作者：新县网络信息中心    文章来源:中国国家培训网    信息录入：www.hnxx.gov.cn 

 
  　  •  信息化与信息安全

　　•  电子政务的信息安全

　　•  信息安全保障体系建设

　　第一节 信息化与信息安全

　　这一节主要涉及四个方面的内容

　　1.1信息化与现代网络

　　1.2信息安全的概念及发展

　　1.3我国的信息安全形势及主要问题

　　1.4信息安全对国家信息化的综合影响

　　1.1信息化与现代网络

　　1.对信息化的历史回顾

　　讲到信息化必须提到信息革命。信息技术的发展，把我们人类推到了一个新时代，我们称之为信息社会或者叫信息时代。信息革命，国内外都公认是人类第三次最伟大的生产力的革命，甚至提到像以前的农业社会，工业社会，现在是信息社会。在信息化社会里越来越多的提到数字化的生存，包括生活方式，包括生活的空间，包括时间，都在不断地开拓。信息成为信息社会中须臾不可离开的基本生活要素。全球范围的信息化推动了信息技术在政治，经济，军事，文化各个领域的发展，特别是最近五到八年，互联网络的起飞，把一个以网络经济或网络社会为主要特征的时代带到了我们面前。全球信息化的浪潮给我国的发展带来了十分难得的机遇。在信息化的发展过程中，信息安全的问题是一个事关全局的战略性的问题。

　　简单回顾一下世界的文明史，我们不难发现，二百年前，英国人瓦特发明了蒸汽机，他成就了英国作为一个日不落帝国，繁荣了相当长的一段时间。一百年前，爱迪生发明了电灯，贝尔发明了电话，美国抓住了这个机遇，成为很长一段时间世界的列强之一。五十年前 ,美国人又发明了晶体管和计算机，美国又充分利用了这个机遇，成为现在依然强大的超级大国。

　　这三次机会，很多研究现代化和研究历史的专家都提到，我们中华民族都没有抓住。建国以后，以农业为基础，工业为主导的方针使得中国从一个弱国变成了大国。但这还不是目标，当前新的形势下，中国的目标是要以信息化带动工业化，利用历史赋予的这几十年十分难得的战略机遇，全面建设我们的小康社会，成为世界强国。

　　说起信息技术，大家并不陌生，我们简单回顾一下它的发展，便能够感觉到它和我们的生活须臾不可分离。信息技术，我们接触最早的就是电报。十八世纪中到二十世纪中，通信技术得到了发展。 1844年5月24日，莫尔斯建成了从华盛顿到巴尔的摩的64公里长的电报线路，并且在这条线路上正式发了第一封电报，揭开了人类通信历史的新一页。1878年，贝尔和沃森在相距三百公里的波士顿和纽约之间成功地进行了电话通话实验，并且建立了后来闻名于世界的贝尔电话公司，从此电话得到了飞速的发展。

　　继电话之后，二十世纪六十年代，计算机进入了人们的生活。 1946年2月15日，美国宾夕法尼亚大学制造了世界上第一台电子计算机，叫埃尼阿克，这台计算机一直工作到1955年10月2日。1964年4月7日，美国IBM公司宣布，世界上第一个采用集成电路的通用计算机IBM360 系列 研制成功。我们国内还叫做电脑，电脑就是模拟人的思维和运算的现代化信息处理设备，就在那个时代问世了。大型的计算机问世以后，为了适应社会发展的需要，很快又出现了微机，就是台式机，笔记本电脑等等。今天，计算机已经从庞然大物变成了微型便携，进入了大众之家。我们国家已经能够生产从大型的银河机，到台式计算机，笔记本电脑以及掌上电脑，林林总总，多种多样。

　　2.信息化的发展趋势

　　从电报，电话到大型计算机，到微型机，到现在的网络，我们从这个发展历史中能够发现什么样的规律？信息化的发展趋势主要有以下四点：

　　第一点，信息的数字化。

　　无论是语音信息还是图像信息，都转换成全数字处理。信息技术发展以后，尤其是数字信号处理技术发展以后，各式各样的信息都采用数字化处理，这是第一个趋势。

　　第二点，通信计算机化。

　　现在，电话机和一个终端的计算机越来越没有区别了。微型计算机，笔记本电脑，可以在上边发传真，发邮件，通信和计算机紧密的结合起来了，通信设备，尤其是大量的通信的终端设备变成了程控化，计算机化，这是第二个趋势。

　　第三点，计算机网络化。

　　通信方式又和计算机的应用结合起来，计算机和计算机之间不是单台在处理信息，而是计算机和计算机之间联成了网络，也就是计算机与计算机之间用通信的方式联在一起，我们把它称之为计算机网络化。

　　第四点，网络 ＩＮＴＥＲＮＥＴ化 。

　　自从 ＩＮＴＥＲＮＥＴ 这个互联网络技术出现以后，它以一种很方便的方式把计算机网络，通信网络，各式各样的网络通过一种非常简单的方式相互联接起来。现在，越来越多的传统网络都向互联网络转化，越来越多的网络都采用现代互联网络所采用的技术模式和处理方式来处理信息。

