信息安全法律法规立法趋势(我国信息安全管理的现状问题及其对策)

1.我国信息安全管理的现状、问题及其对策

我国信息安全管理的现状、问题及其对策 摘要：信息安全是国家安全的基础和关键。

在信息安全保障的三大要素（人员、技术、管理）中，管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。

本文分析了信息安全管理的现状，并着重讨论了加强信息安全管理的策略。 关键词：信息安全；管理；现状；策略 信息安全管理是随着信息和信息安金的发展而发展的。

在信息社会中，一方面信息已经成为人类的重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，这样将使组织在业务运作过程巾面临巨大的风险。

这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞， 以及大量存在于组织内外的各种威胁， 因此对信启、系统需要加以严格管理和妥善保护，信息安全管理也随之产生。 1、国内信息安全管理现状 1.1在国家宏观信息安全管理方面的问题 （1）法律法规问题。

健全的信息安 法律法规体系是确保国家信息安全的基础，是信息安全的第一道防线。我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。

但是我国的法律法规体系还存在缺陷，一是现有的法律法规存在不完善的地方，如法律法规之间有内容重复交叉， 同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不?一致；二是法律法规建设跟不上信息技术发展的需要，这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法律法规缺乏。 （2）管理问题。

管理包括三个层次的内容：组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。

信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容，因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之问，要有明确的分工，以避免“政出多门”和“政策拉车”现象的发生。

需要建立切实可行的规章制度，即进行制度建设，以保证信息安全。如对人的管理，需要解决多人负责、责仔到人的问题，任期有限的问题，职责分离的问题，最小权限的问题等。

有了组织机构和相应的制度，还需要领导的高度重视和群防群治，即强化人员的安全意识，这需要信息安全意识的教育和培训，以及对信息安伞问题的高度重视。 （3）国家信息基础设施建设问题。

目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。关于国家信息基础设施方面存在的问题已引起国家的高度重视。

如“十五”期问，国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目；2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求：电信产品软件商不能在软件上预留“后门”，外国供货商不能远程登录中国电信商的操作系统，高级 管系统要用国内可靠机构开发的软件产品。 1.2我国在微观信息安全管理方面存在的问题主要表现 （1）缺乏信息安全意识与明确的信息安全方针。

大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足，或者仅局限于IT方面的安全，没有形成一个合理的信息安拿方针来指导组织的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章组织未必能严格实施等。 （2）重视安全技术，轻视安全管理。

目前组织普遍采用现代通信、计算机和网络技术来构建信息系统，以提高组织效碍暑与竞争能力，但相应的管理措施不到位，如系统的运行、维护和开发等岗位不清，职责不分，存在一人身兼数职现象。 （3）安全管理缺乏系统管理的思想。

大多数组织现有的安全管理模式仍是传统的管理方法，出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全风险评估基础上的动态的持续改进管理方法。 2、国外信息安全管理现状 国际上信息安全管理近几年的发展主要包括以下几个方面。

（1）制订信息安全发展战略和计划。制订发展战略和计划是发达国家一贯的作法。

美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。 （2）加强信息安全立法，实现统一和规范管理。

以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站，美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。

2000年1O月5日美参议院通过了《互联网网络完备性及关键设备保护法案》。2000年9月，俄罗斯实施了关于网络信息安全的法律。

（3）步入标。

2.我国网络安全法律

1、立法滞后、层次低，尚未形成完整的法律体系 在我国现行涉及网络安全的法律中，法律、法规层次的规定太少。

规章过多，给人一种头重脚轻的感觉.而且.在制定规章的过程中，由于缺乏纵向的统筹考虑和横向的有效协调。制定部门往往出于自身工作的考虑，忽视了其他相关部门的职能及相互间的交叉等问题，致使出台的规章虽然数量不少但内容重复交叉。

