信息化建设如何保障信息安全.doc

《信息化建设如何保障信息安全.doc》由会员分享，可在线阅读，更多相关《信息化建设如何保障信息安全.doc（17页珍藏版）》请在咨信网上搜索。

信息化建设 如何保障信息安全？ 引言 　　二十一世纪的竞争是经济全球化和信息化的竞争。世界上大多数国家都已经将信息化提高到国家发展战略的高度。我国大量建设的各种信息化系统也已成为国家关键基础设施，它们在电子政务、电子商务、电子金融、电力、能源、通信、交通、科学研究、网络教育、网络医疗保健和社会保障等应用领域发挥着不可替代的作用。 　　信息技术的发展与广泛应用，深刻地改变人们的生活方式、生产方式与管理方式，加快了国家现代化和社会文明的发展。但是由于信息技术本身的特殊性，特别是信息和网络无国界性的特点，使得在整个信息化进程中，带来了巨大的信息安全风险。信息安全问题涉与到国家安全、社会公共安全和公民个人安全的方方面面。 　　如何以信息化提升综合国力，并在信息化快速发展的同时确保国家的信息安全，已成为各国政府关心的热点问题。信息安全就是要保障电子信息的有效性。它涉与到信息的性、完整性、可用性和可控性。性指对抗对手的被动攻击，保证信息不泄漏给未经授权的人。完整性指对抗对手主动攻击，防止信息被未经授权的篡改。可用性指保证信息与信息系统确实为授权使用者所用。可控性指对信息与信息系统实施安全监控。 　　中国信息化建设在突飞猛进的同时，也面临着一系列的信息安全隐患。如，病毒的大肆传播与黑客的攻击事件时有发生。关键信息的安全管理漏洞，将会给国家带来不可估量的严重后果和巨大的经济损失，甚至威胁到国家的安全。我国政府对信息安全空前重视，编制了《国家信息安全报告》，在政府相关部门的组织下，正在构筑中国国家信息安全体系。 　　本文论述了信息安全和网络安全的重要性、介绍中国的信息安全现状和国外信息安全研究和信息安全产品，以期引起大家对中国信息安全的关注和思考。 一、惊心动魄的统计数字 　　1988年10月，美国从东海岸到西海岸的多家计算机中心的设备连续几个小时无常运行。经过美国官方的调查，原因是"计算机病毒侵入"。这名"黑客"是加利福尼亚大学23岁大学生罗伯特·莫里斯。出于好奇心，他用自己设计的病毒"蠕虫"轻而易举地获得联邦执法机构煞费苦心设计的加密标准和加密钥匙。通过互联网打入美国国防部的中央控制系统。这次非法闯入造成6000台计算机和70个计算机网络系统瘫痪，仅直接经济损失就达到1亿美元。"蠕虫"事件以后，现在世界上平均每20秒钟就有一起黑客事件发生，仅在美国每年造成的经济损失就超过100亿美元。 　　最近的统计，仅在2002年10月的上半月，全球仅黑客攻击事件就发生了7228次之多；2002年1至3月，观察到的全球病毒扩散次数超过5.8亿次; 中国大陆发出的扩散次数超过3.13亿次，全球有33.6万个IP被感染，中国大陆超过8.89万个。据国一著名网络安全组织的调查，目前国电子商务站点90％以上存在严重安全漏洞。 　　另据介绍，国外最新研制出的计算机"接收还原设备"，可以在数百米，甚至数公里的距离接收任何一台未采取保护措施的计算机屏幕信息。 　　据网络安全专家估算，目前国际上黑客运用的软件工具已超过1000种。 　　黑客是英文"Hacker"的译音，原意为热衷于电脑程序设计者。把电脑捣乱分子等同于黑客，是后来发生的事情。最早的黑客活动起源60年代的美国大学校园，本意是对计算机系统的最大潜力进行智力上的自由探索，尽可能地使计算机的使用和信息的获得成为免费的和公开的，对计算机的使用应该是不受限制的和完全的。由于60年代刚刚出现的不稳定的计算机系统为了维持运转，需要系统的用户们进入操作软件的核心寻找出现的问题。在这些原始的系统中，并没有考虑计算机安全。因为当时普通人很难接触到那些巨大而昂贵的机器，只有专家们才有特权进入机房。但在大学中，计算机的应用要更广泛一些。研究生、助教和本科生们在教授允许后，得以了解计算机的原理。以后退学的学生和其他杂七杂八的人也有了进入计算机系统的机会。用以侵入计算机系统的大部分方法，如破解口令、开天窗、走后门、安放特洛伊木马等都是在60年代的大学校园中发明的。那时计算机侵入的操练是许多黑客、乃至后来成为计算机巨头的人简历的一部分。 　　