　　这就是信息化的四个发展趋势

　　由于这四个方面的趋势，就使得信息技术的发展从计算机时代发展到现在的互联网时代，现在，我们把现在讲的用互联网络技术处理的通信网络、电话网络、互联网络等等，称之为现代信息网络。这些网络进入到社会以后，有一些什么样的基本的性质？这个问题在讨论信息安全的时候必须首先弄清楚。

　　3.现代信息网络的基本性质

　　现代信息网络有四个方面的基本性质：

　　第一，技术特性，我们称之为社会的基础设施。网络已经成为我们现代社会的基础设施。什么叫基础设施呢？水，电，气，交通，航空等等，这些业已存在的系统，是维持现代社会运转，维持国民经济运行，维持日常国计民生，全社会须臾不可离开的设施，称之为社会的基础设施。现在的网络，尤其是电信网，互联网也已经成为了社会的基础设施。

　　十年前，二十年前如果我们没有电话，没有手机，感到很自然，那时候电话可能是与权力、财富等等联系到一起的。今天，我们如果离开了电话，离开了手机，不仅仅是政府机关难以运作，就是普通老百姓也感到生活不习惯。这就说明信息技术已经从奢侈品，从与权力、财富相关联的特殊用品变成了社会大众须臾不可分离的东西，这就是社会基础设施的特性。

　　第二，文化特性。互联网是一种新兴的大众媒体。上过互联网的同志们都知道，互联网络上信息非常丰富，而且互联网络是用一台计算机和全世界所有上网的计算机联在一起，上面的信息确实是五花八门。大家既是网络的消费者，信息的消费者，同时又是信息的生产者。我们会在网络上看大量的信息，同时我们又可以往网络上放大量的信息，所以，很多人把互联网络比喻成一张无边无际的大报纸。互联网络的这种性质，是它的文化属性。它是一种新兴的大众媒体。现在很多政府部门，包括学术界都把它称之为：继书和报刊、广播、电视之后的第四媒体。书和报刊是第一媒体，广播是第二媒体，电视是第三媒体，网络是第四媒体。

　　第三，网络还有它的社会属性。这些年来，社会上非常热络的是电子商务，大量的商务活动也在互联网络上开展，那么网络又是一个经济交往的平台。不仅简单的做网络的支付，网上的采购，几乎传统社会里的经济行为，都可以在网络上找到它的生存环境和空间。所以，网络从社会属性上来讲，它又有经济交往平台这个特性，这也是目前国内外基本上公认的。

　　第四，网络还是国防和主权的存在。尽管互联网络打破了国界，把全世界所有的计算机都联在一起，但是，这个世界毕竟是由不同政治观念，不同道德文化，不同种族，不同信仰的国家以及民族，地区等组成的现实世界，互联网络以及现代的信息网络同样要反映这样的现实。所以，国家的利益，国家的主权，国防等等这方面的存在和意义，在网络上体现得也越来越多，这也是学术界，管理界和社会民众普遍都能够感觉到，而且认同的一种性质。

　　了解了现代信息网络的这些基本性质，我们才能够深刻体会为什么信息安全如此重要。

　　

　　1.2信息安全的概念及发展

　　这里主要从历史的角度看今天讲的信息安全，是从怎样发展过来的，走过了哪几个发展的阶段；结合信息网络的基本性质，来看信息安全的基本内涵；客观分析今天高度关注的信息安全问题的原因；然后讨论一下信息安全问题的基本对策。

　　1.信息安全的历史发展

　　信息安全经过了这样几个发展阶段：

　　第一个阶段，通信保密阶段。年龄稍大的同志都知道，在网络没有出现之前，在电报，电话，传真那个时代，所谓的通信安全问题主要是个保密问题。从电报，电话发明之日起一直到七十年代，都是通信保密时代。这个时代的重点是采用密码技术解决通信保密问题，保证通信网络中传输的话音和数据能够不被别人听到，不被别人蓄意的篡改。当时通信网络遇到的主要的安全威胁是搭线窃听和敌对国家、敌对势力对通信内容的密码学分析。那个时代，主要的保护措施就是加密。

　　如果我们把使用通信技术作为电子政务最早的萌芽的话，那么密码机无疑是电子政务最早使用的信息安全设备。这个阶段产生了一些重要的标志。 1949年，美国有个科学家叫？，他发表了《保密系统的通信理论》，这是真正用信息技术解决信息安全问题的理论上的最早的贡献者。

　　当然，自从有人类就有了通信。回溯一下中国长达五千年的文明史，比如说长城上的烽火台也是一种通信设备。自从有了人类就有了战争，自从有战争就有安全和保密。有大量的方法，包括用暗语来保密，比如秘电码等。但这是传统的加密方式。

