建成的专用网络应当按照规划和标准逐步调整,接入电子政务网络。

第三十条本市国家机关的网站应当按照规定与本市政务门户网站建立链接,统一网站风格、标识和建设运行维护技术标准。

本市国家机关在互联网上注册域名的,应当遵守国家和本市的相关规定,并经过市信息化主管部门的审核。

第三十一条市和区、县信息化主管部门组织开展信息化成果展示和交流,对先进的信息技术、产品进行示范推广。

第五章信息安全保障

第三十二条本市对网络与信息系统按照国家和本市有关规定实行安全等级保护制度。

网络与信息系统的建设单位和运行维护单位应当按照国家信息安全等级保护管理规范和技术标准确定本单位网络与信息系统的安全保护等级,并按照国家和本市有关规定进行备案、审批。

第三十三条信息系统的建设单位和运行维护单位应当根据确定的安全保护等级,按照国家信息安全等级保护管理规范和技术标准,保证相应投入,同步开展信息系统安全建设或者改建工作;建设完成后,建设单位和运行单位应当按照国家有关规定开展安全等级技术测评工作,并根据结果采取措施保障网络与信息系统的安全。

第三十四条本市网络与信息系统的建设单位和运行维护单位应当加强安全管理,并制定网络与信息系统安全事件应急预案,定期进行演练。

发生网络与信息系统安全事故后,相关单位应当迅速采取措施降低损害程度,防止事故扩大,保存相关记录,并按照规定及时向同级信息化主管部门报告。

市和区、县人民政府有关部门应当组织制定相关行业的网络与信息系统安全事件应急预案,组织、协调有关单位做好应急预案的落实工作。

第三十五条本市组建公共服务网络与信息系统信息安全应急救援服务体系,建立信息安全情况通报和协调机制,为发生公共服务信息安全事件的单位提供救援服务,为全市应急指挥体系提供网络与信息系统安全保障。

第三十六条任何单位和个人不得利用网络与信息系统从事危害国家安全,扰乱公共秩序,损害公民、法人和其他组织的合法权益,危害网络和信息系统安全以及散布、传播违法信息等活动。

第三十七条涉及国家秘密的信息化工程的管理,按照国家保密有关规定执行。

第六章监督管理

第三十八条市和区、县信息化主管部门对信息化发展规划和政府投资建设信息化工程年度计划的落实情况进行监督检查,并组织开展对国家机关的电子政务绩效考核工作。

第三十九条市和区、县发展改革、财政、审计、信息化等部门对使用政府投资的信息化工程的资金使用情况和工程运行维护情况进行监督检查;统计、监察、信息化及政府信息公开主管部门对有关国家机关政务信息采集、公开、共享和信息服务工作进行监督检查。

第四十条本市各级国家机关应当加强对本单位政务信息采集、管理、公开、共享等工作的内部管理,并明确主管负责人和内部机构,负责本单位电子政务的规划、协调和管理工作,建立对本单位工作人员信息化知识、技能的定期考核制度。

第四十一条市和区、县人民政府的相关行业主管部门应当组织对本行业公共企事业单位的信息化服务水平进行检查和评估,并将有关情况向社会公布。

第四十二条市和区、县人民政府有关部门根据职责分工,做好信息化相关领域的监督检查工作,并将相关信息向同级信息化主管部门通报。

企业、事业单位和个人的违法行为可以依法纳入相关信用信息系统。

第七章法律责任

第四十三条违反本条例第十一条规定,未经资质认证的单位承揽、以其他单位名义承揽相应领域的信息化工程,或者已经资质认证的单位超越本单位资质等级承揽信息化工程的;由市或者区、县信息化主管部门给予警告,责令限期改正;情节严重的,处以1万元以上10万元以下罚款。

第四十四条违反本条例第三十四条规定,未按要求制定网络与信息系统安全事件应急预案,或者对网络与信息系统安全事故情况隐瞒不报、谎报或者拖延不报的,由市或者区、县信息化主管部门责令限期改正,并可处3万元以下罚款。

第四十五条违反本条例规定,有下列行为之一的,由有关部门依照《中华人民共和国政府信息公开条例》、《中华人民共和国计算机信息系统安全保护条例》等有关规定责令改正,给予警告或者责令停机整顿,并对直接负责的主管人员和其他直接责任人员依法处理:

