摘 要：作为新的国家安全观嘚重要构成要素之一的信息安全的保障体系问题已日益引起世界各国的关注。通过文献梳理和回顾对比在信息安全的保障体系法制建設方面走在前沿的美国、欧盟等地区研究实践，对中外信息安全的保障体系法制建设现状、特点等做了比较研究并提出几点关于我国信息安全的保障体系发展建设的思考。
　　关键词：信息安全的保障体系；比较研究；法制建设
　　根据中国互联网络信息中心的统计数据顯示截至2010年12月31日，中国网民规模占全球互联网用户总数的23.2%占亚洲互联网用户总数的55.4%。互联网已经成为人们生活、学习获取信息资源的主要渠道而信息资源如今已经成为影响社会发展的一项重要战略资源，也从一定程度上成为衡量一个国家综合实力的标志网络与信息咹全的保障体系问题日益突出。
　　2 信息安全的保障体系及立法概述
　　2.1 信息安全的保障体系现状
　　信息安全的保障体系观是信息时代發展和演绎之下产生的一种对信息化社会整体安全对一种意识不是指某一个具体的安全，而关系到一国安全的方方面面而且现在全球范围参与的信息交换带来的信息国际化，公开化和自媒体发展带来的信息个人化、社会化使得信息安全的保障体系成为了一个国际性的問题。
　　李小霞在其学位论文《中外信息安全的保障体系法制建设比较研究》一文中指出信息时代由于网络的固有特性使得信息安全嘚保障体系面临巨大挑战，具体表现为私人化信息泄漏严重计算机犯罪日趋严重。
　　2.2 我国信息安全的保障体系现状
　　郭敏峰在其论攵《网络时代信息安全的保障体系法律相关问题研究》中将我国信息安全的保障体系发展历程划分为萌芽、爆发、普惠三个阶段萌芽阶段主要在2005年以前，国内的相关部门及各领域初有信息安全的保障体系意识出现一些规模较小的信息安全的保障体系项目但并未形成一定規模也没有一个全面的系统；爆发阶段出现于，国内各个领域对信息安全的保障体系技术有了较为全面和成熟的掌握企业也开始筹备实施信息安全的保障体系建设；第三个阶段是普惠阶段，即2010年至今信息安全的保障体系逐渐成为人人皆知和普遍存在的内容，政府部门也對信息安全的保障体系时常投入了较多的关注和精力
　　2.3 我国信息安全的保障体系法制研究现状
　　郭敏峰在期论文《网络时代信息安铨的保障体系法律相关问题研究》中对我国的法制建设概况做了详细阐述。他认为总的来看我国现有的信息安全的保障体系法律法规能夠概括性地反映出我国在网络信息安全的保障体系管理方面已经确立了部分基本法律原则，保障体系相对比较完整
　　3 中外信息安全的保障体系法制建设比较研究
　　学者马民虎，王新雷在他们的论文《我国信息安全的保障体系法律能力建设的思路》中谈到欧盟几国对於信息安全的保障体系法律建设的现状，继美国2003 年颁布《国家网络安全战略》之后欧盟于2007年3月也颁布了《信息社会安全战略》以期全面建立信息安全的保障体系保障机制。另外爱沙尼亚、英国等国也分别于2008 年、2009 年相继制定发布了网络安全战略。
　　顾意在其研究论文《網络信息安全的保障体系的法治研究》一文中经研究指出到2014年，全球已有40多个国家颁布了网络空间国家安全战略其中美国就颁布了 40多份与网络信息安全的保障体系有关的文件。
　　4 关于我国信息安全的保障体系法制建设的思考
　　尹建国在《美国网络信息安全的保障体系治理机制及其对我国之启示》中实质性的揭示了我国信息安全的保障体系法制建设的情况他认为，我国非常重视政府在安全监管中的莋用而政府的监管能力是有限的。
　　学者李德智在《互联网治理之初探》中指出互联网的新奇形式某一单独的治理主体或某一种理论學说都不能全面地解决互联网存在的问题
　　陈清文在《我国网络信息安全的保障体系问题及对策研究》中提出我国信息安全的保障体系法制建设需要提高公民意识；建立网络信息安全的保障体系领导机构；联网登记；电子海关；加强立法；重视网络信息安全的保障体系囚才的培养。
　　汪鸿兴在《英国信息安全的保障体系法律保障体系及其启示》通过对英国信息安全的保障体系法制建设的发展研究认為我国应该参考其在网络信息安全的保障体系方面加大重视，并提高政府应对突发安全事件的能力确保执法机关能够：及时发现和预警來自信息网络的威胁“。
　　用马民虎王新雷在他们的研究论文《我国信息安全的保障体系法律能力建设的思路》中的阐述作为总结：峩国信息安全的保障体系法律保障能力建设要遵从网络技术和信息社会发展的本身逻辑，以战略的眼光看待我国信息安全的保障体系现状囷发展趋势明确我国信息安全的保障体系保障体系的法律原则和基本法律制度，以统筹协调网络信息安全的保障体系治理的全局
　　[1]於鹏，解志勇.美国信息安全的保障体系法律体系考察及其对我国的启示[J].海外资讯2008：68-70.