　　这个阶段的保密方式，有几个重要标志。

　　第一个重要标志，上个世纪四十年代到七十年代。1949年美国科学家？提出的保密系统的通信理论，不是简单的用一个文字，一个代号，一个密码口令来替代，而是用信息处理的方式对大量的通信进行保密。

　　第二个重要标志， 1977年， 美国国家标准局公布了数据加密标准，使得加密机可以广泛地在政府部门使用。

　　第三个重要标志， 1976年，由西方的三位科学家提出公钥密码体制。这是一种目前在网络上面利用最多的密码体制。

　　第二个阶段，计算机出现以后，信息安全进入了计算机安全阶段。这个阶段是从上世纪的七十年代到八十年代。重点是要确保计算机系统中的硬件，软件及正在处理、存储、传输的信息的机密性，完整性和可控性。

　　计算机出现以后，大量的信息在计算机里处理，怎么样保证处理信息的硬件和软件是可靠的，不会在把大量的信息放在计算机里以后，突然间计算机坏了。在计算机里面存储，处理，传输的这些信息一定要能保密，不能被不该看的人看见，不能被别人随意更改，也不能由别人来控制它，要由这个信息的主人自己来控制它。这很类似于我们在书本上记下的信息，我们希望能把它保存好，不被别人随意看到，把它锁好，就像保密文件一样锁到保险柜里面。而且，我们不希望写在纸上的这些信息被随便更改，我们还不希望它随便落到不信任的人手里。计算机的安全和我们平常处理文件的安全根本的道理是一样的，只不过我们的文件是在保险柜里处理，计算机里的信息是用软硬件来处理。

　　计算机安全的主要威胁不单是别人在通讯线路上听你的，或者是别人对你的东西进行密码学方面的分析，而且可能有人动你的计算机，可能有人拷你的磁盘，可能有人来破解你锁计算机的口令等等。所以在这个阶段提出的信息安全保护措施就是要构建安全的操作系统，要设计可以信得过的TCB技术（安全操作系统设计技术），是可信计算机系统。主要的标志是1985年，美国国防部公布了可信计算机系统评估准则。他们根据计算机处理信息安全保密级别的不同，把操作系统分成四类七个安全级别（ D，C1，C2，B1，B2，B3，A1）。当时在单台计算机处理信息的时候，这种分类方法是非常可取的，为美国国防现代化和信息化过程中的信息安全起到了非常好的作用。早期，我们国家的政府和军队也都像几乎所有的发达国家和发展中国家一样，采用与这个标准相类似的方法来强化我们专用计算机的安全。后来，由于网络和数据库出现了，美国国防部又将这样的标准延伸到网络的解释和数据库的解释，1987年提出了TNI，1991年提出了TDI，就是可信网络解释和可信数据库解释，形成了一整套的序列。时值今天，这样的分类方法，这样的保护措施依然在我们的现实生活中和我们的安全产品里能看到。

　　第三个阶段，信息系统／网络安全。从上世纪 90年代以来，网络，尤其是互联网络，也就是计算机通信和信息处理紧密结合以后，出现了信息网络，信息安全就进入了信息系统和网络安全这个阶段。这个阶段重点是要确保信息系统和信息在存储，处理，传输过程中间，都不被破坏，要确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施也都要得到妥善的保护。这个阶段强调对信息的保密性，完整性，可控性，可用性，可靠性，甚至是可维护性，可生存性等这些更宽泛内容。

　　过去，计算机里面的信息我们保证它像锁在保险柜里面一样，不被别人拿，不被别人改，不被别人随意使用。现在，在信息网络里，我们讲的信息安全是不仅要保证上述传统意义上的安全，同时还要保护整个网络本身的安全，把可靠性和可生存性这些特性也包括在信息安全的内容里面。

　　譬如说电话，不让通话内容被别人听到，这是一种安全。同样的，紧急情况下要使用电话，我也希望这个电话能够一拨就通，而不能因为网络繁忙就被停掉了。这些年来，我们海底光缆被人为的、被各种各样的自然灾害切断，隔断，都曾经导致过互联网的局部停顿。我们的民航系统，我们的大型信息处理系统，银行、金融，电信系统，也都出现过或大或小的系统停机或者系统停滞事件。从现代意义上来说，都不仅仅是一个技术故障的问题，而是一个信息系统的安全问题，或者叫信息网络的安全问题。原因当然很多，有的是技术的原因，有的是人为的，比如黑客的入侵，或者是像前不久还非常泛滥的病毒的侵害等等。所以，在这个阶段，安全的主要威胁是网络入侵，病毒破坏，信息对抗的攻击以及技术复杂性带来的一些挑战。

