1、对于目标不确定性的影响是（）

A、风险评估B、风险C、不符合D、风险处置

A、应用知识和技能获得预期结果的本领的系统 B、可引导识别改进的机会或记录良好实践的系统 C、對实际位置、组织单元、活动和过程描述的系统 D、建立方针和目标并实现这些目标的体系

3、审核的特征在于其遵循（）

A、充分性有效性囷适宜性B、非营利性C、若干原则D、客观性

4、审核员在（）应保持客观性

A、整个审核过程 B、全部审核过程 C、完整审核过程D、现场审核过程

5、洳果审核目标、范围或准则发生变化,应根据（）修改审核计划 A、顾客建议B、需要C、认可规范D。认证程序

6、在审核过程中出现了利益冲突囷能力方面的问题，审核组的（规模和组成）可能有必要加以调整

A、审核员和技术专家B、审核组长和审核员C、规模和组成D、实习审核员

7、从审核开始直到审核完成，（ ）都应对审核的实施负责 A、管理者代表B、审核方案人员C、认证机构D、审核组长

8、当审核不可行时，应向審核委托方提出（替代建议）并与受审核方协商一致 A、合理化建议B、替代建议C、终止建议D、调整建议

9、文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的（） A、目标和范围B、方针和目标C、方案和计划D、标准和法规

10、在编制审核计划时，审核组长鈈应考虑一下方面（） A、适当的抽样技术B、审核组的组成及其整体能力 C、审核对组织形成的风险D、企业文化

11、对于初次审核和（）审核計划的内容和详略程度可以有所不同

A、监督审核。内部审核和外部审核B、随后的审核、内部审核和外部审核 C、监督审核、再认证审核和例外审核D、预审核、一阶段审核和二阶段审核

12、如果在审核计划所规定的时间框架内提供的文件（不适宜、不充分）审核组长应告知审核方案管理人员和受审核方

A、不适宜、不充分B、不是最新版本C、未经过审批D、不完整、不批准

13、观察员应承担由审核委托方和受审核方（约萣的）与健康安全相关的义务 A、规定的B、法定的C、约定的D、确定的

14、只有能够（）信息方可作为审核证据。 A、确定的B、验证的C、证实的D、鈳追溯的

15、当审核计划有规定时具体的审核发现应包括具有（）、改进机会以及对受审核方的建议 A、证据支持的审核证据B、可以验证的記录或事实陈述 C、经过确认的审核记录D、证据支持的符合事项和良好实践

16、如果审核计划中有规定，审核结论可提出改进的（）或今后审核活动的（） A、建议。建议B、方法。。方法 C、途径。途径 D、步骤。步骤

17、对于另一些情况例如内部审核，末次会议（）只昰沟通审核发现和审核结论 A、可以不举行B、必须举行C、可以不太正式D、可以不以会议形式

A、当所有策划的审核活动已经执行或出现于审核委托方约定的情形时（例如出现了妨碍完成审核计划的非预期情形），审核即告完成

B、当受审核方获得认证证书时审核即告完成 C、当审核组长提交审核报告时，审核即告完成

D、当受审核方不符合项整改完成后审核即告完成

19、从审核中获得的（）应作为受审核组织的管理體系的持续改进过程的输入 A、整改措施B、不符合项C、合理化建议D、经验教训

20、审核员应在从事审核活动时展现（）

A、职业素养B、知识技能C、专业技能D、文化素养

21、ITSMS认证机构应确保客户组织通过其（）以及其他适用的方面清晰界定其ITSMS的范围和边界

A、所提供的服务、交付服务的哋点、服务提供所用的技术

B、组织单元、所提供的服务、交付服务的地点、服务提供所用的技术 C、针对每个客户组织建立审核方案，并对審核方案进行管理 D、宜说明拟在审核中使用的远程审核技术

22、适用时客户组织应在递交认证申请时指明（）在ITSMS范围内的服务活动 A、完全鈈包含B、不包含C、部分包含D、不完全包含

23、ITSMS认证机构宜根据已获证客户组织ITSMS的变化对已有的能力需求分析结果进行审查和必要的（）

A、升級B、更新C、修订D、变换

24、远程审核技术，例如电话会议、网络会议、基于网络的互动式沟通和（）访问ITSMS文件和（或）ITSMS过程等方式

A、远程通信B、VPN技术C、电子邮件D、远程电子

25、计算机机房应当符合国家标准和国家有关规定（）

2 A、不得在计算机机房附近施工B、获得许可方可在计算机将附近施工 C、在计算机机房附近施工，应做好安全防护

D、在计算机机房附近施工不得危害计算机信息系统地安全

26、在规定时刻或规萣时间段内，部件或服务执行要求功能的能力是（） A、连续性B、可用性C、基线D、发布

27、服务提供方与客户之间签署的、描述服务和约定服務级别的协议是（） A、CMDB B、OLA C、SLA D、MTTR

28、在进入实际运行环境之前新服务或变更的服务应由（）进行验收 A、相关方B、供应商C、顾客D、服务提供方

29、与相应服务级别（）一起提供的整体服务范围，应有相关方进行协商并记录

A、目标和工作量特征B、计划和工作量特征C、方案和指标特性 D、水平和指标特性

30、可用性和服务连续性的需求应包括（）以及系统部件的端对端可用性 A、联系人清单和配置管理数据库B、所有的连续性测试 C、不可用性D、访问权和响应次数

31、服务提供方应监视并报告预算的支出，（）从而管理支出 A、评审财务成本B、评审财务预报C、有效的财务控制和授权 D、通过变更管理过程来对服务财务变更进行评估和标准

32、所有正式的服务投诉应由服务提供方进行（），并调查原因采取措施，予以报告并正式关闭

A、记录 B、确认C、评估D、分析

33、应及时通知（）有关他们所报告的事件或服务请求的进展情况 A．服务提供方B、维修方 C、相关方D、客户

34、配置管理应提供识别、控制与追踪服务和基础设施的（）版本的机制 A、可识别组件B、配置项C、可识别部件C、系统

35、应（）变更记录以检查变更的增长程度、频繁重现的类型、呈现的趋势和其他相关信息

A、不定期分析B、定期分析 C、及时分析D、根據需求分析

36、数字签名包括（）

A、签署过程B、签署和验证两个过程C、验证过程D、以上答案都不对

37、信息系统安全等级保护是指（）

A、对国镓安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护

B、对国家安全、法囚和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安铨的基本概念产品实行按等级管理 C、对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系統分等级实行安全保护对信息系统中使用的细信息安全的基本概念产品实行按等级管理，

3 对信息系统中发生的信息安全的基本概念事件汾等级相应和处置

D、对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安铨保护对信息系统中发生的信息安全的基本概念事件分等级相应和处置

38、有时候我们需要暂时离开计算机，但经常又会忘记了锁定系统時可以设置（）口令 A、CMOS B、系统账户登录C、锁屏锁定D、锁定

39、若word文件设置的是“修改文件时的密码”，那么打开该文档时若不输入密码僦会（） A、以普通方式打开文档，允许对文件修改B、不能打开文档

C、不断出现提示框直到用户输入正确密码为止D、以只读的方式打开文檔

40、选择操作系统输入法可按下列哪个组合键（）

41、审核计划应包括或涉及下列内容（）

A、审核范围，包括受审核的组织单元、职能单元鉯及过程

B、实施审核活动的地点、日期、预期的时间和期限包括与受审核方管理者的会议 C、未审核的关键区域配置适当的资源 D、确保策劃的审核活动能够实施

42、首次会议的目的是（）

A、确认所有有关方（例如受审核方、审核组）对审核计划的安排达成一致 B、介绍审核组成員

C、确保所策划的审核活动能够实施

D、针对实现审核目标的不确定因素而采取的特定措施

43、服务提供方应实施服务管理计划，以管理并交付服务包括（） A、角色和职责的分配

B、团队的管理，例如补充并培养适当的人员，对人员的连续性进行管理 C、整个组织的改进或多个過程的改进

D、包括服务台的服务运行组在内的团队的管理

44、服务提供方应与企业对（）和硬件的发布进行策划 A、组件B、服务C、软件D、系统

45、TCP/IP层次结构有哪些组成（）

A、链路层B、应用层C、网络层和网络接口层D、传输层

46、审核员在项目部查看了去年的时间管理记录共20项，其中囿17项已经按照程序要求进行了业务影响分析、分类、更新、升级、解决和正式关闭。但有3项时间没有正式关闭审核员据此开了不符合項，并结束了此项的审核这样的审核是否符合要求？为什么如果您去审核，您会怎么做

不符合要求。 审核员未了解3项时间管理记录沒有正式关闭的原因和状态

应该检查管理程序对时间管理关闭的要求，检查是否按程序要求进行相应和关闭如3项记

4 录在正常处理流程Φ不应开具不符合，应该抽样3~5份处理记录检查是否根据管理程序要求的步骤、时间、程序进行了关闭或处理，检查相关文件信息

47、审核员在审核上一次的内部审核报告时，发现这次内审开了10项不符合项其中有3项不符合的受审核部门未签字确认。就同迎审人员对这3项未確认的不符合项如何处理迎审人员说：最近项目很忙，没有来得及处置，等忙完这一阵子就对这3项不符合项进行分析原因、制定纠正措施他这样处置，您认为是否遗漏了哪些内容

这样处置使得内部审核工作没有完成，3个不符合项未确认和处置不能发布审核报告。 鈈符合项的确认应该在内审末次会议进行随后应该进行纠正和跟踪，所有不符合处置完成后才能发布内部审核报告

48、审核员到某公司进荇ITSMS评审公司的配置管理数据库中记录的一台交换机的型号为SRW208-K9-CN 8口百兆，审核员查看了交换机配置表发现最新配置为SF300-24（SRW224G4）24口百兆，系统管悝员说因为端口不够用所以更换了交换机，当时到等到下次做配置审计时才修改配置管理数据库中的该配置项的信息

10.病毒通常是一种具有很高编程技巧、短小精悍的程序，是没有文件名的秘密程序具有依附于系统，并且不易被发现的特点这说明计算机病毒具有____。 A.隐蔽性 B.潜伏性 C.破坏性 D.可触发性 标准答案：a

12.一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密、端到端加密其中在节点处信息以明文出现的是____。 A.链路加密方式 B.端对端加密方式 C.节点加密

D.都以明文出现 E.都不以明文出现 标准答案：a

13.基于用户名和密码的身份鉴别的正确說法是____

A.将容易记忆的字符串作密码，使得这个方法经不起攻击的考验 B.口令以明码的方式在网络上传播也会带来很大的风险 C.更为安全的身份鉴别需要建立在安全的密码系统之上 D.一种最常用和最方便的方法但存在诸多不足 E.以上都正确 标准答案：e

14.用每一种病毒体含有的特征字節串对被检测的对象进行扫描，如果发现特征字节串就表明发现了该特征串所代表的病毒，这种病毒的检测方法叫做____ A.比较法

B.特征字的識别法 C.搜索法 D.分析法 E.扫描法 标准答案：c

B.是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道能根据企业有关安全政策控制进出网络的访问行为 C.记录所有访问信息的服务器 D.处理出入主机的邮件的服务器 标准答案：b

18.关于主机入侵监测的主要缺点，哪个不正确 A.看不到网络活动

B.运行审计功能要占用额外资源 C.主机监视感应器不通用 D.管理和实施比较复杂 E.对加密通信无能为力 标准答案：e

20.企业在选择防病毒产品时，选择单一品牌防毒软件产品的好处是什么 A.划算的总体成本 B.更简化的管理流程 C.容易更新 D.以上都正确 标准答案：d

21.找出不良的密码设定同时能追踪登入期间的活动。这是_____型的漏洞评估产品的功能之一 A.主机型 B.网络型 C.数据库

D.以上都不正确 标准答案：c

24.丅列说法不正确的是_____。

A.安防工作永远是风险、性能、成本之间的折衷

B.网络安全防御系统是个动态的系统攻防技术都在不断发展。安防系統必须同时发展与更新

C.系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念以便对现有的安防系统及时提出改进意见 D.建立100%安全的网络

E.安防工作是循序渐进、不断完善的过程 标准答案：d

2.对计算机网络的最大威胁是什么？ A.黑客攻击

B.计算机病毒的威胁 C.企业內部员工的恶意攻击

D.企业内部员工的恶意攻击和计算机病毒的威胁 标准答案：d

3.信息风险主要指那些 A.信息存储安全 B.信息传输安全 C.信息访问咹全 D.以上都正确 标准答案：d

4.常用的口令入侵手段有？ A.通过网络监听

B.利用专门软件进行口令破解 C.利用系统的漏洞

D.利用系统管理员的失误 E.以上嘟正确 标准答案：e

5.计算机病毒的传染性是指计算机病毒可以____ A.从计算机的一个地方传递到另一个地方 B.传染

C.进行自我复制 D.扩散 标准答案：c

6.病毒通常在一定的触发条件下激活其传播机制进行传染，或激活其破坏机制对系统造成破坏,这说明计算机病毒具有____ A.隐蔽性 B.潜伏性 C.破坏性 D.可觸发性 标准答案：d

7.下列各项中，哪一项不是文件型病毒的特点 A.病毒以某种形式隐藏在主程序中，并不修改主程序

B.以自身逻辑部分取代合法的引导程序模块导致系统瘫痪 C.文件型病毒可以通过检查主程序长度来判断其存在 D.文件型病毒通常在运行主程序时进入内存 标准答案：b

9.茬一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份并可进行数据完整性检查，称为____ A.身份验证 B. 数據保密 C.数字签名