到了80年代～90年代，社会生活几乎离不开计算机和网络，特别是网络在经济运行和商务活动中发挥了不开替代的作用。因而黑客活动的社会危害性极大，黑客受到了前所未有的质疑。今天，黑客活动意味着滥用计算机资源和使用计算机进行犯罪。人们心目中几乎把所有动用过计算机的犯罪分子都称为黑客。他们通过掌握的技术进行犯罪活动，如窥视政府和军队的核心、企业的商业秘密与个人隐私等。黑客中有的截取银行、盗取巨额资金；有的盗用，使公司和客户蒙受巨大损失。有的黑客当搜索到被有"价值"的信息后，向大公司或银行发出威胁、敲诈，威胁公司的资料会遭到破坏或被植入病毒，或重要资料被销毁。 　　今天，黑客活动意味着滥用计算机资源和使用计算机进行犯罪。黑客利用其掌握的技术进行犯罪活动，如窥视政府和军队的核心、企业的商业秘密与个人隐私等。黑客中有的截取银行、盗取巨额资金；有的黑客当搜索到被有"价值"的信息后，向大公司或银行发出威胁、敲诈，威胁公司的资料会遭到破坏或被植入病毒，或重要资料被销毁。 　　现在"黑客"侵扰已经成为各国政府的广泛关注的社会问题。 二、信息安全关系国家安全 　　"谁掌握信息，谁就掌握了世界"， 拿破仑的这个名言今天更加值得人们玩味。 人类在享受信息化带来的各种益处的同时，逐步认识到：毫无控制的信息社会隐含着巨大的风险，甚至将引发新的军事技术革命。通过攻击敌方的信息基础设施使网络瘫痪为目标的效果比任何传统战争方式的破坏性更大，造成危害的速度更快、围也更广，而攻击者本身的风险却非常小，甚至可以在攻击开始前就已经消失得无影无踪。这种特点与第一次和第二次世界大战时期的海陆空结合的战略战术完全不同，与核武器的先发制人和后发制人的战略也有区别。因此，在二十一世纪初，世界各主要国家都将在信息高速公路上抢占制高点，把信息安全作为关注的焦点，并由此开创了军事科技领域中"信息武器"、"信息战争"的时代。 　　有报道说，一名年仅16岁的黑客，曾从网络上攻击了一个美国空军基地，突破了30个系统的安全体系，并渗透到南原子研究院、国家宇航局、戈达德宇航中心以与喷气推进实验室等100多个系统中，经过26天的国际电子追踪才将此黑客抓获。另据报道，美国空军一家研究机构为验证美国军事指挥系统的安全可靠性，专门成立了一个黑客小组。结果在无人察觉的情况下连续闯入空军200多个计算机系统。这些对美国军方的计算机系统的袭击、侵扰和试验引起了包括专门从事计算机安全研究的科研人员的极大恐慌，他们担心一旦恐怖分子掌握这一技能，闯入美国核武器控制计算机系统中，那后果可能对于全人类来说都是毁灭性的。 　　1997年1月3日，美国防部所属的国防科学委员会提交的一份题为"信息战――防卫"的报告，呼吁军方加强"信息战"的防卫能力，以防止电子"珍珠港"事件的发生，保证美国军方现有210万台计算机和1万个地方性计算机网络不轻易遭到重创。 　　一般认为，信息战的容包括：压制敌人地面防卫设施、信息和通讯系统；截获通过通讯系统传递的信息、以与对公开信息源的分析；切断敌人的情报资源；通过制造虚假新闻来争取社会舆论（心理战）等。 　　具体的信息战手段和武器有如下四类：一是毁灭性的计算机病毒类。包括"计算机陷井"、"逻辑炸弹"、"软件嗅探"、"蠕虫"等病毒。二是产生电磁脉冲的信息武器。如位于新墨西哥州的洛斯阿拉莫斯国家实验室已研制出一种手提箱大小、能产生高能量电磁脉冲的设备。把它放在一栋大楼附近,其产生的脉冲可以烧毁大楼中所有电子器件。三是电子生物武器。这种电子生物能吞噬计算机的电子器件,并使电子线路绝缘。四是黑客的攻击。 　　未来的战争也许不会像海湾战争那样耳闻目睹了。未来的战争可能有"电脑骑兵"参战：年轻的男女军人坐在一排排计算机前，从地中海无人驾驶的海军舰只上接连发射巡航导弹，或是通过互联网散发病毒，造成敌对的某国首都高压电力网超载等。 　　1999年8月，当局的"国防部"召开了一次关于信息战的专门会议。出席的人员除了军方人员，还有各个计算机软硬件厂商的高级代表、计算机专家、甚至请来臭名昭著的CIH病毒编制者盈豪。会议的中心议题就是怎样利用强大的计算机硬件和软件优势，对祖国大陆实施信息战。具体的步骤包括向中国大陆出口的计算机产品注入藏有病毒的芯片，必要时通过遥控激活等。报道还说，这种做法受到了厂家的一致抵制。