1.我國信息安全管理的現狀、問題及其對策

我國信息安全管理的現狀、問題及其對策 摘要：信息安全是國家安全的基礎和關鍵。

在信息安全保障的三大要素（人員、技術、管理）中，管理要素的地位和作用越來越受到重視。理解并重視管理對信息安全的關鍵作用，對于真正實現信息安全目標來說尤其重要。

本文分析了信息安全管理的現狀，并著重討論了加強信息安全管理的策略。 關鍵詞：信息安全；管理；現狀；策略 信息安全管理是隨著信息和信息安金的發展而發展的。

在信息社會中，一方面信息已經成為人類的重要資產，在政治、經濟、軍事、教育、科技、生活等方面發揮著重要作用，另一方面由于計算機技術的迅猛發展而帶來的信息安全問題正變得日益突出。由于信息具有易傳播、易擴散、易損毀的特點，信息資產比傳統的實物資產更加脆弱，更容易受到損害，這樣將使組織在業務運作過程巾面臨巨大的風險。

這種風險主要來源于組織管理、信息系統、信息基礎設施等方面的固有薄弱環節和漏洞， 以及大量存在于組織內外的各種威脅， 因此對信啟、系統需要加以嚴格管理和妥善保護，信息安全管理也隨之產生。 1、國內信息安全管理現狀 1.1在國家宏觀信息安全管理方面的問題 （1）法律法規問題。

健全的信息安 法律法規體系是確保國家信息安全的基礎，是信息安全的第一道防線。我國已建立了法律、行政法規與部門規章及規范性文件等三個層面的有關信息安全的法律法規體系，對組織與個人的信息安全行為提出了安全要求。

但是我國的法律法規體系還存在缺陷，一是現有的法律法規存在不完善的地方，如法律法規之間有內容重復交叉， 同一行為有多個行政處罰主體，有的規章與行政法規相互抵觸，處罰幅度不?一致；二是法律法規建設跟不上信息技術發展的需要，這主要涉及網絡規劃與建設、網絡管理與經營、網絡安全、數據的法律保護、電子資金劃轉的法律認證、計算機犯罪、刑事立法、計算機證據的法律效力等方面的法律法規缺乏。 （2）管理問題。

管理包括三個層次的內容：組織建設、制度建設和人員意識。組織建設是指有關信息安全管理機構的建設。

信息安全的管理包括安全規劃、風險管理、應急計劃、安全教育培訓、安全系統的評估、安全認證等多方面的內容，因此只靠一個機構是無法解決這些問題的。在各信息安全管理機構之問，要有明確的分工，以避免“政出多門”和“政策拉車”現象的發生。

需要建立切實可行的規章制度，即進行制度建設，以保證信息安全。如對人的管理，需要解決多人負責、責仔到人的問題，任期有限的問題，職責分離的問題，最小權限的問題等。

有了組織機構和相應的制度，還需要領導的高度重視和群防群治，即強化人員的安全意識，這需要信息安全意識的教育和培訓，以及對信息安傘問題的高度重視。 （3）國家信息基礎設施建設問題。

目前構成我國信息基礎設施的網絡、硬件、軟件等產品幾乎完全是建立在外國的核心信息技術之上的。關于國家信息基礎設施方面存在的問題已引起國家的高度重視。

如“十五”期問，國家863計劃和科技攻關的重要項目就有“信息安全與電子政務”和“金融信息化”兩個有關信息安全的研究項目；2002年1月1日開始實施的《電信業務經營許可證管理辦法》明確要求：電信產品軟件商不能在軟件上預留“后門”，外國供貨商不能遠程登錄中國電信商的操作系統，高級 管系統要用國內可靠機構開發的軟件產品。 1.2我國在微觀信息安全管理方面存在的問題主要表現 （1）缺乏信息安全意識與明確的信息安全方針。

大多數組織的最高管理層對信息資產所面臨威脅的嚴重性認識不足，或者僅局限于IT方面的安全，沒有形成一個合理的信息安拿方針來指導組織的信息安全管理工作，這表現為缺乏完整的信息安全管理制度，缺乏對員工進行必要的安全法律法規和防范安全風險的教育與培訓，現有的安全規章組織未必能嚴格實施等。 （2）重視安全技術，輕視安全管理。