(一)违反第十九条规定,未按照国家和本市的规定公开政务信息的;

(二)违反第三十二条规定,网络与信息系统的建设单位和运行维护单位未依法进行安全保护等级备案、审批的;

(三)违反第三十三条规定,未进行网络与信息系统安全建设或者改建工作,或者未进行网络与信息系统安全等级技术测评的。

第四十六条违反本条例规定,有下列行为之一的,市或者区、县信息化主管部门可以对责任单位给予通报批评;造成重大损失的,依照有关法律、法规予以处理:

(一)违反第十七条规定,没有正当理由,重复采集政务信息资源目录内信息的;

(二)违反第二十九条第二款规定,未经审查同意擅自接入电子政务网络的。

第四十七条对于信息化发展过程中有危害国家安全,扰乱公共秩序,损害公民、法人和其他组织的合法权益,危害网络与信息系统安全以及散布、传播违法信息等活动的,由国家安全、公安、保密、工商以及其他部门依法处理;构成犯罪的,依法追究刑事责任。

第四十八条市和区、县信息化主管部门以及其他有关部门的工作人员在信息化工作中、、的,由有关部门依法给予行政处分;构成犯罪的,依法追究刑事责任。

第5篇:网络等级保护条例范文

【关键词】通信网络;因素;技术;建设;措施

1.通信网络安全的内涵

通信网络安全是指信息安全和控制安全。其中国际标准化组织把信息安全定义为信息完整性、可用性、保密性和可靠性。而控制安全是指身份认证、不可否认性、授权和访问控制。通信网络的特点是具有开放性、交互性和分散性,能够为用户提供资源共享、开放、灵活和方便快速的信息传递、交流的方式。

2.通信网络安全的现状

2.1通信网络发展现状

中国互联网络信息中心(CNNIC)的《第27次中国互联网络发展状况统计报告》数据显示,截至2010年12月底,我国网民规模达到4.57亿,较2009年底增加7330万人。我国手机网民规模达3.03亿,而网络购物用户年增长48.6%。Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示,互联网遭受病毒攻击中“浏览器配置被修改”占20.9%。“数据受损或丢失”18%,“系统使用受限”16.1%,“密码被盗”13.1%。通过以上数据显示,可以看出我国的通信网络在飞速发展,而通信网络安全问题日益加剧,通信网络安全建设仍是亟待解决的重点问题。

2.2造成通信网络安全问题的因素

第一,计算机病毒。计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有复制性、破坏性和传染性。

第二,黑客攻击。中国互联网络信息中心和国家互联网应急中心的调查报告数据显示,仅在2009年我国就有52%的网民曾遭遇过网络安全事件,而网民处理安全事件所支付的相关费用就达153亿元人民币。网络攻击事件给用户带来了严重的经济损失,其中包括网络游戏、即时通信等账号被盗造成的虚拟财产损失,网银密码、账号被盗造成的财产损失等。产生网络安全事件的主因是黑客恶意攻击。通信网络是基于TCP/IP协议,而TCP/IP协议在设计初期是出于信息资源共享的目的,没有进行安全防护的方面的考虑,因此导致了通信网络自身存在安全隐患,也给黑客提供了可乘之机。

第三,通信网络基础建设存在薄弱环节。例如通信网络相关的软硬件设施存在安全隐患。通信网络运营商为了管理方便,会在一些软硬件系统中留下远程终端的登录控制通道,还有一些通信软件程序在投入市场使用中,缺少安全等级鉴别和防护程序,因此形成了通信网络漏洞,容易被不法分子利用而发起入侵网络系统的攻击,使通信信息遭到窃取、篡改、泄露。另外通讯信息传输信道也存在安全隐患,例如许多通信运营商采取的是普通通信线路,没有安置电磁屏蔽,容易被不法分子利用特殊装置对信息进行窃取。

第四,人为因素造成的通信网络安全问题。通信网络的安全高效运行需要高素质、高专业技术水平的人员,而目前的网络管理人员的安全观念和技术水平还有待提升。

3.解决措施

随着我国通信网络功能的不断完善,在人们日常生活、生产和社会经济发展中起到了越来越重要的作用。因此,通信网络安全建设需要采用有效的措施,消除通信网络的安全隐患,加强对非法入侵的监测、防伪、审查、追踪,保障通信网络信息传递的安全性、可靠性、及时性和完整性,加强和完善通信线路的建立、信息传输全过程的安全防护措施。

