隨著信息化進程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，信息安全顯得日益重要。國家對此十分重視，1997年國務院信息辦立項籌建中國互聯(lián)網(wǎng)絡安全產品測評認證中心；1998年10月成立中國國家信息安全測評認證中心；1999年2月該中心及其安全測評實驗室分別通過中國產品質量認證機構國家認可委員會和中國實驗室國家認可委員會的認可，正式對外開展信息安全測評認證工作。

　　一、網(wǎng)上信息安全的法律保護

　　隨著互聯(lián)網(wǎng)技術的發(fā)展，大量的信息在互聯(lián)網(wǎng)上進行傳播，不可避免地會侵犯他人的合法權益，而且這種侵犯將因為互聯(lián)網(wǎng)比其他媒體更有廣泛的影響而加重侵權的嚴重程度。從這個意義上來說，一個人可以不上網(wǎng)，但是他的合法權益被他人通過互聯(lián)網(wǎng)侵犯卻是有可能的，因此，加強與互聯(lián)網(wǎng)相關的立法建設，對于全體國民都是非常重要的。

　　此外，要加強信息系統(tǒng)安全研究、建設的統(tǒng)一管理，使之納入有序化、規(guī)范化、法制化的軌道上。當前我國的信息與網(wǎng)絡安全研究處在忙于封堵現(xiàn)有實際信息系統(tǒng)安全漏洞的階段。要想從根本上解決問題，應該在國家有關主管部門組織下，從基礎研究入手，為我國信息與網(wǎng)絡安全構筑自主、創(chuàng)新、完整的理論體系和基礎構件的支撐，推動我國信息安全產業(yè)的發(fā)展。

　　互聯(lián)網(wǎng)世界是人類現(xiàn)實世界的延伸，是對現(xiàn)實社會的虛擬，因此，現(xiàn)實社會中大多數(shù)的法律條款還是適用于互聯(lián)網(wǎng)的?；ヂ?lián)網(wǎng)是信息傳播的一種工具，從這個意義上講，互聯(lián)網(wǎng)只不過是一種新興的媒體，各種法律在互聯(lián)網(wǎng)上同樣適用，有關互聯(lián)網(wǎng)的運行規(guī)則應和其他媒體一樣都必須遵守國家法律的規(guī)定，任何違法行為都要受到法制的制裁。隨著互聯(lián)網(wǎng)技術的發(fā)展，為了規(guī)范與互聯(lián)網(wǎng)相關的行為，有關部門已經(jīng)制定了一些法律法規(guī)，互聯(lián)網(wǎng)世界已經(jīng)有了初步的“游戲規(guī)則”。

　　互聯(lián)網(wǎng)一貫以信息自由著稱，據(jù)此有人認為實施有關互聯(lián)網(wǎng)的立法會限制網(wǎng)絡的發(fā)展，這種觀點是錯誤的。在互聯(lián)網(wǎng)這個虛擬的世界里，如同現(xiàn)實世界一樣，沒有絕對自由，如果網(wǎng)絡失去規(guī)則，那么自由也就無從說起，這一點已經(jīng)被無數(shù)的事實所證明。最近，針對網(wǎng)上日益猖撅的不法行為，許多國家都已經(jīng)著手加強網(wǎng)上立法和打擊不法行為的力度，中國也應該加強這方面的工作，只有這樣，才能夠給廣大網(wǎng)民提供一個更加自由的空間。 二、網(wǎng)上信息安全的技術保護

　　在今天的信息時代，確保防止信息的泄漏，并保證其整體完整性和真實性是人們所迫切需要的，除了制訂相應的法律來保護外，還應采用技術手段加以控制。

　　隨著各種管理工具功能的豐富和性能的增強，在網(wǎng)絡高手眼里，網(wǎng)絡幾乎是一個透明的世界。如微軟的SMS等已經(jīng)能夠提供非常強的技術實現(xiàn)手段，能對網(wǎng)上用戶的各種使用情況進行詳細的監(jiān)測和控制，從而使網(wǎng)絡管理員擁有至高無上的權利。再如，一些網(wǎng)絡設備提供的系統(tǒng)管理功能可以方便地觀察遠程用戶系統(tǒng)配置和運行的情況，在網(wǎng)絡世界里，只要向所需要監(jiān)測的用戶下載一個代理（Agent）程序，該用戶所有的信息幾乎可以天一漏網(wǎng)的被獲取。這也就不可避免地帶來了信息易于泄漏的嚴重問題。

　　隨著互聯(lián)網(wǎng)的普及，人們對網(wǎng)絡的安全問題越來越重視。1999年，不少新病毒直接利用網(wǎng)絡作為自己的傳播途徑，例如 Happy.梅麗莎、探索者蠕蟲、BuhbleBoy、MiniZip等等。還有眾多病毒借助于網(wǎng)絡傳播得更快，例如讓人談毒色變的惡性病毒CIH、C盤殺手等等。

　　信息泄漏是另一個重要的安全問題， 1999年初 PentiumIII處理器的序列號和微軟產品中的GUID標識因為可能導致使用者的個人信息泄露，曾引起了一場不小的風波，另外，互聯(lián)網(wǎng)存在著不少木馬程序，如果不慎使用，就等于給自己的機器開了一個后門，個人信息和重要數(shù)據(jù)可能在不知不覺中就被黑客盜走。這些都說明了互聯(lián)網(wǎng)并非是一塊充滿陽光的和諧樂土。

　　另外，黑客入侵網(wǎng)站在1999年被報道的頻率相當高。黑客頻頻得手的事件說明了互聯(lián)網(wǎng)在安全方面存在著相當多的弱點和漏洞，國內站點和個人用戶應對此有充分認識，避免出現(xiàn)不必要的損失。