目前組織普遍采用現代通信、計算機和網絡技術來構建信息系統，以提高組織效礙暑與競爭能力，但相應的管理措施不到位，如系統的運行、維護和開發等崗位不清，職責不分，存在一人身兼數職現象。 （3）安全管理缺乏系統管理的思想。

大多數組織現有的安全管理模式仍是傳統的管理方法，出現了問題才去想補救的辦法，是一種就事論事、靜態的管理，不是建立在安全風險評估基礎上的動態的持續改進管理方法。 2、國外信息安全管理現狀 國際上信息安全管理近幾年的發展主要包括以下幾個方面。

（1）制訂信息安全發展戰略和計劃。制訂發展戰略和計劃是發達國家一貫的作法。

美、俄、日國家都已經或正在制訂自己的信息安全發展戰略和發展計劃，確保信息安全沿著正確的方向發展。 （2）加強信息安全立法，實現統一和規范管理。

以法律的形式規定和規范信息安全工作是有效實施安全措施的最有力保證。制訂網絡信息安全規則的先鋒是各大門戶網站，美國的雅虎和美國在線等網站都在實踐中形成了一套自己的信息安全管理辦法。

2000年1O月5日美參議院通過了《互聯網網絡完備性及關鍵設備保護法案》。2000年9月，俄羅斯實施了關于網絡信息安全的法律。

（3）步入標。

2.我國網絡安全法律

1、立法滯后、層次低，尚未形成完整的法律體系 在我國現行涉及網絡安全的法律中，法律、法規層次的規定太少。

規章過多，給人一種頭重腳輕的感覺.而且.在制定規章的過程中，由于缺乏縱向的統籌考慮和橫向的有效協調。制定部門往往出于自身工作的考慮，忽視了其他相關部門的職能及相互間的交叉等問題，致使出臺的規章雖然數量不少但內容重復交叉。

這種現狀一方面造成部門問更多的職能交叉，另一方面。在一定程度上造成了法律資源的嚴重浪費。

法律法規的欠缺、規章的混亂，常常造成這樣一種奇怪的現象對網絡違法行為，要么無人管.要么爭著管。 2、不具開放性 我國的信息網絡安全法結構比較單一、層次較低。

難以適應信息網絡技術發展的需要和日益嚴重的信息網絡安全問題。我國現行的安全法律基本上是一些保護條例、管理辦法之類的，缺少系統規范網絡行為的基本法律如信息安全法、網絡犯罪法、電子信息出版法、電子信息個人隱私法等。

同時，我國的法律更多她使用了綜合性的禁止性條款，如《中華人民共和國計算機信息系統安全保護條例》第七條規定：“任何單位或者個人。 不得利用計算機信息系統從事危害國家利益.集體利益和公民臺法利益的活動。

不得危害計算機信息系統的安全。“而沒有具體的許可性條款和禁止性條款。

這種大一統的立法方式往往停留于口號的層次上。難以適應信息網絡技術的發展和越來越多的信息網絡安全問題。

3、缺乏兼容性 我國的安全法律法規有許多難以同傳統的法律原則、法律規范協調的地方。 比如說，根據《中華人民共和國行政處罰法》第十二條規定，規章可以在法律.行政法規規定的給予行政處罰的行為、種類和幅度范圍內作出具體規定。

尚未制定法律、行政法規的。規章對違反行政管理秩序的行為，可以設定警告或者一定數量罰款的行政處罰。

在我國現有相關法律、行政法規中.均未設定沒收從事違法經營活動的全部設備的處罰，但是依據這些行政法規制定的《互聯網上網服務營業場所管理辦法》的第14條，卻設定了沒收從事違法經營活動的全部設備的處罰種類，顯然這個處罰的設定與相關法規有矛盾之處。 4、缺乏操作性 我國的信息網絡安圭法中存在難以操作的現象。

