信息安全战略精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全战略主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全战略范文

【 关键词 】 信息安全架构；企业战略；信息安全服务； 信息安全价值； 一致性；可追溯性

【 文献标识码 】 A 【 中图分类号 】 TP393.08

1 引言

信息安全技术和管理经过不断的发展和改善，已经能够比较有效地解决一些传统信息安全问题，如信息安全风险管理、访问控制，脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产，保护信息的安全已不再只是局限于技术和日常管理层面的讨论，信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时，一套合理的访问控制解决方案能够帮助企业快速推出核心产品（尤其是电子商务）和兼并其他企业。当前信息安全发展呈现出新的趋势和要求：（1）信息安全部门逐渐从成本中心转向价值中心，信息安全的各项活动越来越和企业战略紧密相连；（2）企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。

企业的信息安全部门在不断增强其核心影响力的同时，也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划，将信息安全融入到组织的业务流程中，并且保持信息安全控制措施与企业战略的一致性和可追溯性；其二是如何使信息安全的价值得到认可并在组织内部最大化；其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求；其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求，并实现清晰的测量和不断的改进。

当前各企业广泛采用的标准或最佳实践有几种：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。这些标准各有优点，但也有明显的缺憾，如表1所示（缺憾部分用X表示）。

设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。

* 将企业战略转化为信息安全计划，确保信息安全的可追溯性、持续一致性和简洁性，以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中，建立一致性和可追溯性；建立清晰的信息安全架构和愿景，以减少重复和指导信息安全投入和解决方案的实施。

* 基于客户服务理念，信息安全服务价值得到认可，信息安全靠拢业务部门，为信息安全管理和业务管理建立共同语言。

* 全面管理信息安全，满足目前绝大多数法律法规、标准的最佳实际的要求，并具有灵活的可扩展性，当新需求出现后能够将其平滑的融入到现有架构中。

* 系统和集中统一的方式，使信息安全管理可预测和可测量，并不断的改进。

2 信息安全架构设计

2.1 信息安全架构设计所基于的原则

本信息安全架构的设计遵循四大原则。

1） 业务驱动：所有的信息安全目标应该从业务需求中来，从而保证信息安全管理总是做“正确的事”。

2） 整合、统一的架构：现在有数以十计的信息安全相关的法律法规，标准和最佳实践需要去符合或参考，且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中，以保证所有要求都被满足，同时避免不要的重复。例如，ISO27001关注全面安全控制和风险管理，PCIDSS侧重支付卡环境中技术控制和策略管理等。

3） 系统化思维：运用系统化思维可以帮助组织解决复杂且动态的问题，适应运营中的各种变化，减轻战略上的不确定性和外部因素的影响。例如，需要整合机构、人员、技术和流程；需要考虑安全、成本和易用性的权衡；需要靠持续改进（Plan-Do-Check-Act）；需要考虑全面防护和纵深防护。

4） 易用性：信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此，信息安全架构必须易于理解并且实际可操作性要强，应避免太过复杂和晦涩。

2.2 信息安全架构实现

2.2.1 信息安全架构-域试图

基于上面的基本原则，本信息安全架构由三个域组成（如图1所示）：治理（Governance）、保障（Assurance）和服务（Services）。

治理（Governance）： 信息安全治理域强调战略一致性，风险管理，资源管理和有效性测量。治理域又包括三个子域：愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。

* 愿景与战略： 将遵从性要求，信息安全的发展趋势，行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。

* 风险与遵从性管理： 管理信息安全风险使信息安全风险控制在组织可接受的范围内。

* 测量： 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。

保障： 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产：数据层、应用层、IT基础设施层和物理层。

* 预防： 实施信息安全控制措施包括管理措施和技术措施，防止信息安全威胁损害组织的信息安全控态。

* 监测： 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。

* 响应：部署信息安全响应体系迅速、高效的抑制信息安全事件。

* 恢复： 建立组织的可持续性能力，但重要信息系统不可用时，可以在计划的时间内恢复。

服务： 服务域显示了面向客户（内部和外部），协作与知识更新对信息安全实践非常重要。服务域包含三个部分：信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。

* 信息安全服务： 信息安全团队应对待组织内部其他部门和对外部客户一样，基于服务基本协议，提供高质量的信息安全服务。

* 知识管理： 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。

* 意识与文化： 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全，关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。

2.2.2 信息安全架构-组件试图

为支撑信息安全架构的三个域，本信息安全架构组件融合了不同标准和最佳实践的精华部分，并自成一体，如图2所示。本架构参考的标准主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架构在企业内实际应用效果分析

本信息安全架构已被推广和应用到各个行业中，如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。

背景：此保险公司有3000名员工，计划在加拿大多伦多（Toronto）上市，因此需要符合加拿大和行业的一些法律法规的要求，如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求，因此不需要做任何大的改动的情况下（降低成本）就能应用到此保险公司中。

经过9个月的实际运行，公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。

3.1 平衡计分卡（Balanced Scorecard）[10]测评分析

平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目：对企业的贡献，对愿景的规划，内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估，0级表示无成绩，5级表示完美，然后取平均值。2011年7月评估结果显示“企业贡献”为2.2，“愿景规划”为2.5，“内部流程”为2.8，“面向客户”为2.1；2012年7月评估结果显示“企业贡献”为4.1，“愿景规划”为3.9，“内部流程”为3.8，“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。

