隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，信息安全顯得日益重要。國(guó)家對(duì)此十分重視，1997年國(guó)務(wù)院信息辦立項(xiàng)籌建中國(guó)互聯(lián)網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)認(rèn)證中心；1998年10月成立中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心；1999年2月該中心及其安全測(cè)評(píng)實(shí)驗(yàn)室分別通過(guò)中國(guó)產(chǎn)品質(zhì)量認(rèn)證機(jī)構(gòu)國(guó)家認(rèn)可委員會(huì)和中國(guó)實(shí)驗(yàn)室國(guó)家認(rèn)可委員會(huì)的認(rèn)可，正式對(duì)外開展信息安全測(cè)評(píng)認(rèn)證工作。

　　一、網(wǎng)上信息安全的法律保護(hù)

　　隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，大量的信息在互聯(lián)網(wǎng)上進(jìn)行傳播，不可避免地會(huì)侵犯他人的合法權(quán)益，而且這種侵犯將因?yàn)榛ヂ?lián)網(wǎng)比其他媒體更有廣泛的影響而加重侵權(quán)的嚴(yán)重程度。從這個(gè)意義上來(lái)說(shuō)，一個(gè)人可以不上網(wǎng)，但是他的合法權(quán)益被他人通過(guò)互聯(lián)網(wǎng)侵犯卻是有可能的，因此，加強(qiáng)與互聯(lián)網(wǎng)相關(guān)的立法建設(shè)，對(duì)于全體國(guó)民都是非常重要的。

　　此外，要加強(qiáng)信息系統(tǒng)安全研究、建設(shè)的統(tǒng)一管理，使之納入有序化、規(guī)范化、法制化的軌道上。當(dāng)前我國(guó)的信息與網(wǎng)絡(luò)安全研究處在忙于封堵現(xiàn)有實(shí)際信息系統(tǒng)安全漏洞的階段。要想從根本上解決問(wèn)題，應(yīng)該在國(guó)家有關(guān)主管部門組織下，從基礎(chǔ)研究入手，為我國(guó)信息與網(wǎng)絡(luò)安全構(gòu)筑自主、創(chuàng)新、完整的理論體系和基礎(chǔ)構(gòu)件的支撐，推動(dòng)我國(guó)信息安全產(chǎn)業(yè)的發(fā)展。

　　互聯(lián)網(wǎng)世界是人類現(xiàn)實(shí)世界的延伸，是對(duì)現(xiàn)實(shí)社會(huì)的虛擬，因此，現(xiàn)實(shí)社會(huì)中大多數(shù)的法律條款還是適用于互聯(lián)網(wǎng)的?；ヂ?lián)網(wǎng)是信息傳播的一種工具，從這個(gè)意義上講，互聯(lián)網(wǎng)只不過(guò)是一種新興的媒體，各種法律在互聯(lián)網(wǎng)上同樣適用，有關(guān)互聯(lián)網(wǎng)的運(yùn)行規(guī)則應(yīng)和其他媒體一樣都必須遵守國(guó)家法律的規(guī)定，任何違法行為都要受到法制的制裁。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，為了規(guī)范與互聯(lián)網(wǎng)相關(guān)的行為，有關(guān)部門已經(jīng)制定了一些法律法規(guī)，互聯(lián)網(wǎng)世界已經(jīng)有了初步的“游戲規(guī)則”。

　　互聯(lián)網(wǎng)一貫以信息自由著稱，據(jù)此有人認(rèn)為實(shí)施有關(guān)互聯(lián)網(wǎng)的立法會(huì)限制網(wǎng)絡(luò)的發(fā)展，這種觀點(diǎn)是錯(cuò)誤的。在互聯(lián)網(wǎng)這個(gè)虛擬的世界里，如同現(xiàn)實(shí)世界一樣，沒(méi)有絕對(duì)自由，如果網(wǎng)絡(luò)失去規(guī)則，那么自由也就無(wú)從說(shuō)起，這一點(diǎn)已經(jīng)被無(wú)數(shù)的事實(shí)所證明。最近，針對(duì)網(wǎng)上日益猖撅的不法行為，許多國(guó)家都已經(jīng)著手加強(qiáng)網(wǎng)上立法和打擊不法行為的力度，中國(guó)也應(yīng)該加強(qiáng)這方面的工作，只有這樣，才能夠給廣大網(wǎng)民提供一個(gè)更加自由的空間。 二、網(wǎng)上信息安全的技術(shù)保護(hù)

　　在今天的信息時(shí)代，確保防止信息的泄漏，并保證其整體完整性和真實(shí)性是人們所迫切需要的，除了制訂相應(yīng)的法律來(lái)保護(hù)外，還應(yīng)采用技術(shù)手段加以控制。