3.1完善通信网络基础设施建设

通信网络的物理安全是通信网络安全的基础,通信网络基础设施安全主要包括:保护计算机系统(各种网络服务器)、网络设备和通信链路免受自然灾害、人为破坏和物理手段的攻击,加强对系统帐户的管理、用户的分级管理、用户权限的控制,以及系统关键部位的电磁保护防止电磁泄漏,同时要制定通信网络安全管理制度,避免计算机控制室出现偷窃、破坏活动。

3.2完善通信网络安全的法制体系建设

鉴于通信网络存在安全事件造成巨大经济财产损失,需要制定通信网络安全的法律、法规,这也是打击网络犯罪的重要手段。我国在2009年3月实行了《信息安全条例(部内审议稿)》与《电信设施保护条例(草稿)》,明确了网络与信息系统安全、网络信息服务安全、信息技术产品和服务等内容,而且规范了保障电信设施建设与规划、处理公用设施之间的相邻关系、电信设施保护区的划定、电信设施损坏赔偿制度等方面的内容。进一步完善了通信网络安全的法制体系,也为通信网络安全运行提供了法律依据。

3.3运用网络安全技术,保障通信网络安全

3.3.1保障通信网络安全的技术手段

针对通信网络安全问题,采取的技术手段主要包括以下几种。“身份鉴别”、“网络授权”、“数据保护”、“收发确认”、“保证数据的完整性”、“业务流分析保护”。其中“身份鉴别”是基于身份认证技术,通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。这几种安全防范措施,是系统开始运行到数据传输,以及通讯业务完成全过程的安全防护,能够有效的保障数据传输的安全性、机密性、完整性。

3.3.2保障通信网络安全的技术类型

建构防御系统还需要利用防火墙技术、入侵检测技术、漏洞扫描技术等。

(1)防火墙技术

防火墙技术是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,能够最大限度的阻止网络中的黑客入侵。

(2)入侵检测技术

入侵检测技术是对防火墙技术的补充。防火墙技术虽然能够保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善。依据入侵检测技术而应用的IDS即入侵检测系统,积极主动地对内部攻击、外部攻击和误操作的提供实时保护,IDS能够在网络系统受到危害之前,拦截和响应入侵,提高了信息安全性,同时也能够主动保护网络系统免于计算机病毒、木马以及黑客的攻击。

(3)漏洞扫描技术

由于通信系统自身存在漏洞,需要采用漏洞扫描技术来优化系统设置,针对不同系统软件存在的安全漏洞下载安装补丁程序,能够及时升级网络系统和修改软件设计缺陷,以此提高通信网络系统可靠性、安全性,保障通信网络系统的运行。

4.总结

随着通信网络在全球范围内的飞速发展,人类生活、工作的全部领域都与通信网络息息相关,通信网络提供高效、方便、强大服务功能的同时,其产生通信网络安全问题也给社会经济发展带来了一定的负面影响。因此国家与相关部门要完善法律体系,依据安全技术手段,提高安全防范意识,全方位的增强网络数据的安全、信息的安全、网络系统的安全,促进通信网络的发展。

【参考文献】

第6篇:网络等级保护条例范文

信息安全作为国家安全的重要组成部分,是一项关系全局的战略任务,具有极端的重要性、紧迫性、长期性和复杂性。可以说,目前我国信息安全产业是通过等级保护、可信计算和产业化发展相互结合,实现网络虚拟世界秩序的安全和可信。

产业化成为重点

中国的信息安全产业仅有二十多年历史,快速发展也只是近十年的事,尚存诸多不足。在互联网应用与普及方面,我国已经进入了世界大国的行列,因此我国的信息安全问题与国际上的问题基本一样。

中国工程院院士方滨兴认为,我国在网络安全方面的解决策略是政府重在行动,企业重在引导,公众重在宣传。就是说,凡是政府信息系统,必须接受信息系统安全等级保护条例的约束,以行政的手段来强化信息系统的安全。凡是企业的系统,通过对信息安全产品的市场准入制度,以保证企业所采用的信息安全防护手段符合国家的引导思路。公众方面则通过对网络安全方面的广泛宣传,让公众对网络安全具有正确的认识,从而提高相应的防范能力。