3.2 总体信息安全成熟度级别分析

本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级，5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间， 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间，如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。

3.3 独立审核发现点数量分析

第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施，包括管理、技术和流程。审核发现点的数量越多，表明脆弱点越多，存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估（依据上市公司的管控要求）。2011年9月审核结果显示有4个高风险项，8个中风险项和13个第风险项；2012年9月审核结果显示无高风险项，且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。

3.4 信息安全事件发生数量分析

信息安全事件（特别是1级与2级事件）发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少，表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件（重大），12个二级安全事件（严重），25个三级安全事件和40个四级安全事件；2012年1月-10月期间有1个一级安全事件（重大），2个二级安全事件（严重），10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。

3.5 鱼叉式网络钓鱼模拟攻击测试结果分析

模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击（点击链接）的人数越少，表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台，在实施本信息安全架构前后分别选取了5个分支机构（共200人）进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名，然后伪造一份看似从信息安全管理员发出的E-mail，此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级，将会影响到原有的帐户和密码，要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。

2011年5月测试结果显示有47%的员工点击了有害链接，点击有害链接的员工中有18%的人输入了密码，点击有害链接的员工中有68%的人完成了在线培训内容；2012年5月测试结果显示有14%的员工点击了有害链接，点击有害链接的员工中有3%的人输入了密码，点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。

3.6 信息安全服务客户满意度调查结果分析

客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力，以及给公司带来的实际价值。满意度百分比值越高，表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。

2011年8月调查结果显示对服务专业质量的满意度为72%，对服务请求响应速度的满意度为46%，对服务态度的满意度为67%，整体满意度为60%；2012年8月调查结果显示对服务专业质量的满意度为95%，对服务请求响应速度的满意度为85%，对服务态度的满意度为92%，整体满意度为88%；如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。

4 结束语

现阶段信息安全管理着重在信息安全的风险控制，随着信息安全管理角色的转变，信息安全需要跟多的与组织战略结合，为组织创造更多的价值，并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点，但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中，验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。

参考文献

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者简介：

第2篇：信息安全战略范文

1PHP网站设计中信息安全存在的问题

目前，在对PHP网站进行编码的过程中，存在程序员信息安全意识不高，没有对用户所输入的信息进行安全验证等现象。因此，会间接导致计算机内部的安全操作系统被不法分子所利用，使得一些错误、有害的指令也会被当作正确的合法指令来运行，进而导致网站的信息会发生泄露，从而侵犯了用户的隐私，给用户的信息安全带来不利影响。

1.1有sql的注入

从广泛的意义上讲，网站的程序设计员需要在编写网站代码的过程中对用户输入数据的合法性进行分析与判断，进而防止网站信息泄露［1］。如果网站的程序设计员在编写网站代码的过程中忽视了这项操作，用户就可以通过提交数据库查询代码的方式来根据程序返回的结果获取相关数据信息，这就是注入sql。注入sql容易导致网站用户的信息发生泄露，所以相关网站的程序设计员要对用户所输入的数据进行合法性的判断与分析，进而提高网站的信息安全。

1.2会发生or1=1及union语句的入侵现象

注入or1=1主要是可以在登录某个网站系统时，绕过相应的密码验证，进而利用一个任意的用户名来登入系统，从而达到入侵系统的目的。这是一种在网络中运用较为广泛的语句注入模式。这种注入模式主要是利用了程序员在编写验证代码时，没有对用户输入信息中是否含有非预期的字符进行判断，直接将用户的操作请求传达给计算机函数来执行。这种注入语句的方式使得密码验证变得可有可无，不法分子可以直接绕过密码验证来入侵系统，进而轻而易举地获取到相关用户的信息［2］。与or1=1语句注入所不同的是，union语句可以通过自身的特殊性来使程序的默认语句出错。并通过计算机程序执行union后，通过自己构建的sql语句来达到注入语句的目的，进而入侵到内部程序中。

1.3存在xss跨站攻击

xss是一种较为常见的网站攻击方式，它的工作原理跟sql相差不大，只是xss主要是通过JavaScript的脚本注入到html标签中，进而将恶意内容输入网页输入框中。当这些恶意内容重新回读到网站的客户端时，网站浏览器会自动运行这些恶意脚本，进而通过影响网页的正常显示来达到注入脚本的目的。通过代码植入网页的方式来利用xss漏洞控制计算机操作系统，进而黑客利用安全漏洞来编写恶意程序，从而破坏计算机操作系统的稳定性。黑客利用xss来攻击页面，使得计算机用户在浏览网站时会自动弹出一些窗口。黑客就是利用这些窗口来给网页挂上相应的木马病毒，进而让网站用户的计算机系统感染病毒，以此来获取相关用户的信息。

2对PHP网站设计中的信息安全进行防御的具体措施

2.1使安全防御措施对用户公开、透明

在保护网站的信息安全时，要让安全防御措施对用户公开、透明。让用户不能直接跳过信息安全保护验证，进而让计算机网站运行操作更为安全。最直接的方法就是在用户进入网站系统之前，首先要输入相应的用户名及密码，进而达到保护网站信息安全的目的。