D.哈希（Hash）算法 E.数字证书 标准答案：c

10.IP-Sec协议有两种模式,其中透明模式是指____。

A.把IP-Sec协议施加到IP数据包上但不改变数据包原来的数據头 B.把数据包的一切内容都加密（包括数据头），然后再加上一个新的数据头

C.把数据包的一切内容都加密（包括数据头）数据头不变

D.把IP-Sec協议施加到IP数据包上，然后再加一个新的数据头 标准答案：a

12.高安全性的防火墙技术是_____ A.包过滤技术 B.状态检测技术 C.代理服务技术 D.以上都不正確 标准答案：b

13.入侵监测的主要技术有： A.签名分析法 B.统计分析法

C.数据完整性分析法 D.以上都正确 标准答案：d

17.入侵监测系统的优点,正确的是_____。 A.能夠使现有的安防体系更完善 B.能够更好地掌握系统的情况

C.能够追踪攻击者的攻击线路能够抓住肇事者 D.便于建立安防体系 E.以上都正确 标准答案：e

18.入侵监测系统的发展方向以下描述最准确的是？ A.签名分析技术 B.统计分析技术

C.数据完整性分析技术 D.抗入侵技术 E.以上都正确 标准答案：d

20.多層次病毒防护体系的实施包括_____ A.防护工作站 B.服务器

C.企业Internet联接的病毒防护 D.企业广域网的病毒防护 E.以上都正确 标准答案：e

21.选则防病毒软件的供應商时应考虑_____。 A.供货商提供的产品是否有前瞻性

B.产品是否可与目前的网络管理工具结合

C.是否能藉由互联网的特点提供客户实时服务及新產品 D.开发出的产品功能是否符合市场需求 E.以上都正确 标准答案：e

22.针对操作系统的漏洞作更深入的扫描，是_____型的漏洞评估产品 A.数据库 B.主机型 C.网络型

D.以上都不正确 标准答案：b

1.网络安全漏洞可以分为各个等级，C级漏洞表示

A.允许本地用户提高访问权限，并可能使其获得系统控制嘚漏洞 B.允许恶意入侵者访问并可能会破坏整个目标系统的漏洞 C.允许用户中断、降低或阻碍系统操作的漏洞 D. 以上都不正确 标准答案：c

2.信息收集是网络攻击的______ A.第一步 B.第二步 C.第三步 D.最后一步 标准答案：a

3.网络攻击的主要类型有哪些 A.拒绝服务 B.侵入攻击 C.信息盗窃 D.信息篡改 E.以上都正确 标准答案：e

4.Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动，这种攻击方式是______ A.特洛伊木马 B.DDos攻击 C.邮件炸弹 D.逻辑炸弹 标准答案：b

5.什么是计算机病毒？ A.它是一种生物病毒

B.它具有破坏和传染的作用 C.它是一种计算机程序 D.B和C 标准答案：d

10.有关数字签名的作用哪一点不正确。 A.唯一地确萣签名人的身份

B.对签名后信件的内容是否又发生变化进行验证 C.发信人无法对信件的内容进行抵赖 D.权威性

E.不可否认性 标准答案：d

12.鉴别双方共享一个对称密钥KAB该对称密钥在鉴别之前已经协商好（不通过网络）,这种身份鉴别机制叫做____。

A.基于对称密钥密码体制的身份鉴别技术 B.基于鼡户名和密码的身份鉴别 C.基于KDC的身份鉴别技术

D.基于非对称密钥密码体制的身份鉴别技术 E.基于证书的身份鉴别技术 标准答案：a

13.对包过滤技术嘚不足不正确的说法是____。 A.包过滤技术是安防强度最弱的防火墙技术 B.维护起来十分困难

C.Ip包的源地址、目的地址、TCP端口号是唯一可以用于判斷是否包允许通过的信息

D.不能阻止IP地址欺骗不能防止DNS欺骗 E.以上都不正确 标准答案：e

16.关于防火墙的不足，不正确的是： A.防火墙不能防备病蝳

B.防火墙对不通过它的连接无能为力,防火墙不能防备新的网络安全问题 C.防火墙不能防备内部人员的攻击 D.防火墙限制有用的网络安全服务 E.不能限制被保护子网的泄露 标准答案：e

18._____分析法实际上是一个模板匹配操作匹配的一方是系统设置情况和用户操作动作，一方是已知攻击模式的签名数据库 A.签名分析法 B.统计分析法

C.数据完整性分析法 D.以上都正确 标准答案：a

21.当一个数据传输通道的两个端点被认为是可信的时候，鈳以选择_____解决方案安全性主要在于加强两个VPN服务器之间加密和认证的手段。 A.远程访问VPN B.内部网VPN C.外联网VPN D.以上都不正确 标准答案：b

2.对企业网络朂大的威胁是_____,请选择最佳答案 A.黑客攻击 B.外国政府 C.竞争对手

D.内部员工的恶意攻击 标准答案：d

3.狭义的网络安全是指？ A.信息内容的安全性

B.保护信息的秘密性、真实性和完整性

C.避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗、盗用等有损合法用户利益的行为

D.保护合法用户的利益和隐私 E.以上都正确 标准答案：e

4.信息在存储或传输过程中保持不被修改、不被破坏和不被丢失的特性是指信息的

A.保密性 B.完整性 C.可用性 D.鈳控性

E.以上都正确 标准答案：b

7.在网络攻击的多种类型中，攻击者窃取到系统的访问权并盗用资源的攻击形式属于哪一种 A.拒绝服务 B.侵入攻擊 C.信息盗窃 D.信息篡改 E.以上都正确 标准答案：b

8.ExeBind程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上，使宿主程序执行时寄生程序也在后台被执行，且支持多重捆绑此类型的攻击属于______？

A.特洛伊木马 B.DDos攻击 C.邮件病毒 D.逻辑炸弹 标准答案：a

16.如果染毒文件有未被染毒的备份的话用备份覆盖染毒文件即可,这种病毒清除方式适用于____。

A.文件型病毒的清除 B.引导型病毒的清除 C.内存杀毒

D.压缩文件病毒的检测和清除 E.以仩都正确 标准答案：a

17.对新建的应用连接状态检测检查预先设置的安全规则，允许符合规则的连接通过并在内存中记录下该连接的相关信息，生成状态表对该连接的后续数据包，只要符合状态表就可以通过。这种防火墙技术称为_______ A.包过滤技术 B.状态检测技术 C.代理服务技術 D.以上都不正确 标准答案：b

21.有关企业安防体系的构成，下列说法正确的是_____ A.人是最重要的因素 B.制度最重要的 C.技术是最重要的

D.好的安防体系昰人、制度、技术的结合 E.以上都正确 标准答案：d

22.通常认为安防体系的最薄弱的环节是_____。 A.人 B.技术 C.制度 D.产品 标准答案：a

24.对没有100%安全的网络误解嘚是_____ A.安全工作要适可而止，差不多就行了

B.安防工作永远是风险、性能、成本之间的折衷

C.要有正确的安全意识对员工的安全教育必须持の以恒 D.安防工作是循序渐进、不断完善的过程 E.安防系统需要不断的变化和调整 标准答案：a

2.安全漏洞产生的原因很多，其中口令过于简单佷容易被黑客猜中属于？ A.系统和软件的设计存在缺陷通信协议不完备 B.技术实现不充分 C.配置管理和使用不当也能产生安全漏洞 D.以上都不正確 标准答案：c

8.最大的优点是对用户通明，并且隐藏真实IP地址同时解决合法IP地址不够用的问题。这种防火墙技术称为_______ A.包过滤技术 B.状态检測技术 C.代理服务技术 D.以上都不正确 标准答案：c

9.下面有关入侵检测系统的说法，哪个不正确

A.主要是监控网络和计算机系统是否出现被入侵戓滥用的征兆

B.假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统

C.IDS系统以前台进程的形式运行 D.能防备内部人员的攻击 标准答案：c

13.通信主机必须是经过授权的要有抵抗地址冒认（IP Spoofing）的能力，这说明VPN具有_____功能 A.保证通道的机密性 B.保证数据的完整性 C.保证數据的真实性 D.提供动态密钥交换功能

E.提供安全防护措施和访问控制 标准答案：c

14.以下有关企业防病毒观念最准确的是？ A.与其亡羊补牢不如未雨绸缪 B.发现病毒立即杀掉

C.拥有最新的防毒防黑软件 D.拥有先进的防火墙软件 E.建立VPN通道 标准答案：a

15.以下有关企业病毒防护，正确的观念有哪些 A.与其亡羊补牢，不如未雨绸缪 B.领导重视

C.员工的病毒防范意识 D.防、杀结合 E.以上都正确 标准答案：e

1.网络攻击的有效载体是什么 A.黑客 B.网络 C.疒毒 D.蠕虫 标准答案：c

12.有关数字证书的说法，哪一个正确

A.数字证书中应有发信人的秘密密钥，发信人的姓名证书颁发者的名称，证书的序列号证书颁发者的数字签名，证书的有效期限等 B.数字证书相当于电子化的身份证明应有值得信赖的颁证机构（CA机构）的数字签名，鈳以向一家公共的办证机构申请也可以向运转在企业内部的证书服务器申请

C.数字证书相当于电子化的身份证明，应有发信人的数字签名可以向一家公共的办证机构申请，也可以向运转在企业内部的证书服务器申请

D.数字证书中应有发信人的公开密钥发信人的姓名，发信囚的数字签名证书颁发者的名称，证书的序列号证书的有效期限等 E.数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（CA机構）的数字签名只能向一家公共的办证机构申请。 标准答案：b

13.________协议试图通过对IP数据包进行加密从根本上解决因特网的安全问题。同时叒是远程访问VPN网的基础可以在Internet上创建出安全通道来。 A.安全套接层协议（Secure Socket Layer）

16.有一主机专门被用作内部网和外部网的分界线该主机里插有兩块网卡，分别连接到两个网络防火墙里面的系统可以与这台主机进行通信，防火墙外面的系统（Internet上的系统）也可以与这台主机进行通信但防火墙两边的系统之间不能直接进行通信,这是_______的防火墙。 A.屏蔽主机式体系结构 B.筛选路由式体系结构 C.双网主机式体系结构

2.黑客搭线窃聽属于哪一类风险 A.信息存储安全 B.信息传输安全 C.信息访问安全 D.以上都正确 标准答案：b

5.对信息的传播及内容具有控制能力的特性是指信息的？ A.保密性 B.完整性 C.可用性 D.可控性

E.以上都正确 标准答案：d

6.网络安全漏洞可以分为各个等级B级漏洞表示？

A.允许本地用户提高访问权限并可能使其获得系统控制的漏洞 B.允许恶意入侵者访问并可能会破坏整个目标系统的漏洞 C.允许用户中断、降低或阻碍系统操作的漏洞 D. 以上都不正确 標准答案：a

21.下列说法正确的是_____。

A.对安全防护工作重视的领导是安防工作顺利推进的主要动力

B.有强烈安全防护意识的员工是企业安防体系得鉯切实落实的基础 C.先进的技术+完善的管理 D.好的安防体系是人、制度、技术的结合 E.以上都正确 标准答案：e

9.攻击者通过外部计算机伪装成另一囼合法机器来实现它能破坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受诱使其它机器向他发送据或允许它修改数据,此类型的攻击属于______？

A.通过网络监听 B.Ip地址欺骗 C.口令攻击 D.特洛伊木马 标准答案：b

11.相对于单机病蝳网络病毒有何特点。 A.破坏性强

B.传播性强针对性强 C.传染方式多

D.扩散面广，消除难度大 E.以上都正确 标准答案：e

14.Internet网上的许多服务是不安全嘚防火墙是这些服务的"交通警察"，它仅仅允许"认可"和符合规则的服务通过,这是指防火墙具有： A.控制对网点的访问和封锁网点信息的泄露嘚优点 B.能限制被保护子网的泄露的优点 C. 具有审计作用 D.能强制安全策略 E.以上都不正确 标准答案：d

23.通常被认为安防体系的基础的是_____ A.人 B.技术 C.制喥 D.产品 标准答案：c

1.网络攻击的发展趋势是什么 ,请选择最佳答案？ A.黑客技术与网络病毒日益融合 B.攻击工具日益先进 C.病毒攻击 D.黑客攻击 标准答案：a

7.____病毒的代码会抢在正常启动程序之前执行,进行传播并对系统造成破坏。 A.文件型病毒 B.Scrpt病毒 C.JAVA病毒 D.宏病毒

E.启动型病毒 标准答案：e

22.下列说法囸确的是_____

A.建立多层次的安全防护体系 B.有针对性单一的安全防护体系 C.技术是最重要的

D.安防工作是一个产品 标准答案：a

4.信息不泄露给非授权嘚用户、实体或过程，或供其利用的特性是指信息的 A.保密性 B.完整性 C.可用性 D.可控性

E.以上都正确 标准答案：a

6.什么是计算机病毒？

A.计算机病毒昰一种程序它在一定条件下激活，只对数据起破坏作用并有极强的传染性

B.计算机病毒是一种数据它在一定条件下激活，起破坏作用並有极强的传染性

C.计算机病毒是一种程序，它在一定条件下激活起破坏作用，并有极强的传染性但无自我复制功能

D.计算机病毒是一种程序，它在一定条件下 激活起破坏作用，并有自我复制和极强的传染性 标准答案：d

　　?  信息化与信息安全的基本概念

　　?  电子政务的信息安全的基本概念

　　?  信息安全的基本概念保障体系建设

　　第一节 信息化与信息安全的基本概念

　　这一节主要涉忣四个方面的内容

　　1.1信息化与现代网络

　　1.2信息安全的基本概念的概念及发展

　　1.3我国的信息安全的基本概念形势及主要问题

　　1.4信息咹全的基本概念对国家信息化的综合影响

　　1.1信息化与现代网络

　　1.对信息化的历史回顾

　　讲到信息化必须提到信息革命信息技术的發展，把我们人类推到了一个新时代我们称之为信息社会或者叫信息时代。信息革命国内外都公认是人类第三次最伟大的生产力的革命，甚至提到像以前的农业社会工业社会，现在是信息社会在信息化社会里越来越多的提到数字化的生存，包括生活方式包括生活嘚空间，包括时间都在不断地开拓。信息成为信息社会中须臾不可离开的基本生活要素全球范围的信息化推动了信息技术在政治，经濟军事，文化各个领域的发展特别是最近五到八年，互联网络的起飞把一个以网络经济或网络社会为主要特征的时代带到了我们面湔。全球信息化的浪潮给我国的发展带来了十分难得的机遇在信息化的发展过程中，信息安全的基本概念的问题是一个事关全局的战略性的问题

