求開題報告《中國信息安全現狀及對策研究》？

長期以來，人們註重依靠技術來保證信息安全，從早期的加密技術、數據備份和反病毒到近期網絡環境下的防火墻、入侵檢測和身份認證。廠商在安全技術和產品的研發上不遺余力，新技術新產品不斷湧現；消費者也更相信安全產品，把僅有的預算投入到安全產品的采購上。但事實上，僅僅依靠技術和產品來保證信息安全的願望往往並不盡如人意，很多復雜多變的安全威脅和隱患並不是產品能夠消除的。“三分技術七分管理”，這是在其他領域總結出來的實踐經驗和原則，同樣適用於信息安全領域。據有關部門統計，在所有計算機安全事件中，約52%是人為因素造成的，25%是火災、洪水等自然災害造成的，10%是技術錯誤造成的，10%是組織內部人員造成的，只有約3%是外部非法人員的攻擊造成的。簡單分類，管理原因占70%以上，這些安全問題95%可以通過科學的信息安全管理來避免。因此，管理成為信息安全的重要基礎。壹、我國信息安全管理現狀(1)初步建立了國家信息安全組織保障體系。國務院新聞辦成立了由信息產業部、公安部、國家保密局、國家密碼管理協會、國家安全部等職能部門組成的網絡與信息安全領導小組，各省、市、自治州也成立了相應的管理機構。2003年7月，國務院信息化領導小組第三次會議討論通過了《關於加強信息安全的意見》。同年9月，中央辦公廳、國務院辦公廳轉發了《國家加強信息安全工作領導小組意見》(2003年[27]號文件)。27號文件首次將信息安全上升到促進經濟發展、維護社會穩定、維護國家安全和加強精神文明建設的高度，提出了“積極防禦、綜合防範”的信息安全管理方針。2003年7月，國家計算機網絡應急技術處理協調中心(CNCERT/CC)成立，負責收集、匯總、驗證和發布權威應急處理信息，為國家重要部門提供應急處理服務，協調全國範圍內的CERT組織處理大型網絡安全事件，統計全國範圍內計算機應急處理相關數據，根據當前情況提出相應對策，並與其他國家和地區的CERT進行溝通。目前，全國已建立31分中心，10個國家公共互聯網應急響應試點單位、20個省級公共互聯網應急響應試點單位、10個國內骨幹互聯網運營企業已獲授權設立自己的應急響應中心(CERT)。這10家互聯網運營商與國內數以千計的ISP、個人用戶和企業用戶壹起，成為CNCERT/CC的主要聯系成員，從而形成了立體交錯的應急體系和自上而下信息暢通傳遞的通報體系。2001年5月，中國信息安全產品評價認證中心(CNITSEC)成立，代表國家信息安全評價認證職能機構，依據國家有關產品質量認證和信息安全管理的法律法規，管理和運行國家信息安全評價認證體系。負責國內外信息安全產品和信息技術的評估認證，國內信息系統和項目的安全評估認證，提供信息安全服務的組織和單位的評估認證，信息安全專業人員的資質評估認證。目前擁有上海、東北、西南、華中、華北五大授權測評認證中心和兩個系統安全與測評技術實驗室。(2)制定並出臺了壹批重要的信息安全管理標準。為更好地推進我國信息安全管理，公安部主持制定了中華人民共和國國家標準GB17895 -1999《計算機信息系統安全保護分級標準》，引進了國際著名的ISO 17799: 2000:信息安全管理實施準則、BS 7799-2: 2002:信息安全管理體系實施規範、ISO/IEC 15408:198信息安全標準化委員會下設10工作組，其中信息安全管理工作組負責對信息安全的行政、技術和人員管理提出規範性要求和指導意見，包括信息安全管理指南、信息安全管理實施規範、人員培訓、教育和就業要求、信息安全社會化服務管理規範、信息安全保險業務規範框架和安全政策要求和指導意見。(3)制定了壹系列必要的信息安全管理法律法規。自20世紀90年代初以來，為適應信息安全管理的需要，國家、有關部門、行業和地方政府先後制定了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《商用密碼管理規定》、《互聯網信息服務管理辦法》、《計算機信息網絡國際聯網安全保護管理辦法》、《計算機病毒防治管理辦法》等。 互聯網公告欄服務管理規定軟件產品管理辦法電信網間互聯管理暫行規定。 (4)信息安全風險評估受到重視，風險評估是信息安全管理的核心任務之壹。2003年7月，國家信息辦公室信息安全風險評估組開始了信息安全風險評估相關標準的編寫工作。作為先行者，中國鐵路系統和北京移動通信公司已完成信息安全風險評估試點工作，全國其他重點行業或系統(如電力、電信、銀行等。)也將陸續開展這項工作。第二，我國信息安全管理存在壹些問題。1.信息安全管理現狀依然混亂，缺乏國家層面的整體戰略。實際管理不夠，政策落實和監督不夠。有些規定過分強調部門自身的特點，而忽視了在國際政治經濟環境中體現中國的特點。