2.2跟踪数据运行流程

任何一个合格的网站程序员都会对用户的数据进行随时跟踪，通过掌握信息动向来防止发生信息泄露的问题。对数据信息进行跟踪是一种难度较高的信息监测方法，特别是在一些程序开发者不能熟悉该原理的情况下，会无法深入理解web的运作原理，进而在程序开发过程中出现失误，并产生一定的安全漏洞。

2.3筛选输入信息

对用户所输入的信息进行必要的筛选是保证网站信息安全的必要手段，也是对输入的验证信息进行合法化的过程。相关网站工作者通过对用户所输入的信息进行确认并筛选，这种方法可以避免一些网站病毒在未知的情况下被误用。

2.4防止注入sql

在目前来讲，网络的系统注入方式较为丰富，但在注入方面都存在一个共同点，就是利用程序缺乏必要的过滤手段这个缺点，以此来达到非法获取用户信息的目的。所以，要防止非法语句的注入，就要对查询语句进行必要的筛选及过滤。通常意义上，是利用计算机运行程序里的函数通过正规的表达式来进行常用语句的匹配，并对相应的语句进行必要的筛选及过滤。所以，只要利用了过滤函数，就可以在较大程度上避免出现利用注入语句的方式来入侵网站的现象，从而达到保护网站用户信息安全的目的。

3结语

第3篇：信息安全战略范文

【关键词】大数据;信息发展;国家信息安全;战略对策

2013年在上海召开的“中国信息化百人大会”上，有专家提出“大数据时代”已经来临。我们每天在微博、朋友圈等社交网络每天更新照片信息，在搜索引擎上处理大量数据，使用中国移动、联通、电信等通信运营商上发送短信息等，随着信息化不断发展，我们进入了一个不折不扣的“大数据时代”。大数据在带给人们方便快捷的同时，也给国家信息安全带来了前所未有的挑战和风险。文章针对大数据给国家信息安全带来的挑战，探讨国家战略层面的调整。

一、国家信息安全角度的大数据

大数据是指所涉及的资料量规模巨大到无法透过目前主流软件工具，在合理时间内达到获取、管理、处理并整理成为帮助组织经营决策的资讯。这些数据绝大多数是“非结构化数据”，包括人们在互联网上的信息，数码传感器测量和传递的有关位置、运动乃至空气中化学物质变化的数据信息等。这些数据与传统数据库不同，但随着人工智能技术的发展，将这些包罗万象，意义深远的数据进行专业化“加工”后，便会实现数据的“增值”。

大数据具有容量巨大、种类繁多、处理速度快、价值密度低等特征，大型数据集的容量单位达PB乃至ZB级别，容量和规模远远超过传统数据，而且包括不同来源、不同结构、不同媒体形态的各种数据，冲破传统的结构化数据范畴，囊括了半结构化和非结构化数据。由于大数据处理量大，往往需要实时处理，也就带来了快速、持续的实时分析与处理的要求。大数据相对传统数据来说其本身的价值密度较低，可能连续不断的几十分钟甚至几日的监控过程，有用的数据留可能就只是短短的几秒钟。大数据并不只是人们普遍理解的“冰冰冷冷”的数值处理，它更多的包含了智能化和“以人为本”的内涵，从互联网非结构化数据的庞大宝藏中“获取知识和信息数据”，最终为人服务，推动决策的制定和价值的形成，推动社会进步。大数据对未来各行各业产生深刻的影响，更在全国范围内对政治、经济、军事、科技领域带来深远影响。2012年3月29日美国宣布投资2亿美元启动“大数据研究和发展计划”，把“大数据”上升到国家战略层面。美国政府认为，大数据是“未来的新石油”，一个国家拥有数据的规模、活性和解释运用能力将成为综合国力的重要组成部分，未来对数据的占有和控制将成为继海陆空三权外国家另一核心资产，成为各国政府竞争的新热点。

二、大数据对国家信息安全是机遇与挑战并存

大数据的迅猛发展，在成为国家综合国力发展的竞争新焦点的同时，对国家信息安全也是机遇与挑战并存。

大数据为国家信息安全的分析提供了新的可能。网络攻击总会留下些蛛丝马迹，这些痕迹都是以数据的形式藏匿于大数据当中，利用大数据技术整合和处理能更有针对性的应对国家信息安全威胁。通过对海量数据的处理和预防性分析，信息安全服务提供商可以更好的发觉网络异常行为，找出数据中的风险点，有效的识别钓鱼攻击，阻止黑客入侵，使网络攻击行为无所遁形。

随着网络信息全球化的发展，大数据成为国家赖以正常运转的“神经枢纽”，交织着民生、能源、金融等网络，把握着决定国家存亡的“命脉”。然而正是由于大数据存在于网络空间中，使得它成为更容易被“关注”到的大目标，较易收到网络攻击，一些木马和黑客藏匿于网络漏洞中，加大信息泄漏风险。像是一些销售数据、身份信息、医疗记录、证券交易信息等数据在一定程度上涉及个人信息会对国家安全和社会安全产生重大影响，汇集这些信息就可以对国家的经济、政治、民生、国防进行分析，一旦这些大数据遭到泄露，对个人乃至国家信息安全都会造成巨大损失。