据悉,教育部、公安部、工业和信息化部、国家标准化管理委员会等单位已经将“为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化”作为2009年信息安全重点工作。其中涉及到四个方面:

1.重点支持基于国产可信计算芯片的安全应用产品,以及基于自主密码技术的高性能集成应用产品的产业化。

2.重点支持移动存储介质保密管理、恶意代码防治、电子文档安全管理、网络数字版权保护、电子数据取证、安全保密检查等产品,移动终端、桌面终端安全防护等计算机安全保护产品,以及面向无线网络的安全管理与安全应用产品的产业化。

3.重点支持安全操作系统、安全数据库、安全中间件、安全服务器、安全接入设备、安全存储、容灾备份软件、安全办公软件等产品的产业化。

4.重点支持高性能专用安全芯片和专用安全设备,以及适用于新一代网络环境的具有高性能、多安全功能的软硬件集成化产品的产业化。

技术成果的产业化过程应当是一个市场化、社会化的过程。将核心技术产品产业化地发展,推动产业结构升级,是提升核心技术发展的破局之举。

可信计算成为标尺

虽然我国的信息化技术同国际先进技术相比,存在一定的差距。但是,中国和国际上其他组织几乎是同步在进行可信计算平台的研究和部署工作。其中,部署可信计算体系中,密码技术是最重要的核心技术。

绝对的信息安全是不存在的,但信息安全却存在着一种终极的理想状态,那就是:进不去、看不见、拿不走和赖不掉。总结起来,这12字方针的目标就是可信计算。

中国可信计算工作组组长、中科院软件所副总工程师冯登国介绍,可信计算的基础是在每个终端平台上植入一个信任根,让PC从BIOS到操作系统内核层,再到应用层,均构建信任关系,由此建立一个能在网络上广泛传递的信任链。这样,人们将梦想进入一个计算免疫的时代――终端被攻击时可以实现自我保护、自我管理和自我恢复。

可以说,可信计算根就像是一把丈量计算机可信度的标尺。它会在启动之初对计算机系统上所有的运行软件进行可信性(完整性)分析,由此判定它们是否被非授权篡改。若判定不可信则阻止该软件运行,并自动恢复其合法的版本。所以,计算机一旦嵌入了该技术,即可在启动操作系统时发现内核已改,并根据用户需求进行阻止和恢复。

中国可信计算工作组发言人刘晓宇说,随着《可信计算密码支撑平台功能与接口规范》等一系列国家政策的出台与推动,以可信密码模块为TCM核心的PC、笔记本电脑、服务器、加密机等系列产品和解决方案,将逐步被我国政府/军队、制造、金融、企业/科研、公共机构、航天等行业在IT领域广泛采用。

刘晓宇说,我国自主研发的可信技术从芯片到PC硬件到系统/应用软件以及CA认证,早已形成了一条初具规模的完整产业链。

冯登国表示:“2009年将是中国可信计算蓬勃发展的一年,为打造更为强大的可信计算体系,中国可信计算工作组将优化和完善TCM硬件平台,还将致力于打通产、学、研之间的一切壁垒,促进业内同行实质性的合作交流。”

等级保护推力强劲

信息安全等级保护,是这几年听到最多的词之一。从1994年国务院147号令至今,已经过去了15年。这些年间我国在信息安全领域已经制定了数十个国家标准和行业标准,初步形成了信息安全等级保护标准体系。

方滨兴说,目前,政府在信息系统等级保护方面加大了推进力度,已经完成了等级保护的定级工作,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术。等级保护的大力推动,一方面在国际上展示了我国政府对信息安全和网络安全的管理决心;另一方面,等级管理制度的建立,突破了我国惯性思维的管理理念。

随着工业和信息化部的成立,公安部与工业和信息化部在信息系统等级保护管理方面出现了职能交叉,因此,等级保护工作的进一步开展将取决于两个部委的有效协调和合作。

2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购开始,2008年被普遍视为等级保护采购元年;更有业内人士说,2009年等级保护的好戏才真正上演。