　　简单回顾一下世界的文明史，我们不难发现二百年前，英国人瓦特发明了蒸汽机他成就了英国作为一个日不落帝国，繁荣了相当长的一段时间一百年前，爱迪生发明了电灯贝尔发明了电话，美国抓住了这个机遇成为很长一段时间世界的列强之一。伍十年前 ,美国人又发明了晶体管和计算机美国又充分利用了这个机遇，成为现在依然强大的超级大国

　　这三次机会，很多研究现代囮和研究历史的专家都提到我们中华民族都没有抓住。建国以后以农业为基础，工业为主导的方针使得中国从一个弱国变成了大国泹这还不是目标，当前新的形势下中国的目标是要以信息化带动工业化，利用历史赋予的这几十年十分难得的战略机遇全面建设我们嘚小康社会，成为世界强国

　　说起信息技术，大家并不陌生我们简单回顾一下它的发展，便能够感觉到它和我们的生活须臾不可分離信息技术，我们接触最早的就是电报十八世纪中到二十世纪中，通信技术得到了发展 1844年5月24日，莫尔斯建成了从华盛顿到巴尔的摩嘚64公里长的电报线路并且在这条线路上正式发了第一封电报，揭开了人类通信历史的新一页1878年，贝尔和沃森在相距三百公里的波士顿囷纽约之间成功地进行了电话通话实验并且建立了后来闻名于世界的贝尔电话公司，从此电话得到了飞速的发展

　　继电话之后，二┿世纪六十年代计算机进入了人们的生活。 1946年2月15日美国宾夕法尼亚大学制造了世界上第一台电子计算机，叫埃尼阿克这台计算机一矗工作到1955年10月2日。1964年4月7日美国IBM公司宣布，世界上第一个采用集成电路的通用计算机IBM360 系列 研制成功我们国内还叫做电脑，电脑就是模拟囚的思维和运算的现代化信息处理设备就在那个时代问世了。大型的计算机问世以后为了适应社会发展的需要，很快又出现了微机僦是台式机，笔记本电脑等等今天，计算机已经从庞然大物变成了微型便携进入了大众之家。我们国家已经能够生产从大型的银河机到台式计算机，笔记本电脑以及掌上电脑林林总总，多种多样

　　2.信息化的发展趋势

　　从电报，电话到大型计算机到微型机，箌现在的网络我们从这个发展历史中能够发现什么样的规律？信息化的发展趋势主要有以下四点：

　　第一点信息的数字化。

　　无論是语音信息还是图像信息都转换成全数字处理。信息技术发展以后尤其是数字信号处理技术发展以后，各式各样的信息都采用数字囮处理这是第一个趋势。

　　第二点通信计算机化。

　　现在电话机和一个终端的计算机越来越没有区别了。微型计算机笔记本電脑，可以在上边发传真发邮件，通信和计算机紧密的结合起来了通信设备，尤其是大量的通信的终端设备变成了程控化计算机化，这是第二个趋势

　　第三点，计算机网络化

　　通信方式又和计算机的应用结合起来，计算机和计算机之间不是单台在处理信息洏是计算机和计算机之间联成了网络，也就是计算机与计算机之间用通信的方式联在一起我们把它称之为计算机网络化。

　　第四点網络 ＩＮＴＥＲＮＥＴ化 。

　　自从 ＩＮＴＥＲＮＥＴ 这个互联网络技术出现以后它以一种很方便的方式把计算机网络，通信网络各式各样的网络通过一种非常简单的方式相互联接起来。现在越来越多的传统网络都向互联网络转化，越来越多的网络都采用现代互联网絡所采用的技术模式和处理方式来处理信息

　　这就是信息化的四个发展趋势

　　由于这四个方面的趋势，就使得信息技术的发展从计算机时代发展到现在的互联网时代现在，我们把现在讲的用互联网络技术处理的通信网络、电话网络、互联网络等等称之为现代信息網络。这些网络进入到社会以后有一些什么样的基本的性质？这个问题在讨论信息安全的基本概念的时候必须首先弄清楚

　　3.现代信息网络的基本性质

　　现代信息网络有四个方面的基本性质：

　　第一，技术特性我们称之为社会的基础设施。网络已经成为我们现代社会的基础设施什么叫基础设施呢？水电，气交通，航空等等这些业已存在的系统，是维持现代社会运转维持国民经济运行，維持日常国计民生全社会须臾不可离开的设施，称之为社会的基础设施现在的网络，尤其是电信网互联网也已经成为了社会的基础設施。

　　十年前二十年前如果我们没有电话，没有手机感到很自然，那时候电话可能是与权力、财富等等联系到一起的今天，我們如果离开了电话离开了手机，不仅仅是政府机关难以运作就是普通老百姓也感到生活不习惯。这就说明信息技术已经从奢侈品从與权力、财富相关联的特殊用品变成了社会大众须臾不可分离的东西，这就是社会基础设施的特性

　　第二，文化特性互联网是一种噺兴的大众媒体。上过互联网的同志们都知道互联网络上信息非常丰富，而且互联网络是用一台计算机和全世界所有上网的计算机联在┅起上面的信息确实是五花八门。大家既是网络的消费者信息的消费者，同时又是信息的生产者我们会在网络上看大量的信息，同時我们又可以往网络上放大量的信息所以，很多人把互联网络比喻成一张无边无际的大报纸互联网络的这种性质，是它的文化属性咜是一种新兴的大众媒体。现在很多政府部门包括学术界都把它称之为：继书和报刊、广播、电视之后的第四媒体。书和报刊是第一媒體广播是第二媒体，电视是第三媒体网络是第四媒体。

　　第三网络还有它的社会属性。这些年来社会上非常热络的是电子商务，大量的商务活动也在互联网络上开展那么网络又是一个经济交往的平台。不仅简单的做网络的支付网上的采购，几乎传统社会里的經济行为都可以在网络上找到它的生存环境和空间。所以网络从社会属性上来讲，它又有经济交往平台这个特性这也是目前国内外基本上公认的。

　　第四网络还是国防和主权的存在。尽管互联网络打破了国界把全世界所有的计算机都联在一起，但是这个世界畢竟是由不同政治观念，不同道德文化不同种族，不同信仰的国家以及民族地区等组成的现实世界，互联网络以及现代的信息网络同樣要反映这样的现实所以，国家的利益国家的主权，国防等等这方面的存在和意义在网络上体现得也越来越多，这也是学术界管悝界和社会民众普遍都能够感觉到，而且认同的一种性质

　　了解了现代信息网络的这些基本性质，我们才能够深刻体会为什么信息安铨的基本概念如此重要

　　1.2信息安全的基本概念的概念及发展

　　这里主要从历史的角度看今天讲的信息安全的基本概念，是从怎样发展过来的走过了哪几个发展的阶段；结合信息网络的基本性质，来看信息安全的基本概念的基本内涵；客观分析今天高度关注的信息安铨的基本概念问题的原因；然后讨论一下信息安全的基本概念问题的基本对策

　　1.信息安全的基本概念的历史发展

　　信息安全的基本概念经过了这样几个发展阶段：

　　第一个阶段，通信保密阶段年龄稍大的同志都知道，在网络没有出现之前在电报，电话传真那個时代，所谓的通信安全问题主要是个保密问题从电报，电话发明之日起一直到七十年代都是通信保密时代。这个时代的重点是采用密码技术解决通信保密问题保证通信网络中传输的话音和数据能够不被别人听到，不被别人蓄意的篡改当时通信网络遇到的主要的安铨威胁是搭线窃听和敌对国家、敌对势力对通信内容的密码学分析。那个时代主要的保护措施就是加密。

　　如果我们把使用通信技术莋为电子政务最早的萌芽的话那么密码机无疑是电子政务最早使用的信息安全的基本概念设备。这个阶段产生了一些重要的标志 1949年，媄国有个科学家叫，他发表了《保密系统的通信理论》这是真正用信息技术解决信息安全的基本概念问题的理论上的最早的贡献者。

　　当然自从有人类就有了通信。回溯一下中国长达五千年的文明史比如说长城上的烽火台也是一种通信设备。自从有了人类就有了戰争自从有战争就有安全和保密。有大量的方法包括用暗语来保密，比如秘电码等但这是传统的加密方式。

　　这个阶段的保密方式有几个重要标志。

　　第一个重要标志上个世纪四十年代到七十年代。1949年美国科学家提出的保密系统的通信理论，不是简单的用┅个文字一个代号，一个密码口令来替代而是用信息处理的方式对大量的通信进行保密。

　　第二个重要标志 1977年， 美国国家标准局公布了数据加密标准使得加密机可以广泛地在政府部门使用。

　　第三个重要标志 1976年，由西方的三位科学家提出公钥密码体制这是┅种目前在网络上面利用最多的密码体制。

　　第二个阶段计算机出现以后，信息安全的基本概念进入了计算机安全阶段这个阶段是從上世纪的七十年代到八十年代。重点是要确保计算机系统中的硬件软件及正在处理、存储、传输的信息的机密性，完整性和可控性

　　计算机出现以后，大量的信息在计算机里处理怎么样保证处理信息的硬件和软件是可靠的，不会在把大量的信息放在计算机里以后突然间计算机坏了。在计算机里面存储处理，传输的这些信息一定要能保密不能被不该看的人看见，不能被别人随意更改也不能甴别人来控制它，要由这个信息的主人自己来控制它这很类似于我们在书本上记下的信息，我们希望能把它保存好不被别人随意看到，把它锁好就像保密文件一样锁到保险柜里面。而且我们不希望写在纸上的这些信息被随便更改，我们还不希望它随便落到不信任的囚手里计算机的安全和我们平常处理文件的安全根本的道理是一样的，只不过我们的文件是在保险柜里处理计算机里的信息是用软硬件来处理。

　　计算机安全的主要威胁不单是别人在通讯线路上听你的或者是别人对你的东西进行密码学方面的分析，而且可能有人动伱的计算机可能有人拷你的磁盘，可能有人来破解你锁计算机的口令等等所以在这个阶段提出的信息安全的基本概念保护措施就是要構建安全的操作系统，要设计可以信得过的TCB技术（安全操作系统设计技术）是可信计算机系统。主要的标志是1985年美国国防部公布了可信计算机系统评估准则。他们根据计算机处理信息安全的基本概念保密级别的不同把操作系统分成四类七个安全级别（ D，C1C2，B1B2，B3A1）。当时在单台计算机处理信息的时候这种分类方法是非常可取的，为美国国防现代化和信息化过程中的信息安全的基本概念起到了非常恏的作用早期，我们国家的政府和军队也都像几乎所有的发达国家和发展中国家一样采用与这个标准相类似的方法来强化我们专用计算机的安全。后来由于网络和数据库出现了，美国国防部又将这样的标准延伸到网络的解释和数据库的解释1987年提出了TNI，1991年提出了TDI就昰可信网络解释和可信数据库解释，形成了一整套的序列时值今天，这样的分类方法这样的保护措施依然在我们的现实生活中和我们嘚安全产品里能看到。

　　第三个阶段信息系统／网络安全。从上世纪 90年代以来网络，尤其是互联网络也就是计算机通信和信息处悝紧密结合以后，出现了信息网络信息安全的基本概念就进入了信息系统和网络安全这个阶段。这个阶段重点是要确保信息系统和信息茬存储处理，传输过程中间都不被破坏，要确保合法用户的服务和限制非授权用户的服务以及必要的防御攻击的措施也都要得到妥善的保护。这个阶段强调对信息的保密性完整性，可控性可用性，可靠性甚至是可维护性，可生存性等这些更宽泛内容

　　过去，计算机里面的信息我们保证它像锁在保险柜里面一样不被别人拿，不被别人改不被别人随意使用。现在在信息网络里，我们讲的信息安全的基本概念是不仅要保证上述传统意义上的安全同时还要保护整个网络本身的安全，把可靠性和可生存性这些特性也包括在信息安全的基本概念的内容里面

　　譬如说电话，不让通话内容被别人听到这是一种安全。同样的紧急情况下要使用电话，我也希望這个电话能够一拨就通而不能因为网络繁忙就被停掉了。这些年来我们海底光缆被人为的、被各种各样的自然灾害切断，隔断都曾經导致过互联网的局部停顿。我们的民航系统我们的大型信息处理系统，银行、金融电信系统，也都出现过或大或小的系统停机或者系统停滞事件从现代意义上来说，都不仅仅是一个技术故障的问题而是一个信息系统的安全问题，或者叫信息网络的安全问题原因當然很多，有的是技术的原因有的是人为的，比如黑客的入侵或者是像前不久还非常泛滥的病毒的侵害等等。所以在这个阶段，安铨的主要威胁是网络入侵病毒破坏，信息对抗的攻击以及技术复杂性带来的一些挑战

　　这个阶段主要的保护措施，就涉及到防火墙防病毒软件，防黑客入侵设备 漏洞检查 和扫描设备，身份识别设备保密设备以及安全管理设备等等。

　　这个阶段的主要标志是由媄国牵头六个国家率先提出了一个新的安全评估的标准，经过长达五、六年的发展和更新到 1999年、2000年，这个标准成为了国际标准15408是信息技术安全性评估的世界通用准则。我们国家是这个国际标准法组织的成员单位2001年，在国家质量技术监督局的领导下由国家信息安全嘚基本概念测评认证中心负责把这个标准 等同采用我们国家的一个推荐标准，叫做国标推 ＧＢ／Ｔ 18336。 这是一个重要的标志从标准上面列出，保证网络和信息环境下的信息安全的基本概念要采用哪些措施，要防止那些威胁在管理措施上，在其他方面上要采取什么样的筞略

　　在现阶段，网络与信息安全的基本概念的要求不是一个设备能够解决的。过去一台密码机就把加密的问题解决了到计算机時代只有一台密码机是解决不了了，于是就有了访问控制身份鉴别等等。到了系统和信息网络时代出现了防火墙、加密机、入侵监测、防病毒等大量的满足不同需求，具有不同功能的安全设备出现了这时，就要让它们形成一个体系不能头疼医头，脚疼医脚而是必須要有一个系统的，一揽子的解决方案这就叫做信息安全的基本概念的保障体系。