　　隨著各種管理工具功能的豐富和性能的增強(qiáng)，在網(wǎng)絡(luò)高手眼里，網(wǎng)絡(luò)幾乎是一個(gè)透明的世界。如微軟的SMS等已經(jīng)能夠提供非常強(qiáng)的技術(shù)實(shí)現(xiàn)手段，能對(duì)網(wǎng)上用戶的各種使用情況進(jìn)行詳細(xì)的監(jiān)測(cè)和控制，從而使網(wǎng)絡(luò)管理員擁有至高無(wú)上的權(quán)利。再如，一些網(wǎng)絡(luò)設(shè)備提供的系統(tǒng)管理功能可以方便地觀察遠(yuǎn)程用戶系統(tǒng)配置和運(yùn)行的情況，在網(wǎng)絡(luò)世界里，只要向所需要監(jiān)測(cè)的用戶下載一個(gè)代理（Agent）程序，該用戶所有的信息幾乎可以天一漏網(wǎng)的被獲取。這也就不可避免地帶來(lái)了信息易于泄漏的嚴(yán)重問(wèn)題。

　　隨著互聯(lián)網(wǎng)的普及，人們對(duì)網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越重視。1999年，不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，例如 Happy.梅麗莎、探索者蠕蟲、BuhbleBoy、MiniZip等等。還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，例如讓人談毒色變的惡性病毒CIH、C盤殺手等等。

　　信息泄漏是另一個(gè)重要的安全問(wèn)題， 1999年初 PentiumIII處理器的序列號(hào)和微軟產(chǎn)品中的GUID標(biāo)識(shí)因?yàn)榭赡軐?dǎo)致使用者的個(gè)人信息泄露，曾引起了一場(chǎng)不小的風(fēng)波，另外，互聯(lián)網(wǎng)存在著不少木馬程序，如果不慎使用，就等于給自己的機(jī)器開了一個(gè)后門，個(gè)人信息和重要數(shù)據(jù)可能在不知不覺(jué)中就被黑客盜走。這些都說(shuō)明了互聯(lián)網(wǎng)并非是一塊充滿陽(yáng)光的和諧樂(lè)土。

　　另外，黑客入侵網(wǎng)站在1999年被報(bào)道的頻率相當(dāng)高。黑客頻頻得手的事件說(shuō)明了互聯(lián)網(wǎng)在安全方面存在著相當(dāng)多的弱點(diǎn)和漏洞，國(guó)內(nèi)站點(diǎn)和個(gè)人用戶應(yīng)對(duì)此有充分認(rèn)識(shí)，避免出現(xiàn)不必要的損失。

　　三、網(wǎng)上信息安全的管理

　　長(zhǎng)期以來(lái)，信息安全問(wèn)題一直沒(méi)有引起國(guó)人足夠的重視，安全意識(shí)差是一種普遍的現(xiàn)象。而今天，當(dāng)人們開始意識(shí)到信息安全的重要性時(shí)，卻又對(duì)系統(tǒng)的安全問(wèn)題產(chǎn)生一種本能的恐懼。

　　我們對(duì)信息安全問(wèn)題有個(gè)基本的觀點(diǎn)，不能因?yàn)樾畔⒓夹g(shù)存在信息安全問(wèn)題，就不去發(fā)展信息技術(shù)。對(duì)于國(guó)家來(lái)說(shuō)，信息化是必然的。從經(jīng)濟(jì)角度來(lái)看。信息化為我們提供了良好的發(fā)展機(jī)遇。

　　信息安全問(wèn)題說(shuō)到底，首先是一個(gè)管理問(wèn)題。特別是在我國(guó)信息安全產(chǎn)業(yè)剛剛起步的今天，信息安全的管理便顯得尤為重要了。

　　1人員安全與日常操作管理

　　常言道“三分技術(shù)，七分管理”。安全方案的實(shí)現(xiàn)。離不開管理，人員是管理的核心。人員管理除了技術(shù)層次的要求（比如：學(xué)歷、個(gè)人技能。工作經(jīng)驗(yàn)等），還應(yīng)有安全性要 求，保證從事網(wǎng)絡(luò)信息工作的人員都應(yīng)有良好的品質(zhì)和可靠的工作動(dòng)機(jī)，不能有任何犯罪記錄和不良嗜好。對(duì)工作人員要有一套完整的管理措施，它包括人員篩選錄用政策、上網(wǎng)和離職控制、安全教育、安全檢查等一系列制度。安全教育和培訓(xùn)的目的，在于使所有工作人員信息安全地位和作用及個(gè)人在其中的安全責(zé)任，熟悉工作環(huán)境的操作過(guò)程，使其有能力來(lái)正確地執(zhí)行安全的策略，減少人為的因素或操作不當(dāng)而給系統(tǒng)帶來(lái)不必要的損失或風(fēng)險(xiǎn)。