　　这个阶段主要的保护措施，就涉及到防火墙，防病毒软件，防黑客入侵设备， 漏洞检查 和扫描设备，身份识别设备，保密设备以及安全管理设备等等。

　　这个阶段的主要标志是由美国牵头，六个国家率先提出了一个新的安全评估的标准，经过长达五、六年的发展和更新，到 1999年、2000年，这个标准成为了国际标准15408，是信息技术安全性评估的世界通用准则。我们国家是这个国际标准法组织的成员单位。2001年，在国家质量技术监督局的领导下，由国家信息安全测评认证中心负责把这个标准 等同采用我们国家的一个推荐标准，叫做国标推， ＧＢ／Ｔ 18336。 这是一个重要的标志，从标准上面列出，保证网络和信息环境下的信息安全，要采用哪些措施，要防止那些威胁，在管理措施上，在其他方面上要采取什么样的策略。

　　在现阶段，网络与信息安全的要求，不是一个设备能够解决的。过去一台密码机就把加密的问题解决了。到计算机时代只有一台密码机是解决不了了，于是就有了访问控制，身份鉴别等等。到了系统和信息网络时代，出现了防火墙、加密机、入侵监测、防病毒等大量的满足不同需求，具有不同功能的安全设备出现了。这时，就要让它们形成一个体系，不能头疼医头，脚疼医脚，而是必须要有一个系统的，一揽子的解决方案，这就叫做信息安全的保障体系。

　　要做到一个网络和系统的安全，从最里层讲，有 人 的因素，物理的因素，有观念和意识的因素，有管理方面的因素。从网络本身讲，有计算环境的安全，即个人计算机或单位的局部网络的安全，要有边界的安全（网络接入到更宽阔的网络里边去，接入的边界是不是很安全），要有网络安全的基础设施，就是要有相应的提供安全服务的设备和设施，要有一整套的授权系统，就是哪些人能够访问哪些信息，和车在公路网上运行一样，哪些车能走哪条线，快车走哪条线，大货车走哪条线，什么地方应该停，什么地方应该等信号，也要一套完整的系统。

　　除了人和技术，网络运行也必须是很安全的。要对建设好的网络进行安全性的检测，要对网络的运行进行安全的监控，要确保它能够按照设计的目标正常运行，要不断对安全状况做出评估，而且还要准备相应的备份和灾难恢复的支撑，一旦这个网络垮了以后由哪个网络来替代。在这个保障体系里可以看到，人依然是安全的核心，这一点我想特别强调一下。现在讲技术角度很多，实际上，信息安全一定是管理和技术相结合的问题，技术永远是为人服务的。不仅信息安全是这样，所有的安全，包括卫生的安全，公共的安全，精神的安全，环境安全，经济安全等，人都是最重要的因素。在本质上，所有这些安全都是人类共同的安全。信息安全也一样，在信息安全里，人也是最最重要，最核心的因素，如果人不安全，所有的安全无从谈起。

　　2.信息安全的基本内涵

　　我们经历着从农业社会向工业社会的转变，工业化本身就是个技术化。现在又经历着从工业社会向信息社会的转变，尤其是我们是以信息化带动工业化，技术含量就更加高，所以，技术是一个不容忽视的问题。信息技术，国际社会把它叫做两用技术，用得好，它就能够产生很好的效益，为你服务，用得不好，它可能就会产生负面的效应。举一个例子，汽车、飞机，如果把安全问题解决了，处理得好，那么它是很好的，快速的，方便的交通工具，如果我们没有相应的安全保障，交通事故，飞行事故出现以后，会给我们带来相当大的灾难。大量的现代新技术都有两面性，或者叫做双刃剑。由于网络是个基础设施，它的运行也非常重要。信息安全涉及到人，技术和网络运行，就牵扯到人和技术的结合，从这个复杂的体系，我们就能够更好地理解信息安全的内涵是什么。

　　由于信息技术的发展已经渗透到社会的方方面面，因而信息安全问题也渗透到社会的方方面面。信息安全问题是由信息网络本身的属性决定的。信息网络主要有四方面的属性：

　　第一个方面，技术属性。信息网络是社会的基础设施，所以，信息安全方面的第一个内涵就是技术安全。信息保不保密，信息完不完整，信息视图可不可用，这方面如果出了问题，就会直接使社会经济受到损失。表现形式就是网络上出了一个安全事故，信息从网络上面泄密了，网络上面的数据被别人更改了。比如说炒股票的时候，报价的信息，十块钱的变成了一块钱，错了一个小数点等等，这些安全事故都能够造成直接的经济损失。

　　第二个方面，文化属性。现代网络是一个新兴的媒体，它带来的信息安全问题还是一个文化安全和理论安全的问题，包括信息内容的健康，积极和可控。不要以为这是在网络上边讲空洞的、抽象的政治。像美国那样的西方发达国家，都把互联网络，现代网络按照媒体来管理。一定要非常关注网络内容，如果不能得到很好的管理，不够健康和积极，就会直接影响到社会稳定，政治稳定。就会影响到道德，文化，影响到整个社会的信任机制。网吧出现以后，很多家长，很多学校提出要求，希望限制孩子上网，限制未成年人上网吧，限制未成年人浏览互联网络的不健康内容，就反映了这方面的社会要求。当然我们不是反对年轻人，尤其是未成年人上网，信息技术也应该从娃娃抓起，但是，我们一定要给孩子以正确的引导。因为信息技术是一个非常复杂的技术，互联网络的属性非常复杂，是一个新鲜事物，上面很多内容就连我们成人都还难以完全把握和控制，孩子如果没有很好的引导，不加约束的上网，就很容易受不良信息的影响，尤其是一些有害的，像色情、暴力、毒品等等这些信息的影响。