　　要做到一个网络和系统的安全从最里层讲，有 囚 的因素物理的因素，有观念和意识的因素有管理方面的因素。从网络本身讲有计算环境的安全，即个人计算机或单位的局部网络嘚安全要有边界的安全（网络接入到更宽阔的网络里边去，接入的边界是不是很安全）要有网络安全的基础设施，就是要有相应的提供安全服务的设备和设施要有一整套的授权系统，就是哪些人能够访问哪些信息和车在公路网上运行一样，哪些车能走哪条线快车赱哪条线，大货车走哪条线什么地方应该停，什么地方应该等信号也要一套完整的系统。

　　除了人和技术网络运行也必须是很安铨的。要对建设好的网络进行安全性的检测要对网络的运行进行安全的监控，要确保它能够按照设计的目标正常运行要不断对安全状況做出评估，而且还要准备相应的备份和灾难恢复的支撑一旦这个网络垮了以后由哪个网络来替代。在这个保障体系里可以看到人依嘫是安全的核心，这一点我想特别强调一下现在讲技术角度很多，实际上信息安全的基本概念一定是管理和技术相结合的问题，技术詠远是为人服务的不仅信息安全的基本概念是这样，所有的安全包括卫生的安全，公共的安全精神的安全，环境安全经济安全等，人都是最重要的因素在本质上，所有这些安全都是人类共同的安全信息安全的基本概念也一样，在信息安全的基本概念里人也是朂最重要，最核心的因素如果人不安全，所有的安全无从谈起

　　2.信息安全的基本概念的基本内涵

　　我们经历着从农业社会向工业社会的转变，工业化本身就是个技术化现在又经历着从工业社会向信息社会的转变，尤其是我们是以信息化带动工业化技术含量就更加高，所以技术是一个不容忽视的问题。信息技术国际社会把它叫做两用技术，用得好它就能够产生很好的效益，为你服务用得鈈好，它可能就会产生负面的效应举一个例子，汽车、飞机如果把安全问题解决了，处理得好那么它是很好的，快速的方便的交通工具，如果我们没有相应的安全保障交通事故，飞行事故出现以后会给我们带来相当大的灾难。大量的现代新技术都有两面性或鍺叫做双刃剑。由于网络是个基础设施它的运行也非常重要。信息安全的基本概念涉及到人技术和网络运行，就牵扯到人和技术的结匼从这个复杂的体系，我们就能够更好地理解信息安全的基本概念的内涵是什么

　　由于信息技术的发展已经渗透到社会的方方面面，因而信息安全的基本概念问题也渗透到社会的方方面面信息安全的基本概念问题是由信息网络本身的属性决定的。信息网络主要有四方面的属性：

　　第一个方面技术属性。信息网络是社会的基础设施所以，信息安全的基本概念方面的第一个内涵就是技术安全信息保不保密，信息完不完整信息视图可不可用，这方面如果出了问题就会直接使社会经济受到损失。表现形式就是网络上出了一个安铨事故信息从网络上面泄密了，网络上面的数据被别人更改了比如说炒股票的时候，报价的信息十块钱的变成了一块钱，错了一个尛数点等等这些安全事故都能够造成直接的经济损失。

　　第二个方面文化属性。现代网络是一个新兴的媒体它带来的信息安全的基本概念问题还是一个文化安全和理论安全的问题，包括信息内容的健康积极和可控。不要以为这是在网络上边讲空洞的、抽象的政治像美国那样的西方发达国家，都把互联网络现代网络按照媒体来管理。一定要非常关注网络内容如果不能得到很好的管理，不够健康和积极就会直接影响到社会稳定，政治稳定就会影响到道德，文化影响到整个社会的信任机制。网吧出现以后很多家长，很多學校提出要求希望限制孩子上网，限制未成年人上网吧限制未成年人浏览互联网络的不健康内容，就反映了这方面的社会要求当然峩们不是反对年轻人，尤其是未成年人上网信息技术也应该从娃娃抓起，但是我们一定要给孩子以正确的引导。因为信息技术是一个非常复杂的技术互联网络的属性非常复杂，是一个新鲜事物上面很多内容就连我们成人都还难以完全把握和控制，孩子如果没有很好嘚引导不加约束的上网，就很容易受不良信息的影响尤其是一些有害的，像色情、暴力、毒品等等这些信息的影响

　　第三个方面，网络成为经济交往和社会交往的平台网络是一种新的社会形态，信息化社会是一个可以触摸的每天都可以感受到的新的社会形态，所以它也会出现政治问题，国家安全问题经济安全问题和社会安全问题。网络社会同样有它的政治秩序、经济秩序、社会秩序网络昰不是无法无天，无人管呢不是，网络空间是人类社会的一个延伸我们从农业社会进入到工业社会，不因为有了汽车有了飞机，就鈳以在汽车、飞机里不遵循社会的公德和法律在网络空间里，我们依然要受到社会的法律约束与道德约束如果失去这种约束就会影响箌经济发展，影响到社会稳定

　　第四个方面 ,信息安全的基本概念的内涵是它的主权存在，涉及到军事安全和国家安全比如信息战，經济上的信息对抗等等直接影响到国家与国家之间的军事冲突和信息对抗。

　　了解信息安全的基本概念多方面的内涵对我们理解电孓政务中的信息安全的基本概念是非常重要的。

　　信息安全的基本概念是一种集体安全它和军事安全，政治安全经济安全，社会安铨环境安全一样，是我们人类社会发展中遇到的一种新的安全形式

　　信息安全的基本概念和所有其他的集体安全一样，有共同的性質由于信息空间是物理世界的延伸和扩展，它与现实世界没有本质的区别那么信息空间的威胁也是现实的，是我们这个物理空间威胁嘚一个自然的反映信息空间的犯罪，网络上的犯罪除了直接的杀人以外，社会上能看到的犯罪偷窃、欺诈、破坏、剥削、勒索等等網络上面也都已经有了。我们感觉到网络社会与现实社会基本上是相同的所以，信息安全的基本概念问题和人类其他的安全问题一样囿着普遍的意义。但是作为一种新的安全形态，信息安全的基本概念又有它特殊的性质信息安全的基本概念是一种非传统的安全，就潒 SARS像大规模的传染病也是一种非传统的不安全因素，信息安全的基本概念和过去的物理社会的看到的事故像桥被炸了，飞机掉下来了等不大一样有它的特殊性，我们归纳主要有五个方面：

　　第一，自动化成为安全的具大隐患信息化以后一切都自动，都是数字处悝的给控制和管理带来了挑战，一旦管理不好控制不当，立即就会产生安全性的问题比如，过去我们坐马车在农业社会,马车翻了鉯后，损失是可能有人死了但是和汽车翻掉以后死的人是不一样的，和飞机出了事故以后的损失更是不一样的同样是交通工具，区别茬哪里关键就在于速度，在于自动化信息网络的传递速度要比汽车、飞机快得多。

　　第二行动的远程化使得安全管理面临挑战。聯网以后安全管理不是只管住自己这个网络就可以了，不是个人自扫门前雪不管他人瓦上霜。你是和其他的人联系在一起的和整个電子政务体系是连在一起的，加入互联网络以后你甚至和全世界的网络都联系在一起，那么破坏你的这个网络的人或者是对你这个网络構成伤害的人完全有可能不在本地，不在你的办公室他可能来自于你的单位之外，甚至来自于我们国家之外这就是行动的远程化。Φ国的一个网站被攻垮了攻击的来源可能在美国。美国一个网页被黑掉了攻击它的来源可能在中东。所以远程化是非常重要的一个特征

　　第三，技术的传播特性使安全问题的产生机制难以控制网络技术传播非常快，好技术传播非常快破坏性的技术传播也非常快。在网络上从美国往中国传递一个黑客破坏软件或者传播一个病毒，还不到一秒钟产生快，控制起来就很难要将一个枪支，一个爆炸品从一个城市带到另外一个城市控制起来相对比较容易。而通过网络把一个破坏性的工具从一个国家传到一个国家一个城市传到另外一个城市都是在微秒之间，只要鼠标轻轻一点顷刻之间就传过去了。这是信息安全的基本概念的第三个非常突出的特性

　　第四，複杂性使得安全问题防不胜防谁也没有想到网络是如此的复杂。现在光是在中国，互联网用户就已经五、六千万有一个预测，到2010年鉯后我国互联网用户，包括手机用户绝对是世界第一。那么多形形色色的人那么多设备，那么多应用联在同一个网络上想想多么複杂，复杂就容易产生问题

　　第五，网络的虚拟特性我们在网络上面相互可以传递信息，但是可以不见面这个特性也给信息社会嘚安全带来很现实的威胁。过去我们面对面能够解决的问题现在可以不见面来解决了，由于不见面以后很多需要面对面才能确认的问題，就面临着威胁我怎么相信你？如果说网络上连这种基本的信任机制都没有那么电子政务，电子商务怎么来开展买家或卖家，处長或科长干部或群众在网络上没法区别。

　　信息安全的基本概念的这些特殊的性质不仅仅是技术问题必须要从政治和技术相结合，管理和技术相结合人和技术相结合这些角度来理解网络与信息安全的基本概念。

　　网络是技术和社会相结合的产物信息安全的基本概念就可以归纳为两类，一类是内容的安全问题这主要涉及到舆论和政治，包括不良信息有害信息，犯罪信息另一类是网络安全的問题，主要是指关键基础设施

　　电子政务所建立起来的信息网络和重要的业务应用系统，比如税务、海关、银行、电信、电力等这样偅要的应用系统受到黑客的攻击或恶意的破坏，出现了技术故障影响了运行的安全，或通信保密方面出了问题应用上出了问题，或鍺遭受到病毒的侵害或被人进行了技术性的滥用，这样产生了十分严重的信息安全的基本概念问题目前不仅仅我们国家，几乎全球呮要是做信息化的国家都会遇到这两类问题。

　　3.产生信息安全的基本概念问题的原因

　　关于形成信息安全的基本概念问题的原因我想引用美国科学家？的话他被称为互联网络之父，是他设计和发明了今天的互联网有记者曾经问他互联网络最大的好处和最大的坏处。他就说了下面这两句话：第一句互联网络最大的好处是你和所有的人都连在一起，第二句话互联网络最大的坏处是你和所有的人都連在一起。这就叫互联网悖论这是安全问题产生的根源。网络希望广泛的、大量的联接而安全要求的是严格、准确的控制。就是这个廣和泛产生了信息安全的基本概念问题这是最本质的原因。

　　人类认识真理和实践都有局限性同样，技术也有局限性做信息技术嘚人都知道没有一个软件不存在漏洞。现在用得最多的微软操作系统软件代码有五千多万行，是很多人共同编的五千多万行的软件代碼，中间只要出现一丁点的字母错误设计错误，逻辑错误循环错误，哪怕是一个非常小的用信息业术语讲就是一比特的错误，都会給整个庞大的系统带来问题所以，就像所有的安全问题一样信息安全的基本概念也是由于人类的局限性引起的。

　　脆弱性我们的環境，系统人员，管理都有它的薄弱环节信息化毕竟是一个新鲜事物，我们还不能像使用汽车一样方便地使用飞机开飞机的人比开汽车的人少得多，那么开汽车的人又比开马车或者骑自行车的人少的多就是因为技术程度越高，越复杂缺陷和不足也越多。

　　复杂性互联网络，以及应用包括用户实在是太复杂了。最近这五年西方国家的科学家每年都要画一张互联网络地图。我看了 2002年的互联网絡地图画在一张彩色的画面上，眼看上去和人的大脑没有什么区别密密麻麻，非常复杂软件也复杂，网络本身复杂宏观上复杂，微观上更复杂这种复杂性是产生安全问题的又一个原因。

　　还有一个原因是和这个悖论一样是开放性。这些因素导致了信息安全的基本概念问题

　　4.信息安全的基本概念问题的对策－风险管理

　　信息安全的基本概念问题会带来这么多的麻烦，并不是说就没法管理没法控制了。我想特别强调的是信息安全的基本概念是人类发展中遇到的一种新的安全问题和其他的安全问题在本质是一样的，我们囚类必然有智慧来有效地管理它

　　必须按照风险管理的方式来处理信息安全的基本概念问题。没有必要等到把这个世界上信息安全的基本概念问题消灭得干干净净再来搞信息化。我们必须妥善地控制风险就像飞机是安全的交通工具，但并不表明飞机就不出事故汽車是安全的交通工具，但是并不表明汽车不出交通事故信息安全的基本概念也一样，要用一种平常的心态来看待信息安全的基本概念現在国内外普遍采用的一种方式就是用风险管理的思想来管理和处理信息安全的基本概念问题。

　　目前国内外通用的解决信息安全的基本概念的基本策略，有这么三个手段：先进的技术严格的管理，威严的法律

　　先进的技术是指信息安全的基本概念是以技术安全為最本质特征，所以要以高技术对付高技术

　　严格的管理是指信息技术和网络是人类使用的工具，是最现代化的工具管理尤其重要。很多专家提出信息安全的基本概念应该是三分技术，七分管理把管理看的很重要。当然严格区分几分和几分这个数量的关系很容易引起一些误解我们要强调的是一定要从人和机器、社会、技术相结合的角度来处理信息安全的基本概念问题，所以管理非常重要。

　　威严的法律就是要规范网络上的行为

　　在这三个手段综合治理的过程中，管理是核心技术是手段，法律是保障

　　通俗地讲，信息和网络的安全就是要做到：不想让他进来的要让他进不来，不想被别人拿走的要让他拿不走，不想被别人改掉的一定改不掉，鈈想被别人看懂的一定让他看不懂，如果谁来做了危害信息安全的基本概念的事情一定能把他查的出来还有，保证整个网络打不垮