另据《自由时报》报道，"国防部"通信电子资讯局声称，已经对中国大陆搞了上千种病毒对付中国大陆的信息基础设施。所以，我们从实践上对信息安全要提高警惕。 　　信息战的目标是要夺取信息优势，掌握信息控制权，也就是制信息权。信息优势就是要通过夺取相当于制空权那样的制信息权来实现。信息优势包括：充分利用信息，即信息系统对兵力进行适时控制；对敌方的系统进行攻击；防御敌方对己方的信息和信息系统进行攻击。 　　信息战理论和实践随着信息技术的迅猛发展，成为军事领域里发展最迅速的一个领域。我国的军事科研领域对此正在形成自己的基本完整的理论体系。 　　我们现在网络安全的建设滞后于网络的发展，这可能是导致以后出现危机的重要原因。信息战是一种战争形态，所以，我们要从国家安全的战略高度来加以重视。 三、我国信息安全和网络安全概况 　　我国政府相关部门对信息安全空前重视，专门成立 "国家信息安全报告"课题组，就我国信息安全的现状、信息安全在国家的安全与经济的安全中的重要性和构筑面向21世纪的中国国家信息安全体系作了全面的阐述。 　　2001年5月，由信息产业部和中共中央政策研究室联合主编的《国家信息安全报告》公开。报告共23万余字，分绪论和六章23节。 　　《国家信息安全报告》认为，在信息时代，信息本身成为国家利益的重要组成部分，信息量成为衡量国与国之间利益均衡的一个重要参数。因此，对信息的开发、控制和利用，必然成为国家之间利益争夺的重要容。 　　由于互联网发展在地域上的极不平衡，信息强国对于信息弱国已经形成了"信息势差"。居于信息低位势的国家，其传统的国家安全（政治安全、经济安全和军事安全）面临前所未有的冲击、挑战和威胁。 　　继南极洲和外层空间之后，互联网已成为引发又一轮国际竞争的战略新空间。从本质上讲，互联网属于全人类，不从属于任何国家、政府或国际组织，因而也不存在以上意义的行政主管。但现实世界是由不同国家组成的，因此，虽然信息空间跨越了传统的国界，国家利益仍驱使各国去维护各自的信息主权。 　　在信息化的进程中，国家安全与经济安全越来越不可分割，而经济安全越来越依赖于信息化基础建设设施的安全程度。 　　如果一个国家不能保证信息在采集、存储、传输和认证等方面的安全，就不可能获得信息化的效率和效益。在国际信息战的威胁和国外高技术犯罪的干扰破坏下，其社会的经济生活就难以健康有序地进行，国家安全就更加无法得到保障。 　　《国家信息安全报告》认为，尽管有分析说，我国的信息安全介于相对安全和轻度不安全之间，但实际上我国信息安全的形势十分严峻，主要表现在： 　　一、信息与网络安全的防护能力很弱，许多应用系统处于不设防状态，具有极大的风险性和危险性。 　　二、对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。由于国外电脑硬件、软件中可能隐藏着"特洛伊木马"，一旦发生重大情况，那些隐藏在电脑芯片和操作软件中的着"特洛伊木马"就有可能在某种秘密指令下激活，造成电脑网络、电信系统瘫痪。 如美国英特尔公司的PENTIUM和微软WINDOWS系列的产品，都安装了一个叫"NSAKEY"的"后门"，可以将用户计算机的所有信息全部返回该公司和美国和各情报部门，但这些都是美国的普通用户发现的。 　　三、基础信息产业薄弱，严重依赖国外。 　　电脑硬件面临遏制和封锁的威胁。我国电脑制造业对许多核心部件的研发、生产能力很弱，关键部位完成处于受制于人的地位。电脑软件面临市场垄断和价格歧视的威胁。在我国信息化建设的工程中，外国公司成为最大的获利者。虽然目前没有具体的统计数据，但是，我国的计算机、通信、广播电视等与信息化相关的市场，已基本被国外公司垄断。 　　如，这些年我国的计算机制造业虽然取得了长足的发展，但其中所有的核心部件几乎都是美国生产的。如果美国对我国进行出口封锁，将计算机的核心部件或CPU芯片列为禁售商品，我国的计算机产业将面临全面停产的境地；美国的软件已经垄断了我国的软件市场，仅微软的操作系统和办公系统就在我国占了90%的份额。这意味着我国的政府、商业、企业和个人用户现在已经离不开微软的软件，而且一旦失去了微软的操作系统，我国自己生产的所有软件，都会因为失去操作平台，而陷于全面瘫痪的境地。