尽早建立和完善信息安全机制

近年来，有关网络入侵、黑客攻击和计算机犯罪等基于网络安全的事件时有报道。大量触目惊心的网络攻击活动使我们不得不深思：我们的计算机网络安全吗？为此，业内外人士提出了众多安全建议。但由于受技术、资金等诸多因素的影响，其中很大一部分可行性并不强。笔者认为，最廉价且具有操作性的措施是：尽早建立和完善信息安全管理机制。建立和完善信息安全管理机制从国家的角度来讲，是指要开发一套国家信息战战略和政策，要确保信息安全计划与活动的协调一致。其具体内容分为以下四个方面：

一、制订网络和系统的安全标准。实现网络安全应有一个安全标准，这个标准应对网络和系统安全的总体框架、各个方面的安全性以及它们之间的相互关联有一个严格的描述和定义。其中可以包括：管理制度方面的安全标准、系统和设备配置方面的安全标准、资源访问控制方面的安全标准、数据通信方面的安全标准、身份认证方面的安全标准、数据加密算法和密钥配置方面的安全标准、防电磁泄露方面的安全标准等等。只有有了这样一个完整的标准之后，安全问题才有可能全面地解决好。

二、采用安全可靠的具体操作程序。要制定一系列的具体规范操作程序：①质量保证操作程序。主要是控制信息配置，减少因疏忽导致的数据和过程的混乱。②防止入侵操作程序。具体做法是把信息分为秘密信息、敏感信息和通用信息三类；秘密信息又可分为秘密、机密和绝密等级别，然后根据不同类别设定不同的操作方式，以隔离、分层和暗语口令等手段加以控制。③固化操作程序。即将系统程序加以固化，以防止入侵者企图获取重要信息或破坏信息流。④通讯传输程序。要求保证以安全方式传送秘密信息，拒绝非法入侵者接触秘密和敏感信息，以保证绝对安全。此外，操作程序还要求信息系统负责人必须具有追捕入侵者的能力。

三、建立统一的信息防护领导机构。在战略层次上，要成立一个国家信息安全预警中心。这个中心的职能是领导和管理执法部门、国家安全系统和情报部门等机构，通过协调其关系，明确其职责和分工，调整其任务和作用，从而保证各种信息袭击得以及时防护与处理。该中心主要负责重大战略目标的安全。如军事系统、电信、电力系统、天然气与石油储运、金融与财政、交通运输、供水系统和施政管理系统等。在各重要机关以至于基层单位应设立专门的信息安全管理机构，具体负责其相应级别的系统、网络、中继站、工作站、计算机群乃至每台计算机和每个终端接口的安全。在建立各种信息防护领导机构时，要注意三点：①要坚持统一领导。②机构要系统、精干。③各部门的职责和分工要明确。