这种现状一方面造成部门问更多的职能交叉，另一方面。在一定程度上造成了法律资源的严重浪费。

法律法规的欠缺、规章的混乱，常常造成这样一种奇怪的现象对网络违法行为，要么无人管.要么争着管。 2、不具开放性 我国的信息网络安全法结构比较单一、层次较低。

难以适应信息网络技术发展的需要和日益严重的信息网络安全问题。我国现行的安全法律基本上是一些保护条例、管理办法之类的，缺少系统规范网络行为的基本法律如信息安全法、网络犯罪法、电子信息出版法、电子信息个人隐私法等。

同时，我国的法律更多她使用了综合性的禁止性条款，如《中华人民共和国计算机信息系统安全保护条例》第七条规定：“任何单位或者个人。 不得利用计算机信息系统从事危害国家利益.集体利益和公民台法利益的活动。

不得危害计算机信息系统的安全。“而没有具体的许可性条款和禁止性条款。

这种大一统的立法方式往往停留于口号的层次上。难以适应信息网络技术的发展和越来越多的信息网络安全问题。

3、缺乏兼容性 我国的安全法律法规有许多难以同传统的法律原则、法律规范协调的地方。 比如说，根据《中华人民共和国行政处罚法》第十二条规定，规章可以在法律.行政法规规定的给予行政处罚的行为、种类和幅度范围内作出具体规定。

尚未制定法律、行政法规的。规章对违反行政管理秩序的行为，可以设定警告或者一定数量罚款的行政处罚。

在我国现有相关法律、行政法规中.均未设定没收从事违法经营活动的全部设备的处罚，但是依据这些行政法规制定的《互联网上网服务营业场所管理办法》的第14条，却设定了没收从事违法经营活动的全部设备的处罚种类，显然这个处罚的设定与相关法规有矛盾之处。 4、缺乏操作性 我国的信息网络安圭法中存在难以操作的现象。

为丁规范网络上的行为。政府职能部门都出台了相关的规定，公安部、信息产业部、国家保密局、教育部、新闻出版署、中国证监会.国家广播电影电视总局、国家药品监督营理局、原国务院信息化工作领导小组等都制定了涉及网络的管理规定。

此外，还有许多相关的地方性法规.地方政府规章。数量虽大，但是它们的弊端是明显的。

由于没有法律的统一协调，各个部门出于自身利益，致使常常出现同一行为有多个行政处罚主体，处罚幅度不尽一致，行政审批部门及审批事项多等现象。这就给法律法规的实际操作带来了诸多难题。

3.信息安全法律法规及网上道德规范

社会最近发生的网络案件如网友见面、虚拟财产被窃等现象。这些问题不能不引起我们注意关于网络安全，网络道德问题，导入这节课“做信息时代的合格公民”的主题。

师：首先肯定网络给我们带来的各种积极的、重要的影响。结合上节课学习的计算机病毒和计算机犯罪问题，引出在网络使用过程中经常出现的问题，给我们带来了很多的负面影响。

生：通过教材中任务，找出信息活动中经常出现的问题；并且填写任务单中相应内容。

师：列举网络使用过程中经常出现的问题：网上传播不良信息；利用网络从事违法犯罪活动；虚假信息给青少年造成不良影响；垃圾信息泛滥成灾；等等。设计意图：激发学生解决问题兴趣。

生：如何解决以上问题？（头脑风暴）如：依靠法律法规、依靠技术维护及做好网络道德规范宣传活动等等。

师：指导学生通过学习网站阅读网络道德规范及青少年网络文明公约。

生：阅读教材了解《青少年网络文明公约》的内容，并且对自己的日常上网行为进行反省。

(1)设问：去过网吧的同学有多少？一般去一次是多长时间？在网吧里一般都做什么？平均一周去几次？

活动：民意调查，从而阐明“拒绝泡网吧，珍惜生命”。

(2)设问：在网络上，聊过天吗？泡论坛吗？玩过最近流行的网络游戏吗？在这些方面上，你投资了多少，收获了多少？

活动：民意调查，从而阐明“擦亮慧眼，分清虚实世界”。

(3)利用搜索引擎及部分相关资料，举实例，如网页木马、恶意代码、网络虚拟财产案、重要机构机密资料被窃等。

活动：让学生自己总结网络安全的重要性。并号召学生“刻苦钻研网络技术，维护网络安全”，争做网络小卫士。

(4)在网络的虚拟世界中，注意保护个人的相关资料，如家庭住址、电话号码、生日、亲属关系、银行账号等相关内容。

活动：假如泄露了个人相关资料，会引起什么样的恶性后果？（让学生自己总结）从而阐明“增强自我保护意识，守护个人资料”。

师：组织学生讨论：“本校内的BBS中留有以虚假身份或匿名方式发布的大量帖子，部分内容粗俗，不健康不积极，还有的谩骂同学或是教师的。”教师与学生游览并且引导学生从现在做起。