三、大数据时代国家信息安全的战略调整

信息安全战略是国家战略不可分割的重要组成部分，其重要性不言而喻。面对大数据对国家信息安全的挑战以及对国家信息安全战略提出的新要求，尽管2012年我国计算机学会和通信学会也各自成立了大数据专家委员会，推动大数据的安全发展。但是目前我国尚无专门的大数据政策支持，国家信息安全在大数据时代仍显紧迫，亟需国家信息安全战略的调整。

一是加大国家信息安全的综合管理。尽快形成国家信息安全管理的总战略和方针，加强各部门、行业的整体协同管理，改变目前国家信息安全管理“九龙治水”的现状，聚合各方的资源优势，推进数据收集、储存、保留、管理、分析和共享大数据的技术进步。从国家层面进行统筹，改变现阶段群雄争霸的局面，加强我国数据信息安全。

二是加强对军队、金融等重点领域敏感数据的监管。海量数据的汇集加大了军队等敏感数据暴露的可能性。要害信息的泄露对国家信息安全的威胁是极大的，政府机构应该明确重点领域大数据的范围，加大军队等内部机构管理，制定完善的重点领域数据库管理和安全操作制度，加大日常监管，尤其是移动设备的日常安全使用，规范大数据的使用方法和流程。

三是加大技术研发和人才培养。大数据的外部环境是不断发展、不断拓展和挖掘的，这对人才和技术也提出了新的要求。“科学技术是第一生产力”，解决大数据时代的国家信息安全问题的关键也是技术的发展，大力研究基于大数据的网络攻击追踪技术，以及网络安全预防性分析技术，加大对大数据安全保障关键技术研发的资金投入，培养一批高素质、肯创新的人才，提高国家信息安全技术水平和人才水平。

大数据作为“未来的新石油”，是国家发展的竞争热点。大数据时代给国家信息安全既带来了机遇又带来了挑战。今天的中国，是一个人口大国、互联网大国，更是一个数据大国。面对汹涌而来的大数据洪流，针对大数据时代的基本特征，制定行之有效的国家信息安全战略成为紧迫而现实的重大问题。这就要求必须要加大国家层面的综合管理，加强对重点领域的监管，加大技术开发和人才培养方面的投入，多层次、多方位地维护国家信息安全。

参考文献

[1]石海明，王文超，曾华锋.大数据：国家信息安全战略边疆[J].科技日报，2014-1.

[2]胡洪彬.大数据时代国家治理能力建设的双重境遇与破解之道[J].社会主义研究，2014，4.

第4篇：信息安全战略范文

关键词：治理；信息安全；信息安全制度；策略

一般而言，在底层执行中存在的不可调和的冲突，往往是由于高层设计中出现了问题。ISO/IEC27014：2013《信息技术安全技术信息安全治理》将信息安全治理定义为“指导和控制组织信息安全活动的体系”，并明确地指出“在信息安全方面，治理者的关键聚焦点是确保组织的信息安全方法是有效率的、有效果的、可接受的，与业务目的和战略是一致的，并充分考虑到利益相关者的期望”[1]。信息安全治理的主要目的有：1）使信息安全目的和战略与业务目的和战略一致（战略一致）；2）为治理者和利益相关者带来价值（价值提供）；3）确保信息风险得到充分解决（责任承担）。李维安等认为公司治理的目标不但要实现利益相关者之间相互制衡，而且要实现公司决策的科学化[2]。对比公司治理的目标，可见信息安全治理实际就是公司治理在信息安全情境中的细化。

1关于信息治理结构

治理结构的设计是信息安全治理的基本问题之一[3]。在公司治理领域，一般认为治理结构包括了董事会及高层管理的相关设计，处于组织内外的交界处。在信息安全实践中，治理结构更多地体现为信息安全的分管结构。基于实践观察，我们按照信息安全与IT之间的关系，对常见的分管结构进行了初步的分析，主要分为3种：治理结构Ⅰ型（分开分管）、治理结构Ⅱ型（统一分管）和治理结构Ⅲ型（统一管理）。必须强调的是，这3种治理结构没有绝对的好与坏，重点在于治理结构与组织战略是否匹配。例如，某企业中，信息安全与信息化的分管领导不是同一个高管，导致的后果必然是信息安全部门公布的所有制度都“从严”，但是如果该企业的主营业务是典型的乙方性质，那么该企业在分管结构上与公司战略是否匹配则有待商榷。

1.1信息安全治理结构Ⅰ型（分开分管）

越来越多的组织试图将首席信息官（ChiefInformationOfficer，CIO）与首席安全官（ChiefSecurityOfficer，CSO）分离，设计成与审计类似的架构。信息安全治理结构Ⅰ型（分开分管）指的是信息安全与IT分属不同的高层管理，如图1所示。图1信息安全治理结构Ⅰ型（分开分管）这种结构强调了信息安全的重要性，尤其是对IT部门形成了制约，这是优点。但缺点是容易导致损失便利性考虑。分离之后的信息安全部门往往显得行动偏激，甚至会干扰正常业务运转。一个部门一旦独立，为了争取部门权益或存在合法性，必然最大化利用手中的权力，这在组织研究领域中已经有较为充分的研究。在很多情况下，如果强调一件事的重要性，建立独立的组织并招募一批以此为生的员工，为争取生存，他们自然会最大化地强调这件事的重要性。更通俗的例子是，城管队员可能会逐步表现出城市高层管理并不期望的偏激行为，例如，殴打小商小贩，这不是管理技巧的讨论范畴，而是一个治理层问题，因为在制度的顶层设计中，城管队员与小商小贩在生存权问题上存在根本的冲突。几乎同样的逻辑也会发生在信息安全情境中。此外，根据认知失调理论（CognitiveDissonance），我们得知在个体认知层面讨论这种冲突亦无济于事，因为冲突中的每一方往往都认为自己是正义的，否则就不会发生公开的冲突。个体认知只有在汇聚起来的时候，才能够形成合法性，并由此改变社会结构。如果缺乏足够的人群，个体认知不会改变整体组织架构，而是呈现了相反的影响路径。通俗地讲，在改变不了自身状态的情况下，个体一般会选择改变认知，因为改变认知结构比改变社会结构要容易得多。