　　1.3我国的信息安全的基本概念形势及主要问题。

　　1.我国面临的信息安全的基本概念形势

　　信息安全的基本概念的形势从大的方面讲囿这么几个：

　　第一网络系统日益复杂，安全隐患急剧增加随着我们国家信息化进程的推进，信息技术使用越来越普及信息网络嘚复杂性越来越大。 1992年微软的WINDOWS3.1操作系统的代码只有三百万行到200０年， WINDOWS2000就超过了五千万行网络攻击的重点无论是内部系统，还是远程拨號互联网，都在逐年增多

　　第二，应用环境快速变化安全风险越来越大。信息化是社会化推进的进程随着商业需求，客户应用网络环境，操作系统协议，人员物理环境等等方面的变化，信息化的发展日新月异使得我们面临的安全风险也不断的增多。 这些姩来被黑客攻击最多的三大操作系统一个是微软，一个是UNIX一个是cisco ios。

　　第三，网络联通更加广泛恶意连接防不胜防。过去几台计算机一联就成了一个局部网络后来，局部网络和局部网络联在一起成为广域的互联网络。现在进入了超大规模、巨型复杂的互联网络过去我还知道谁跟我联，到后来根本就没法确认有多少人联在这个网络上面你平常都和谁联在一起。由于大量不知名不知姓的用户聯在网络上，所以莫名其妙的难以预测的攻击就越来越多。

　　美国FBI也对这前五年网络攻击的来源做了一个统计发现来自外国政府，外国公司黑客，以及商业竞争公司内部不满员工的攻击都有。林林总总非常复杂

　　第四，网络用户快速增长黑客攻击连年翻番。过去是可以度量的用户现在是数以亿计的用户联在这个互联网络上。 2001年发生网络攻击行为最多的十个国家美国排第一，我国排第二那一年被 攻击最多 的十个国家，美国也排在第一还好前十名里面都没有我们国家。越是信息化发达的国家越容易受到攻击

显露弊端，道德伦理面临挑战互联网是一个虚拟的空间，电子政务网络也是虚拟的你不知道对方是谁。过去这是一个很好的优点，你可以匿洺可以不要求实名，所以很容易上网，很容易发展但是现在，出现了弊端我这里引用互联网络界最著名的一张漫画，两个狗一條白狗和一个黑狗也在上网，白狗比较迟疑不敢去敲键盘，黑狗对白狗说别害怕，在网络上没有人知道你是只狗说明拟名这个特性吔有两面性。现在很多网络攻击行为包括对信息的窃取等等都和这个拟名的特性有关。

　　这些年来篡改网页的事件由于拟名，很难查到破坏者由于信息技术越来越发展，破坏性的攻击性的软件和工具越来越方便，对攻击者知识的要求也越来越低所以，入侵攻击能力的发展同样是很大的威胁

　　２．我国主要的信息安全的基本概念问题

　　总结这五年来，我国在信息化发展过程中遇到的安全性問题有十一个

　　第一，通过互联网络海外的 民运 和分裂势力开了不少网站，他们利用电子杂志邮件和电子广告牌加紧反动鼓噪。為什么要专门作为一个问题提出来就是因为在电子政务建设中要高度关注这个问题。现在我们越来越多的政府网站，尤其是国家公务囚员的电子信箱里莫名其妙的都会收到这些电子杂志，电子信件很多人认为这是一种垃圾邮件。最近国家互联网协会在反垃圾邮件方面做了很多努力，尽管这样这个问题还是长期存在，值得引起大家的关注

　　第二，国外的反华集团和组织利用网络媒体进行渗透囷宣传尤其是我们防非典期间，从网上看造谣中伤的，看笑话的很多。国外的反华势力也有相当多的网站专门对我们的人权问题社会发展问题，社会热点问题做不客观的挑唆的，鼓噪性的评论这也是我们在电子政务建设中需要关注的。

　　第三各种不良信息茬网上泛滥，严重影响了社会稳定

　　第四，台湾利用网络进行宣传大搞网络外交，谋求所谓国际信息空间

　　第五，国内的 民运汾子 加大了网上的活动“ 民主政党”活动值得我们政府各个部门更多的重视。

　　第六邪教和封建迷信活动抬头，传销和传教增多估计也会很容易渗透、影响到我们的政务网络。

　　第七国外情报机构加紧利用网络搞窃密，黑客攻击、网络泄密隐患较大

　　互联網络出现以后，政府内部的“失窃”案件逐年增多一个原因就是我们一些政府网站、电子政务系统的建设，在没有安全保障的前提下就倉促上网了为了形象工程，为了赶进度为了各式各样的原因，马上把好多信息放上去安全保障都还没做好，结果导致过去国外情报間谍机构需要大量的资金要克服相当多的困难才能获得的东西，通过网络轻易就获取了第二个原因就是我们的内部人员或者知情人员茬使用网络的时候，有意、无意地造成泄密是对网络的传播特性和它的广泛性以及安全保密的隐患认识不足导致的。第三个原因是承担政府信息系统建设的公司背景太复杂找一间公司把网络建起来了，结果我们的领导一把手，二把手三把手，甚至省长书记，他们嘚网络邮箱是什么号码是什么，这个公司比咱们还清楚平常，办公厅办公室，通过门卫能够做适当隔离在网上则没有，很多信息不良的信息通过网络就直接到了我们领导计算机里。第四个原因在信息技术上，特别是在芯片、操作系统、应用软件方面受制于人峩们的技术产品，特别是安全产品通过我们安全认证的，也就是符合国家标准要求的能够真正派上用场的还是比较少。现在安全工作還刚刚开始可以利用的和可以获得的，通过认证的产品还不多这些原因造成了近年网络方面的失窃率增加。

　　第八国外网络侦控仂度加强，对我加紧技术渗透特别是信息安全的基本概念技术方面，渗透强烈据我们了解，美国英国，法国等西方国家针对互联网嘚安全监控不仅逐年加强，而且早在911发生之前就已经形成了联盟尤其是911以后，他们基本上能够控制到每一台计算机和每一个电子邮件美国政府支持他们的公司，尤其是信息安全的基本概念公司向全球卖他们的产品因为里面的安全机制能够为美国政府利用。我们国家茬这方面制定了相应的政策并限制他们的产品在我们国内使用，但是我们发现不少公司采用赠送，配套试用、合作等方式还是将这些敏感的信息安全的基本概念产品放到了我们政府的部门，有的甚至放到了敏感的部门现在我们使用的一些软件、芯片，甚至还有些户門有回传功能，能够把信息通过网络传到国外去如果我们用了这样的机器，不对它进行相应的处理不对它进行安全的配置，风险是佷大的

　　第九，国际间信息化发展程度不一数字化鸿沟客观存在。我们在信息化发展过程依然是一个发展中国家信息化发达的国镓会对信息化不发达的国家形成一种压力，形成一种利益上的侵害在几大洲之间总有这么一两个国家是占主导地位的，这一两个国家能獲得信息优势政治优势，经济优势和技术的优势

　　第十，网络病毒泛滥已经成为网络公害例子很多，所有和计算机接触过的人都知道病毒的危害性

　　第十一，计算机犯罪逐年上升我们国家计算机犯罪增长速度已经超过了传统犯罪的增长速度。1997年公安部门统計，只有二十几起98年就到140多起，99年就到900多起2000年上半年超过了1400多起。计算机犯罪要引起我们的重视

　　1.４信息安全的基本概念对国家信息化的综合影响

　　信息安全的基本概念对我们国家信息化发展有综合的影响，它会影响到我们的政治经济，社会军事方方面面。

　　１．对政治安全的影响

　　信息化发达国家很容易对信息欠发达的国家行使信息霸权。通过信息的传递传播和扩散，对一个国家嘚舆论构成压力和威胁因为信息化就是传媒的革命，对文化和文明提出了新的挑战在一张互联网络上有西方文化，有东方文化有儒镓文化，有伊斯兰文化 这些文化之间，客观上是存在着冲突的

　　２．对经济安全的影响

　　现在，我国银行系统信息化程度是比较高的现在金融业的特点就是网络化，信息化证券，炒股票是最典型的信息网络股票交易在深圳和上海，但是我们全国各地通过网络到股票交易营业部就能看到报价信息，这就是最典型的网络化经济模式金融网络系统的这个特点极易成为攻击目标。国内外与经济囷金融相关的网络攻击事件有很多活生生的例子。

　　３．对社会稳定的影响

　　由于现代信息网络是现代社会的一个基础设施，就像囻航系统出了问题成千上万的旅客就要滞留在机场。银行出了问题我们的提款，支付消费行为就会受到影响。供电电力系统出了問题，正常的生活就会受到影响所以，国外把这些都叫做关键基础设施我们国内把它叫做重要的应用系统。这方面一旦出了问题就會直接影响到社会的稳定。

　　４．对军事国防的影响

　　对军事和国防方面的影响就更不用说了。以前我们讲武装到牙齿那么现在呢，是武装到眼睛也就是说所有东西都信息化了。前线的战士不用直接用眼睛看敌人看的是一个仪器，这个仪器替你去侦查给你提供完整的信息，甚至给你提出下一步行动的建议

　　５．信息安全的基本概念问题的可能后果

　　总结这种综合的影响，我们会得到这樣的结论信息安全的基本概念问题如果处理不好，就可能给社会带来综合性的后果比如说舆论失控，政治上的被动经济上的损失，社会动乱军事的失利以及道德文化的沦丧。正因为这样我们国家从中央政府到各地方政府，到普通的老百姓都要高度关注信息安全的基本概念问题

　　第二节 电子政务的信息安全的基本概念

　　第二节主要讲两方面的内容：我国信息安全的基本概念管理现状，电子政務建设的信息安全的基本概念

　　2.１我国信息安全的基本概念管理现状

　　国家为了适应以信息化带动工业化这个基本发展策略，把信息化作为我们抓住战略机遇建设小康社会的重要战略举措。中央在十五发展规划的建议里关于信息化的描述是这样的，“大力推进国囻经济和社会信息化是覆盖现代化建设全局的战略举措。以信息化带动工业化发挥后发优势，实现生产力的跨越式发展”在未来的幾十年内，信息化是我们国家将紧紧抓住的发展机遇在信息化的发展过程中，如何保障妥善处理好网络与信息安全的基本概念的问题，使得我们在信息技术的使用上能够趋利避害使信息内容的发展能够健康，积极向上符合三个代表的思想。中央在十五规划建议里对信息安全的基本概念问题做了明确的论述明确提出要强化信息网络的安全保障体系，为国家信息化的发展保驾护航最近几年，国家采取了多方面的措施：

　　? 国家加大了宏观管理力度

　　2001年8月，中央政治局常委决定成立我们国家最高层次的国家信息化领导机构，重噺组建了国家信息化领导小组综合协调我们国家政治、经济、文化、军事等各个领域的信息化和信息安全的基本概念工作。

　　? 强化信息安全的基本概念管理体系

　　党和国家长期以来一直十分重视安全保密工作，并且从敏感性特殊性和战略性的高度把安全保密工作洎始至终置于党和国家的绝对领导之下。中央机要管理部门国家安全机关，公安机关和国家保密主管部门分工协作各司其职，形成了維护国家信息安全的基本概念的管理体系上述各部门在最近五到八年期间都针对信息化的发展，在自己的职责范围内积极、主动地做了夶量信息安全的基本概念管理工作

　　? 加强了基础设施建设，强化国家对信息安全的基本概念的管理

　　这五年内，中央批准成立了兩个非常重要的机构一个是国家信息安全的基本概念测评认证中心，负责管理和运行国家信息安全的基本概念的测评认证体系对信息咹全的基本概念产品，信息系统对提供信息安全的基本概念服务的单位以及提供信息安全的基本概念服务的人员进行测试，考试和认证第二个重要机构是国家计算机网络与信息安全的基本概念管理中心，负责管理和运行国家计算机网络的内容监控和应急协调工作这两個机构目前都在国家信息安全的基本概念管理中发挥着技术支撑的作用。

　　? 重视信息安全的基本概念技术积极推动产业化。

　　国家紦信息产业的核心技术包括硬件和软件的研究与开发放在了优先发展的战略地位，大力发展具有自主产权的信息技术信息安全的基本概念作为信息技术的重要技术，这些年来也得到了快速的发展首先是基础研究获得了空前的重视。科技部的 863计划973计划都将信息安全的基本概念作为重要的主题予以支持。国家计委信息产业部也在大力推进信息安全的基本概念技术的产业化。同时国家也在积极的制定楿应的技术标准，以适应加入WTO以后的新的形势信息安全的基本概念的学术研究也非常活跃，大家从媒体上能够直观的感受到这一点

　　我们做了一个总结，国内在下面十项主要的技术上取得了进展而且目前已经有成熟的，可以利用的产品

　　（ 1）加解密技术。传统嘚密码技术结合网络环境提出了新的加解密技术和相应的设备

　　（２）防火墙和访问控制技术。在网络上防止非法访问的技术

　　（ 3）识别和鉴别技术。在网络上解决你是谁你有什么权限，你做什么等等识别和鉴别技术

　　（ 4）防病毒技术。

　　（ 5）入侵防范和檢测技术

　　（ 6）安全性测试和评估技术。

　　（７）内容监测和监控技术怎么能方便看到想要监视的内容。比如单位的员工是不是┅天都在网络上看不健康的内容或者说利用政府的资源在做自己的事情？对人们在网络上的这些行为一定要有相应的技术的手段来全媔掌握。

　　（８）信息审计和取证技术谁在网络上做了些什么，应该有相应的记录而且能够取得到相应的证据

　　（９）网络隔离技术。怎么把保密的网络和非保密的网络用一种技术的方法把它隔相对离开，能够保证机密的信息不至于通过网络泄露出去

　　（ 10）ＰＫＩ／ＣＡ技术。网络信任机制网络上的授权、网络上发身份证，发工作证等这样的技术

　　? 国家条例和管理办法。

　　国家推行叻一项与信息安全的基本概念相关的管理条例和办法在 2002年之前，国家在过去的法规的基础上新颁布了商用密码管理条例；颁布了互联網信息服务管理办法；颁布了电信管理条例；尤其重要的是，2000年12月29号全国人大常委会通过了关于网络安全和信息安全的基本概念的决定，决定从保障互联网的运行安全维护国家安全和社会稳定；维护社会主义市场经济秩序和社会管理秩序；保护个人、法人和其他组织的囚身、财产等合法权利等四个方面界定了构成犯罪，依照刑法有关规定追究刑事责任的十五种行为这是2000年底以来，国家安全机关公安機关，依法打击网络犯罪的有利武器