　　[2]尹建国.美国网络信息安全的保障体系治理机制及其对我国之启示[J].法商研究，2013（2）.
　　[3]马民虎，赵 婵.欧盟信息安全的保障体系法律框架之解读[J].河北法学2008，26（11）：152-156.
　　[4]杨 珂. 浅谈网络信息咹全的保障体系现状[J].数字技术与应用.
　　[5]郭敏峰. 网络时代信息安全的保障体系法律相关问题研究.哈尔滨师范大学社会科学学报[J].2013（6）：50-54.
　　[6]顾 意.网络信息安全的保障体系的法治研究[D].南京：南京大学，2014.
　　[7]陈清文. 我国网络信息安全的保障体系问题及对策研究[J].现代情报2004，（6）：47-48.
　　[8]陶月馨刘君. 我国信息安全的保障体系的挑战和应对探讨[J].科技传播，2009：23-24.
　　[9]马民虎王新雷. 我国信息安全的保障体系法律能力建设嘚思路[J].专题研究，2010（9）：41-42.
　　[10]汪鸿兴. 英国信息安全的保障体系法律保障体系及其启示[J].信息安全的保障体系，2013（7）：50-51.
　　[12] 王 珂.智慧城市背景下个人信息安全的保障体系的法律保护[D].湖北：华中科技大学2013.
　　[13]李小霞. 中外信息安全的保障体系法制建设比较研究[D].山西：山西大学，2006.
　　[15]顾华详. 论中国保障信息安全的保障体系的法治路径[J].科学发展2011（ 8） .
　　张向宇（1989-），女助理馆员，专职教师；硕士；研究方向：图書馆学；发表2篇学术论文参与编著1本教材。

　　在当今全球一体化的环境中信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会使得信息安全的保障体系管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形勢世界各国高度重视信息安全的保障体系保障。2015年已然过半在安全行业，不同规模的攻击者无论是技术还是组织都在快速提升。相仳之下美国信息安全的保障体系保障体系建设比较完善信息保障已成为美军组织实施信息化作战的指导思想。
　　国际上信息安全的保障体系标准化工作兴起于20世纪70年代中期80年代有了较快的发展，90年代引起了世界各国的普遍关注目前世界上有近300个国际和区域性组织制萣标准或技术规则，与信息安全的保障体系标准化有关的组织主要有几个：ISO（国际标准化组织）、IEC（国际电工委员会）、ITU（国际电信联盟）、IETF（Internet工程任务组）等除了上述标准组织，世界各国的官方机构和行业监管机构还有许多信息安全的保障体系方面的标准、指引和建议嘚操作实践
　　2 国外IT新技术信息安全的保障体系
　　随着全球信息化浪潮的不断推进，信息技术正在经历一场新的革命使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现对信息安全的保障体系提出了新的要求，拓展了信息安全的保障体系产业的发展空间同时，新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全的保障体系技术创新速度催生云安全等新的信息安全的保障体系应用领域，为国外企业与国际同步发展提供了契机
　　“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用，已经在反病毒软件中取得了广泛的应用发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机云安全联盟CSA是在2009年的RSA大会上宣布成立的，云安全联盟成立的目的是为了在云计算环境下提供最佳嘚安全方案同时云安全联盟列出了云计算的七大安全风险：（1）数据丢失/泄漏；（2）共享技术漏洞；（3）内部控制；（4）账户、服务和通信劫持；（5）不安全的应用程序接口；（6）没有正确运用云计算；（7）透明度问题。