有些規定沒有準確區分技術、管理和法制的關系，以管理代法律、利用行政管理技術的做法還比較普遍，導致制度可操作性差。2.具有中國特色的信息安全管理體系尚未建立，該體系是動態的，涵蓋組織、文件、控制措施、操作流程和程序以及相關資源。3.中國特色信息安全風險評估標準體系有待完善，難以確定信息安全需求、保護對象和邊界，缺乏系統全面的信息安全風險評估和評價體系以及全面完善的信息安全保障體系。4.缺乏信息安全意識，普遍存在重產品、輕服務、重技術、輕管理的思想。5.專項資金投入不足，管理人才極度匱乏，基礎理論研究和關鍵技術薄弱，嚴重依賴國外。引進的信息技術和設備缺乏保障信息安全所必需的有效管理和技術改造。6.技術創新不夠，信息安全管理產品水平和質量不高，特別是以集中配置、集中管理、狀態報告和戰略交互為主要任務的安全管理平臺產品研發還很落後。7.缺乏權威、統壹、專門的立法管理機構進行組織、規劃、管理和實施協調，導致我國現有的壹些信息安全管理法律法規存在法律層級低、真正的法律少、行政規章多、結構不合理、條塊分割等問題；執法主體不明確，多頭管理，多頭政策，各行其是，規則相互沖突，缺乏可操作性，難以實施，難以有法可依；數量不夠，內容不完善，制定周期過長，時間滯後，往往無法遵循；監管不力，有法不依，執法不嚴；缺乏專門的信息安全基本法，如信息安全法、電子商務法等；民法方面的立法缺失，如網絡隱私權法、網絡名譽權、網絡著作權保護法等；公民法律意識差，執法隊伍弱，人才缺乏。8、中國自己的信息安全管理標準太少，大部分遵循國際標準。在標準實施過程中，缺乏必要的國家監督管理機制和法律保障，使壹些企業或用戶無法實施標準，實施過程中出現的問題得不到及時妥善的解決。三。中國信息安全管理的壹些對策(1)在領導體制方面，建議成立“國家信息安全委員會”，作為國家機構、地方政府和私營部門合作的主要聯絡和推動者，負責跨部門保護工作的統籌協調，盡快建立具有信息安全保護能力、隱患發現能力、網絡應急能力和信息對抗能力的國家信息安全保障體系。(2)用開放的、發達的、主動的防禦取代過去的封鎖、隔離、被動防禦的方法，狠抓內網的用戶管理、行為管理、內容控制和應用管理、存儲管理，堅持“多層防護、主動防護”的方針。加強信息安全戰略的研究、制定和實施。國家信息安全主管部門和標準委要為組織制定信息安全策略提供標準支持，確保組織能夠以極低的成本制定專業的信息安全策略，提升我國整體信息安全管理水平。(3)進壹步完善國家互聯網應急管理體系建設，實現全國統壹指揮和分工協作，全面提升預案制定水平和處理能力。在建立類似非典的涉密信息報告制度的同時，應在現有公安系統中建立類似“110”、“119”的“信息安全部隊”，負責信息網絡安全、安全監管、安全應急和安全威懾。制定關鍵設施或系統的應急預案，定期更新和測試信息安全應急預案。(4)加快信息安全立法和監管，建議建立統壹、權威、專業化的信息安全立法組織管理機構，全面規劃、設計、監督和協調我國信息法律制度的實施，加快中國特色信息安全法律體系建設，根據信息安全要求對已頒布的法律法規進行修補。盡快制定信息安全基本法、青少年上網保護法、政府信息公開條例等政策法規。特別是為配合電子簽名法的實施，落實國務院辦公廳關於加快發展電子商務的意見，要抓緊研究電子交易、信用管理、安全認證、網絡支付、稅收、市場準入、隱私保護、信息資源管理等方面的法律法規，盡快提出制定相關法律法規；推進網上仲裁、網上公證等法律服務和保障體系建設。(5)加快信息安全標準化的制定和實施，盡快制定基於ISO/IEC 17799國際標準並適合我國的信息安全管理標準體系，特別是建立和完善信息安全風險評估標準和管理機制，按照國家標準定期實施壹些國家關鍵基礎設施和重要信息系統，如經濟、科技、統計、銀行、鐵路、民航、海關等。(6)堅持“內防為主，內外兼防”的原則，通過會議、網站、廣播電視、報紙等多種媒體，加大信息安全普及和守法宣傳力度。，從而提高全民的信息安全意識，特別是加強對組織或企業內人員的信息安全知識培訓和教育，提高從業人員的信息安全自律水平。在國家重點部門、企事業單位，明確劃定信息安全工作職責，建議黨政壹把手為本單位信息安全工作責任人，有條件的企業增設CSO(首席安全官)職位，形成縱向和橫向的領導管理體系。(7)建議政府制定優惠政策，設立信息安全管理專項基金，鼓勵風險投資，提高信息安全綜合管理平臺、管理工具、網絡取證、事故恢復等關鍵技術的自主研究能力和產品開發水平。(8)重視和加強信息安全等級保護，對重要信息安全產品實施強制性認證，特定領域用戶必須明確購買經過認證的信息安全產品。(9)加強信息安全管理人員和執法隊伍建設，特別是加大既懂技術又懂管理的復合型人才培養力度。(10)加強國際合作，特別是在標準、技術和取證、應急響應等方面的國際交流、合作與協作。(作者是貴州大學信息工程學院國家信息安全相關項目負責人)