“当前的信息与网络安全研究,处在忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系,并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”

“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。

第7篇:网络等级保护条例范文

【 关键词 】 等级保护;烟草企业;信息安全体系

1 等级保护思想

等级保护思想自20世纪80年代在美国产生以来,对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台,被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确规定计算机信息系统实行安全等级保护。至此,等级保护思想开始在我国逐渐盛行。

我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导,分阶段实施建设、管理和监督,以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级,通过分级分类,以相应的技术和管理为支撑,实现不同等级的信息安全防护。

2 烟草行业引入等级保护思想的意义

烟草行业高度重视等级保护工作,实施信息安全等级保护,能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。

2.1 开展安全等级结构化安全设计

安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。

2.2 注重全生命周期安全管理

等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。

3 等级保护在烟草行业的实施路径

信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作,其实施路径主要有几条。

3.1 信息系统安全定级

主要包括信息系统识别、信息系统划分、安全等级确定。其中,原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定,合理定级。

3.2 等级保护安全测评

在等级保护环境下对信息系统重要资产进行风险评估,通过等保测评,发现与等级保护技术、管理要求的不符合项。

3.3 制订等级保护实施方案

依据安全建设总体方案、等级保护不符合项,全面梳理存在问题,分类形成各层级问题清单;并合理评估安全建设整改的难易度,全面有效制订等级保护方案,明确安全整改目标。

3.4 开展安全整改与评估

根据等级保护实施方案开展建设,具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。

4 基于等级保护的烟草企业信息安全体系建设

根据等级保护工作的实施路径分析得出,等级保护与信息安全体系存在许多共性,有较好的融合度。因此,探索基于等级保护的行业信息安全体系具有深刻意义。

信息安全体系的核心是策略,由管理、技术、运维三部分组成。在等级保护思想的融合下,信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想,烟草行业信息安全体系概述有几点。

4.1 分级保护

烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。

4.2 分类设计

信息安全体系分类设计,主要涉及不同类型、不同区域、不同边界三方面的结构化设计。

4.2.1 类型设计

根据安全等级保护要求以及安全体系特点,分为技术、管理和运维三大类型,并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。

(1)技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理,其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现;而不同的策略同样也要根据两大层面按需设计。

(2)管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成,岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。

(3)运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标,诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。

4.2.2 区域设计

区域设计主要指安全域。安全域从不同角度可以进行划分,主要分为横向划分和纵向划分,横向划分按照业务分类将系统划分为各个不同的安全域,如硬件系统部分、软件系统部分等;纵向在各业务系统安全域内部,综合考虑其所处位置或连接以及面临威胁,将它们划分为计算域、用户域和网络域。

烟草行业根据体系建设需要,将采用多种安全域划分方法相结合的方式进行区域划分。

(1)以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施,防止重要信息系统数据被其它业务系统频繁访问。

(2)以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区,DMZ区的安全级别要低于其它所有安全域。

4.2.3 边界设计

要清晰系统、网络、应用等边界,通过区域之间划分,明晰边界安全防护措施。边界设计的理念基于区域设计,在区域划分成不同单元的基础上,实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。

4.3 分阶段实施

烟草信息安全体系建设要充分体现全生命周期管理思想,从应用系统需求开始,分阶段推进体系建设。

4.3.1 明确安全需求

为保证信息安全体系建设能顺利开展,行业新建系统必须在规划和设计阶段,确定系统安全等级,明确安全需求,并将应用系统的安全需求纳入到项目规划、设计、实施和验证,以避免信息系统后期反复的整改。

4.3.2 加强安全建设

要在系统建设过程中,根据安全等级保护要求,以类型、区域和边界的设计为着力点,全面加强安全环节的监督,及时跟踪安全功能的“盲点”,使在系统建设中充分体现安全总体设计的要求,稳步推进安全体系稳步开展。

4.3.3 健全安全运维机制

自系统进入运维期后,要建立健全安全运维机制。梳理运维工作事项,理顺运维业务流程,并通过制订运维规范、运维质量评价标准、运维考核标准等,规范安全运维管理,提高安全运维执行力,以确保系统符合安全等级要求。

