1.3 信息安全保障

互联网是涉及面极广的信息系统，要实现真正意义上的安全，必须同时从法规政策、管理、技术三个层面全方位采取有效措施。

一、完善的法律法规

信息安全需要通过完善的法律法规加以保障，为此不同的国家都针对信息安全制定了相应的法律法规。在美国，1998年5月发布《保护美国关键基础设施》，并围绕信息安全保障成立了多个组织，包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构。1998年美国国家安全局（National Security Agency，NSA）制定了《信息保障技术框架（Information Assurance Technical Framework，IATF）》，提出深度防御策略，确定包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。2000年1月发布《保卫美国计算机空间——保护信息系统的国家计划》，分析美国关键基础设施所面临的威胁，确定计划的目标和范围，制定出联邦政府关键基础设施保护计划，以及私营部门、洲和地方政府的关键基础设施保障框架。

俄罗斯在1995年颁布《联邦信息、信息化和信息保护法》，提出保护信息的法律责任，明确界定信息资源开放和保密的范畴，为提供高质量的信息保障创造条件。1997年发布《俄罗斯国家安全构想》，明确提出保障国家安全应把保障经济安全放在第一位，而信息安全又是经济安全的重中之重。2000年发布《国家信息安全学说》，明确了联邦信息安全建设的任务、原则和主要内容，第一次明确俄罗斯在信息领域的利益是什么，受到的威胁是什么，以及为确保信息安全首先要采取的措施等。

日本在2003年发布《信息安全综合战略》，强调信息安全保障是日本综合安全保障体系的核心。2010年发布《保护国民信息安全战略》，进一步加紧完善与信息安全相关的政策和法律法规，并成立信息安全措施促进办公室、综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的IT安全分局。

我国在信息安全方面也制定了一系列法律法规，包括《中华人民共和国计算机安全保护条例》《中华人民共和国商用密码管理条例》《计算机信息网络国际联网管理暂行办法》《计算机信息网络国际联网安全保护管理办法》和《计算机信息系统安全等级划分标准》等。此外，在我国的《刑法》修订中，也增加了有关计算机犯罪的条款。2016年11月7日发布《中华人民共和国网络安全法》，为保障我国的网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展提供了法律依据和保障。

二、严格的管理

安全管理包括人员可靠性、规章制度完整性等，其按照不同信息系统而不同。在开放信息系统中，根据信息安全监测软件的实际测试，一个没有安全防护措施的信息系统，其安全漏洞通常有1500个左右。其中用户口令的保管对信息系统安全至关重要。实际上，信息系统用户中很谨慎地使用或保管口令的人很少，因此被窃取概率很大。在封闭环境或专用系统特别是涉密信息系统中，各用户单位应建立相应的信息安全管理规则，确定大家共同遵循的规范，以加强内部管理，保证信息安全技术按预定的安全设计无差错运行。同时，依据信息安全评估标准，建立安全审计和安全跟踪体系，建立必要的信息安全管理系统。只有提高全体人员的信息安全意识，才能真正增强整个信息系统的安全性。

三、先进的技术

当前在信息安全中普遍采用的技术包括规模化密钥管理技术、虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、防病毒技术、加密技术、可信计算技术、鉴别和数字签名技术等，可以综合应用，构成多层次的信息安全解决方案。