為丁規范網絡上的行為。政府職能部門都出臺了相關的規定，公安部、信息產業部、國家保密局、教育部、新聞出版署、中國證監會.國家廣播電影電視總局、國家藥品監督營理局、原國務院信息化工作領導小組等都制定了涉及網絡的管理規定。

此外，還有許多相關的地方性法規.地方政府規章。數量雖大，但是它們的弊端是明顯的。

由于沒有法律的統一協調，各個部門出于自身利益，致使常常出現同一行為有多個行政處罰主體，處罰幅度不盡一致，行政審批部門及審批事項多等現象。這就給法律法規的實際操作帶來了諸多難題。

3.信息安全法律法規及網上道德規范

社會最近發生的網絡案件如網友見面、虛擬財產被竊等現象。這些問題不能不引起我們注意關于網絡安全，網絡道德問題，導入這節課“做信息時代的合格公民”的主題。

師：首先肯定網絡給我們帶來的各種積極的、重要的影響。結合上節課學習的計算機病毒和計算機犯罪問題，引出在網絡使用過程中經常出現的問題，給我們帶來了很多的負面影響。

生：通過教材中任務，找出信息活動中經常出現的問題；并且填寫任務單中相應內容。

師：列舉網絡使用過程中經常出現的問題：網上傳播不良信息；利用網絡從事違法犯罪活動；虛假信息給青少年造成不良影響；垃圾信息泛濫成災；等等。設計意圖：激發學生解決問題興趣。

生：如何解決以上問題？（頭腦風暴）如：依靠法律法規、依靠技術維護及做好網絡道德規范宣傳活動等等。

師：指導學生通過學習網站閱讀網絡道德規范及青少年網絡文明公約。

生：閱讀教材了解《青少年網絡文明公約》的內容，并且對自己的日常上網行為進行反省。

(1)設問：去過網吧的同學有多少？一般去一次是多長時間？在網吧里一般都做什么？平均一周去幾次？

活動：民意調查，從而闡明“拒絕泡網吧，珍惜生命”。

(2)設問：在網絡上，聊過天嗎？泡論壇嗎？玩過最近流行的網絡游戲嗎？在這些方面上，你投資了多少，收獲了多少？

活動：民意調查，從而闡明“擦亮慧眼，分清虛實世界”。

(3)利用搜索引擎及部分相關資料，舉實例，如網頁木馬、惡意代碼、網絡虛擬財產案、重要機構機密資料被竊等。

活動：讓學生自己總結網絡安全的重要性。并號召學生“刻苦鉆研網絡技術，維護網絡安全”，爭做網絡小衛士。

(4)在網絡的虛擬世界中，注意保護個人的相關資料，如家庭住址、電話號碼、生日、親屬關系、銀行賬號等相關內容。

活動：假如泄露了個人相關資料，會引起什么樣的惡性后果？（讓學生自己總結）從而闡明“增強自我保護意識，守護個人資料”。

師：組織學生討論：“本校內的BBS中留有以虛假身份或匿名方式發布的大量帖子，部分內容粗俗，不健康不積極，還有的謾罵同學或是教師的。”教師與學生游覽并且引導學生從現在做起。

生：利用校內網站（）中的BBS或登陸FTP進行網上討論，發表個人看法。

師：指導學生登陸因特網法律法規網站，了解法律法規常識。

/~bytalent/lawnet/net_safe/03.htm

師：指導學生閱讀課后案例：“破譯密碼竊取巨額儲蓄資金 黑客被判無期徒刑”等等案例。

生：回答案例中主人公觸犯了哪些法律法規。

師：在信息社會的高速發展下，信息課程日漸成為以后人們重要的學習方式，所以倡導學生分組討論共同制定一個“網絡課程學習守則”，并對學生制定的守則進行評價。

生：根據《青少年網絡文明公約》從“課程學習”、“交流討論”“聯系反饋”等方面討論總結出學生自己的學習守則，并且努力自覺的遵守守則，并在班上交流。

師：指導學生為本班擬定一份“網絡課程學習守則”。

生：各小組長負責完善各小組交流之后的學習守則，共同完成本班內的“網絡課程學習守則”。

師：指導學生完成“小組學習任務單”的全部內容。

4.近幾年來我國出臺的相關計算機信息安全法律法規

二○○六年十一月二十二日

最高人民法院關于修改《最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》的決定（二）

(2006年11月20日最高人民法院審判委員會第1406次會議通過)