1.2信息安全治理结构Ⅱ型（统一分管）

信息安全治理结构Ⅱ型（统一分管）指信息安全与IT是不同的独立部门，但是归属同一个高管分管。具体如图2所示。这种结构的缺点很明显，由于信息安全和IT部门同属一个分管领导，信息安全对信息系统管理的监督作用有限，当然这种做法的优点同治理结构Ⅰ型（分开分管）一样，也会形成一定的制约，这种制约更多地体现为对其他部门。但是在实践中，信息安全虽然是广义的，包括了各种形式存在信息，例如，存在信息系统中的信息，打印在纸上的信息，直至员工大脑中的知识，即便如此，信息系统安全毫无疑问是其中最重要的部分。从这个角度讲，治理结构Ⅱ型（统一分管）并不适合信息安全非常重要的组织。治理结构Ⅱ型（统一分管）更容易在“便利性”与“安全性”之间达到平衡，越来越多的组织开始采用这种治理结构。

1.3信息安全治理结构Ⅲ型（统一管理）

在信息安全治理结构Ⅲ型（统一管理）中，信息安全还是作为IT部门中的一个部门，如图3所示.治理结构Ⅲ型（统一管理）是目前最常见的形式，由于信息安全只是IT部门的其中一个部门负责，也就是说，信息安全对IT运维等很难形成制约，更多的作用是对其他部门的管理，很难避免“监守自盗”的问题。信息安全在治理结构Ⅲ型（统一管理）中尚未上升到治理层次，仅仅在管理层中讨论。

2小结

第5篇：信息安全战略范文

随着云计算技术的发展，大数据时代已经降临，而随之而来的数据与应用的安全性问题也日益突出。信息安全产业作为保障国家信息安全的战略性核心产业，肩负着为国家信息化基础设施和信息系统安全保障提供信息安全产品及服务的战略任务。

2010年以来，APT攻击日益增多，震网、火焰等病毒肆虐。依据CNCERT数据统计，2012年我国被植入后门的网站有52324个，其中政府网站有3016个，较2011年月均分别增长了213.7%和93.1%。进入2013年以来：3月，朝鲜、韩国爆发网络安全战；5月，中国台湾、菲律宾相互进行网络攻击。

一系列安全事件凸显出了在云计算背景下信息安全的重要性， 信息安全已经成为国家安全战略的重要组成部分。

作为中国最早从事信息安全产品、技术研究与推广的厂商之一，浪潮一直秉承自主可控、安全可靠的研发理念，致力于为行业数据中心客户提供安全、可靠的计算环境产品与方案。浪潮是中国主机安全技术标准的制定者之一，也是我国信息安全等级保护政策的参与者、制定者和推动者之一，更是我国数据中心大型机技术创新的中坚。浪潮自主研发的天梭K1打破国外的技术垄断和封锁，在金融、政府等关键领域的应用中已得到成功和成熟的应用。浪潮自主开发的浪潮SSR填补了我国在主机操作系统安全领域的空白，其在国内市场的占有率处于领先地位。

第6篇：信息安全战略范文

想到了中国工程院院士沈昌祥的建议，“将网络空间安全问题提升到国家战略层面，恢复国家网络与信息安全协调小组和办公室的建制”。现在想想，这是很有远见的。

从来没有像今天一样，信息化和经济发展结成了“亲密弟兄”。可信息高速公路也有“双刃剑效应”，如果做不好安全工作，同样也会让自我财产、经济安全和国际安全，遭遇“快捷损失”。因此，信息安全工作应提升到国家战略层面。

第一，安全事件频发呼唤网络安全国家战略。据《中国互联网络发展状况统计报告》，“2008年捕获的恶意代码样本达160多万次，比2007年增加了31%，同时网络高危漏洞也频频出现。”2009年上半年，我国接收到国内外报告事件总数达9117件，其中国外投诉量猛增，而增长最多的事件类型为垃圾邮件，此外还包括网页挂马、网络仿冒及病毒、蠕虫及木马等。与此同时，感染主机3000多万台的“飞客”蠕虫；影响多个省份的“5?19”暴风影音事件。等等。网络空间安全可谓是警钟长鸣！在网络黑客、网络攻击呈现集团化、恶意化的今天，单靠软件研发企业和用户，这种各自为战的防御态势，显然和安全危机，构成了一种发展和信息不对称，无法应对大规模群体性及技术复杂的网络空间安全事件。因此借助国家战略，达成信息共享，形成技术合力，达成国家层面的网络空间安全体系，势在必行，很有必要。