美国利用市场垄断所造成的价格垄断，在挤压国产软件（如WPS）的市场空间、赚取超常市场利润的同时，进一步挤压我国信息产业的发展空间。 　　互联网的基础设备一半以上设在美国。美国国的互联网，通过在太平洋、大西洋的海底光缆和通信卫星与世界相连。美国互联网使用的高速线路，每秒钟的通信能力达到10G字节，相当于每秒可传送2300卷的百科全书。 全球共有顶级域名服务器13台，其中10台在美国，其中包括美国军方控制的两台。 　　四、国家信息安全管理机构缺乏权威，协调不够。 　　五、信息犯罪在我国有快速发展蔓延的趋势。 　　六、全社会的信息安全意识急需提高。 　　此外，在意识形态领域，电子媒介成为国际意识形态斗争的主导工具；在军事领域，网络泄密是军事信息安全问题的重要表现；黑客攻击对军事信息安全危害极大；信息战是影响军事信息安全的极端表现形式。 　　如全球网上信息资源中，80%是英文，中文信息资源不足0.4%。 　　我国信息安全研究经历了通信、计算机数据保护两个发展阶段，正在进入网络信息安全的研究阶段。在学习借鉴国外技术的基础上，国一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。  《国家信息安全报告》关于信息安全战略发展建议 　　信息安全是一个国家的综合集成系统，它的规划、管理要求国家进行科学的、强有力的干预和导向。 　　一、确立信息安全的战略目标和任务。 　　要确立我国信息安全的国家战略目标：保证国民经济基础设施的信息安全，抵御有关国家、地区、集团可能对我实施"信息战"的威胁和打击以与国外的高技术犯罪，保障国家安全、社会稳定和经济发展。 　　信息安全战略防御的重点是国民经济中的国家关键基础设施，包括金融、银行、税收、能源生产储备、粮油生产储备、水电汽供应、交通运输、邮电通信、广播电视、商业贸易等国家关键基础设施。重中之重是支持这些设施运作的电子信息系统。 　　二、加强国家信息安全机构与职能。 　　有必要成立具有高度权威的国家信息安全委员会，研究确定国家信息安全的重大决策，发布国家信息安全政策，批准国家信息安全规划，对国家面临的重大国家信息安全紧急事件作出决断。在国家信息安全委员会领导下设立国家信息安全技术委员会，在国家执法部门建立高技术刑事侦察队伍，提高对高技术犯罪的预防和侦破能力。 　　三、高度重视信息安全基础研究和人才培养。 　　国家有关部门要对基本依靠国力量建立起来的我国信息安全研究开发机构进行有机整合，在国家信息安全技术委员会统一协调指导下，按照一定的进度要求完成我国信息安全所急需的关键技术和设备的研制和试制，形成高质量的批量生产。切实保证我国拥有自己独特的、有效的信息安全技术和装备体系，使我们有足够的能力预防和抗击有关国家、地区、集团或其他敌对势力可能对我国发动的信息战争和高技术犯罪活动。 　　同时，要大力培养信息安全的专业人才，为各部门输送信息基础设施安全运行的骨干力量。我们还要注意采取切实措施吸引从事信息安全工作的出国人员和爱人为祖国服务或来中国服务，通过他们了解国际高新技术的新发展。 　　四、推动信息安全产业的发展。 　　要加强自主的信息和网络技术的开发，尽快推动开发和生产我国自己的电脑核心硬件和电脑软件操作平台，并予以减税或免税的优惠政策。急需从安全体系整体的高度开展强力度的研究工作，从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑，并为信息网络安全的工程实现奠定坚实基础，推动我国信息安全产业的发展。当前，急需重点组织研究开发以下关键技术：唯一性身份识别技术、数字签名技术、信息的完整性校验检测技术、信息的加解密保护技术、密钥管理技术、安全审计跟踪技术、安全信息系统的构作集成技术、系统的安全评测技术、电子信息系统电磁信息泄露防护技术。 　　五、加快信息安全立法。 　　应该加快有关法规的研究，与早建立我国信息安全的法规体系。建议首先考虑制订以下法规：信息安全法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息教育法、电子信息进出境法。 　　六、加大信息安全投入。 　　信息安全设备设施的研制需要高强度的资金投入，建议通过国家投入、部门投入和社会融资的途径筹措。 　　