生：利用校内网站（）中的BBS或登陆FTP进行网上讨论，发表个人看法。

师：指导学生登陆因特网法律法规网站，了解法律法规常识。

/~bytalent/lawnet/net_safe/03.htm

师：指导学生阅读课后案例：“破译密码窃取巨额储蓄资金 黑客被判无期徒刑”等等案例。

生：回答案例中主人公触犯了哪些法律法规。

师：在信息社会的高速发展下，信息课程日渐成为以后人们重要的学习方式，所以倡导学生分组讨论共同制定一个“网络课程学习守则”，并对学生制定的守则进行评价。

生：根据《青少年网络文明公约》从“课程学习”、“交流讨论”“联系反馈”等方面讨论总结出学生自己的学习守则，并且努力自觉的遵守守则，并在班上交流。

师：指导学生为本班拟定一份“网络课程学习守则”。

生：各小组长负责完善各小组交流之后的学习守则，共同完成本班内的“网络课程学习守则”。

师：指导学生完成“小组学习任务单”的全部内容。

4.近几年来我国出台的相关计算机信息安全法律法规

二○○六年十一月二十二日

最高人民法院关于修改《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》的决定（二）

(2006年11月20日最高人民法院审判委员会第1406次会议通过)

根据《中华人民共和国著作权法》第五十八条及《信息网络传播权保护条例》的规定，最高人民法院审判委员会第1406次会议决定对《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》作如下修改：

删去《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第三条。

根据本决定对《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》的条文顺序作相应调整后，重新公布。

最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释

法释〔2006〕11号

(2000年11月22日最高人民法院审判委员会第1144次会议通过根据2003年12月23日最高人民法院审判委员会第1302次会议《关于修改〈最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释〉的决定》第一次修正根据2006年11月20日最高人民法院审判委员会第1406次会议《关于修改〈最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释〉的决定（二）》第二次修正）

为了正确审理涉及计算机网络著作权纠纷案件，根据民法通则、著作权法和民事诉讼法等法律的规定，对这类案件适用法律的若干问题解释如下：

第一条 网络著作权侵权纠纷案件由侵权行为地或者被告住所地人民法院管辖。侵权行为地包括实施被诉侵权行为的网络服务器、计算机终端等设备所在地。对难以确定侵权行为地和被告住所地的，原告发现侵权内容的计算机终端等设备所在地可以视为侵权行为地。

第二条 受著作权法保护的作品，包括著作权法第三条规定的各类作品的数字化形式。在网络环境下无法归于著作权法第三条列举的作品范围，但在文学、艺术和科学领域内具有独创性并能以某种有形形式复制的其他智力创作成果，人民法院应当予以保护。

第三条 网络服务提供者通过网络参与他人侵犯著作权行为，或者通过网络教唆、帮助他人实施侵犯著作权行为的，人民法院应当根据民法通则第一百三十条的规定，追究其与其他行为人或者直接实施侵权行为人的共同侵权责任。

第四条 提供内容服务的网络服务提供者，明知网络用户通过网络实施侵犯他人著作权的行为，或者经著作权人提出确有证据的警告，但仍不采取移除侵权内容等措施以消除侵权后果的，人民法院应当根据民法通则第一百三十条的规定，追究其与该网络用户的共同侵权责任。

第五条 提供内容服务的网络服务提供者，对著作权人要求其提供侵权行为人在其网络的注册资料以追究行为人的侵权责任，无正当理由拒绝提供的，人民法院应当根据民法通则第一百零六条的规定，追究其相应的侵权责任。

