1 安全管理制度
信息系统安全,不仅要从技术角度采取若干措施,还要从组织管理的角度出发,制定明确的安全管理的规章制度,以确保安全技术实施的有效性。只有依靠安全管理规章的有力支持和保障,信息安全的技术解决方案才能够切实地取得预期的效果。
事实上,管理的缺失是信息安全失败的非常重要的原因。有统计表明,危害信息系统安全的因素中,70%以上来自组织内部。系统管理员随意性的配置或者软件升级不及时造成的安全漏洞,使用脆弱的用户口令,随意下载使用来自网络的软件,在防火墙内部架设拨号服务器却没有对账号认证等严格限制,用户安全意识不强,将自己的账号随意转借他人或与别人共享等,这些管理上的问题无论多么高超的安全技术都不能解决,都会使信息系统处于危险之中。如果没有健全的安全性规章或者安全性规章不能贯彻落实,即便设计和实现了再好的安全设备和系统,信息系统安全也不过是空谈而已。
所以建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列安全性规章并认真贯彻执行对于维护信息系统的安全来说是非常必要的。
为了更好地落实安全性规章,首先需要根据实际情况,建立和健全信息系统安全委员会、安全小组、安全员。安全组织成员应当由主管领导、安全保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家组成。如果有必要,安全组织也可成立专门的独立机构。设立信息安全部门和安全人员,不但可以有效地制定并贯彻落实安全性规章制度,还可以提高对安全事件的反应能力和响应速度。
有了信息安全部门和人员,还要制定安全管理制度。只有建立健全的安全管理制度,并在信息系统的运行过程中始终坚持贯彻执行,才能从根本上为信息系统的正常运行,以及信息系统安全技术的执行提供良好的、坚固的基础。安全管理制度应该包括下面一些主要方面的内容:
(1)机房安全管理制度。
(2)系统运行管理制度,包括系统启动、关闭、系统状态监控、系统维护等。
(3)人员管理制度,包括管理人员、设计人员、操作人员、人事变更等。
(4)软件管理制度。
(5)数据管理制度。
(6)密码口令管理制度。
(7)病毒防治管理制度。
(8)用户登记和信息管理制度。
(9)工作记录制度。
(10)数据备份制度。
(11)审计制度。
(12)安全培训制度等。此外,有了制度而不认真执行等于没有制度,所以,只有在系统的运行过程中,管理人员、操作人员、用户之间的相互配合与相互协作,共同遵守既定的安全性规章,才能保证信息系统的安全措施是有用的、有效的。
总之,信息安全所涉及的方面很多,只有在各个方面都进行全面管理,才能在此基础上,与所采用的安全技术和设备一起,有效保证信息系统安全。
2 计算机犯罪与相关法规
随着计算机技术的不断发展,针对信息系统的各种入侵和攻击事件也与日俱增,而且由此带来的影响和损失也越来越大,有些事件甚至已经严重地危害到国家安全、经济发展和社会稳定。因此,提高信息安全性已经不再仅仅局限于采取适当的安全技术措施,完善安全性规章制度,更需要正确地运用法律手段来对付日益严重的计算机犯罪,避免重大损失的问题。
1.计算机犯罪
所谓计算机犯罪是指针对和利用计算机系统,通过非法操作或者以其他手段,对计算机系统的完整性或正常运行造成危害的行为。
计算机犯罪的犯罪对象是计算机系统或其中的数据,包括计算机设备、系统程序、文本资料、运算数据、图形表格等。所谓非法操作,是指一切没有按照操作规程或是超越授权范围而对计算机系统进行的操作。非法操作是对计算机系统造成损害的直接原因。
计算机犯罪是随着计算机技术的发展而出现和发展的,在不同的历史时期,具有不同的特点。大体上,计算机犯罪可以划分成两个阶段。
第一个阶段是计算机单机时代,即早期的电脑犯罪阶段,时间大致从 20 世纪 50 年代至 80 年代。这个时期的主要形式是计算机诈骗,针对计算机内部信息的窃取和破坏。
第二个阶段是计算机网络时代,时间大致从 20 世纪 80 年代到现在。在这个时期,由于计算机网络的迅速发展及其应用范围越来越广泛,而且计算机软件日益复杂化、普及化,计算机犯罪呈现出一些新的特点:
(1)呈现国际化趋势。互联网的发展是跨越国界的,随之而来的就是计算机犯罪由区域性犯罪向跨地区、跨国界的国际性犯罪发展。
(2)从犯罪所针对的对象看,向全社会各单位和个人蔓延。计算机犯罪由早期的主要攻击金融系统、政府机关向攻击其他所有行业、所有部门的信息系统蔓延;由攻击单位、团体的信息系统向攻击个人信息系统蔓延。这两种趋势的出现都是因为计算机已经从早期的特殊部门向全社会众多机关团体以及个人普及。