国民经济信息化的信息安全不能完全依赖国家投入，它有可能成为投资的新热点，如何运用市场机制调动社会资金，走信息安全产业化的发展道路是值得探讨的问题。信息安全又是敏感领域，国家需要加强对这一未来产业的控股，从而控制技术、控制经营管理权。 四、国外信息安全研究和信息安全产品类型 　　信息安全是目前世界上炙手可热的研究热点。信息安全理论与技术主要包括：黑客防、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒、人工免疫系统在反病毒和抗入侵系统中的应用等。                  　 　　网络安全是信息安全领域中的重点研究方向，研究容包括：网络安全整体解决方案的设计与分析、网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备与相关设施的物理保护，免于破坏、丢失等。逻辑安全指信息完整性、性、非否认性和可用性。 　　目前，关于信息安全和网络安全产品有以下几类： 　　防火墙：防火墙是一种访问控制产品，它在部网络与不安全的外部网络之间设置障碍，阻止外界对部资源的非法访问，防止部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断部网络与外部网络的连接。 　　安全路由器：由于广域网连接需要专用的路由器设备，因而可通过路由器来控制网络上的信息传输。通常采用访问控制列表技术来控制网络信息流 虚拟专用网(VPN)：虚拟专用网（VPN）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信部网之间的互联。VPN的通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的安全传递。 　　安全服务器：安全服务器主要针对一个局域网部信息存储、传输的安全问题，其实现功能包括对局域网资源的管理和控制，对局域网用户的管理，以与局域网中所有安全相关事件的审计和跟踪。 　　CA和PKI:认证中心CA（Certification Authority）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。公钥机制PKI (Public Key Infrastructure)产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。 　　用户认证产品：由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其他技术如动态口令相结合，对用户身份进行有效的识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，使得对于用户身份的认证和识别更加完善。 　　安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。 　　数据恢复与容灾系统：容灾就是能够恢复数据灾难发生前的系统状态的方法。远程容灾系统是指在相隔较远的异地，建立两套或多套功能一样的系统，互相之间可以进行健康状态监视和功能切换。典型的容灾系统一般包括两个主要的功能部分: 数据复制和应用切换。数据恢复与网络容灾是信息安全战略中不可或缺的一个环节。 　　入侵检测系统（IDS）：入侵检测是利用审计跟踪数据监视入侵活动，它是一种主动的防卫手段。 　　安全数据库：安全数据库可以确保数据库的完整性、可靠性、有效性、性、可审计性与存取控制与用户身份识别等。 　　安全操作系统：给系统中的关键服务器提供安全运行平台，确保安全产品的自身安全。 　　网络安全的解决是一个综合性问题，涉与到技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品，但许多关键性资料是不可能对我们公开的，不能直接用于解决我国自己的网络安全，因此我国的网络安全只能借鉴这些先进技术和产品，自行研制。国已有一些网络安全解决方案和产品，但与国外同类产品相比尚有一定的差距。 五、信息安全应该作为基本国策 　　信息安全与国家安全、民族兴衰和战争胜负息息相关。面对经济、信息全球化的趋势，我们既要看到它带给我们的发展机遇，也要正视它给我们的严峻挑战。