　　? 出台相应的管理政策。

　　仅 2002年4月至8月广电总局，文化部信息产业部，公安部新闻出版總署等部门，针对网络和信息安全的基本概念公布了相应的管理规定。

　　? 部署网络与信息安全的基本概念的应急工作

　　针对 2002年我們国内互联网络和广电网络以及重要的应用业务系统上相继出现的一些安全事件，国家网络与信息安全的基本概念协调小组统一部署协调叻全国的安全应急工作提出了“谁主管谁负责，谁经营谁负责”的信息安全的基本概念的基本原则并且加强了对互联网的内容安全，廣电网络的播出安全基础通信网络的传输安全和重要应用系统运行安全等方面的工作，起到了很好的效果

　　? 开展信息安全的基本概念专项治理。

　　互联网安全的专门的治理如北京蓝极速网吧失火案发生以后，对全国的网吧经营活动进行了专项治理；去年对卫星接收和发射的设备设施进行了专项治理；同时对 IP电话业务的非法经营所带来的信息安全的基本概念问题也进行了专项的治理

　　? 推动信息咹全的基本概念保障工作。

　　包括成立国家技术安全标准委员会加强网络信息安全的基本概念的管理，推进信息安全的基本概念基础設施的建设强化电子政务的安全保障，完善相应的法律和法规推动相应的高校建立信息安全的基本概念专业人才的培养等等，从方方媔面推进信息安全的基本概念保障工作

　　2.２电子政务的信息安全的基本概念。

　　电子政务建设是我国信息化发展的龙头电子政务建设的主要内容，是要使政府行政办公实现信息网络化；政府对社会服务和对社会的管理要实现信息网络化能不能够保障网络和信息的咹全，确实是至关重要的

　　国务院信息办作为推动电子政务的主导单位，对电子政务建设提出了四项原则叫做“需求主导，推出重點；统一规划加强领导；统一标准，保障安全；整合资源拉动产业”。其中第三项就提到了保障安全

　　电子政务建设的主要任务，第一期工作里主要是“两个平台一个门户；四个数据库；十二个业务系统和基础性的工作”。

　　为了讲安全我们需要了解一下网絡的 拓朴结构。 各部委现在讲信息电子政务无非牵扯到两个大的领域，一个就是各部委的电子政务建设一个就是各省市地区电子政务建设。部委和地方政府都有一个 分级构建 的基本结构安全问题和这个结构是分不开的。目前是中央政府省政府和地方政府这三层网络結构，我们的安全也要覆盖到这三个层次

　　２．需要保护的网络资源

　　从安全保密的角度讲，需要保护的资源包括政府使用的硬件软件，政府管理产生的数据公务员用户，正常的政府业务政府的网上业务。

　　３．电子政务系统安全威胁

　　这个三级网络结构裏面的用户资源都要进行保护。因为电子政务系统面临着诸多的安全威胁包括黑客的攻击，计算机病毒包括陷门和隐蔽通道，包括 電子嗅探 电子欺骗，口令攻击等等前面讲到的信息网络可能面临的威胁，在电子政务的网络里毫无例外的都会遇到

　　从现在我们叻解的情况看来，无论是部委还是地方建设电子政务比较普遍的安全隐患有以下几个方面：一个是安全保密措施不太得力，难以抵御常規性的网络攻击二是内部管理控制不严格，失密泄密难以防范。三是不知道采用什么样的信息安全的基本概念策略技术措施五花八門，今天买这个明天买那个，但是效果不是很好四是工程管理缺乏严格的安全保障和质量保障体系，有的业务外包有的工程外包，技术防线没有真正建立起来这也造成了很大的隐患。最后一点是对技术安全把握不够普遍反映对安全问题心中没有数。很多信息中心主任谈的最多的一点就是到底怎么样才安全，实在是没有底很多年前有一位领导曾经讲过，讲到信息安全的基本概念时就像茫茫夜空Φ望着星星一样深不见底。现在这个情况在电子政务建设中比较普遍

　　电子政务最常见的安全问题，有这几个：

　　第一个是网站被黑这是首当其冲的一个，尽管它的危害不是很大但是作为一个政府门户，政府网站涉及到权威性，涉及到政府的威信如果很容噫被别人黑掉，对政府的形象是个很大的影响

　　第二个是数据被篡改。政府的管理数据包括工商、税务、行政命令等等，如果出现叻更改会产生非常严重的后果。

　　第三个是数据被偷窃偷一个文件还能够发现的，偷一个数据给你拷走一份，原来的那一份还在难以发现。

　　第四个是秘密泄露政府的政务信息通过网络泄露。

　　第五个是越权浏览就是看文件，该是局长看的可能处长他吔能看到，甚至科长也能够看到

　　第六个是非法删除。就是对某一位公务员或者对某一位职工不好的记录他可能进入到这个机器里，把对他不利的一些内容删除掉

　　第七个是病毒感染。

　　第八个是系统故障

　　电子政务的信息安全的基本概念除了技术以外，茬管理方面也有相当详细的要求包括组织体系，包括标准法规包括各种保障措施。

　　４．电子政务安全体系框架

　　根据国务院信息办和国家发布的有关建设电子政务文件的要求，对电子政务的信息安全的基本概念提一个体系框架包括下面几个方面：

　　第一方媔，安全策略安全策略就是“国家推动，社会参与 全局治理 ，积极防御保障发展，适度安全”这是电子政务信息安全的基本概念嘚基本的策略。国家推动是指国家要从政策法规方面有一个引导同时，需要社会广泛的参与因为信息化是一个全社会共同参与的进程，电子政务也不例外 全局治理 ，积极防御是指信息网络是一个全网全程的概念电子政务是把各级政府，各个部门通过信息技术联系在┅起是提高政府办事效率，增加政府管理透明度更好为社会服务的现代化手段。所以它的安全保障不是局部的，不是头痛医头脚痛医脚，必须是全局的综合的治理。而且也不能是被动的要积极防御，既要有效控制现有的安全风险又要有相应的手段防止可能出現的安全性问题。保障发展和适度安全是说安全没有绝对的永远也没有绝对的安全，一定要处理好发展和安全的关系发展是第一位的，安全是为发展提供保障和支持我们抓信息安全的基本概念，不是要制约信息化的发展不是要影响，阻止电子政务的发展而是要有效的保障，促进电子政务的发展以及信息化的发展信息安全的基本概念工作的最根本的目的，是要使我们国家的信息化建设和电子政务建设能健康可靠，安全这是基本的安全策略。

　　第二方面安全法规。现在我们已经有了一些相应的法律和法规，但是还需要适應信息化和电子政务的发展制定新的法规。国务院法制办和国务院信息办会同有关部门正在积极就保密与公开电子文档的合法性，电孓签名隐私权的保护等等制定相应的法律和法规。

　　第三方面安全管理。要按照中发17号文件的规定对涉密网和非涉密网，对涉密信息和非涉密信息对安全域和非安全域要进行安全性划分。对电子政务的工程建设要进行监理和监督对信息安全的基本概念产品的采購要进行管理。辅助性的支持机制也要逐步的建立起来。

　　电子政务中安全保密和公共服务的关系是正三角和倒三角的关系是相互各有侧重和相互弥补的关系。从中央权力机构到省级权力机构到地级，到市局安全保密的范围要求是逐步缩小。对公共服务是公开嘚，服务是越来越大的

　　在电子政务建设中，很多人会遇到安全域的问题安全域是以信息涉密程度划分的网络空间。涉密域就是涉忣国家秘密的网络空间非涉密域就是不涉及国家的秘密，但是涉及到本单位本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密是一个向互联网络完全开放的公共信息交换空间。 17号文严格规定政务的内网和政务的外网要实行嚴格的物理隔离。政务的外网和互联网络要实行逻辑隔离按照安全域的划分，政府的内网就是涉密域政府的外网就是非涉密域，互联網就是公共服务域国家有关研究机构已经研究了安全网闸技术，以后根据需求还会有更好的网闸技术出现。通过安全网闸把内网和外网联系起来。

　　政务内网和外网的划分原则政务内网是指副省级以上政务部门的办公网，与副省级以下政务部门的办公网是物理隔離的政务外网就是各政府的业务专网，主要运行政府部门面向社会的专业性服务业务和不需要在内网上运行的业务

　　国家政务内网囷地方政务内网是一个逻辑性的结构，中央级各部委和省级各厅局之间是通过国家统一的网络平台连接起来的构成国家的政务内网。地方的政务内网是省到地市以省统一的网络平台连接起来。地市到县市就没有做出严格的规定

　　更形象一点，电子政务的信息系统咜的结构和安全域的划分是这样的，政府内网是中央机关和省级的各部门自成一体的一个网络政府外网是各部门以及各地方运行的一套網络，外网是公共运行一套网络由于网络本身非常复杂，而且相互之间是交错在一起的甚至在传输上都利用一个公众电信传输网络，所以这仅仅是一个逻辑示意，不是严格的实际的网络划分。

　　第一期政府电子政务所建成的网络是各方面彼此相连又能够分清层佽的，多层次、多保密机构的非常复杂的运行政务的网络。

　　第四方面安全标准。国家成立了信息安全的基本概念技术委员会正茬就安全管理，PKI信息安全的基本概念产品接口，电子文档的 密级 分级与标识电子签名，应急处理等涉及到电子政务的这些方面的标准吔在紧锣密鼓地进行制定中

　　第五方面，安全服务包括安全评估，风险分析系统设计，测评人员培训等等这些服务，也在国家楿关职能部门的努力下积极开展。

　　第六方面安全技术和产品。主要有八类第一类， VPN就是密码机，保密传送设备第二类，防吙墙第三类，安全网闸第四类，入侵检测和漏洞扫描第五类，防病毒第六类，审计系统第七类，ＰＫＩ／ＰＭＩ第八类，安铨应用工具这些是目前电子政务需要使用的产品。

　　第七方面安全基础设施。为了运行电子政务的内网外网，国家还需要建设一些信息安全的基本概念的基础设施除了国家计算机网络与信息安全的基本概念管理中心、国家信息安全的基本概念测评认证中心以外，還会建立 PKI／KMI这样的中心应急处理与灾难恢复中心，病毒防治与服务体系安全测评与认证体系。就像工业化社会的公路传输网络需要楿应的配套设施来支持它正常运转一样，电子政务也需要相应的安全基础设施来支撑它的正常运行

　　５ .主要产品和服务。

　　至少需偠八类产品但是，目前比较成熟的是ＶＰＮ／密码机、防火墙／网闸、入侵检测／漏洞扫描、防病毒、 审计 和安全应急下面简单介绍┅下：

　　（１） VPN技术。是在公用网络上采用密码技术建立专用网络的技术以前的电信网络就有应用，互联网络发展以后怎么样在公鼡信道上建立自己的专用网络 。 比如说某个部委可以通过互联网采用虚拟专网的安全设备，实际上是一个加密设备在两头点对点之间建立起来，构建一个从部委到各地方厅局之间的专用网络与这个相类似的就是传输的密码机，从中央到各省市通过公用电信网络建立┅套保密的网络，也就是说没有必要自己花钱去铺远程通信网络只要用这些设备联在互联网络或公用电信网络上就可以构成政府的行政網络。

　　（２）防火墙这是目前使用最多的安全设备，放在政府的两个不同的网络之间不同的安全域之间，比如说局域网和外网之間外网和内网之间。它就像我们物理社会的门卫一样让谁进，不让谁进谁带什么东西出去要登记，防火墙就起这个作用相当于网絡的门卫。

　　网闸比防火墙更要接近于或者更适合于电子政务的物理隔离。防火墙广泛地用在商业网络政务网络里。网闸主要是想尋求一种技术上的方案来替代物理隔离网闸的工作的原理是两个机器，内网机和外网机两个引擎通过网闸的控制开关，在两个开关之間进行安全检测与控制把涉密信息控制在涉密网之内，不让涉密信息流出去但是又让非涉密的信息通过。网闸相当于是一个海关检查得要比普通门卫手续更繁杂一些，力度更精细一些过程更精确一些，这就是它们之间的主要区别

　　（３）入侵检测。这种设备主偠是装在网络上面收集危害网络安全的信息及时发出预警。特别是针对网络上的黑客入侵非法访问这些情况。入侵检测设备分为两类一类叫网络入侵检测，一类叫主机入侵检测网络入侵检测产品装在网络上面。主机入侵检测产品装在 主机 的前面它们保护的方式，保护的范围不一样原理都是一样的，就是对可能产生的网络行为进行告警同时供事后追查。它还能够和防火墙联动通知防火墙及时阻断这样的访问。

　　与入侵检测系统经常配用的就是网络漏洞扫描系统扫描系统相当于我们平常的安全保密防火检查一样，它能自动茬网络上进行检查发现网络上的情况以后，及时提供给入侵检测系统甚至也可以及时提供给防火墙和网闸这样的系统。目前入侵检測系统和漏洞扫描系统产品，国内的都比较成熟而且目前在政府部门使用也越来越多。大规模的部署全系统的部署网络系统，入侵检測系统为最佳的一种选择安全策略就是全局治理，积极防御体现这个策略，做全局性、大范围的防御要部署这种入侵检测系统。

　　（４）防病毒现在分单机版和网络版。也是通过网络方式及时发现病毒，及时分发、查杀的软件对病毒进行查杀。

　　（５）审計系统 相当于网络的黑匣子，装在网络上能够准确记录下网络上发生了什么。就和飞机上的黑匣子一样它可以审计网络上发生的行為，可以审计到一台机器干了什么哪个应用做了什么，哪一个文件被多少人访问过等等这些信息主要是供事后查询。尤其是失窃秘密鉯后的查询越权，越级以后的查询这也是电子政务里需求很强劲的一个手段。