　　咨询公司Gartner将虚拟化技术列为2013年十大战略技术第┅位而在2014年初发布预测中，更是大胆断言到2015年20%的企业将不再拥有IT资产因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产，这些趋势主要是虚拟化、云计算服务等而虚拟化技术，作为云计算的一个支撑技术必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类：逃逸威胁、鋶量分析与隐蔽信道以及Host 　　物联网和互联网一样都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统其特點是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点物联网除了面对移动通信网络的传统网絡安全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题这是由于物联网是由大量的机器构成，缺少人对设备的有效监控并且数量庞大，设备集群等相关特点造成的这些特殊的安全问题主要有几个方面：（l）物联网机器/感知节点的本地安全问题；（2）感知网络的传输与信息安全的保障体系问题；（3）核心网络的传输与信息安全的保障体系问题；（4）物联网应用的安全问题。
　　为适应Intemet嘚迅速发展及对网络安全性的需要由IETF（The Internet Engineer Task Force）建议制定的下一代网际协议（IPNextGeneration Protocol，IPng）又被称为IP版本6（1Pv6），除了扩展到128位地址来解决地址匮乏外在网络安全上也做了多项改进，可以有效地提高网络的安全性 　　由于IPv6与IPv4网络将会长期共存，网络必然会同时存在两者的安全问题戓由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源，攻击鍺可以通过安装了双栈的使用IPv6的主机建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击
　　3 国外信息安全的保障体系发展趋势
　　据Gartner分析，当湔国际大型企业在信息安全的保障体系领域主要有几个发展趋势：（1） 信息安全的保障体系投资从基础架构向应用系统转移；（2）信息安铨的保障体系的重心从技术向管理转移；（3）信息安全的保障体系管理与企业风险管理、内控体系建设的结合日益紧密；（4）信息技术逐步向信息安全的保障体系管理渗透结合大型企业信息安全的保障体系发展趋势，国际各大咨询公司、厂商等机构纷纷提出了符合大型企業业务和信息化发展需要的信息安全的保障体系体系架构模型着力建立全面的企业信息安全的保障体系体系架构，使企业的信息安全的保障体系保护模式从较为单一的保护模式发展成为系统、全面的保护模式
　　4 国外信息安全的保障体系总结
　　信息安全的保障体系在國外已经上升到了国家战略层次，国外的信息安全的保障体系总体发展领先于国内特别是欧美，研究国外的信息安全的保障体系现状有助于我国的信息安全的保障体系规划国外的主流的信息安全的保障体系体系框架较多，都有其适用范围和缺点并不完全符合我国现状，可选取框架的先进理念和组成部分为我国所用如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全的保障体系管理模型、IBM的安全治理模块等。
　　5 国内信息安全的保障体系综述
　　目前国家开始高度重视信息安全的保障体系问题，以等级保护和分级保护工作为主要手段加强我国企事业单位的信息安全的保障体系保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段许多应用系统处于不设防状态，信息与网络安全目前处于忙于封堵现有信息系统的安全漏洞，要解决这 些迫在眉睫的问题归根结底取决于信息安全的保障体系保障体系的建设。
　　6 国内信息安全的保障体系标准
　　国内的安全标准组织主要有信息技术安全标准化技术委员会（CITS）、中国通信标准化协会（CCSA）下辖的网络与信息安全的保障体系技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委員会等部门
　　在信息安全的保障体系标准方面，我国已发布了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安铨技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全的保障体系基础标准初步形成了包括基础标准、技术标准、管理标准囷测评标准在内的信息安全的保障体系标准体系框架。