　　三、網(wǎng)上信息安全的管理

　　長期以來，信息安全問題一直沒有引起國人足夠的重視，安全意識差是一種普遍的現(xiàn)象。而今天，當人們開始意識到信息安全的重要性時，卻又對系統(tǒng)的安全問題產生一種本能的恐懼。

　　我們對信息安全問題有個基本的觀點，不能因為信息技術存在信息安全問題，就不去發(fā)展信息技術。對于國家來說，信息化是必然的。從經(jīng)濟角度來看。信息化為我們提供了良好的發(fā)展機遇。

　　信息安全問題說到底，首先是一個管理問題。特別是在我國信息安全產業(yè)剛剛起步的今天，信息安全的管理便顯得尤為重要了。

　　1人員安全與日常操作管理

　　常言道“三分技術，七分管理”。安全方案的實現(xiàn)。離不開管理，人員是管理的核心。人員管理除了技術層次的要求（比如：學歷、個人技能。工作經(jīng)驗等），還應有安全性要 求，保證從事網(wǎng)絡信息工作的人員都應有良好的品質和可靠的工作動機，不能有任何犯罪記錄和不良嗜好。對工作人員要有一套完整的管理措施，它包括人員篩選錄用政策、上網(wǎng)和離職控制、安全教育、安全檢查等一系列制度。安全教育和培訓的目的，在于使所有工作人員信息安全地位和作用及個人在其中的安全責任，熟悉工作環(huán)境的操作過程，使其有能力來正確地執(zhí)行安全的策略，減少人為的因素或操作不當而給系統(tǒng)帶來不必要的損失或風險。

　　2系統(tǒng)連續(xù)性管理

　　系統(tǒng)備份、恢復策略的存在，是為了滿足系統(tǒng)業(yè)務連續(xù)不間斷的要求，避免由于自然災難、事故、設備的損壞和惡意的破壞行為帶來系統(tǒng)不停頓服務功能的喪失。

　　3.按程序操作

　　內部網(wǎng)絡的不安全主要體現(xiàn)在對網(wǎng)絡的違規(guī)使用，如越權使用某些業(yè)務，查看、修改機密文件或數(shù)據(jù)庫等，同時也包括一些對計算機系統(tǒng)或網(wǎng)絡的惡意攻擊。

　　四、網(wǎng)上信息安全的保護措施

　　為了保證計算機系統(tǒng)、網(wǎng)絡系統(tǒng)和信息的安全，近年來針對不同的問題研發(fā)了許多技術和產品，解決了安全需求的特定方面的問題。主要包括

　　1防火墻產品：防火墻產品主要提供被保護網(wǎng)絡與外部網(wǎng)絡之間的進出控制。它是被保護網(wǎng)絡與外部網(wǎng)絡之間的一道屏障，根據(jù)各種過濾原則來判斷網(wǎng)絡數(shù)據(jù)是否能夠通過防火墻。

　　2 VPN設備：VPN設備實現(xiàn)了利用公共網(wǎng)絡建立自己的虛擬專網(wǎng)。VPN設備負責給發(fā)送到對方的數(shù)據(jù)包進行加密并重新打包，當?shù)竭_對方VPN設備的時候再拆包、脫密，而在公共網(wǎng)絡上看到的只是兩個PVN設備。

　　3系統(tǒng)日志審計工具：許多系統(tǒng)都提供了系統(tǒng)日志，其中包含了有關系統(tǒng)安全方面的有價值的信息。在系統(tǒng)投入使用的時候，網(wǎng)管員對系統(tǒng)日志進行配置，使其盡可能多地保留一些有用的信息。

　　4信息網(wǎng)關：信息網(wǎng)關為計算機內的電子文件引入了密級、電子印章和網(wǎng)關證的概念。信息網(wǎng)關負責檢查出入網(wǎng)絡的文件是否具有網(wǎng)關證，是否按照所具有的密級進行了加密。在檢查合格后才能傳出網(wǎng)絡。

　　5.授權和身份認證系統(tǒng)：授權和身份認證系統(tǒng)加強7原有的基于賬戶和口令的控制，提供了授權、訪問控制、用戶身份識別、對等實體鑒別、抗抵賴等功能。信息加密是信息安全應用中最早開展有效手段之一。信息加密的目的是保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。

　　6安全路由器：安全路由器提供了某些基于地址或服務的過濾機制，可以在一定程度上限制網(wǎng)絡訪問。

　　7.安全性分析工具：安全性分析工具用于自動發(fā)現(xiàn)網(wǎng)絡上的安全漏洞，給出安全性分析報告。

　　8安全檢測預警系統(tǒng)：安全檢測預警系統(tǒng)用于實時監(jiān)視網(wǎng)絡上的數(shù)據(jù)流，尋找具有網(wǎng)絡攻擊特征和違反網(wǎng)絡安全策略的數(shù)據(jù)流。當它發(fā)現(xiàn)可疑數(shù)據(jù)流時按照系統(tǒng)安全策略規(guī)定的響應策略進行響應，包括實時報警、記錄有關信息、實時阻斷非法的網(wǎng)絡連接、對事件涉及的主機實施進一步的跟蹤等。

　　網(wǎng)上信息安全的攻擊與反攻擊比較集中地體現(xiàn)在互聯(lián)網(wǎng)上。由于互聯(lián)網(wǎng)自身是一個開放系統(tǒng)，它不為任何服務提供安全保障。因此，任何單位的內部網(wǎng)絡與互聯(lián)網(wǎng)相連時，在檢查合格后才能傳出網(wǎng)絡。同時，信息安全意識與信息保護措施常抓不懈，培養(yǎng)網(wǎng)絡人員良好的工作素質。