第六条网络服务提供者明知专门用于故意避开或者破坏他人著作权技术保护措施的方法、设备或者材料，而上载、传播、提供的，人民法院应当根据当事人的诉讼请求和具体案情，依照著作权法第四十七条第（六）项的规定，追究网络服务提供者的民事侵权责任。

第七条 著作权人发现侵权信息向网络服务提供者提出警告或者索要侵权行为人网络注册资料时，不能出示身份证明、著作权权属证明及侵权情况证明的，视为未提出警告或者未提出索要请求。

著作权人出示上述证明后网络服务提供者仍不采取措施的，著作权人可以依照著作权法第四十九条、第五十条的规定在诉前申请人民法院作出停止有关行为和财产保全、证据保全的裁定，也可以在提起诉讼时申请人民法院先行裁定停止侵害、排除妨碍、消除影响，人民法院应予准许。

第八条 网络服务提供者经著作权人提出确有证据的警告而采取移除被控侵权内容等措施，被控侵权人要求网络服务提供者承担违约责任的，人民法院不予支持。

著作权人指控侵权不实，被控侵权人因网络服务提供者采取措施遭受损失而请求赔偿的，人民法院应当判令由提出警告的人承担赔偿责任。

5.求开题报告《我国信息安全的现状及对策研究》

长期以来，人们对保障信息安全的手段偏重于依靠技术， 从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。

厂商在安全技术和产品的研发上不遗余力， 新的技术和产品不断涌现；消费者也更加相信安全产品， 把仅有的预算也都投入到安全产品的采购上。 但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意， 许多复杂、多变的安全威胁和隐患靠产品是无法消除的。

“ 三分技术，七分管理”这个在其他领域总结出来的实践经验和原则， 在信息安全领域也同样适用。据有关部门统计， 在所有的计算机安全事件中，约有52%是人为因素造成的，25% 由火灾、水灾等自然灾害引起，技术错误占10%， 组织内部人员作案占10%，仅有3% 左右是由外部不法人员的攻击造成。

简单归类， 属于管理方面的原因比重高达70%以上， 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。 因此，管理已成为信息安全保障能力的重要基础。

一、我国信息安全管理的现状 （1）初步建成了国家信息安全组织保障体系 国务院信息办专门成立了网络与信息安全领导小组， 成员有信息产业部、公安部、国家保密局、国家密码管理会员会、国家安全部等强力部门，各省、市、自治州也设立了相应的管理机构。2003年7月， 国务院信息化领导小组第三次会议上专题讨论并通过了《 关于加强信息安全保障工作的意见》， 同年9月，中央办公厅、国务院办公厅转发了《 国家信息化领导小组关于加强信息安全保障工作的意见》（ 2003[27]号文件）。

27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，并提出了“积极防御、综合防范”的信息安全管理方针。 2003年7月成立了国家计算机网络应急技术处理协调中心（ 简称CNCERT/CC），专门负责收集、汇总、核实、发布权威性的应急处理信息、为国家重要部门提供应急处理服务、协调全国的CERT组织共同处理大规模网络安全事件、对全国范围内计算机应急处理有关的数据进行统计、根据当前情况提出相应的对策、与其他国家和地区的CERT进行交流。

目前已经在全国各地建立了31个分中心， 并授权公共互联网应急处理国家级服务试点单位10家、公共互联网应急处理省级服务试点单位20家， 还有国内的10家骨干互联网运营企业成立自己的应急处理中心（ CERT），这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户，成为了CNCERT/CC的主要联系成员， 由此形成了一个立体交错的应急体系， 形成了信息上下畅通传递的通报制度。 2001年5月成立了中国信息安全产品测评认证中心（ 简称CNITSEC）， 代表国家开展信息安全测评认证工作的职能机构， 依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国 家信息安全测评认证体系。

负责对国内外信息安全产品和信息技术进行测评和认证、对国内信息系统和工程进行安全性评估和认证、对提供信息安全服务的组织和单位进行评估和认证、对信息安全专业人员的资质进行评估和认证。目前建有上海、东北、西南、华中、华北五个授权评认证中心机构和两个系统安全与测评技术实验室 。