4.3.4 开展全面安全测评

在安全建设阶段,对行业现状要全面诊断评估,尤其是对已定级的信息系统,加强安全测评,形成安全整改方案,并结合安全体系设计框架,按阶段、分步骤落实,注重整改质量与效率,降低安全风险。

4.3.5 落实检查与评估

检查评估必须以安全等保要求为检查内容,充分借助第三方力量,准确评估行业安全管理水平,并及时调整安全保护等级,不断促进行业信息安全工作上台阶。

5 结束语

信息安全体系建设作为一项长期的系统工程,等级保护思想的引入,以其保护理念的先进性和实施路径的可行性,为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全,保障行业系统的安全、稳定、优质运行,更好地服务国家和社会。

参考文献

[1] 公安部等.信息安全等级保护管理办法[Z]. 2007-06-22.

[2] 国家烟草专卖局.烟草行业信息安全保障体系建设指南[Z].2008-04-25.

第8篇:网络等级保护条例范文

关键词:计算机 网络安全技术 管理

中图分类号:TP393.08-4 文献标识码:A 文章编号:1007-9416(2012)07-0169-01

随着计算机技术和通信技术的快速发展,计算机网络也获得了很大的发展,其已经成为目前重要的研究课题。人们不需要外出就可以浏览到各种各样的信息,进行各种业务的办理,缴纳各种费用以及购买所需要的商品,同时企业对网络技术和信息化建设的依赖性不断加强。然而随之而来的是计算机网络安全问题十分严重,黑客攻击、钓鱼网站、僵尸网络、蠕虫病毒等,怎样才能更好、更有效地对重要信息数据加以保护,确保计算机网络安全性得到切实提高,这已是当前计算机网络所需要解决的重要问题。

1、计算机网络安全的基本定义

计算机的网络安全定义会伴随着“角度”的不同而出现不同。对于用户来说,他们希望涉及到其商业利益 个人隐私的信息在网路存储传输过程中受到完整性、机密性、真实性的保护。从管理者和网络运行方面来说,他们希望控制和保护本地网络信息的读写以及访问等操作,以防止出现非法存取、病毒、非法控制和占用网络资源、拒绝服务等威胁,以防御和制止网络黑客的进攻。从广义上来说,只要是涉及到网络上信息的完整性、保密性、真实性、可用性、可控性等相关理论和技术都应为网络安全的主要研究领域。

2、计算机网络安全主要技术

2.1 加密网络的技术

对网络信息进行加密的主要目的是对网内的文件、数据、控制信息、口令等予以保护,维护网络上进行传输的数据。加密网络的常用方法为端点加密、链路加密、节点加密。其中维护网络安全最有效的方式就是网络加密技术。加密的网络,不仅能够避免非授权用户进行入网和搭线窃听,而且也能有效的对付恶意软件以及病毒。

2.2 防火墙的技术

防火墙主要是用来对外部火情进行阻挡,防止其影响到内部网络。其主要目的就是有效防止外部网络在未经授权的情况进行访问。如果某个网络决定进行防火墙的设置,那么应由网络专家和网络决策人员来对本网络的安全策略进行共同决定,也就是明确什么的信息能够通过防火墙,而什么样的信息是绝不能通过防火墙的。防火墙存在的主要职责就是结合实际安全策略,检查内部网络和外部网络所交流的数据,对于符合标准的要予以放行,而不符合的则应拒之门外。

2.3 虚拟专用网的技术

虚拟专用网是近些年来迅速发展起来的一种高新技术,现代的企业已经习惯运用Internet资源来对销售、促销、合作、培训、售后服务等活动进行处理。很多企业使用Internet来将其私有数据网络加以取代。这种使用Internet来对私有信息进行传输而出现的网络就是虚拟专用网。

2.4 转换网络地址的技术

网络地址的转换器又叫做地址的共享器或者是地址的映射器,其设计的初衷是能够对IP地址的不足之处加以解决,而现在主要用于维护网络安全。在内部主机和外部主机进行连接时,所使用的是同一个IP;与之相反,在外部主机向内部主机进行连接时,则需要通过网关在内部主机上进行映射。它确保外部网络不能看到内部网络,从而对内部网络加以隐藏,保证其保密性,这样就大大提高了系统的安全性,并有效节约了从ISP处所得到的外部IP。