(3)从组织形式上看,由个人犯罪向群体犯罪、组织犯罪发展;由单一目的犯罪向综合性犯罪发展。
(4)从犯罪主体看,所涉及人员范围越来越广泛,并呈现低龄化趋势。从年龄结构来看,低龄化、普遍化是主要特点。从犯罪人员素质层次看,已经从早期的高学历、高技能型向普通人群发展。这些也都是因为计算机技术的普及,使得越来越多的人能够方便地学习到更多的计算机技术,通过长时间的学习和实践,青少年、低学历人员也能够逐渐掌握这些技术,成为计算机和网络犯罪的主体。
(5)从危害程度看,后果越来越严重。由于知识经济的发展,各企事业单位的日常业务越来越依赖于信息系统,大量政治、军事、经济等方面的重要文件和数据,以及大量的社会财富集中于信息系统中,例如网络银行、股票等往往就表现为计算机系统中账户上的数据。一旦犯罪分子侵入这样的信息系统,必将对国家安全、经济发展、社会进步产生巨大的影响,甚至造成不可挽回的损失。
(6)通过网络窃取机密信息将成为间谍活动的主要形式之一。随着越来越多的企事业单位和个人连接互联网,其中的很多机密信息和数据都面临着网络窃密行为的威胁。对于没有采取严格安全措施的系统,通过网络窃取其机密信息相对于其他方式更加隐蔽、快捷。例如,通过后门程序盗窃用户的账号和密码,通过系统漏洞取得系统特权,非法窃取商业机密等。
这些计算机犯罪行为显然具有很大的危害,它们影响社会的稳定,危及国家安全,扰乱经济秩序,影响社会治安,妨害青少年的健康成长,阻碍高科技产业的健康发展。因此,对于各种形式的计算机犯罪必须运用法律手段进行打击和惩处。加大对网络犯罪的打击力度,是保证我国社会稳定、经济持续发展的一项重要任务。
2.我国的相关法律、法规
计算机犯罪,已经成为刑事犯罪的一种新形式。我国《刑法》已经增加了计算机犯罪的相关内容,并将计算机犯罪分为 5 种类型。一类是直接以计算机信息系统为犯罪对象的犯罪,另一类是以计算机为犯罪工具实施其他犯罪。具体的,《刑法》关于计算机犯罪的规定有:
第二百八十五条(非法侵入计算机信息系统罪)违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条(破坏计算机信息系统罪)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处 5 年以下有期徒刑或者拘役;后果特别严重的,处 5 年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
第二百八十七条(利用计算机实施的各类犯罪)利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
这些规定对于我国大规模地推广应用各种信息系统,对于保护信息系统的生产者和使用者的合法权益,对于信息系统的安全运作都具有极为重要的作用。
除了《刑法》之外,我国在信息系统安全方面,自 1994 年以来,国务院及其有关部委相继修改和出台了若干相关法规和管理规定,其中对于我国境内发生的各种计算机犯罪及其处罚都有明文规定。因此,为了做好信息系统安全,有必要详细了解这些法律、法规,包括《中华人民共和国宪法》、《中华人民共和国刑法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国治安管理处罚条例》《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《中华人民共和国专利法》、《中华人民共和国反不正当竞争法》、《中华人民共和国商标法》、《中华人民共和国海关法》、《中华人民共和国标准化法》、《关于对<中华人民共和国计算机信息系统安全保护条例>中涉及的“有害数据”问题的批复》、《科学技术保密规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《公安部关于对与国际联网的计算机信息系统进行备案工作的通知》、《计算机信息网络国际联网安全保护管理办法》、《电子出版物管理规定》、《中国互联网络域名注册暂行管理办法》、《从事放开经营电信业务审批管理暂行办法》、《计算机信息网络国际联网出入口信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《中国公众多媒体通信管理办法》、《计算机软件保护条例》、《商用密码管理条例》、《计算机信息系统国际联网保密管理规定》、《计算机病毒防治管理办法》、《信息安全等级保护管理办法》等。