构建三维一体的网络信息安全治理机制

□韩 丽

随着社会的进步，互联网高速发展，网络信息安全问题也层出不穷，例如国家和个人信息泄露、网络攻击、网络谣言肆虐等等，网络信息安全已影响到国家的方方面面，网络信息主权、信息资源、信息空间的争夺等一系列信息安全问题，已成为当今任何国家安全领域面临的重大挑战，世界各国都严阵以待。近年来，美国加快了网络安全战略方面的推进脚步，美国政策中网络安全战略的制定更是进入了快车道。美国把一切针对其的“网络入侵行为”分等级，其中最高等级的网络入侵将被视作“战争行为”，这是白宫《网络空间国际战略》重要的组成部分。美国正越来越关注把原来分散的和信息安全相关的问题，即信息基础设施的安全，利用信息的自由流动谋求经济利益以及电子商务的安全，和利用信息技术谋求外交安全等三个问题合并起来。而在欧洲，对信息安全的关注度也一直在升级。欧盟将信息安全列入了“欧洲数字化议程”，作为发展数字经济的重要保障。在我国，网络安全事件的隐蔽性、突发性、灾难性和传播性，随时随处给我国信息社会的发展带来严重危害。网络和信息安全问题日益成为社会的热点和焦点问题，强化网络和信息安全，打击网络违法犯罪，防止网络攻击，保护国家和个人信息安全已是当前我国网络信息安全需要解决的最迫切难题。国家提出要“努力把我国建设成为网络强国”，就是要把“网络安全”提到战略发展的中心上来，以网络安全促进相关产业发展，促进国家从“网络大国”到“网络强国”。我国网民数量世界第一，我国已成为网络大国。但很多技术还受制于他国，网络信息安全在他国面前是一丝不挂，没有任何安全可讲。因此，一定要自主创新，寻求有中国特色的网络信息安全治理机制。

一、网络信息安全目前面临的主要难题

要研究网络信息安全，就不得不提到“黑客”。“黑客”一般是指对计算机科学技术、编制代码程序和设计方面具有高度理解的人。在信息安全里，“黑客”指研究计算机安全系统的人员。黑客技术，概括地说，就是发现计算机硬件与软件系统和网络的缺陷和问题，针对这些缺陷和问题实施攻击的技术，我国网络信息安全目前面临的主要难题就在于此，具体表现为以下几个方面:

(一)互联网新业务的种类不断翻新，给网络信息安全带来更多隐患。大量网络新业务、新应用、新产品纷纷投向市场，而投向市场之前却未经过缜密的安全评测。例如网络游戏、聊天、网上购物、网上银行等这些领域的新业务，开发运营和使用人员均没有充分考虑过信息安全问题。

(二)计算机病毒在网络信息安全中防不胜防。例如，木马病毒就是打入敌方内部，里应外合完成黑客盗窃或入侵行动。最典型的就是黑客把一个想完成某一目的的程序安插在用户在运行的程序中，以篡改该用户正常程序的代码。只要触发该入侵程序，它便会被激活去完成某个特定命令，黑客便可随时进行入侵工作，达到其目的。

(三)计算机系统漏洞一直影响网络信息安全。漏洞是在计算机硬件、软件、协议的具体实现或系统安全的方式方法上存在的缺陷。这些缺陷的存在使攻击者能够在未授权的情况下访问或破坏系统。虽然计算机及网络安全等各个领域的开发商也都在不停地修复、完善自身，但大量的系统漏洞还是不可避免地出现了，计算机网络信息安全也受到了相应的威胁。

(四)人为失误与网络管理缺陷在网络信息安全中也不容忽视。据估计，国内电子商务、金融证券等各个站点的网络负责人和管理人大都没有受过正规的网络安全培训，绝大部分从事信息产业的公司和个人在信息安全方面都不会投入相应的人力和物力，还有很多重要站点的管理人员都是网络新手，这些新手不但网络信息安全意识淡薄，而且在运用一些操作系统时也漏洞百出，很多服务器的漏洞可以使入侵者获取系统的超级管理权限。