2.5 在操作系统中进行的安全内核技术

除了对传统网络安全技术进行强化以外,人们在操作系统上对网络安全性加以考虑,把系统内核中能够导致安全性问题的部分进行剔除,提高系统的安全性。在操作系统中所采取的安全措施主要为:确保操作系统具有较高的安全性能;确保操作系统的配置具有较高安全性;使用安全扫描系统来对操作系统中的漏洞进行检查等。

2.6 身份验证的技术

身份验证主要是指用户向系统证明自己身份的过程。身份认证是系统对用户身份证明进行查核的重要过程。这个过程是对双方真实身份进行确认和判明的核心环节,人们将这两个工作称为身份的验证。

2.7 防病毒的技术

在计算机网络环境中,计算机病毒具有巨大的破坏力和威胁性,所以计算机网络安全技术中的一个重要环节就是对病毒加以防范。

3、计算机网络安全管理的具体措施

要想确保计算机网络安全体系得到建立和完善,除了应采取必要的技术措施以外,还应建立一系列配套管理机制。防范应为全面化的防范,只有进行严格管理,才能确保技术作用得到充分发挥。如果只是突出技术,而不重视管理,就算投入巨额资金,也不会有什么良好效果。笔者结合自己多年经验,认为计算机网络安全管理的具体措施为:

3.1 进行安全教育

计算机网络系统安全管理属于技术方面的问题,其主要是靠技术设备来进行的,这是错误的认识。所以应对网络安全工作人员进行定期的安全教育,确保其安全意识增强;同时应进行一定的网络安全技术培训,确保其操作技能得到提高。

3.2 确保安全管理制度的建立和完善

首先,应进行科学管理,建立行之有效的操作人员守则和机房管理制度,建立有效的监督体系和定期检查制度。其次,大力进行软件标准化的应用,研究出各种安全机制,以创造出具有安全性的环境。再次,在机房的管理制度中,包括机房安全、机房值班等级划分以及工作人员进出机房以及用机方面的登记。最后,实现责任的明确分工,确定职责和岗位,各负其责、各司其职。

3.3 依靠法律监督

要想实现计算机网络的安全就应将法律法规作为主要依据。一方面,国家应进行网络立法的不断完善;另一方面,应依据当前我国存在的《计算机信息系统安全保护条例》、《计算机信息安全专用产品销售许可证》等相关法律法规的要求和规定,及时做好维护计算机网络安全的技术和管理工作,不能使用计算机进行恶意攻击、网络犯罪,甚至泄漏国家秘密、危害国家安全等违法犯罪活动,以从根本上维护计算机网络安全。

参考文献

[1]张小斌.计算机网络安全工具[M].北京:清华大学出版社,1999.

[2]袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.

[3]叶丹.网络安全实用技术[M].北京:清华大学出版社,2002.

[4]唐晓东,齐活昌.建立计算机网络安全环境[J].计算机科学,1998.25(1):26-30.

[7]辛涛,用明走.混夸型防欠墙的设计与实现[J].计算机研究与发展,1998.35(10):882-885.

第9篇:网络等级保护条例范文

关键词:警察网;现状分析;安全问题;对策研究

1引言

随着互联网的发展,互联网的应用已经渗透到社会的方方面面。警察网是一个具有层次化结构的广域网,与公安系统的相关组织结构是一致的,其中心是公安部,一级网络层是公安部至省厅的区域范围;二级网络层是省厅至下属各市区警察网;三级网络层是各市区警察机关下属的分支及县级部门;四级网络层则是各县级或者各分支级警察机构的基层组织[1]。各个层次所构成的警察网络均要和管辖范围内的业务实现互通,并终又通过同步器的连接,实现与互联网的同步。

随着警察网应用的不断扩大,网络安全问题日益得到关注。由于警察行业有其自身的特殊性,尤其具有一定的权威性、严肃性以及公正性。因此,警察网所面临的互联网络安全隐患更需要坚决杜绝。比如:非法访问、恶意入侵等,这些互联网的公安问题是必须避免的。因为一旦出现诸些问题,就会对警察网造成严重的危害,甚至会涉及到国家的稳定,可见,保证警察网在互联网中的安全问题是迫切需要解决的关键问题。