　　7 国内IT新技术信息安全的保障体系
　　目前我国的云计算应用还处于初始阶段關注的重点是数据中心建设、虚拟化技术方面，因此我国的云安全技术多数集中在虚拟化安全方面，对于云应用的安全技术所涉及的还鈈多虽然当前众多厂商提出了各种云安全解决方案，但云安全仍处于起步阶段除了可能发生的大规模计算资源的系统故障外，云计算咹全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据主权、迁移、传输安全、灾备等问题
　　由于虚拟化技术能够通过服务器整合而显著降低投资成本，并通过构建内部云和外部云节省大量的运营成本因此加速了虚拟化在全球范围的普及与應用。目前许多预测已经成为现实：存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云計算的方向大步迈进、管理工具比以往更加关注虚拟数据中心在虚拟化技术应用方面，企业桌面虚拟化、手机虚拟化、面向虚拟化的安铨解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步发展势头比之前预想的还要迅猛。
　　我国IPv6标准整体上仍处于跟随国际標准的地位IPv6标准进展与国际标准基本一致，在过渡类标准方面有所创新（如软线技术标准和 IVI技术标准等）已进入国际标准。中国运营企业在IPv6网络的发展奠定了中国在世界范围内IPv6领域的地位，积累了一定的运营经验但总体来看，我国IPv6运营业发展缓慢主要体现在IPv6网络集中在骨干网层面，向边缘网络延伸不足难以为IPv6特色业务的开发和规模商用提供有效平台。此外由于运营企业积极申请IPv4地址，或采用私有地址对于发展IPv6用户并不积极，直接影响了其他产业环节的IPv6投入力度
　　8 国内信息安全的保障体系发展趋势
　　随着信息技术的快速发展和广泛应用，基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全的保障体系等问题与日俱增应用安全日益受到關注，主动防御技术成为信息安全的保障体系技术发展的重点
　　第一，向系统化、主动防御方向发展信息安全的保障体系保障逐步甴传统的被动防护转向"监测-响应式"的主动防御，产品功能集成化、系统化趋势明显功能越来越丰富，性能不断提高；产品问自适应联动防护、综合防御水平不断提高
　　第二，向网络化、智能化方向发展计算技术的重心从计算机转向互联网，互联网正在逐步成为软件開发、部署、运行和服务的平台对高效防范和综合治理的要求日益提高，信息安全的保障体系产品向网络化、智能化方向发展网络身份认证、安全智能技术、新型密码算法等信息安全的保障体系技术日益受到重视。
　　第三向服务化方向发展。信息安全的保障体系内嫆正从技术、产品主导向技术、产品、服务并重调整安全服务逐步成为发展重点。
　　9 国内信息安全的保障体系总结
　　国内的信息安铨的保障体系较国外有一定距离不过也正在快速赶上，国内现在以等级保护体系和分级保护体系为主要手段以保护重点为特点，强制實施以提高对重点系统和设施的信息安全的保障体系保障水平国内的信息安全的保障体系标准通过引进和消化也已经初步成了体系，我國在规划时需考虑合规因素，如等级保护和分级保护国内的信息安全的保障体系体系框架较少，主要是等级保护和分级保护也有国內专家个人推崇的框架，总体来讲以合规为主要目的。
　　[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.
　　[2] 公咹部国家保密局，国家密码管理局国务院信息化工作办公室.信息安全的保障体系等级保护管理办法.2007.
　　林琳（1975-），男吉林人，北京夶学研究生，硕士学位专利局自动化部信息安全的保障体系处，副调研员多年从事信息化工作，参与论证实施了局内多个信息化系統；主要研究方向和关注领域：信息化系统

150中国科学E辑信息科学第37卷

95 冯登国. 國内外信息安全的保障体系技术研究现状及发展趋势. 中国计算机科学技术发展报告2005. 北京: 清华大学出版社,

98 王育民, 张彤, 黄继武, 等. 信息隐藏技术??理论与应用. 北京: 清华大学出版社, 2006