信息安全的保障能力是二十一世纪综合国力、经济竞争实力和生存发展能力的重要组成部分，信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程，我们应将其上升到国家和民族利益的高度，作为一项基本国策加以重视。 　　1． 树立正确的信息安全理念 　　将信息安全问题提高到战略的高度来认识和部署。信息安全是信息基础设施中不可分割的一部分，应该在设计网络结构时就对网络信息安全需求进行了分析，以部署适合现状而且可扩展的安全防护手段。使得不可预期的网络危机转变为可预防、可控制，并且有补救方案的安全防护，从而大大降低了网络应用的风险。 　　2． 制定出适合我国国情的信息安全政策 　　我们要跟踪研究信息强国关于信息安全和信息保障方面的研究成果和战略，制定出适合我国国情的信息安全和信息保障政策。 　　我们在立法过程中可以借鉴发达国家的经验。美国布什政府于2003年2月14日公布了《确保网络空间安全的国家战略》，强调发动社会力量参与保障网络安全，重视发挥高校和社会科研机构的力量，重视人才的培养和公民的网络安全意识教育。俄罗斯和西欧一些国家也已经制定了信息安全的法规，许多国家也在积极的制定，他们的工作为我们提供了参考的蓝本。 　　实际上，近几年我国有关部门从立法与技术方面积极采取有效措施，切实维护网络安全，打击网络黑客活动。早在1997年，公安部就发布了《计算机网络国际联网安全保护管理办法》，其中规定禁止任何单位和个人未经允许进入或破坏电脑信息网络。在1999年修订的《刑法》中，增加了对非法侵入重要领域电脑信息系统行为刑事处罚的明确规定。2002年元旦起施行的《计算机信息系统国际联网管理规定》明确要求：凡涉与国家秘密的电脑信息系统不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离；凡涉与国家秘密的信息，不得在国际联网的电脑信息系统中存储、处理、传递；任何个人和单位不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。 　　3． 加强公众的信息安全意识教育 　　公众的信息安全意识，培育网络空间的道德规，是社会重视信息安全的基础。我们必须未雨绸缪，大力提高公民的信息安全意识。通过各种形式的宣传教育，使大家认识到：信息安全将成为任何人、任何时候、任何地方都不可或缺的需求，它与每个人的工作和生活有关，它是数字化安全生存的必要保证。 　　4． 加强信息安全基础理论研究，发展信息安全产业，培养人才 　　我国信息系统的安全使用、维护、管理点多面广，所需要的安全产品的研究开发门类众多，特别是我们需要的实用产品不可能依靠引进。相信随着政府、行业以与企业在信息安全领域的大量投资，会催生出了一个信息安全产业，设计出具有自主知识产权的关键产品和关键技术。 　　因此，不仅急需建立高水平的研究教育环境，加强信息安全基础理论研究，培养大批高素质的信息安全人才来适应这个需要，还应该加大对已有良好基础的科研教育基地的支持和投入。 　　在整个21世纪最炙手可热的职业中，网络安全专家排在第一位。在信息安全人才方面，据统计，中国计算机安全复合型人才只有3000人左右，而在美国，这个数字是40万，而且每年以7万人的速度在增长。 　　5． 信息安全基础设施建设 　　建立健全信息安全基础设施。如网络监管中心、测评认证中心、紧急处理中心、病毒防治中心、数字证书认证中心等建设，抓紧制订安全技术标准。 　　6．加快建立国家信息安全保障体系 　　国家信息安全保障体系应包括网络安全的全过程，即边界防卫、入侵检测、安全反应和破坏恢复。信息安全保障体系的框架由组织管理、技术保障、基础设施、产业支撑、人才培养、环境建设组成。国家信息安全保障体系通过制订信息安全标准与信息安全法规来运作。 　　魔高一尺，道高一丈。信息安全的威胁是客观存在的，但安全风险却是可以控制乃至规避的。中国在任何情况下都要确保网络管理、网络控制和网络政策制定的自主权。只要提高全民族的信息安全意识，加强法制建设，充分调动广大科技人员的创造性，我们一定会构筑成符合中国国情的信息安全理论体系和安全的信息基础设施，推动我国通过信息化实现跨越式发展。（完） 17 / 17