　　2系統(tǒng)連續(xù)性管理

　　系統(tǒng)備份、恢復(fù)策略的存在，是為了滿足系統(tǒng)業(yè)務(wù)連續(xù)不間斷的要求，避免由于自然災(zāi)難、事故、設(shè)備的損壞和惡意的破壞行為帶來(lái)系統(tǒng)不停頓服務(wù)功能的喪失。

　　3.按程序操作

　　內(nèi)部網(wǎng)絡(luò)的不安全主要體現(xiàn)在對(duì)網(wǎng)絡(luò)的違規(guī)使用，如越權(quán)使用某些業(yè)務(wù)，查看、修改機(jī)密文件或數(shù)據(jù)庫(kù)等，同時(shí)也包括一些對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的惡意攻擊。

　　四、網(wǎng)上信息安全的保護(hù)措施

　　為了保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和信息的安全，近年來(lái)針對(duì)不同的問(wèn)題研發(fā)了許多技術(shù)和產(chǎn)品，解決了安全需求的特定方面的問(wèn)題。主要包括

　　1防火墻產(chǎn)品：防火墻產(chǎn)品主要提供被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的進(jìn)出控制。它是被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，根據(jù)各種過(guò)濾原則來(lái)判斷網(wǎng)絡(luò)數(shù)據(jù)是否能夠通過(guò)防火墻。

　　2 VPN設(shè)備：VPN設(shè)備實(shí)現(xiàn)了利用公共網(wǎng)絡(luò)建立自己的虛擬專網(wǎng)。VPN設(shè)備負(fù)責(zé)給發(fā)送到對(duì)方的數(shù)據(jù)包進(jìn)行加密并重新打包，當(dāng)?shù)竭_(dá)對(duì)方VPN設(shè)備的時(shí)候再拆包、脫密，而在公共網(wǎng)絡(luò)上看到的只是兩個(gè)PVN設(shè)備。

　　3系統(tǒng)日志審計(jì)工具：許多系統(tǒng)都提供了系統(tǒng)日志，其中包含了有關(guān)系統(tǒng)安全方面的有價(jià)值的信息。在系統(tǒng)投入使用的時(shí)候，網(wǎng)管員對(duì)系統(tǒng)日志進(jìn)行配置，使其盡可能多地保留一些有用的信息。

　　4信息網(wǎng)關(guān)：信息網(wǎng)關(guān)為計(jì)算機(jī)內(nèi)的電子文件引入了密級(jí)、電子印章和網(wǎng)關(guān)證的概念。信息網(wǎng)關(guān)負(fù)責(zé)檢查出入網(wǎng)絡(luò)的文件是否具有網(wǎng)關(guān)證，是否按照所具有的密級(jí)進(jìn)行了加密。在檢查合格后才能傳出網(wǎng)絡(luò)。

　　5.授權(quán)和身份認(rèn)證系統(tǒng)：授權(quán)和身份認(rèn)證系統(tǒng)加強(qiáng)7原有的基于賬戶和口令的控制，提供了授權(quán)、訪問(wèn)控制、用戶身份識(shí)別、對(duì)等實(shí)體鑒別、抗抵賴等功能。信息加密是信息安全應(yīng)用中最早開展有效手段之一。信息加密的目的是保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。

　　6安全路由器：安全路由器提供了某些基于地址或服務(wù)的過(guò)濾機(jī)制，可以在一定程度上限制網(wǎng)絡(luò)訪問(wèn)。

　　7.安全性分析工具：安全性分析工具用于自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的安全漏洞，給出安全性分析報(bào)告。

　　8安全檢測(cè)預(yù)警系統(tǒng)：安全檢測(cè)預(yù)警系統(tǒng)用于實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，尋找具有網(wǎng)絡(luò)攻擊特征和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流。當(dāng)它發(fā)現(xiàn)可疑數(shù)據(jù)流時(shí)按照系統(tǒng)安全策略規(guī)定的響應(yīng)策略進(jìn)行響應(yīng)，包括實(shí)時(shí)報(bào)警、記錄有關(guān)信息、實(shí)時(shí)阻斷非法的網(wǎng)絡(luò)連接、對(duì)事件涉及的主機(jī)實(shí)施進(jìn)一步的跟蹤等。

　　網(wǎng)上信息安全的攻擊與反攻擊比較集中地體現(xiàn)在互聯(lián)網(wǎng)上。由于互聯(lián)網(wǎng)自身是一個(gè)開放系統(tǒng)，它不為任何服務(wù)提供安全保障。因此，任何單位的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連時(shí)，在檢查合格后才能傳出網(wǎng)絡(luò)。同時(shí)，信息安全意識(shí)與信息保護(hù)措施常抓不懈，培養(yǎng)網(wǎng)絡(luò)人員良好的工作素質(zhì)。