（2） 制定和引进了一批重要的信息安全管理标准 为了更好地推进我国信息安全管理工作，公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895 -1999《计算机信息系统安全保护等级划分准则》， 并引进了国际上著名的《ISO 17799:2000：信息安全管理实施准则》、《BS 7799-2:2002：信息安全管理体系实施规范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 》、《SSE-CMM：系统安全工程能力成熟度模型》 等信息安全管理标准。信息安全标准化委会设置了10个工作组， 其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南，它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。

（3） 制定了一系列必须的信息安全管理的法律法规 从上世纪九十年代初起，为配合信息安全管理的需要，国家、相关部门、行业和地方政府相继制定了《 中华人民共和国计算机信息网络国际联网管理暂行规定》、《 商用密码管理条例》、《互联网信息服务管理办法》、《 计算机信息网络国际联网安全保护管理办法》、《 计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《 软件产品管理办法》、《电信网间互联管理暂行规定》、《 电子签名法》等有关信息安全管理的法律法规文件。 （4） 信息安全风险评估工作已经得到重视和开展 风险评估是信息安全管理的核心工作之一。

2003年7月， 国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准 的编制工作， 国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风 险评估试点工作，国家其它关键行业或系统（如电力、电信、银行等）也将陆续开展这方面的工作。 二、我国信息安全管理目。

6.我国电子政务安全策略分析

我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。

要强化电子政务环境下公务员的信息安全意识，建立电子政务信息安全管理机构，完善信息安全基础设施和扶持国有信息安全产业的发展。 1 电子政务信息安全的内涵 电子政务是政府管理方式的革命，它是运用信息以及通信技术打破行政机关的组织界限，构建一个电子化的虚拟机关，使公众摆脱传统的层层关卡以及书面审核的作业方式，并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等，高效快捷地向人们提供各种不同的服务选择。

政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。电子政务的建立将使政府成为一个更符合环保精神的政府，一个更开放透明的政府，一个更有效率的政府，一个更廉洁勤政的政府。

然而，电子政务的职能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转，其中不乏重要信息，内部网络上有着大量高度机密的数据和信息，直接涉及政府的核心政务，它关系到政府部门、各大系统乃至整个国家的利益，有的甚至涉及国家安全。

如果电子政务信息安全得不到保障，电子政务的便利与效率便无从保证，对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。

电子政务的信息安全可以理解为： （1）从信息的层次看，包括信息的完整性（保证信息的来源、去向、内容真实无误）、保密性（保证信息不会被非法泄露扩散）、不可否认性（保证信息的发送和接收者无法否认自己所做过的操作行为）等。 （2）从网络层次看，包括可靠性（保证网络和信息系统随时可用，运行过程中不出现故障，遇意外事故能够尽量减少损失并尽早恢复正常）、可控性（保证营运者对网络和信息系统有足够的控制和管理能力）、互操作性（保证协议和系统能够互相联接）、可计算性（保证准确跟踪实体运行达到审计和识别的目的）等。

（3）从设备层次看，包括质量保证、设备备份、物理安全等。 （4）从管理层次看，包括人员可靠、规章制度完整等。

2 电子政务信息安全风险分析 现阶段，我国电子政务信息安全系数比较低。公安部1998年8月在江苏、上海、广东等省（市）对169信息网进行检测，发现其设防能力十分脆弱，难以抵御任何方式的电子攻击。

电子政务信息安全风险主要存在4个方面。 2.1 观念方面 著名信息安全专家、中国工程院院士沈昌祥从国家安全利益出发，提出应把信息系统安全建设提高到研制“两弹一星”的高度去认识。

1999年政府上网工程启动以来，政府部门越来越重视网络系统建设，看重网络带来的便利与高效，但是有些地方对信息安全工作未引起足够重视。据估计，我国在网络工程中网络安全的投入费用不到2%，同国外的10%相比有较大差距。