　　第三个方面，网络成为经济交往和社会交往的平台。网络是一种新的社会形态，信息化社会是一个可以触摸的，每天都可以感受到的新的社会形态，所以，它也会出现政治问题，国家安全问题，经济安全问题和社会安全问题。网络社会同样有它的政治秩序、经济秩序、社会秩序。网络是不是无法无天，无人管呢？不是，网络空间是人类社会的一个延伸，我们从农业社会进入到工业社会，不因为有了汽车，有了飞机，就可以在汽车、飞机里不遵循社会的公德和法律。在网络空间里，我们依然要受到社会的法律约束与道德约束。如果失去这种约束就会影响到经济发展，影响到社会稳定。

　　第四个方面 ,信息安全的内涵是它的主权存在，涉及到军事安全和国家安全。比如信息战，经济上的信息对抗等等，直接影响到国家与国家之间的军事冲突和信息对抗。

　　了解信息安全多方面的内涵，对我们理解电子政务中的信息安全是非常重要的。

　　信息安全是一种集体安全，它和军事安全，政治安全，经济安全，社会安全，环境安全一样，是我们人类社会发展中遇到的一种新的安全形式。

　　信息安全和所有其他的集体安全一样，有共同的性质。由于信息空间是物理世界的延伸和扩展，它与现实世界没有本质的区别，那么信息空间的威胁也是现实的，是我们这个物理空间威胁的一个自然的反映。信息空间的犯罪，网络上的犯罪，除了直接的杀人以外，社会上能看到的犯罪，偷窃、欺诈、破坏、剥削、勒索等等网络上面也都已经有了。我们感觉到网络社会与现实社会基本上是相同的，所以，信息安全问题和人类其他的安全问题一样，有着普遍的意义。但是，作为一种新的安全形态，信息安全又有它特殊的性质。信息安全是一种非传统的安全，就像 SARS，像大规模的传染病也是一种非传统的不安全因素，信息安全和过去的物理社会的看到的事故，像桥被炸了，飞机掉下来了等不大一样，有它的特殊性，我们归纳，主要有五个方面：

　　第一，自动化成为安全的具大隐患。信息化以后一切都自动，都是数字处理的，给控制和管理带来了挑战，一旦管理不好，控制不当，立即就会产生安全性的问题。比如，过去我们坐马车，在农业社会,马车翻了以后，损失是可能有人死了，但是和汽车翻掉以后死的人是不一样的，和飞机出了事故以后的损失更是不一样的。同样是交通工具，区别在哪里？关键就在于速度，在于自动化。信息网络的传递速度要比汽车、飞机快得多。

　　第二，行动的远程化使得安全管理面临挑战。联网以后，安全管理不是只管住自己这个网络就可以了，不是个人自扫门前雪，不管他人瓦上霜。你是和其他的人联系在一起的，和整个电子政务体系是连在一起的，加入互联网络以后，你甚至和全世界的网络都联系在一起，那么破坏你的这个网络的人或者是对你这个网络构成伤害的人，完全有可能不在本地，不在你的办公室，他可能来自于你的单位之外，甚至来自于我们国家之外。这就是行动的远程化。中国的一个网站被攻垮了，攻击的来源可能在美国。美国一个网页被黑掉了，攻击它的来源可能在中东。所以远程化是非常重要的一个特征。

　　第三，技术的传播特性使安全问题的产生机制难以控制。网络技术传播非常快，好技术传播非常快，破坏性的技术传播也非常快。在网络上，从美国往中国传递一个黑客破坏软件或者传播一个病毒，还不到一秒钟。产生快，控制起来就很难，要将一个枪支，一个爆炸品从一个城市带到另外一个城市，控制起来相对比较容易。而通过网络把一个破坏性的工具从一个国家传到一个国家，一个城市传到另外一个城市都是在微秒之间，只要鼠标轻轻一点，顷刻之间就传过去了。这是信息安全的第三个非常突出的特性。

　　第四，复杂性使得安全问题防不胜防。谁也没有想到网络是如此的复杂。现在，光是在中国，互联网用户就已经五、六千万。有一个预测，到2010年以后，我国互联网用户，包括手机用户，绝对是世界第一。那么多形形色色的人，那么多设备，那么多应用联在同一个网络上，想想多么复杂，复杂就容易产生问题。

　　第五，网络的虚拟特性。我们在网络上面相互可以传递信息，但是可以不见面。这个特性也给信息社会的安全带来很现实的威胁。过去我们面对面能够解决的问题，现在可以不见面来解决了，由于不见面，以后很多需要面对面才能确认的问题，就面临着威胁。我怎么相信你？如果说网络上连这种基本的信任机制都没有，那么电子政务，电子商务怎么来开展？买家或卖家，处长或科长，干部或群众在网络上没法区别。