根據《中華人民共和國著作權法》第五十八條及《信息網絡傳播權保護條例》的規定，最高人民法院審判委員會第1406次會議決定對《最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》作如下修改：

刪去《最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》第三條。

根據本決定對《最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》的條文順序作相應調整后，重新公布。

最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋

法釋〔2006〕11號

(2000年11月22日最高人民法院審判委員會第1144次會議通過根據2003年12月23日最高人民法院審判委員會第1302次會議《關于修改〈最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋〉的決定》第一次修正根據2006年11月20日最高人民法院審判委員會第1406次會議《關于修改〈最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋〉的決定（二）》第二次修正）

為了正確審理涉及計算機網絡著作權糾紛案件，根據民法通則、著作權法和民事訴訟法等法律的規定，對這類案件適用法律的若干問題解釋如下：

第一條 網絡著作權侵權糾紛案件由侵權行為地或者被告住所地人民法院管轄。侵權行為地包括實施被訴侵權行為的網絡服務器、計算機終端等設備所在地。對難以確定侵權行為地和被告住所地的，原告發現侵權內容的計算機終端等設備所在地可以視為侵權行為地。

第二條 受著作權法保護的作品，包括著作權法第三條規定的各類作品的數字化形式。在網絡環境下無法歸于著作權法第三條列舉的作品范圍，但在文學、藝術和科學領域內具有獨創性并能以某種有形形式復制的其他智力創作成果，人民法院應當予以保護。

第三條 網絡服務提供者通過網絡參與他人侵犯著作權行為，或者通過網絡教唆、幫助他人實施侵犯著作權行為的，人民法院應當根據民法通則第一百三十條的規定，追究其與其他行為人或者直接實施侵權行為人的共同侵權責任。

第四條 提供內容服務的網絡服務提供者，明知網絡用戶通過網絡實施侵犯他人著作權的行為，或者經著作權人提出確有證據的警告，但仍不采取移除侵權內容等措施以消除侵權后果的，人民法院應當根據民法通則第一百三十條的規定，追究其與該網絡用戶的共同侵權責任。

第五條 提供內容服務的網絡服務提供者，對著作權人要求其提供侵權行為人在其網絡的注冊資料以追究行為人的侵權責任，無正當理由拒絕提供的，人民法院應當根據民法通則第一百零六條的規定，追究其相應的侵權責任。

第六條網絡服務提供者明知專門用于故意避開或者破壞他人著作權技術保護措施的方法、設備或者材料，而上載、傳播、提供的，人民法院應當根據當事人的訴訟請求和具體案情，依照著作權法第四十七條第（六）項的規定，追究網絡服務提供者的民事侵權責任。

第七條 著作權人發現侵權信息向網絡服務提供者提出警告或者索要侵權行為人網絡注冊資料時，不能出示身份證明、著作權權屬證明及侵權情況證明的，視為未提出警告或者未提出索要請求。

著作權人出示上述證明后網絡服務提供者仍不采取措施的，著作權人可以依照著作權法第四十九條、第五十條的規定在訴前申請人民法院作出停止有關行為和財產保全、證據保全的裁定，也可以在提起訴訟時申請人民法院先行裁定停止侵害、排除妨礙、消除影響，人民法院應予準許。

第八條 網絡服務提供者經著作權人提出確有證據的警告而采取移除被控侵權內容等措施，被控侵權人要求網絡服務提供者承擔違約責任的，人民法院不予支持。

著作權人指控侵權不實，被控侵權人因網絡服務提供者采取措施遭受損失而請求賠償的，人民法院應當判令由提出警告的人承擔賠償責任。

5.求開題報告《我國信息安全的現狀及對策研究》

長期以來，人們對保障信息安全的手段偏重于依靠技術， 從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、身份認證等等。

