1.3 信息安全保障

互聯(lián)網(wǎng)是涉及面極廣的信息系統(tǒng)，要實現(xiàn)真正意義上的安全，必須同時從法規(guī)政策、管理、技術三個層面全方位采取有效措施。

一、完善的法律法規(guī)

信息安全需要通過完善的法律法規(guī)加以保障，為此不同的國家都針對信息安全制定了相應的法律法規(guī)。在美國，1998年5月發(fā)布《保護美國關鍵基礎設施》，并圍繞信息安全保障成立了多個組織，包括全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯(lián)邦計算機事件響應行動組等十多個全國性機構(gòu)。1998年美國國家安全局（National Security Agency，NSA）制定了《信息保障技術框架（Information Assurance Technical Framework，IATF）》，提出深度防御策略，確定包括網(wǎng)絡與基礎設施防御、區(qū)域邊界防御、計算環(huán)境防御和支撐性基礎設施的深度防御目標。2000年1月發(fā)布《保衛(wèi)美國計算機空間——保護信息系統(tǒng)的國家計劃》，分析美國關鍵基礎設施所面臨的威脅，確定計劃的目標和范圍，制定出聯(lián)邦政府關鍵基礎設施保護計劃，以及私營部門、洲和地方政府的關鍵基礎設施保障框架。

俄羅斯在1995年頒布《聯(lián)邦信息、信息化和信息保護法》，提出保護信息的法律責任，明確界定信息資源開放和保密的范疇，為提供高質(zhì)量的信息保障創(chuàng)造條件。1997年發(fā)布《俄羅斯國家安全構(gòu)想》，明確提出保障國家安全應把保障經(jīng)濟安全放在第一位，而信息安全又是經(jīng)濟安全的重中之重。2000年發(fā)布《國家信息安全學說》，明確了聯(lián)邦信息安全建設的任務、原則和主要內(nèi)容，第一次明確俄羅斯在信息領域的利益是什么，受到的威脅是什么，以及為確保信息安全首先要采取的措施等。

日本在2003年發(fā)布《信息安全綜合戰(zhàn)略》，強調(diào)信息安全保障是日本綜合安全保障體系的核心。2010年發(fā)布《保護國民信息安全戰(zhàn)略》，進一步加緊完善與信息安全相關的政策和法律法規(guī)，并成立信息安全措施促進辦公室、綜合安全保障閣僚會議、IT安全專家委員會和內(nèi)閣辦公室下的IT安全分局。

我國在信息安全方面也制定了一系列法律法規(guī)，包括《中華人民共和國計算機安全保護條例》《中華人民共和國商用密碼管理條例》《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行辦法》《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》和《計算機信息系統(tǒng)安全等級劃分標準》等。此外，在我國的《刑法》修訂中，也增加了有關計算機犯罪的條款。2016年11月7日發(fā)布《中華人民共和國網(wǎng)絡安全法》，為保障我國的網(wǎng)絡安全，維護網(wǎng)絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展提供了法律依據(jù)和保障。

二、嚴格的管理

安全管理包括人員可靠性、規(guī)章制度完整性等，其按照不同信息系統(tǒng)而不同。在開放信息系統(tǒng)中，根據(jù)信息安全監(jiān)測軟件的實際測試，一個沒有安全防護措施的信息系統(tǒng)，其安全漏洞通常有1500個左右。其中用戶口令的保管對信息系統(tǒng)安全至關重要。實際上，信息系統(tǒng)用戶中很謹慎地使用或保管口令的人很少，因此被竊取概率很大。在封閉環(huán)境或?qū)Ｓ孟到y(tǒng)特別是涉密信息系統(tǒng)中，各用戶單位應建立相應的信息安全管理規(guī)則，確定大家共同遵循的規(guī)范，以加強內(nèi)部管理，保證信息安全技術按預定的安全設計無差錯運行。同時，依據(jù)信息安全評估標準，建立安全審計和安全跟蹤體系，建立必要的信息安全管理系統(tǒng)。只有提高全體人員的信息安全意識，才能真正增強整個信息系統(tǒng)的安全性。

三、先進的技術

當前在信息安全中普遍采用的技術包括規(guī)模化密鑰管理技術、虛擬網(wǎng)技術、防火墻技術、入侵監(jiān)控技術、安全漏洞掃描技術、防病毒技術、加密技術、可信計算技術、鑒別和數(shù)字簽名技術等，可以綜合應用，構(gòu)成多層次的信息安全解決方案。