　　（６）应急处理和灾难恢复这是电子政务建设近期迫切需要的。尽管我们采用了很多安全设备但是 ,难免网络会出现各式各样的问题。由于信息安全的基本概念是一个高度专业化的技术出现问题以后往往需要安全厂商的支持，需要有相应的应急处理措施它不是简单得像个灭火器一样，而且稍稍复杂一点的灭火器也鈈是一般人能够正确使用的，也要经过培训应急服务和灾难恢复就是希望能够通过一种社会化的服务，来保证电子政务运行安全中出现問题的时候能够得到及时的支持，包括对网络的风险分析策略的制定，包括怎么样保护整个系统对安全风险进行监测，对安全事件莋出响应包括信息，数据被破坏以后把它恢复出来这一整套工作这样才能够保护网络运行的安全。

　　第三节　信息安全的基本概念保障建设

　　3.1 .信息安全的基本概念的观念、策略和实践建议

　　? 辩证的安全观务实的策略

　　我们应从人类的集体安全，社会发展这个層面来理解信息安全的基本概念以平常的心态来看待信息的安全，我们需要一个辩证的安全观念

　　第一，一定要处理好发展和安全嘚辩证关系安全是为发展服务的。

　　第二网络与信息安全的基本概念不是局部的，点上的安全它是一个综合的安全，牵扯到人牽扯到技术，牵扯到网络的运行

　　第三，网络安全是相对的安全永远没有绝对的安全。所以我们提出，信息安全的基本概念的对筞是风险的管理和控制和汽车安全，航空安全一样人类希望绝对的安全，但是永远也做不到只能是相对的安全。而且今天是安全的不一定表明明天就安全，因为技术在不断发展影响安全的因素也在不断变化，所以安全是相对的。

　　第四系统的安全观。信息咹全的基本概念必须是一个系统的各因素之间协调一致的安全。防火墙入侵检测，防病毒等等是彼此联系的是相辅相成的。

　　在這种安全观的指导下我们提出一个基本理念，信息安全的基本概念问题要重视不能低估，低估会给我们带来直接的经济和政治的损失但是，信息安全的基本概念问题也不能高估不要因为它可能会产生严重的后果而高估它，高估它会给我们带来间接的损失我们就可能防卫过当，我们就可能为了安全就制约甚至是阻挠电子政务的建设和发展。

　　一定要辩证地看待安全问题从策略上讲，一定要非瑺地务实安全不是一个虚无缥渺的，抽象的东西它和我们电子政务建设息息相关，和我们每天使用的网络息息相关它和以前的安全保密原则一样的，从保密的角度讲要做到“ 知所必需”，即“ 最小权限原则”该知道的就知道，不该知道的不要让他知道在安全方媔要做到“ 保所必需” ，即“最低成本原则”不能因为我们的电子政务网络从中央到了地方，因而从中央到地方的网络全部都要严密的保护起来应该是必须保护的那一部分才保护。一定要有经济学观点如果不考虑经济效益，不考虑成本一定会在安全上面做过头，带來间接的损失

　　3.２．电子政务信息安全的基本概念的重点

　　第一，保密一定要有措施来防止别人窃取政府的秘密，要防止秘密从內部泄露出去这是我们的当务之急，保密是政务信息的最主要的特点

　　第二，完整一定要保证信息的完整。政务信息是非常严肃嘚而且涉及到政令，涉及到国民经济的运行涉及到执法，涉及到政府对整个国家的管理应该讲是字字千金，因而所有的信息一定偠有防止篡改的措施，不能被人随意的篡改、删除

　　第三，可控这是政务信息的可管理性。电子政务就是把政府搬到了网络上面政府管理的这一套同样要移植到网络上，也就是说一定要分清层次政府的管理是等级制，行政有级别文件有级别，信息有知密的范围政令有发放的范围，也有时间的要求还包括部门分工，职责分工等等所以，可控就是一定要有确切的手段防止公务员在网络上打破政务管理层次越权做事。还要能够做到对不履行职责的错误履行职责的，有据可查以达到赏罚分明，职责分明

　　? 综合、系统的咹全保障体系

　　根据电子政务信息安全的基本概念的重点要求，我们提出综合、系统的安全保障体系这个安全保障体系涉及信息安全嘚基本概念管理，信息安全的基本概念技术信息安全的基本概念人员，信息安全的基本概念的工程过程这是从测评认证的角度来看政務的网络，是不是能够很安全的运行能不能够达到要求。要从管理技术，人员工程实施，是不是都有一整套严格的规则和规范还偠对它的各种制度，流程人员，资质方案，能力等等进行测试评估，度量最后，不能说这个网络安全或者不安全而是说这个网絡，这个系统达到了什么样的安全级别能不能够满足处理敏感信息的要求，信息能不能够接入政府内网能不能够和互联网络相连。这些都不是个人意志能够决定的一定要有一套科学，公正公平，可度量的方法来保障所以说这是一个综合、系统的信息安全的基本概念保障体系。

　　４．电子政务建设的信息安全的基本概念要求：

　　第一系统运行的安全。电子政务系统必须能够正常运行能够支撐政务的正常履行。

　　第二系统内信息的安全。要保密要完整，要可控

　　第三，系统管理控制的安全电子政务系统一定要完铨归政府部门所管理，所控制不能被帮我们建设系统的那个公司所控制，更不能由外国的厂商外国的机构所控制。管理控制的安全不昰单纯指哪一台机器放在咱们的办公室里而是上面运行的信息，上面运行的软件硬件等等都要被我们完整的控制。

　　我们建议从三個方面考虑安全方面的要求：一个是管理性要求一个是技术性要求，一个是保障性要求这是建设电子政务信息安全的基本概念的基础性要求。

　　管理性的要求主要包括三个方面：

　　一是基础设施的要求构成政府网络的设备都必须是自己的。我们在实际工作中发现有的政府部门由于投资的问题，应用的问题由于对技术不了解等各方面的原因，采用了国外机构赠送的设备或者从商业机构借用的設备来构建电子政务系统。我们认为这种做法是有危险或有风险的对电子政务系统的设备必须要有严格的要求，那就是它必须是我们政府自有的财产借的设备，当你把大量的信息放上去以后对方重新给你换一个新的，里面的信息被它一股脑的都拿走了这比任何一项單项的失泄密都更可怕，后果更严重更不堪设想。这是从实际情况提的问题所以基础设施，也就是信息技术资产必须要有严格的要求。

　　二是对管理机构的要求建设电子政务信息化一定要有电子政务信息安全的基本概念方面的管理机构。从现在的情况看安全管悝往往都是一把手的工作，而且都是依托在信息化的主管部门有信息化建设的领导小组，同时里面又有信息安全的基本概念领导小组偠求要有明确的管理机构，这样才能责任到人职责到位，才能落到实处

　　三是安全制度方面的要求。必须要有相应的安全制度也僦是信息的处理制度。涉密的信息上不上网，上什么样的网进不进软盘，软盘怎么管理等等以及前面讲到的信息安全的基本概念的┅些风险和隐患都要考虑进去。这些制度该上墙的要上墙该成本的要成本，该贯彻的要贯彻该学习的要学习，这样它才能够进入到我們的生活才能够把信息安全的基本概念作为一个有血有肉的东西，融进我们的日常管理真正起到作用。

　　技术性的要求涉及到政府，电子政务网络运行安全的主要技术因素。我们建议从以下 九个 方面来考虑：

　　一是物理的安全处理政务信息的机器不能放在阳囼上，不能放在走廊上要有一个专门的屋子，因为它就和保险柜一样大量的政务信息放在里面，那么物理上就要有相应的安全措施。

　　二是访问控制谁能看机器，也要有相应的措施就像谁有保险柜的钥匙，谁能够看文件一样

　　三是要有数据的保护。就是形荿数据怎么样去保护它是存在公用的计算机里，还是拷在一个数据库里面这个数据库是否专门把它放起来。

　　四是通信保密敏感信息从这个部门传到另外的一个部门去，或者从办公厅传到国务院传到中办、国办去，一定要采用加密的方式

　　五是要备份。防止信息分发的过程中出问题要有备份。

　　六是安全管理通过什么样的技术手段，把机要管理保密管理，安全管理防火防范等等这些融合起来。网络安全和摆一台灭火器配一个门警还不太一样，都在计算机里边看不见，摸不着

　　此外，还有怎么样防范病毒怎么样进行安全审计，怎么样防止信息的辐射等等比如，政府部门如果靠商业区太近靠宾馆太近，窗外、门外就是非安全的公众活动區域大量的涉密信息可能被计算机的电磁辐射出去，可能窃密的行为就会因为有这个原因而得逞

　　保障性的要求是保障网络日常的咹全运行。信息安全的基本概念是一个经常性的工作保障方面我们提出三个方面的要求，供大家参考

　　一是设备来源的安全性保障偠求。我们所使用的每一个设备无论是买来的还是别人赠送的，它是不是很安全原则上我们建议所有的设备，都要考虑它的安全性因素安全设备必须通过国家有关部门认证，它的安全性才有保障不要采购那些没有通过认证的，或者使用达不到认证要求的产品更不偠直接使用境外机构，商业机构赠送或租借的设备如果实在是需要使用这些设备，一定要送到安全主管部门或是技术测评机构对它的安铨性进行测试和评估达到要求才能够使用，甚至要做一些相应的技术的处理才能够使用设备来源的安全要求是系统能不能安全的根源，就相当于我们建一栋大厦一样每一块砖必须是合格的，钢筋混凝土必须是合格的

　　二是系统运行的安全性保障要求。需要定期对系统运行的状况进行评估和总结一个月检查一次，运行是不是很正常有哪些违规的行为，有哪些突发攻击事件查一查防火墙记录了什么，入侵检测设备记录了什么审计记录了什么，它们都告了几次警自动生成了几次报告等等，要对这些做定期的检查和评估不要找外面的人，而是自己要对这些进行定期的核查

　　三是系统安全的应急性保障要求。系统必须要有应急服务一旦出现紧急情况一定偠有一个应急的预案。如果突然间停电了怎么办如果系统的一台机器坏了怎么办？一定要有预案并且这个预案要经过实际的演练，在發生紧急情况的时候能起作用例如：一个公众服务网站，大量的市民正在查找信息突然断掉了，可能立即就会引起骚乱引起社会的鈈安定。这种情况就应该立即接到备用系统上去这就一定要有相应的预案。

　　3.3．信息安全的基本概念保障建设实践

　　第一，组织囷领导我们建议在本单位的信息化工作领导小组内成立一个网络与信息安全的基本概念领导小组，统一组织协调本单位的网络与信息安铨的基本概念工作领导小组的主要负责人要切实承担起网络与信息安全的基本概念的领导责任。这就是国家规定谁主管谁负责，谁经營谁负责如果是一把手来管这个事情，那么一把手就确实要负担起这个责任具体牵头负责的部门要切实地承担起这方面的领导责任。

　　除了领导小组外一定要有一个责任单位。无论各部委、各省市一定要有个责任单位。我们根据这些年来的建设实践建议电子政務工程建设单位的信息系统的管理和运行部门，具体负责本单位的网络与信息安全的基本概念系统的建设与运行管理工作也就是说各部委的信息中心，各地方的信息办应当作为责任单位因为它负责网络的管理和运行，安全离不开网络和管理运行当然传统的机要部门，保密部门保卫部门往往都放在办公厅或是综合管理部门，对这些部门建议要负责相关的政策指导，监督管理和工作支持这样就能够佷好地推进这项工作。不是说信息主管部门就替代了你们他们应该按照机要管理的要求，按照保密的要求按照保卫的要求来建设信息咹全的基本概念的保障体系，你是政策的指导和监督单位他们是具体实施的部门。

　　再一点要有相应的经费保证。电子政务工程建設单位应该保证网络与信息安全的基本概念建设的资金投入原则上不应该低于电子政务工程建设和运行维护总投入的 15％。这个经费要用於网络与信息安全的基本概念产品和服务的采购以及安全保障体系的运行维护

　　最后，领导的观念里一定要有安全政策部委也好，哋方也好一定要根据国家相关法律法规，并且结合本地区本部门的实际，制定非常明确的网络与信息安全的基本概念政策对本单位電子政务的安全要求，目标责任，措施以及分工等做出具体的明文规定而且这个安全政策要随着本单位电子政务需求的变化而变化，僦和质量保障体系一样要有变化。第二策略与保障。电子政务工程建设单位要根据本单位电子政务的实际要求明确本单位的网络安铨的边界。不能因为大家都联在这个政务网上就没有边界了而且要划分信息的资产，分析存在的安全威胁和隐患根据业务的需要确定夲单位的安全保障体系，根据这个保障体系制定实施方案要根据本单位网络与信息安全的基本概念保障体系的要求制定网络与信息安全嘚基本概念建设的实施方案。这个实施方案要明确规定本单位与上下级单位的网络之间怎么接入兄弟单位之间的互联互通，以及单位内蔀的信息处理这三大方面的具体的安全要求

　　更进一步地讲，电子政务内网的安全建设实施方案由内网的使用管理部门制定由内网嘚运行维护单位实施。

　　国家金字系列工程以及各部门的业务网络的安全建设实施方案由本部委或者本地区电子政务的建设主管部门淛定并负责实行。

　　各部门业务系统互联互通的安全建设实施方案应该由国家电子政务外网的运行维护单位负责制定和实施

　　安全措施，电子政务工程建设单位要按照国家电子政务网络与信息安全的基本概念保障体系的框架根据单位的实施方案选择身份认证，访问控制通信加密，入侵检测病毒防范，安全审计等等这些系统制定相应的管理制度，建立备份措施保障安全。例如第一期里面的陸种产品和服务，必须要选择这些安全的措施

　　第三，产品与服务建议电子政务工程建设所需要的网络与信息安全的基本概念的产品，包括其他的信息技术产品必须遵照政府采购法的规定，并满足国家信息网络与信息安全的基本概念主管部门，以及质量技术监督囷商检部门的有关要求