廠商在安全技術和產品的研發上不遺余力， 新的技術和產品不斷涌現；消費者也更加相信安全產品， 把僅有的預算也都投入到安全產品的采購上。 但事實上僅僅依靠技術和產品保障信息安全的愿望卻往往難盡人意， 許多復雜、多變的安全威脅和隱患靠產品是無法消除的。

“ 三分技術，七分管理”這個在其他領域總結出來的實踐經驗和原則， 在信息安全領域也同樣適用。據有關部門統計， 在所有的計算機安全事件中，約有52%是人為因素造成的，25% 由火災、水災等自然災害引起，技術錯誤占10%， 組織內部人員作案占10%，僅有3% 左右是由外部不法人員的攻擊造成。

簡單歸類， 屬于管理方面的原因比重高達70%以上， 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。 因此，管理已成為信息安全保障能力的重要基礎。

一、我國信息安全管理的現狀 （1）初步建成了國家信息安全組織保障體系 國務院信息辦專門成立了網絡與信息安全領導小組， 成員有信息產業部、公安部、國家保密局、國家密碼管理會員會、國家安全部等強力部門，各省、市、自治州也設立了相應的管理機構。2003年7月， 國務院信息化領導小組第三次會議上專題討論并通過了《 關于加強信息安全保障工作的意見》， 同年9月，中央辦公廳、國務院辦公廳轉發了《 國家信息化領導小組關于加強信息安全保障工作的意見》（ 2003[27]號文件）。

27號文件第一次把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。 2003年7月成立了國家計算機網絡應急技術處理協調中心（ 簡稱CNCERT/CC），專門負責收集、匯總、核實、發布權威性的應急處理信息、為國家重要部門提供應急處理服務、協調全國的CERT組織共同處理大規模網絡安全事件、對全國范圍內計算機應急處理有關的數據進行統計、根據當前情況提出相應的對策、與其他國家和地區的CERT進行交流。

目前已經在全國各地建立了31個分中心， 并授權公共互聯網應急處理國家級服務試點單位10家、公共互聯網應急處理省級服務試點單位20家， 還有國內的10家骨干互聯網運營企業成立自己的應急處理中心（ CERT），這10家互聯網運營企業與中國數千家的ISP、個人用戶和企業用戶，成為了CNCERT/CC的主要聯系成員， 由此形成了一個立體交錯的應急體系， 形成了信息上下暢通傳遞的通報制度。 2001年5月成立了中國信息安全產品測評認證中心（ 簡稱CNITSEC）， 代表國家開展信息安全測評認證工作的職能機構， 依據國家有關產品質量認證和信息安全管理的法律法規管理和運行國 家信息安全測評認證體系。

負責對國內外信息安全產品和信息技術進行測評和認證、對國內信息系統和工程進行安全性評估和認證、對提供信息安全服務的組織和單位進行評估和認證、對信息安全專業人員的資質進行評估和認證。目前建有上海、東北、西南、華中、華北五個授權評認證中心機構和兩個系統安全與測評技術實驗室 。

（2） 制定和引進了一批重要的信息安全管理標準 為了更好地推進我國信息安全管理工作，公安部主持制定、國家質量技術監督局發布的中華人民共和國國家標準GB17895 -1999《計算機信息系統安全保護等級劃分準則》， 并引進了國際上著名的《ISO 17799:2000：信息安全管理實施準則》、《BS 7799-2:2002：信息安全管理體系實施規范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技術安全性評估準則 》、《SSE-CMM：系統安全工程能力成熟度模型》 等信息安全管理標準。信息安全標準化委會設置了10個工作組， 其中信息安全管理工作組負責對信息安全的行政、技術、人員等管理提出規范要求及指導指南，它包括信息安全管理指南、信息安全管理實施規范、人員培訓教育及錄用要求、信息安全社會化服務管理規范、信息安全保險業務規范框架和安全策略要求與指南。