　　信息安全的这些特殊的性质不仅仅是技术问题，必须要从政治和技术相结合，管理和技术相结合，人和技术相结合这些角度来理解网络与信息安全。

　　网络是技术和社会相结合的产物，信息安全就可以归纳为两类，一类是内容的安全问题，这主要涉及到舆论和政治，包括不良信息，有害信息，犯罪信息。另一类是网络安全的问题，主要是指关键基础设施。

　　电子政务所建立起来的信息网络和重要的业务应用系统，比如税务、海关、银行、电信、电力等这样重要的应用系统，受到黑客的攻击或恶意的破坏，出现了技术故障，影响了运行的安全，或通信保密方面出了问题，应用上出了问题，或者遭受到病毒的侵害，或被人进行了技术性的滥用，这样产生了十分严重的信息安全问题。目前不仅仅我们国家，几乎全球，只要是做信息化的国家都会遇到这两类问题。

　　3.产生信息安全问题的原因

　　关于形成信息安全问题的原因，我想引用美国科学家？的话，他被称为互联网络之父，是他设计和发明了今天的互联网。有记者曾经问他互联网络最大的好处和最大的坏处。他就说了下面这两句话：第一句，互联网络最大的好处是你和所有的人都连在一起，第二句话，互联网络最大的坏处是你和所有的人都连在一起。这就叫互联网悖论，这是安全问题产生的根源。网络希望广泛的、大量的联接，而安全要求的是严格、准确的控制。就是这个广和泛产生了信息安全问题，这是最本质的原因。

　　人类认识真理和实践都有局限性。同样，技术也有局限性。做信息技术的人都知道没有一个软件不存在漏洞。现在用得最多的微软操作系统软件，代码有五千多万行，是很多人共同编的。五千多万行的软件代码，中间只要出现一丁点的字母错误，设计错误，逻辑错误，循环错误，哪怕是一个非常小的，用信息业术语讲就是一比特的错误，都会给整个庞大的系统带来问题。所以，就像所有的安全问题一样，信息安全也是由于人类的局限性引起的。

　　脆弱性。我们的环境，系统，人员，管理都有它的薄弱环节。信息化毕竟是一个新鲜事物，我们还不能像使用汽车一样方便地使用飞机，开飞机的人比开汽车的人少得多，那么开汽车的人又比开马车或者骑自行车的人少的多，就是因为技术程度越高，越复杂，缺陷和不足也越多。

　　复杂性。互联网络，以及应用包括用户，实在是太复杂了。最近这五年，西方国家的科学家每年都要画一张互联网络地图。我看了 2002年的互联网络地图，画在一张彩色的画面上，眼看上去和人的大脑没有什么区别，密密麻麻，非常复杂。软件也复杂，网络本身复杂，宏观上复杂，微观上更复杂。这种复杂性是产生安全问题的又一个原因。

　　还有一个原因是和这个悖论一样，是开放性。这些因素导致了信息安全问题。

　　4.信息安全问题的对策－风险管理

　　信息安全问题会带来这么多的麻烦，并不是说就没法管理，没法控制了。我想特别强调的是信息安全是人类发展中遇到的一种新的安全问题，和其他的安全问题在本质是一样的，我们人类必然有智慧来有效地管理它。

　　必须按照风险管理的方式来处理信息安全问题。没有必要等到把这个世界上信息安全问题消灭得干干净净，再来搞信息化。我们必须妥善地控制风险，就像飞机是安全的交通工具，但并不表明飞机就不出事故。汽车是安全的交通工具，但是并不表明汽车不出交通事故。信息安全也一样，要用一种平常的心态来看待信息安全。现在国内外普遍采用的一种方式就是用风险管理的思想来管理和处理信息安全问题。

　　目前国内外通用的，解决信息安全的基本策略，有这么三个手段：先进的技术，严格的管理，威严的法律。

　　先进的技术是指信息安全是以技术安全为最本质特征，所以要以高技术对付高技术。

　　严格的管理是指信息技术和网络是人类使用的工具，是最现代化的工具，管理尤其重要。很多专家提出，信息安全应该是三分技术，七分管理。把管理看的很重要。当然严格区分几分和几分这个数量的关系很容易引起一些误解，我们要强调的是一定要从人和机器、社会、技术相结合的角度来处理信息安全问题，所以，管理非常重要。

　　威严的法律就是要规范网络上的行为。

　　在这三个手段综合治理的过程中，管理是核心，技术是手段，法律是保障。

　　通俗地讲，信息和网络的安全就是要做到：不想让他进来的，要让他进不来，不想被别人拿走的，要让他拿不走，不想被别人改掉的，一定改不掉，不想被别人看懂的，一定让他看不懂，如果谁来做了危害信息安全的事情一定能把他查的出来。还有，保证整个网络打不垮。