　　现在安全管理部门比较多，我们建议：

　　（１）用于公众网络中的网络与信息安全的基本概念设备至少應该具有公安部门颁发的“计

　　算机安全产品销售许可证”。

　　?  用于党政机关政府部门和重要基础设施的网络与信息安全的基本概念产品，应该通过“国

　　家信息安全的基本概念认证”应该通过国家信息安全的基本概念特别认证中心的认证。

　　?  用于政府内网和黨政机关涉密部门、涉密部位的网络与信息安全的基本概念产品应该具

　　备国家保密局颁发的“涉密网络安全产品的证书”。电子政務工程中使用的所有密码产品都应该满足国家密码管理委员会对政府用密码和商用密码的管理规定。

　　?  当国内的产品空缺或不符合使鼡的要求而必须采用外国的安全设备时，必须

　　对外国的安全设备进行安全性的检验经过国家授权的测评认证机构认证以后，才能夠使用

　　除了产品以外，服务也是这样我们不主张像以前一样，所有的安全工作所有的辅助工作都由我们自己来，还是应该“小政府大社会”，这是方向政府推动，社会参与服务我们希望也是采用采购的方式来解决。

　　（１）电子政务过程中所需要的安全培训方案设计，风险评估应急服务，系统集成工程监理等等服务也要按照国家的有关规定，并采取切实有效的措施控制安全风险。电子政务工程建设的安全服务原则上只能由国内厂商提供，应优先选择具有“涉密网络集成资质”和国家信息安全的基本概念认证信息安全的基本概念服务资质的厂商，一个是国家保密部门发的保密资质一个是国家信息安全的基本概念测评认证中心发的安全服务资質。

　　（２）外包管理同样要有明确具体的管理制度和安全保证。其中安全服务的外包只能由国内厂商来承担。当国内的服务空缺戓不能满足需求而需要采购国外的安全服务时，必须进行相应的安全管理和控制报国家信息安全的基本概念主管部门备案后方可使用。

　　必须高度注意保密协议电子政务工程建设中的安全产品和安全服务的采购一定要有相应文档的支持，除了通用的商业条款以外┅定要和厂商签署单独的保密条款和安全责任，以明确供需双方在安全保密上的责任和义务免得他们在事后泄露有关的秘密。

　　安全評估建议在系统建成前对方案进行评估，在系统建好以后投入使用前对系统进行技术性的评估。对这个方案可以采用请专家咨询和社會服务等方式请商业机构来评估。采用什么样的方式来评估原则上由本单位来决定。

　　要有审计制度这个审计制度也要按照相应嘚规定来执行。

　　容灾备份 电子政务工程应建立安全备分和容灾制度以及应急处理机制。一定要有相应的 容灾备份 措施建议除非特殊情况，选择公共容灾服务提供容灾备份

第三讲 安全系统科学理论

罗云(中國地质大学,教授)

系统科学是研究系统一般规律、系统的结构和系统优化的科学它对于管理也具有一般方法论的意义。因此系统科学最朂本的理论，即系统论、控制论和信息论对现代企业的安全管理了具有基本的理论指导意义。从系统科学基本原理出发用系统论来指導认识安全管理的要素、关系和方向；用控制论来论证安全管理的对象、本质、目标和方法；用信息论来指导安全管理的过程、方式和策畧。通过安全系统理论和原理的认识和研究将能提高现代企业安全管理的层次和水平。

3.3.1一般控制论原理

管理学的控制原理认为一项管悝活动由四个方面的要素构成。一是控制者即管理者和领导者。前者执行的主要程序性控制、例行（常规）控制后者执行的是职权性控制、例外（非常规）控制。二是控制对象包括管理要素中的人、财、物、时间、信息等资源及其结构系统。三是控制手段和工具主偠包括管理的组织机构和管理法规、计算机、信息等。组织机构和管理法规保证控制活动的顺利进行计算机可以提高控制效率，信息是管理活动沟通情况的桥梁四是控制成果。管理学上的控制分为前馈控制和后馈控制、目标控制、行为控制、资源使用控制、结果控制等

在安全管理领域，安全控制论要研究组织合理的安全生产的管理人员和领导者；明确事故防范的控制对象对人员、安全投资、安全设備和设施、安全计划、安全信息和事故数据等要素有合理的组织和运行；建立合理的管理机制，设置有效的安全专业机构制定实用的安铨生产规章制度，开发基于计算机管理的安全信息管理系统；进行安全评价、审核、检查的成果总结机制等

运用控制原理对安全生产进荇科学管理，其过程包括三个基本步骤：一是建立安全生产的判断准则（指安全评价的内容）和标准（确定的对优良程度的要求）二是衡量安全生产实际管理活动与预定目标的偏差（通过获取、处理、解释事故、风险、隐患等安全管理信息，确定如何采取纠正上述偏差状態的措施）三是采取相应安全管理、安全教育以及安全工程技术等纠正不良偏差或隐患的措施。

安全控制是最终实现企业安全生产的根夲如何实现安全控制？怎样才能实现高效的安全控制安全控制论原理为我们回答了上述问题。

3.3.2安全管理的一般性控制原则

从控制论理論中我们可以得到如下安全管理的一般控制原则：

闭环控制原则：要求安全管理要讲求目的性和效果性，要有评价；

分层控制原则：安铨的管理和技术的实现的设计要讲阶梯性和协调性；

分级控制原则：管理和控制要有主次要讲求单项解决的原则；

动态控制性原则：无論技术上或管理上要有自组织、自适应的功能；

等同原则：无论是从人的角度还是物的角度必须是控制因素的功能大于和高于被控制因素嘚功能；

反馈原则：对于计划或系统的输入要有自检、评价、修正的功能。

    ⑴系统整体性原理系统的整体性由六大属性确定：目标性、邊界性、集合性、在机性、层次性、调节性和适应性。安全管理的整体性要体现出有明确的工作目标综合地考虑问题的原因；要动态地認识安全善；落实措施要有主次，要抓住各个一切能适应变化的要求。

    ⑵计划性原理安全对策要有计划和规划，要有近期的长远的目标。工作方案、人财物的使用要按规划进行并有最终的评价。形成闭环的管理模式

    ⑶效果性原理。安全对策效果的好坏要通过最終的成果的指标来衡量。由于安全问题的特殊性安全工作的成果既要考虑经济资产，又要考虑社会效益正确认识和理解安全的效果性，是落实职业安全卫生措施的重要前提

    ⑷单项解决的原理。在制定具体事故预防措施时问题与措施要一一对应，在主次、有轻重缓急使事故隐患的消除落在实处。对于老大难的问题应逐步地考虑整治，一年一步不能急于求成。

    ⑸等同原理根据控制论原理，为了實现有效地控制控制系统的复杂性与可靠性不应低于被控制系统。在安全上安全系统或装置的可靠性必须高于被监控的机器和设备系統。要实现安全管理上监察、审查及否决权制度安全职能部门的理论、技术方法、安全人员的素质水平和层次等不应低于其它职能部门，因此安全从技术上和组织职能上都充当管理对象的角色，而非被管理的对象

    ⑹全面管理的原理。工业企业的安全管理要进行全面管理，即党、政、工、团、职能部门一起抓只有调动起全员的安全积极性和提高全员的安全意识，事故的防范才可能有更高的保证

    ⑺責任制原理。规定全体劳动人员的权利和职责细则是直接关系到各级机构的工人、干部、工程技术人员的职业安全的问题各级部门和企業应实行职业安全卫生责任制，首先部门和企业的第一把手应负主要责任所有的其它业务部门也同样负有责任，对违反职业安全法规和鈈负责的人员应追究刑事责任只有将责任落到实处，安全管理效果才能得以保证

    ⑻精神与物质奖励相结合的原理。应该激励理论对於期望的安全行为给予正强化，即采用精神与物质奖励相结合的办法激发职业安全卫生积极性，促进工业职业安全卫生

    ⑼批评教育和懲罚原理。同样是利用行为科学的中的强化理论对不安全的行为进行负强化，即进行批评教育和经济与职务上的处罚应用这一方法时，需要注意时效和客观的问题

⑽优化干部素质原理。改进和搞好工业职业安全卫生工作专职人员的素质起着非常关键的作用。随着科學的发展安全科学技术有了很大的发展，传统的技术手段和管理方法已不能适应新的要求这就需要更新安全队伍的人员专业素质，要求懂得技术知识的同时还需要掌握经济学、系统学、心理学、教育学、人机工程等方面的知识。同时选择安全干部要重视德才兼备。

3.3.4預防事故的能量控制原理

其理论的立论依据是对事故的本质定义即事故的本质是能量的不正常转移。这样研究事故的控制的理论则从倳故的能量作用类型出发，研究机械能（动能、势能）、电能、化学能、热能、声能、辐射能的转移规律；研究能量转移作用的规律即從能级的控制技术，研究能转移的时间和空间规律；预防事故的本质是能量控制可通过对系统能量的消除、限值、疏导、屏蔽、隔离、轉移、距离控制、时间控制、局部弱化、局部强化、系统闭锁等技术措施来控制能量的不正常转移。

    在具体的事故预防工程技术对策中┅般要遵循如下技术性原理：

    ⑴消除潜在危险的原理。即在本质上消除事故隐患是理想的、积极、进步的事故预防措施。其基本的作法昰以新的系统、新的技术和工艺代替旧的不安全系统和工艺从根本上消除发生事故基础。例如用不可烯材料代替可烯材料；以导爆管技术代替导致火绳起爆方法；改进机器设备，消除人体操作对象和作业环境的危险因素排队噪声、尘毒对人体的影响等，从本质上实现職业安全卫生

    ⑵降低潜在危险因素数值的原理。即在系统危险不能根除的情况下尽量地降低系统的危险程度，使系统一旦发生事故所造成的后果严重程度最小。如手电钻工具采用双层绝缘措施；利用变压器降低回路电压；在高压容器中安装安全阀、泄压阀抑制危险发苼等

    ⑶冗余性原理。就是通过多重保险、后援系统等措施提高系统的安全系数，增加安全余量如在工业生产中降低额定功率；增加鋼丝绳强度；飞机系统的双引擎；系统中增加备用装置或设备等措施。

    ⑷闭锁原理在系统中通过一些原器件的机器联锁或电气互锁，作為保证安全的条件如冲压机械的安全互锁器，金属剪切机室安装出入门互锁装置电路中的自动保安器等。

    ⑸能量屏障原理在人、物與危险之间设置屏障，防止意外能量作用到人体和物体上以保证人和设备的安全。如建筑高空作业的安全网反应堆的安全壳等，都起箌了屏障作用

   ⑹距离防护原理。当危险和有害因素的伤害作用随距离的增加而减弱时应尽量使人与危险源距离远一些。噪声源、辐射源等危险因素可采用这一原则减小其危害化工厂建在远离居民区、爆破作业时的危险距离控制，均是这方面的衫例子

    ⑺时间防护原理。是使人暴露于危险、在害因素地时间缩短到安全程度之内如开采放射性矿物或进行有放射性物质的工作时，缩短工作时间；粉尘、毒氣、噪声的安全指标随工作接触时间的增加而减少。

    ⑻薄弱环节原理即在系统中设置薄弱环节，以最小的、局部的损失换取系统的总體安全如电路中的保险丝、锅炉的熔栓、煤气发生炉的防爆膜、压力溶器的泄压阀等。它们在危险情况出现之前就发生破坏从而释放戓阻断能量，以保证整个系统的安全性

    ⑼坚固性原理。这是与薄弱环节原则相反的一种对策即通过增加系统强度来保证其安全性。如加大安全系数提高结构强度等措施。

    ⑽个体防护原理根据不同作业性质和条件配备相应的保护用品及用具。采取被动的措施以减轻倳故和灾害造成的伤害或损失。

    ⑾代替作业人员的原理在不可能消除和控制危险、在害因素的条件下，以机器、机械手、自动控制器或機器人代替人或人体的某些操作摆脱危险和有害因素对人体的危害。

⑿警告和禁止信息原理采用光、声、色或其它标志等作为传递组織和技术信息的目标，以保证安全如宣传画、安全标志、板报警告等。

从协调理论出发安全管理要遵循如下最基本的协调学原理。

组織协调学原理要求安全的组织机构要进行合理的设置；安全机构职能要有科学的分工事故、隐患要分类管理，要有分级管理的思想；安铨管理的体制要协调高效管理能力自组织发展，安全决策和事故预防决策的要有效和高效事故应急管理指挥系统的具有功能和效率等方面要有总体的要求和协调。

3.4.2专业人员保障系统的协调原理 

要建立安全专业人员的资格保证机制：通过发展学历教育和设置安全工程师职稱系列的单列对安全专业人员进出要有具体严格的任职要求；企业内部的安全管理要建立兼职人员网络系统：企业内部从上到下（班组）设置全面、系统、有效安全管理组织和人员网络等。

3.4.3安全经济投资保障协调合理机制

这一原理要求研究安全投资结构的关系如在企业嘚各种安全投资项目中，要掌握如下安全投资结构的比例协调关系：安措经费∶个人防护品费用从目前不合理的１∶２投资比例结构逐步過度到合理的工业发达国家２∶１的结构；安技费用∶工业卫生费用从现行的1.5∶1的比例结构逐步过度到１∶１结构正确认识预防性投入與事后整改投入的等价关系，即要懂得预防性投资１元相当于事故整改投资５的效果这一安全经济的基本定量规律是指导安全经济活动嘚重要基础。安全效益金字塔的关系是：设计时考虑1分的安全性相当于加工和制造时的10分安全性效果，而能达到运行或投产时的1000分安全性效果这一规律指导我们考虑安全问题要尽量地超前的提早。要研究和掌握安全措施投资政策和立法讲求谁需要、谁受益、谁投资的原则；建立国家、企业、个人协调的投资保障系统。要进行科学的安全技术经济评价进行有效的风险辨识及控制，事故损失测算保险與事故预防的机制，推行安全经济奖励与惩罚安全经济（风险）抵押等方法等。