第二，对心不在焉的信息安全懈怠意识是一个强制性提升和纠错。虽然网络安全意识被一再强调，可目前互联网行业的恶性竞争态势仍然不断，有的恶性竞争就是忽略用户利益，强化自我利益，甚至将最起码的安全屏蔽意识都扔掉了，比如“有些网网站为了方便操作，节省成本，一些网站竟长期使用明文密码，以至轻易遭窃。再如，用户注册时禁用简单密码的网站并不普遍，有的网站不设置密保提问，甚至连验证码也没有”。借助国家战略中的某些强制性安全标准，上述懈怠行为就能得到杜绝，提升安全系数。

第7篇：信息安全战略范文

相关热搜：信息安全  网络信息安全  信息安全技术

随着信息技术的飞速发展,特别是各国“信息高速公路”的开通互联,网络已经深入社会的各个领域、各个方面,特别是因特网的发展,引发了社会生产方式的一场革命,使得人类开始进入网络社会。时到今日,网络已经成为一个无时不在、无处不有、无所不用的工具,成为人们必须依赖并生活于其中的“新的环境”、“新的社会”。人类的经济、政治、军事、文化、教育、科技和一切社会活动越来越强烈地依赖信息资源和信息网络系统。然而,信息资源共享与信息安全天生是一对矛盾。信息共享的普遍性与信息遭受攻击的广泛性是一体两面的,特别是以承载和输送信息为天职的信息网络因其固有的无主管性、跨国界性、不设防性和缺少法律约束等特点,它在为人们带来利益、价值和方便的同时,也带来了巨大的风险和隐患,暗藏着极大的危险性甚至毁灭性。这就引发了信息社会最敏感、最具挑战性的核心问题———信息安全问题,而且信息安全已经成为信息时代安全问题的关键和基础,成为信息时代中最基本、最核心、最重大的头号安全问题。

一、信息安全的含义

在很长一段时期内,信息的重要性常常与军事机密联系在一起,信息安全其实就是保守军事秘密。然而,随着计算机的发明和应用,这种情况开始改变。信息的内涵不断丰富,不再局限于军事领域,而出现了数据化、规约化、系统化、社会化和综合化的倾向。20世纪70年代,信息安全由于建立在保护专用机房内的主机及其数据安全的基础上,是面向单机、面向数据的,其实质是对信息的机密性、完整性和可获性的保护。80年代以后,计算机开始走出专用机房,进入办公室和家庭,开始了微机和局域网时代。这时的信息安全既要依靠技术措施保护,也要依靠管理规则规范。因此,这时的信息安全是面向网络管理、面向规约的。90年代以后,人类进入了互联网时代。此时,通过网络,每个用户都可以连接、使用和控制世界上每一个上网计算机。因此,网络时代信息安全内容更多,更为强调面向连接、面向用户。信息安全的内容已由保密性、完整性、可获性和规则性等数据安全与规约安全概念,扩展到鉴别、授权、访问控制、抗否认性和可服务性以及基于内容的个人隐私、知识产权等的系统保护。而这些安全问题又要依靠密码、数字签名、身份认证、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制加以解决。其中,完整性、可用性、保密性和可靠性是信息安全的特征,密码技术和管理是信息安全的核心,安全标准和系统评估构成信息安全的基础。

从信息网络系统看,现代信息安全主要包含两层含义:一是运行系统的安全,包括严格而科学的管理,如对信息网络系统的组织管理、监督检查,规章制度的建立、落实与完善,管理人员的责任心、预见性、警惕性等;法律、政策的保护,如用户是否有合法权利,政策是否允许等;物理控制安全,如机房加锁、线路安全、环境适宜等;硬件运行安全;操作系统安全,如数据文件是否保护等;灾害、故障恢复;死锁的避免和解除;防止电磁信息泄漏等。二是系统信息的安全,包括用户口令鉴别;用户存取权限控制;数据存取权限,方式控制;审计跟踪;数据加密,等等。整体上讲,现代的信息安全是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和,是一个多层次、多因素、多目标的复合系统。

随着信息网络系统的迅速发展和全面普及,人与计算机的关系发生了质的变化,人类社会与计算机和网络组成了一个巨系统,出现了一个全新的世界———网络社会,人类对信息网络的依赖越来越强,不仅人们的政治经济文化生活依赖于网络,而且个人、企业、民族、国家乃至全人类的安全(包括金融安全、经济安全、政治安全、军事安全、科技安全、文化安全等)也建立于计算机中,信息安全的内涵因此正在发生着前所未有的根本变化。概言之,网络社会的信息安全不仅涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全,甚至关系到环境安全、生态安全和人类安全。

二、信息安全的意义和作用

在信息时代和网络社会中,信息安全具有头等重要的地位,它是一切安全的重中之重和先中之先,是社会发展的首要条件,是民族振兴的根本保障,是信息社会健康成长的阳光,是国家生存须臾不可缺少的空气,是21世纪各国努力争夺的制高点。