二、构建三维一体的网络信息安全治理机制的策略

(一)健全网络信息安全法律法规。网络信息安全治理机制的研究与网络发展一直并驾齐驱，当前网络信息安全的机制已经有很多，比如认证机制、加密机制、完整性机制、公证机制、路由控制机制等。与信息安全机制相配合的网络信息安全服务也很大程度上覆盖了信息网络应用的各个领域。这些防范机制与服务通过计算机技术充分地表现出来，但这些技术却很难和网络信息安全管理有效的结合，也可以说是用技术实现管理的可行性不强。分析其原因，是在技术和管理之间缺少一个强有力的法律法规的约束体，因此建立技术上过硬、管理上过严、法律上够全的三维一体网络信息安全体系势在必行。中国首个信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2013年2月1日起实施，标志着中国个人信息保护工作进入新阶段。但网络信息安全制约因素繁多、路径复杂、覆盖面广，而现行的法律法规结构单一，可操作性较差。一是由于网络技术性较强的原因，保护信息安全的产品和技术就显得尤为重要，所以必须制定一系列的网络安全产品和系统评估标准。二是我国在网络安全监管中缺少科学的规划和设计，例如，现存法律法规有事前审批、许可制度，有事后处罚制度，却鲜少提及信息安全事件发生中的动态监控和处理，没能形成集安全预警、事中监控、紧急响应、数据恢复等为一体的完整的法律法规体系。因此，网络信息安全法律法规要规范网络信息安全的技术标准，对技术产品的生产销售和运营进行积极引导，促使其良性发展。要时刻坚持“规范制度、技管并重”的建设思路，尤其是在我国网络信息建设的核心技术还受制于人，各方技术发展相对滞后的阶段，通过严格制度，促进管理与技术高度融合，使法律法规具备与信息化发展水平相匹配的“快速变轨”能力，这样才能在很大程度上弥补网络信息安全上存在的“漏洞”和“缺陷”。

(二)加强网络信息安全技术防护手段。要保护网络信息安全，在法律法规逐步健全的同时，加强网络信息安全技术防护手段非常重要。

1．技术角度。真正有效地解决网络信息安全问题，一是需防患于未然，人们认为的一般网络安全技术基本的“老三样”:防火墙、杀毒和入侵检测，随着网络安全与网络攻击的激烈博弈，已不能完全达到网络安全预警的期望值，各种应急机制必须随时启动。二是网络主管人员要充分考虑到网络信息数据泄露、篡改的各种人为途径，包括外部攻击者、内部运维及开发人员的各种可能，正视黑客入侵造成的严重后果，引进先进的网络安全技术、工具、手段和产品，逐一侦破，真正做到全方位保护网络信息安全。

2．管理角度。各政府机关、企事业单位负责人应投入必要的人力、物力和财力，加强网络信息安全管理人员的责任意识和安全意识，进行网络信息技术培训，保证所有的网络信息安全管理人员掌握先进、过硬的信息安全管理技术。制定有效的安全策略和安全管理制度，例如，对能接触到系统的人员，先设定其职责，按职责分配给其访问系统的最低权限，超级管理员严格管理内部用户账号和密码，如想访问系统必须通过精密的身份确认，对调动、离职人员及时收回其权限，防止冒用或盗用合法账号和密码等等。

三、结语

总之，网络信息安全已与全社会的利益息息相关，不仅要从技术、管理、法律法规等方面入手解决，同时也要借鉴国外先进经验，取长补短。自觉增强网络信息安全防范意识，时刻与网络信息违法犯罪作斗争，为营造一个安全、干净的网络空间而努力。

［1］崔宜明．保障网络信息安全的必要手段分析［J］．计算机光盘软件与应用，2013，4:172

［2］张术平．刍议计算机网络信息安全及防护策略［J］．电脑知识与技术，2014:1922

［3］杨飞．网络信息安全管理浅析［J］．山东工业技术，2014，10:136

［4］夏丽萍．网络信息安全管理基本措施［J］．中国信息界，2007，10:29