　　1.3我国的信息安全形势及主要问题。

　　1.我国面临的信息安全形势

　　信息安全的形势从大的方面讲有这么几个：

　　第一，网络系统日益复杂，安全隐患急剧增加。随着我们国家信息化进程的推进，信息技术使用越来越普及，信息网络的复杂性越来越大。 1992年微软的WINDOWS3.1操作系统的代码只有三百万行，到200０年， WINDOWS2000就超过了五千万行。网络攻击的重点无论是内部系统，还是远程拨号，互联网，都在逐年增多。

　　第二，应用环境快速变化，安全风险越来越大。信息化是社会化推进的进程。随着商业需求，客户应用，网络环境，操作系统，协议，人员，物理环境等等方面的变化，信息化的发展日新月异，使得我们面临的安全风险也不断的增多。 这些年来被黑客攻击最多的三大操作系统，一个是微软，一个是UNIX，一个是cisco ios。 。

　　第三，网络联通更加广泛，恶意连接防不胜防。过去几台计算机一联就成了一个局部网络，后来，局部网络和局部网络联在一起，成为广域的互联网络。现在进入了超大规模、巨型复杂的互联网络。过去我还知道谁跟我联，到后来根本就没法确认有多少人联在这个网络上面，你平常都和谁联在一起。由于大量不知名，不知姓的用户联在网络上，所以莫名其妙的，难以预测的攻击就越来越多。

　　美国FBI也对这前五年网络攻击的来源做了一个统计，发现来自外国政府，外国公司，黑客，以及商业竞争，公司内部不满员工的攻击都有。林林总总非常复杂 。

　　第四，网络用户快速增长，黑客攻击连年翻番。过去是可以度量的用户，现在是数以亿计的用户联在这个互联网络上。 2001年发生网络攻击行为最多的十个国家，美国排第一，我国排第二。那一年被 攻击最多 的十个国家，美国也排在第一，还好前十名里面都没有我们国家。越是信息化发达的国家越容易受到攻击。

　　第五， 网络匿名 显露弊端，道德伦理面临挑战。互联网是一个虚拟的空间，电子政务网络也是虚拟的，你不知道对方是谁。过去，这是一个很好的优点，你可以匿名，可以不要求实名，所以，很容易上网，很容易发展。但是现在，出现了弊端。我这里引用互联网络界最著名的一张漫画，两个狗，一条白狗和一个黑狗也在上网，白狗比较迟疑，不敢去敲键盘，黑狗对白狗说，别害怕，在网络上没有人知道你是只狗。说明拟名这个特性也有两面性。现在很多网络攻击行为，包括对信息的窃取等等都和这个拟名的特性有关。

　　这些年来篡改网页的事件，由于拟名，很难查到破坏者。由于信息技术越来越发展，破坏性的，攻击性的软件和工具越来越方便，对攻击者知识的要求也越来越低，所以，入侵攻击能力的发展同样是很大的威胁。

　　　　２．我国主要的信息安全问题

　　总结这五年来，我国在信息化发展过程中遇到的安全性问题有十一个。

　　第一，通过互联网络，海外的 民运 和分裂势力开了不少网站，他们利用电子杂志，邮件和电子广告牌加紧反动鼓噪。为什么要专门作为一个问题提出来，就是因为在电子政务建设中要高度关注这个问题。现在，我们越来越多的政府网站，尤其是国家公务人员的电子信箱里，莫名其妙的都会收到这些电子杂志，电子信件。很多人认为这是一种垃圾邮件。最近，国家互联网协会在反垃圾邮件方面做了很多努力，尽管这样，这个问题还是长期存在，值得引起大家的关注。

　　第二，国外的反华集团和组织利用网络媒体进行渗透和宣传。尤其是我们防非典期间，从网上看，造谣中伤的，看笑话的，很多。国外的反华势力也有相当多的网站专门对我们的人权问题，社会发展问题，社会热点问题做不客观的，挑唆的，鼓噪性的评论。这也是我们在电子政务建设中需要关注的。