信息安全是网络时代国家生存和民族振兴的根本保障。首先,信息安全是21世纪经济安全、国家安全和民族振兴的首要条件。在和平与发展成为时代主题的信息时代,网络为王,发展至上。国家安全已不单纯是军事安全,而是越来越表现为经济安全和综合国力的强大。不发展就是最大的不安全。这就是说,国家安全与经济安全越来越不可分割,而经济安全却越来越依赖信息基础设施的安全,依靠信息资源的安全。因此,保证信息网络的安全性、可靠性,保证信息资源的安全性、可用性就成为头等重要的大事。如果不能保障网络安全和信息安全,就不可能获得信息化的效率和效益,在国际“信息战”威胁和国内外高技术犯罪的干扰破坏下,社会的经济生活就难以健康有序地进行,国家的安全就无法保证,国家的生存就会受到威胁。因此,在21世纪,一个国家的信息安全保障能力不仅是其综合国力和经济实力的重要组成部分,而且是其国家安全的前提条件。

其次,信息安全是21世纪国家生存的前提条件。尽管人类刚刚步入信息时代,但是严重的现实告诉我们,发展中国家从一开始就面临着巨大的危险,它们普遍遭受来自发达国家的信息霸权的威胁!众所周知,当代世界已经出现了三类国家:一类是信息霸权国家,它们以其先进的信息技术与网络技术作为手段,极力推行信息霸权主义,大搞电信霸权、软件技术霸权、信息利润霸权和网络霸权等;二是信息主权国家,它们有独立的信息主导权、独立的信息利润及防范信息霸权的手段;三是信息殖民地国家,它们被动地接受别国的信息、受到霸权国家的信息支配和剥削、没有防范信息霸权的能力。正因为如此,信息技术和信息网络在国家间以及地域上的发展极不平衡,信息强国对于信息弱国已经形成了战略上的“信息优势”,居于信息劣势的国家的政治安全、经济安全、军事安全乃至民族文化传统,都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的新的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全关系到一个民族、一个国家在信息时代的兴衰存亡。很显然,在信息时代,一个缺乏信息安全保障能力的国家,是无法开拓自己的“信息疆域”的,也是无法保卫自己的“信息边疆”的,这样的国家既无力构筑自己牢固的“精神防线”,更无力抢占并拥有经济生活和军事领域的“制信息权”,它在信息社会中将是难以生存的。

2.信息安全是信息社会健康发展和信息革命成功的关键因素。在信息社会,无论对于个人还是企业,民族还是国家,信息安全的重要性前所未有。它既是行使和保障合法权益的基本手段,也是整个信息社会正常运行的先决条件。信息安全保障能力既是个人素质、企业实力的重要体现,也是国家主权和社会健康的重要标志,它对个人、企业乃至国家的生存提出了新的挑战和要求,对国家的物质文明建设、精神文明建设、社会的有序管理、政权的安全巩固、国民素质的提高以及人的全面自由的发展等正发生着前所未有的深刻作用。在日益成为国家经济运行支柱的数字化、网络化环境中,如果没有信息安全,国家的经济体制与秩序安全,金融与货币安全,产业与市场安全,战略物资与能源安全,对外贸易与投资安全就不能得到有效保障。也使诸如保障社会生产和生活的正常秩序,保持社会各阶层的和睦共处,建立效率与公平兼顾的社会发展机制,控制犯罪、贫穷、腐败等消极现象,尊重多数人的权利与选择等社会和个人安全的要求,在未来社会中将难以实现。同样地,如果没有信息安全,作为信息社会之基础的信息网络、信息产业、信息基础结构和信息经济也将失控、紊乱、瘫痪甚至自毁。因此,从个人实现、国家发展和社会运行的战略高度来看,信息安全既是人们畅游信息社会的“通行证”,搏击“第三次浪潮”的“护航舰”,也是信息革命成功的关键,是信息社会可持续发展的“守护神”。

第8篇：信息安全战略范文

7月18日，在由中国信息协会信息安全专业委员会主办、国家信息中心信息安全研究与服务中心协办的“‘十一五’信息安全发展趋势高峰论坛”上，许多到会主管部门领导、知名专家做了主题发言，内容涉及信息安全技术、信息系统等级保护工作、风险评估、信任体系以及电子政务建设等方面。

技术总是双刃剑

随着信息化的深入发展，信息安全的问题越来越突出。黑客技术发展迅速，攻击工具越来越丰富、攻击速度越来越快、攻击造成的损失越来越大，所有这些都对信息安全技术的发展提出了更高的要求。

我国信息安全保障工作从2003年的初步规划起，一路走来，发展至今，成效如何呢？由于政府主管部门的有力推进和规模化商用市场的形成等原因，我国在若干信息安全关键技术的研究开发和产业化方面，已经取得了一批较好的技术成果。特别是在“十五”期间，在863计划等国家计划的支持下，已经在PKI/CA技术、密码标准和芯片、网络积极防御、网络入侵检测与快速响应、网络不良内容的监控与处理等方面取得了较大的进展。据参加论坛的863专家组专家冯登国介绍，我国目前信息安全技术在密码技术、认证授权技术、信息产品逆向分析技术、网络内容安全监控技术、数字水印技术以及数据恢复技术等项技术上都有所突破甚至走在国际前列。