现阶段，电子政务网络的开放程度不高，一些机密信息目前还没有上网，再加之公众对计算机犯罪的态度较为“宽容”，认为并没有造成直接的人员财产损失，这都使得公务员和普通大众对信息安全问题关注不够，信息安全意识淡薄。 2.2 技术方面 （1）计算机系统本身的脆弱性，使得它无法抵御自然灾害的破坏，也难以避免偶然无意造成的危害。

如：洪水、火灾、地震的破坏，系统所处环境的影响（温湿度、磁场、碰撞、污染等），硬件设备故障，突然断电或电压不稳定及各种误操作等。这些危害会损害操作系统设备，有时会丢失或破坏数据，甚至毁掉整个系统。

（2）网络本身存在缺陷。首先，软件本身缺乏安全性。

操作系统的设计一般着重于提高信息处理的能力和效率，对于安全只是作为一项附带的条件加以考虑。因此，操作系统中的安全缺陷相当多。

其次，通信与网络设备本身有弱点。绝大多数电子政务信息网络运行的是TCP/IP,NetBEUI,IPX/SPX等网络协议，而这些网络协议并非专为安全通讯而设计。

利用这些网络进行服务，本身就可能存在多方面的威胁，加之使用者信息安全意识淡薄，管理者管理措施不力等原因，会造成一些常见的安全问题：对物理通路的干扰；网络链路传送的数据被窃听；非授权用户非法使用，信息被拦截或监听；操作系统存在的网络安全漏洞；应用平台的安全，如数据库服务器、电子邮件服务器等均存在大量的安全隐患，很容易受到病毒、黑客攻击；直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次，目前世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统，缺乏统一的信息安全标准、密码算法和协议，因而无法进行严格的安全确认。

（3）我国具有自主知识产权的信息设备、技术、产品较少，如计算机芯片、骨干路由器和微机主板等基本上从国外进口，且对引进技术和设备缺乏必要的技术改造，尤其是在系统安全和安全协议的研究和应用方面。而美欧等发达国家对我国限制和封锁信息安全高密度产品，出口到我国的信息产品中留有安全隐患。

例如，美国出口我国的计算机系统的安全系统只有C2级，是美国国防部规定的8个安全级别之中的倒数第三；在操作系统、数据库管理系统或应用程序中预。

7.信息安全的法律与宪法之间的关系

热心相助

您好！

我国从维护国家安全、社会稳定和网络安全管理的实际需要出发，从20世纪90年代初开始，国家及相关部门、行业和地方政府相继制定了多项有关网络安全的法律法规。

我国网络安全立法体系分为以下三个层面：

第一层面：法律。为全国人民代表大会及其常委会通过的法律规范。我国与网络信息安全相关的法律主要有：《宪法》、《刑法》、《治安管理处罚条例》、《刑事诉讼法》、《国家安全法》、《保守国家秘密法》、《行政处罚法》、《行政诉讼法》、《全国人大常委会关于维护互联网安全的决定》、《人民警察法》、《行政复议法》、《国家赔偿法》、《立法法》等。

第二个层面：行政法规。主要指国务院为执行宪法和法律而制定的法律规范。与网络信息安全有关的行政法规包括：《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《计算机软件保护条例》等。

第三个层面：地方性法规、规章、规范性文件。主要指国务院各部、委依据法律和国务院行政法规与法律规范，以及省、自治区、直辖市和较大的市人民政府依据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范性文件。

国家公安部制定的《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《关于开展计算机安全员培训工作的通知》等。

国家工业和信息化部制定的《互联网电户公告服务管理规定》、《软件产品管理办法》、《计算机信息系统集成资质管理办法》、《国际通信出入口局管理办法》、《国际通信设施建设管理规定》、《中国互联网络域名管理办法》、《电信网间互联管理暂行规定》等。2009年5月，又在其颁布的《互联网网络安全信息通报实施办法》和《木马和僵尸网络监测和处置机制》中，对国家互联网应急中心和互联网运营商、域名服务机构，以及网络安全企业共同开展网络安全信息共享和打击黑客产业给出了具体的规定。

摘自本人编著