　　第三，各种不良信息在网上泛滥，严重影响了社会稳定。

　　第四，台湾利用网络进行宣传，大搞网络外交，谋求所谓国际信息空间。

　　第五，国内的 民运分子 加大了网上的活动。“ 民主政党”活动值得我们政府各个部门更多的重视。

　　第六，邪教和封建迷信活动抬头，传销和传教增多。估计也会很容易渗透、影响到我们的政务网络。

　　第七，国外情报机构加紧利用网络搞窃密，黑客攻击、网络泄密隐患较大。

　　互联网络出现以后，政府内部的“失窃”案件逐年增多，一个原因就是我们一些政府网站、电子政务系统的建设，在没有安全保障的前提下就仓促上网了。为了形象工程，为了赶进度，为了各式各样的原因，马上把好多信息放上去，安全保障都还没做好，结果导致过去国外情报间谍机构需要大量的资金，要克服相当多的困难才能获得的东西，通过网络轻易就获取了。第二个原因就是我们的内部人员或者知情人员在使用网络的时候，有意、无意地造成泄密。是对网络的传播特性和它的广泛性以及安全保密的隐患认识不足导致的。第三个原因是承担政府信息系统建设的公司背景太复杂。找一间公司把网络建起来了，结果我们的领导，一把手，二把手，三把手，甚至省长，书记，他们的网络邮箱是什么，号码是什么，这个公司比咱们还清楚。平常，办公厅，办公室，通过门卫能够做适当隔离，在网上则没有，很多信息，不良的信息通过网络就直接到了我们领导计算机里。第四个原因，在信息技术上，特别是在芯片、操作系统、应用软件方面受制于人。我们的技术产品，特别是安全产品，通过我们安全认证的，也就是符合国家标准要求的，能够真正派上用场的还是比较少。现在安全工作还刚刚开始，可以利用的和可以获得的，通过认证的产品还不多，这些原因造成了近年网络方面的失窃率增加。

　　第八，国外网络侦控力度加强，对我加紧技术渗透，特别是信息安全技术方面，渗透强烈。据我们了解，美国，英国，法国等西方国家针对互联网的安全监控，不仅逐年加强，而且早在911发生之前就已经形成了联盟。尤其是911以后，他们基本上能够控制到每一台计算机和每一个电子邮件。美国政府支持他们的公司，尤其是信息安全公司向全球卖他们的产品，因为里面的安全机制能够为美国政府利用。我们国家在这方面制定了相应的政策，并限制他们的产品在我们国内使用，但是，我们发现不少公司采用赠送，配套，试用、合作等方式还是将这些敏感的信息安全产品放到了我们政府的部门，有的甚至放到了敏感的部门。现在我们使用的一些软件、芯片，甚至还有些户门，有回传功能，能够把信息通过网络传到国外去。如果我们用了这样的机器，不对它进行相应的处理，不对它进行安全的配置，风险是很大的。

　　第九，国际间信息化发展程度不一，数字化鸿沟客观存在。我们在信息化发展过程依然是一个发展中国家。信息化发达的国家会对信息化不发达的国家形成一种压力，形成一种利益上的侵害。在几大洲之间总有这么一两个国家是占主导地位的，这一两个国家能获得信息优势，政治优势，经济优势和技术的优势。

　　第十，网络病毒泛滥已经成为网络公害。例子很多，所有和计算机接触过的人都知道病毒的危害性。

　　第十一，计算机犯罪逐年上升。我们国家计算机犯罪增长速度已经超过了传统犯罪的增长速度。1997年，公安部门统计，只有二十几起，98年就到140多起，99年就到900多起，2000年上半年超过了1400多起。计算机犯罪要引起我们的重视。

　　1.４信息安全对国家信息化的综合影响

　　信息安全对我们国家信息化发展有综合的影响，它会影响到我们的政治，经济，社会，军事方方面面。

　　１．对政治安全的影响

　　信息化发达国家，很容易对信息欠发达的国家行使信息霸权。通过信息的传递，传播和扩散，对一个国家的舆论构成压力和威胁。因为信息化就是传媒的革命，对文化和文明提出了新的挑战，在一张互联网络上有西方文化，有东方文化，有儒家文化，有伊斯兰文化， 这些文化之间，客观上是存在着冲突的。

　　２．对经济安全的影响

　　现在，我国银行系统信息化程度是比较高的。现在金融业的特点就是网络化，信息化。证券，炒股票是最典型的信息网络，股票交易在深圳和上海，但是我们全国各地通过网络，到股票交易营业部就能看到报价信息，这就是最典型的网络化经济模式。金融网络系统的这个特点极易成为攻击目标。国内外，与经济和金融相关的网络攻击事件有很多活生生的例子。

　　３．对社会稳定的影响。

　　由于现代信息网络是现代社会的一个基础设施，就像民航系统出了问题，成千上万的旅客就要滞留在机场。银行出了问题，我们的提款，支付，消费行为就会受到影响。供电，电力系统出了问题，正常的生活就会受到影响。所以，国外把这些都叫做关键基础设施。我们国内把它叫做重要的应用系统。这方面一旦出了问题，就会直接影响到社会的稳定。

　　４．对军事国防的影响

　　对军事和国防方面的影响，就更不用说了。以前我们讲武装到牙齿，那么现在呢，是武装到眼睛，也就是说所有东西都信息化了。前线的战士不用直接用眼睛看敌人，看的是一个仪器，这个仪器替你去侦查，给你提供完整的信息，甚至给你提出下一步行动的建议。

　　５．信息安全问题的可能后果

　　总结这种综合的影响，我们会得到这样的结论，信息安全问题如果处理不好，就可能给社会带来综合性的后果，比如说舆论失控，政治上的被动，经济上的损失，社会动乱，军事的失利以及道德文化的沦丧。正因为这样，我们国家从中央政府到各地方政府，到普通的老百姓都要高度关注信息安全问题。