（3） 制定了一系列必須的信息安全管理的法律法規 從上世紀九十年代初起，為配合信息安全管理的需要，國家、相關部門、行業和地方政府相繼制定了《 中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《 商用密碼管理條例》、《互聯網信息服務管理辦法》、《 計算機信息網絡國際聯網安全保護管理辦法》、《 計算機病毒防治管理辦法》、《互聯網電子公告服務管理規定》、《 軟件產品管理辦法》、《電信網間互聯管理暫行規定》、《 電子簽名法》等有關信息安全管理的法律法規文件。 （4） 信息安全風險評估工作已經得到重視和開展 風險評估是信息安全管理的核心工作之一。

2003年7月， 國信辦信息安全風險評估課題組就啟動了信息安全風險評估相關標準 的編制工作， 國家鐵路系統和北京移動通信公司作為先行者已完成了的信息安全風 險評估試點工作，國家其它關鍵行業或系統（如電力、電信、銀行等）也將陸續開展這方面的工作。 二、我國信息安全管理目。

6.我國電子政務安全策略分析

我國電子政務信息安全風險主要存在于觀念、技術、管理和法律方面。

要強化電子政務環境下公務員的信息安全意識，建立電子政務信息安全管理機構，完善信息安全基礎設施和扶持國有信息安全產業的發展。 1 電子政務信息安全的內涵 電子政務是政府管理方式的革命，它是運用信息以及通信技術打破行政機關的組織界限，構建一個電子化的虛擬機關，使公眾擺脫傳統的層層關卡以及書面審核的作業方式，并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等，高效快捷地向人們提供各種不同的服務選擇。

政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。電子政務的建立將使政府成為一個更符合環保精神的政府，一個更開放透明的政府，一個更有效率的政府，一個更廉潔勤政的政府。

然而，電子政務的職能與優勢得以實現的一個根本前提是信息安全的有效保障。因為電子政務信息網絡上有相當多的政府公文在流轉，其中不乏重要信息，內部網絡上有著大量高度機密的數據和信息，直接涉及政府的核心政務，它關系到政府部門、各大系統乃至整個國家的利益，有的甚至涉及國家安全。

如果電子政務信息安全得不到保障，電子政務的便利與效率便無從保證，對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題。

電子政務的信息安全可以理解為： （1）從信息的層次看，包括信息的完整性（保證信息的來源、去向、內容真實無誤）、保密性（保證信息不會被非法泄露擴散）、不可否認性（保證信息的發送和接收者無法否認自己所做過的操作行為）等。 （2）從網絡層次看，包括可靠性（保證網絡和信息系統隨時可用，運行過程中不出現故障，遇意外事故能夠盡量減少損失并盡早恢復正常）、可控性（保證營運者對網絡和信息系統有足夠的控制和管理能力）、互操作性（保證協議和系統能夠互相聯接）、可計算性（保證準確跟蹤實體運行達到審計和識別的目的）等。

（3）從設備層次看，包括質量保證、設備備份、物理安全等。 （4）從管理層次看，包括人員可靠、規章制度完整等。

2 電子政務信息安全風險分析 現階段，我國電子政務信息安全系數比較低。公安部1998年8月在江蘇、上海、廣東等省（市）對169信息網進行檢測，發現其設防能力十分脆弱，難以抵御任何方式的電子攻擊。

電子政務信息安全風險主要存在4個方面。 2.1 觀念方面 著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發，提出應把信息系統安全建設提高到研制“兩彈一星”的高度去認識。

1999年政府上網工程啟動以來，政府部門越來越重視網絡系統建設，看重網絡帶來的便利與高效，但是有些地方對信息安全工作未引起足夠重視。據估計，我國在網絡工程中網絡安全的投入費用不到2%，同國外的10%相比有較大差距。

現階段，電子政務網絡的開放程度不高，一些機密信息目前還沒有上網，再加之公眾對計算機犯罪的態度較為“寬容”，認為并沒有造成直接的人員財產損失，這都使得公務員和普通大眾對信息安全問題關注不夠，信息安全意識淡薄。 2.2 技術方面 （1）計算機系統本身的脆弱性，使得它無法抵御自然災害的破壞，也難以避免偶然無意造成的危害。

如：洪水、火災、地震的破壞，系統所處環境的影響（溫濕度、磁場、碰撞、污染等），硬件設備故障，突然斷電或電壓不穩定及各種誤操作等。這些危害會損害操作系統設備，有時會丟失或破壞數據，甚至毀掉整個系統。