综观我国在信息安全技术领域的发展历史，不难看到，虽然取得了很多优秀成果，但仍存在一些问题，具体可总结为，第一，技术发展不平衡，比如对于某些热点技术，研究的单位、部门、人员很多、很集中，而另外一些领域却几乎无人问津，技术成果水平高低不一的现象，在领域对比上很突出；其次，研究方向不全面，如病毒技术在厂商中研究得很多、讨论得也很热，而国家的相关研究机构却少有研究，研究工作主要集中在某几个方向上而没有覆盖信息安全主要方向；第三，研究工作的系统性不强，如一些技术产品的升级换代研究以及产品的不同版本兼容性都存在很大欠缺，研究工作缺乏系统性和持久性；第四，研究与应用脱节，作为偏应用方面的工作需要企业和应用部门的共同参与，才能做出满足实际应用的高水平研究成果，而这方面的合作却很欠缺。冯登国专家指出，“总的来讲：缺乏信息安全关键技术的创新研究。”

我国的信息安全技术还面临着计算模型与计算能力、网络化与普适化、智能化与自动化、理论研究与显示需求的差异性等挑战。首先，当前的实用信息安全技术，特别是密码技术，和计算技术密切相关，其安全性本质上是计算安全性；而计算模型的演变目标则是追求更具表达能力、更符合人类思维模式、更具易构造性和易演化性的计算模型，相互之间有矛盾。至于网络化的挑战，可以看到，网络在给人类社会带来方便的同时，由于其开放性和共享性，也引发了很多安全问题，如网络病毒、网络攻击、网络恐怖、垃圾信息等等。美国CRA（Computing Research Association）总结的五项挑战之一就是，“创建无处不在的安全网”。网络化的挑战由此可见一斑。

其次，如同任何一项技术，信息技术也是一把双刃剑，带来方便的同时也带来了安全问题。例如，人们利用智能和自动化技术编写了大量的攻击工具、病毒、垃圾邮件等等。另外，网络攻击工具的智能化和自动化程度的提升，使得网络攻击更加容易、成本更低，以很小的开销就可以造成严重后果或影响，智能化与自动化在帮助解决信息安全问题的同时，也会加大解决问题的难度。

最后，理论与实际的差距也构成一大挑战。因为理论研究相对比较单纯、考虑因素和实验环境有限，这与现实世界的复杂多变、环境的恶劣形成鲜明对比。而人们的实际需求，特别是有时政府的要求是“万无一失”的，这就提出了安全的绝对性和紧迫性的要求。从人类认识角度来讲，安全是一个过程，只有相对安全，而没有绝对安全。这样，实际要求就与技术能够解决安全问题的有限性也就是安全的相对性之间存在着鸿沟。因此，如上四条挑战无疑是需要相关机构与部门考虑对策的。冯登国还指出信息安全技术“抽象化、可信化、网络化、标准化、集成化”的发展趋势，并指出我国信息安全保障体系建设的三方面需求，即自主创新能力、国际竞争力、政策优势。

政策保障已趋完备

第9篇：信息安全战略范文

一、搞好信息安全防护是确保国家安全的重要前提

众所周知，未来信息化战争将在陆、海、空、天、电多维空间展开，网络空间的争夺尤其激烈。如果信息安全防护工作跟不上，在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此，信息安全防护不仅是赢得未来战争胜利的重要保障，而且将作为交战双方信息攻防的重要手段，贯穿战争的全过程。据有关报道披露，海湾战争前，美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒，海湾战争一开始，美国就通过卫星激活病毒，导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样，政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告，如果该银行的数据库系统遭到网络“黑客”的破坏，3天就会影响加州的经济，5天就能波及全美经济，7天会使全世界经济遭受损失。鉴于信息安全如此重要，美国国家委员会早在初的《国家安全战备报告》里就强调：执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》，首次把信息安全正式作为一种战略问题加以考虑，并从理论上和实践上加强准备。

二、我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分，它不仅体现在军事信息安全上，同时也涉及到政治、经济、文化等各方面。当今社会，由于国家活动对信息和信息网络的依赖性越来越大，所以一旦信息系统遭到破坏，就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱，其后果不堪设想。而令人担忧的是，由于我国信息化起步较晚，目前信息化系统大多数还处在“不设防”的状态下，国防信息安全的形势十分严峻。具体体现在以下几个方面：首先，全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解，对因忽视信息安全而可能造成的重大危害还认识不足，信息安全观念还十分淡薄。因此，在研究开发信息系统过程中对信息安全问题不够重视，许多应用系统处在不设防状态，具有极大的风险性和危险性。其次，我国的信息化系统还严重依赖进口，大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上，还是在计算机软件上，我国信息化系统的国产率还较低，而在引进国外技术和设备的过程中，又缺乏必要的信息安全检测和改造。再次，在军事领域，通过网络泄密的事故屡有发生，敌对势力“黑客”攻击对我军事信息安全危害极大。最后，我国国家信息安全防护管理机构缺乏权威，协调不够，对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离，管理混乱，缺乏与信息化进程相一致的国家信息安全总体规划，妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

三、积极采取措施加强信息安全防护

为了应付信息安全所面临的严峻挑战，我们有必要从以下几个方面着手，加强国防信息安全建设。

第一，要加强宣传教育，切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识，树立敌情观念、纪律观念和法制观念，强化社会各界的信息安全意识，营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任，一方面要经常分析新形势下信息安全工作形势，自觉针对存在的薄弱环节，采取各种措施，把这项工作做好；另一方面要结合工作实际，进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

第二，要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来，我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规，但从整体上看，我国信息安全法规建设尚处在起步阶段，层次不高，具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此，我们应当加快信息安全有关法律法规的研究，及早建立我国信息安全法律法规体系。