2警察网安全的现状剖析

通常情况下,警察网中的防火墙、入侵检测等相关安全手段是布置到位的,这些在很大程度上解决了一些基本的安全问题。但是,随着网络技术和信息技术的发展,警察网的信息量日益增大、业务应用范围也得到了很大扩充,特别是警察网的一些业务操作权限分配需要更加合理[2]。在这样的状况下,警察网出现了一些问题,描述如下:

(1)目前警察网的身份认证只细分为两大类型:其一是管理员,负责维护;其二是用户,负责应用。但这样的认证模式只能在小区域内实施,因为随着用户增多,管理员负担增大,而且用户也应该根据性质的不同分配不同的权限。

(2)警察网所包含的信息数据冗余性不要增加,同一用户在不同系统中采用不同管理方式,安全问题就会出现。比如:用户身份更新后不能得到及时反应,就会使用户权限不能得到及时收回,影响警察网的安全性。

针对上述警察网所存在的一些问题。本文将从安全角度,详细探讨保证警察网在互联网中的安全对策实施。

3 警察网安全的对策建议

3.1警察网体系结构的有效设计

目前,相当一部分的警察网都已经建立了内外网接入平台。本文建议采用层次化的体系架构,这样不仅可以保证警察网在互联网中进行认证的证书容量、又可以保证用户认证申请的方便以及过程的有效。如图3-1所示:

图3-1 警察网的体系结构图

如图中,可以看出,公安部、省级以及市区三个层次上的认证管理都有各自对应的服务器、证书以及认证中心。警察网管理人员只需要在认证中心申请获取对应的证书就可以进行相关权限范围内的操作。

3.2数字签名技术在警察网中的有效应用

    数字签名技术也是一种非常有用的安全技术之一,它的实现原理是通过私钥对发送信息进行加密,并对接收信息进行认证解密的过程实现有效鉴别。借助于这种安全技术,可以有效解决警察网中的非法访问、非法篡改等安全问题[3]。警察网中的信息涉及面较广,同级之间、上下级之间时常会有信息的交换,如果不采用任何安全措施,那极易发生信息泄露以及伪造的问题,通过数字签名技术就可以实现警察网中交换信息的完整性、私密性、安全性。

  此外,警察网中的数字签名认证应该加入用户的等级、职务等相关属性,为了安全性的进一步保证,可以将警员的身份证书与属性证书分离并联合。另外,证书的有效管理也应该得到重视,针对证书使用过程中的申请、获取、更新、作废的操作,可以采用PKI与PMI相联合的方式[4]。其中,身份证书用来确认用户的身份,可使用较长时间;属性证书用来确定用户的权限,解决访问权限控制问题。

3.3人员安全管理等其它安全措施

金盾工程是一项国家非常重视的关键工程,也是对警察网的功能及安全方面提出了更高的要求。如何保证警察网所涉及的信息在互联网中的安全性是金盾工程的关键问题之一。俗话说:“三分技术,七分管理”,可见:保证警察网的安全性,合理全面的网络安全技术的应用是必须的,而有效的网络管理更需加大力度。

目前,国家已经明确规定各警察机构必须加强网络安全工作,对警察机构的相关工作人员的操作流程进行严格规范,要求警察网在接入互联网的同时,必须将相关责任明确到人。同时,根据《中华人民共和国人民警察法》、《中华人民共和国计算机信息系统安全保护条例》等法规,也对警察机构内部的工作人员的违法操作了相关的处分管理制定,这样能够很好的规范警察网管理人员的信息维护、信息、信息更改、信息查询等相关操作。此外,警察机构应该定期举行网络安全方面的培训,提高相关人员的安全意识及技能水平,这样就能更好地保证警察网在互联网中的安全性。

4 总结

总之,由于警察网的普及性以及信息的机密性,警察网在互联网中的安全保证是一个长期的系统工程,不可能只靠单一的网络技术或者若干个技术的联合就能杜绝安全问题,我们必须不断的完善各项技术,这样才能构建一个高效、通用、安全的警察网络系统。

参考文献

[1]黄小龙. 对公安信息网络安全现状分析及对策思考[J]. 广东公安科技, 2009,(03) .

[2]郑勇伟. 信息网络安全机制的研究与应用[J]. 中小企业管理与科技(上旬刊), 2010,(03) .