（2）網絡本身存在缺陷。首先，軟件本身缺乏安全性。

操作系統的設計一般著重于提高信息處理的能力和效率，對于安全只是作為一項附帶的條件加以考慮。因此，操作系統中的安全缺陷相當多。

其次，通信與網絡設備本身有弱點。絕大多數電子政務信息網絡運行的是TCP/IP,NetBEUI,IPX/SPX等網絡協議，而這些網絡協議并非專為安全通訊而設計。

利用這些網絡進行服務，本身就可能存在多方面的威脅，加之使用者信息安全意識淡薄，管理者管理措施不力等原因，會造成一些常見的安全問題：對物理通路的干擾；網絡鏈路傳送的數據被竊聽；非授權用戶非法使用，信息被攔截或監聽；操作系統存在的網絡安全漏洞；應用平臺的安全，如數據庫服務器、電子郵件服務器等均存在大量的安全隱患，很容易受到病毒、黑客攻擊；直接面向用戶的應用系統存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次，目前世界上還缺乏統一的操作系統、計算機網絡系統和數據庫管理系統，缺乏統一的信息安全標準、密碼算法和協議，因而無法進行嚴格的安全確認。

（3）我國具有自主知識產權的信息設備、技術、產品較少，如計算機芯片、骨干路由器和微機主板等基本上從國外進口，且對引進技術和設備缺乏必要的技術改造，尤其是在系統安全和安全協議的研究和應用方面。而美歐等發達國家對我國限制和封鎖信息安全高密度產品，出口到我國的信息產品中留有安全隱患。

例如，美國出口我國的計算機系統的安全系統只有C2級，是美國國防部規定的8個安全級別之中的倒數第三；在操作系統、數據庫管理系統或應用程序中預。

7.信息安全的法律與憲法之間的關系

熱心相助

您好！

我國從維護國家安全、社會穩定和網絡安全管理的實際需要出發，從20世紀90年代初開始，國家及相關部門、行業和地方政府相繼制定了多項有關網絡安全的法律法規。

我國網絡安全立法體系分為以下三個層面：

第一層面：法律。為全國人民代表大會及其常委會通過的法律規范。我國與網絡信息安全相關的法律主要有：《憲法》、《刑法》、《治安管理處罰條例》、《刑事訴訟法》、《國家安全法》、《保守國家秘密法》、《行政處罰法》、《行政訴訟法》、《全國人大常委會關于維護互聯網安全的決定》、《人民警察法》、《行政復議法》、《國家賠償法》、《立法法》等。

第二個層面：行政法規。主要指國務院為執行憲法和法律而制定的法律規范。與網絡信息安全有關的行政法規包括：《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《計算機信息網絡國際聯網安全保護管理辦法》、《商用密碼管理條例》、《中華人民共和國電信條例》、《互聯網信息服務管理辦法》、《計算機軟件保護條例》等。

第三個層面：地方性法規、規章、規范性文件。主要指國務院各部、委依據法律和國務院行政法規與法律規范，以及省、自治區、直轄市和較大的市人民政府依據法律、行政法規和本省、自治區、直轄市的地方性法規制定的法律規范性文件。

國家公安部制定的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機病毒防治管理辦法》、《金融機構計算機信息系統安全保護工作暫行規定》、《關于開展計算機安全員培訓工作的通知》等。

國家工業和信息化部制定的《互聯網電戶公告服務管理規定》、《軟件產品管理辦法》、《計算機信息系統集成資質管理辦法》、《國際通信出入口局管理辦法》、《國際通信設施建設管理規定》、《中國互聯網絡域名管理辦法》、《電信網間互聯管理暫行規定》等。2009年5月，又在其頒布的《互聯網網絡安全信息通報實施辦法》和《木馬和僵尸網絡監測和處置機制》中，對國家互聯網應急中心和互聯網運營商、域名服務機構，以及網絡安全企業共同開展網絡安全信息共享和打擊黑客產業給出了具體的規定。

摘自本人編著