1.6 信息安全的政策法规_信息安全原理与应用-QQ阅读男生轻小说网

书名：信息安全原理与应用
作者名：王昭袁春编著
本章字数：2635字
更新时间：2020-08-27 19:33:06

1.6 信息安全的政策法规

人们在不断探索和发展各种技术来满足信息安全需求的同时，逐渐认识到信息安全是一个综合的多层面问题。信息安全保障不仅仅是技术问题，是人、政策和技术三大要素的结合。赵战生教授指出，三个因素：人、技术和政策，它们是有层次关系的，人是打底座的，是根本的；技术是顶端的东西，但是技术是要通过人，通过相应的政策和策略去操作这个技术。一个完整的国家信息安全保障体系应包括信息安全法制体系、组织管理体系、基础设施、技术保障体系、经费保障体系和安全意识教育人才培养体系。一个简单的说法是，要保障信息安全，“三分靠技术、七分靠管理”。足见管理在信息安全中的地位和作用。信息安全管理的原则体现在政府制定的政策法规和机构部门制定的规范制度上。同时，信息安全技术蓬勃发展，形成了一个新的产业，规模化的信息安全产业发展需要技术标准来规范信息系统的建设和使用，生产出满足社会广泛需求的安全产品。在前面对信息安全技术了解的基础上，本节将从政策法规和标准的角度进行介绍，使读者获得关于信息安全的更完整的认识。

1.6.1 国际信息安全政策法规

计算机安全和密码使用是信息安全的两个重要方面，有关的政策法规也因此分为这两个方面，在信息安全的早期阶段，立法和管理的重点集中在计算机犯罪方面，各国陆续围绕着计算机犯罪等问题确立了一些安全法规，之后，立法的热点转移到密码的使用管理方面。

美国的信息技术具有国际领先水平，其安全法规政策也最为完善。早在1987年，美国就再次修订了计算机犯罪法，这部法律在20世纪80年代末至90年代初一直被作为美国各州制定其地方法规的依据。美国现已确立的有关信息安全的法规有：信息自由法、个人隐私法、反腐败行径法、伪造访问设备和计算机欺骗滥用法、电子通信隐私法、计算机欺骗滥用法、计算机安全法和电信法。1998年5月，美国颁发第63号总统令，要求行政部门评估国家关键基础设施的计算机脆弱性，并要求联邦政府制定保卫国家免受计算机破坏的详细计划。紧接着于2000年1月颁布了《保卫美国计算机空间——信息系统保护国家计划1.0》，这是一个规划美国计算机安全持续发展和更新的综合方案。可以看出，美国把信息系统保护提高到国家战略计划的高度坚决实施。

俄罗斯于1995年颁布了《联邦信息、信息化和信息保护法》，法规明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。2000年，普京总统批准了《国家信息安全学说》，它是一部纲领性、指导性、顶层性、战略性文件，并不是学说。它明确了俄罗斯联邦信息安全建设的目的、任务、原则和主要内容，第一次明确指出了俄罗斯在信息安全领域的利益、受到的威胁，以及为保障信息安全应采取的首要措施。俄罗斯对信息安全的重视由此可见一斑。

欧洲经济共同体（欧盟的前身）是一个在欧洲范围内具有较强影响力的政府间组织。其成员国从20世纪70年代末到80年代初，先后制定并颁布了各自有关数据安全的法律。

德国政府于1996年夏出台了《信息和通信服务规范法》（即多媒体法），为电子信息和通信服务的各种利用可能性规定了统一的基本法律框架。该国政府还通过了电信服务数据保护法，并根据需要对刑法法典、治安法、传播危害青少年文字法、著作权法和报价法做了必要的修改和补充。

新加坡在1996年宣布对互联网络实行管制，宣布实施分类许可证制度。它是一种自动取得许可证的制度，目的是鼓励正当使用互联网络，促进其健康发展。

其他国家，如英国、法国、日本等也制定了相应的计算机安全政策法规。

关于密码使用的政策涉及使用密码进行加密和进行数字签名实施证书授权管理两个方面。

美国是最早允许在国内社会使用密码的国家，美国国内，政府、军界、企业和个人为了各自的利益，围绕信息加密政策的争论繁多，主要是密码的使用范围和允许出口的长度。此外，多国出口控制协调委员会（COCOM）、欧盟和国际商务委员会等组织以及英国、法国、德国、意大利、俄罗斯、波兰、澳大利亚、中国香港地区等许多国家和地区也分别制定了自己的信息加密政策。

对于数字签名技术，有关国际组织、各国政府和企业为了各自的利益，很难达成一致观点。1995年，美国犹他州通过了美国历史上（也是世界历史上）第一部数字签名法。在犹他州的带动下，美国的其他一些州也确立了自己的数字签名法，但是美国联邦政府迟迟没有立法，德国有幸成为第一个以国家名义制定数字签名法的国家。

1.6.2 国内信息安全政策法规

我国建立了如下国家信息安全组织管理体系：

国务院信息化领导小组对Internet安全中的重大问题进行管理协调，国务院信息化领导小组办公室作为Internet安全工作的办事机构，负责组织、协调和制定有关Internet安全的政策、法规和标准，并检查监督其执行情况。

政府有关信息安全的其他管理和执法部门（如工业和信息化部、国家安全部、公安部、国家保密局、国家密码管理局和国务院新闻办公室等）分别依据其职能和权限进行信息安全的管理和执法活动。

工业和信息化部协调有关部委关于信息安全的工作；公安部主管公共网络安全，即全国计算机系统安全保护工作；国家安全部主管计算机信息网络国际联网的国家安全保护管理工作；国家保密局主管全国计算机信息系统的保密工作；国家密码管理委员会主管密码算法与设备的审批和使用工作；国务院新闻办公室负责信息内容的监察。

我国信息安全管理的基本方针是“兴利除弊，集中监控，分级管理，保障国家安全”。对于密码的管理政策实行“统一领导、集中管理、定点研制、专控经营、满足使用”的发展和管理方针。

相对国外网络立法已成普及之势的情况，我国目前的信息化立法，尤其是信息安全立法，尚处于起步阶段，我国政府和法律界都清醒地认识到这一问题的重要性，正在积极推进这一方面的工作。

我国政府现有的信息安全法规政策可以分为两个层次。一是法律层次，从国家宪法和其他部门法的高度对个人、法人和其他组织涉及国家安全的信息活动的权利和义务进行规范，例如1997年新《刑法》首次界定了计算机犯罪。二是行政法规和规章层次，直接约束计算机安全和Internet安全，对信息内容、信息安全技术和信息安全产品的授权审批进行规定。其中，第一个层次上的法律主要有宪法、刑法、国家安全法和国家保密法。第二个层次主要包括《中华人民共和国计算机信息系统安全保护条例》（简称《安保条例》）、《中华人民共和国计算机信息网络国际互联网管理暂行规定》（简称《联网规定》）、《中华人民共和国计算机信息网络国际互联网安全保护管理办法》、《电子出版物管理暂行规定》、《中国互联网络域名注册暂行管理办法》和《计算机信息系统安全专用产品检测和销售许可证管理办法》等条例和法规。