隨著信息化進程的深入和互聯網的迅速發(fā)展，信息安全顯得日益重要。國家對此十分重視，1997年國務院信息辦立項籌建中國互聯網絡安全產品測評認證中心；1998年10月成立中國國家信息安全測評認證中心；1999年2月該中心及其安全測評實驗室分別通過中國產品質量認證機構國家認可委員會和中國實驗室國家認可委員會的認可，正式對外開展信息安全測評認證工作。

　　一、網上信息安全的法律保護

　　隨著互聯網技術的發(fā)展，大量的信息在互聯網上進行傳播，不可避免地會侵犯他人的合法權益，而且這種侵犯將因為互聯網比其他媒體更有廣泛的影響而加重侵權的嚴重程度。從這個意義上來說，一個人可以不上網，但是他的合法權益被他人通過互聯網侵犯卻是有可能的，因此，加強與互聯網相關的立法建設，對于全體國民都是非常重要的。

　　此外，要加強信息系統(tǒng)安全研究、建設的統(tǒng)一管理，使之納入有序化、規(guī)范化、法制化的軌道上。當前我國的信息與網絡安全研究處在忙于封堵現有實際信息系統(tǒng)安全漏洞的階段。要想從根本上解決問題，應該在國家有關主管部門組織下，從基礎研究入手，為我國信息與網絡安全構筑自主、創(chuàng)新、完整的理論體系和基礎構件的支撐，推動我國信息安全產業(yè)的發(fā)展。

　　互聯網世界是人類現實世界的延伸，是對現實社會的虛擬，因此，現實社會中大多數的法律條款還是適用于互聯網的?；ヂ摼W是信息傳播的一種工具，從這個意義上講，互聯網只不過是一種新興的媒體，各種法律在互聯網上同樣適用，有關互聯網的運行規(guī)則應和其他媒體一樣都必須遵守國家法律的規(guī)定，任何違法行為都要受到法制的制裁。隨著互聯網技術的發(fā)展，為了規(guī)范與互聯網相關的行為，有關部門已經制定了一些法律法規(guī)，互聯網世界已經有了初步的“游戲規(guī)則”。

　　互聯網一貫以信息自由著稱，據此有人認為實施有關互聯網的立法會限制網絡的發(fā)展，這種觀點是錯誤的。在互聯網這個虛擬的世界里，如同現實世界一樣，沒有絕對自由，如果網絡失去規(guī)則，那么自由也就無從說起，這一點已經被無數的事實所證明。最近，針對網上日益猖撅的不法行為，許多國家都已經著手加強網上立法和打擊不法行為的力度，中國也應該加強這方面的工作，只有這樣，才能夠給廣大網民提供一個更加自由的空間。 二、網上信息安全的技術保護

　　在今天的信息時代，確保防止信息的泄漏，并保證其整體完整性和真實性是人們所迫切需要的，除了制訂相應的法律來保護外，還應采用技術手段加以控制。

　　隨著各種管理工具功能的豐富和性能的增強，在網絡高手眼里，網絡幾乎是一個透明的世界。如微軟的SMS等已經能夠提供非常強的技術實現手段，能對網上用戶的各種使用情況進行詳細的監(jiān)測和控制，從而使網絡管理員擁有至高無上的權利。再如，一些網絡設備提供的系統(tǒng)管理功能可以方便地觀察遠程用戶系統(tǒng)配置和運行的情況，在網絡世界里，只要向所需要監(jiān)測的用戶下載一個代理（Agent）程序，該用戶所有的信息幾乎可以天一漏網的被獲取。這也就不可避免地帶來了信息易于泄漏的嚴重問題。

　　隨著互聯網的普及，人們對網絡的安全問題越來越重視。1999年，不少新病毒直接利用網絡作為自己的傳播途徑，例如 Happy.梅麗莎、探索者蠕蟲、BuhbleBoy、MiniZip等等。還有眾多病毒借助于網絡傳播得更快，例如讓人談毒色變的惡性病毒CIH、C盤殺手等等。

　　信息泄漏是另一個重要的安全問題， 1999年初 PentiumIII處理器的序列號和微軟產品中的GUID標識因為可能導致使用者的個人信息泄露，曾引起了一場不小的風波，另外，互聯網存在著不少木馬程序，如果不慎使用，就等于給自己的機器開了一個后門，個人信息和重要數據可能在不知不覺中就被黑客盜走。這些都說明了互聯網并非是一塊充滿陽光的和諧樂土。

　　另外，黑客入侵網站在1999年被報道的頻率相當高。黑客頻頻得手的事件說明了互聯網在安全方面存在著相當多的弱點和漏洞，國內站點和個人用戶應對此有充分認識，避免出現不必要的損失。

　　三、網上信息安全的管理

　　長期以來，信息安全問題一直沒有引起國人足夠的重視，安全意識差是一種普遍的現象。而今天，當人們開始意識到信息安全的重要性時，卻又對系統(tǒng)的安全問題產生一種本能的恐懼。

　　我們對信息安全問題有個基本的觀點，不能因為信息技術存在信息安全問題，就不去發(fā)展信息技術。對于國家來說，信息化是必然的。從經濟角度來看。信息化為我們提供了良好的發(fā)展機遇。

　　信息安全問題說到底，首先是一個管理問題。特別是在我國信息安全產業(yè)剛剛起步的今天，信息安全的管理便顯得尤為重要了。

　　1人員安全與日常操作管理

　　常言道“三分技術，七分管理”。安全方案的實現。離不開管理，人員是管理的核心。人員管理除了技術層次的要求（比如：學歷、個人技能。工作經驗等），還應有安全性要 求，保證從事網絡信息工作的人員都應有良好的品質和可靠的工作動機，不能有任何犯罪記錄和不良嗜好。對工作人員要有一套完整的管理措施，它包括人員篩選錄用政策、上網和離職控制、安全教育、安全檢查等一系列制度。安全教育和培訓的目的，在于使所有工作人員信息安全地位和作用及個人在其中的安全責任，熟悉工作環(huán)境的操作過程，使其有能力來正確地執(zhí)行安全的策略，減少人為的因素或操作不當而給系統(tǒng)帶來不必要的損失或風險。

　　2系統(tǒng)連續(xù)性管理

　　系統(tǒng)備份、恢復策略的存在，是為了滿足系統(tǒng)業(yè)務連續(xù)不間斷的要求，避免由于自然災難、事故、設備的損壞和惡意的破壞行為帶來系統(tǒng)不停頓服務功能的喪失。

　　3.按程序操作

　　內部網絡的不安全主要體現在對網絡的違規(guī)使用，如越權使用某些業(yè)務，查看、修改機密文件或數據庫等，同時也包括一些對計算機系統(tǒng)或網絡的惡意攻擊。

　　四、網上信息安全的保護措施

　　為了保證計算機系統(tǒng)、網絡系統(tǒng)和信息的安全，近年來針對不同的問題研發(fā)了許多技術和產品，解決了安全需求的特定方面的問題。主要包括

　　1防火墻產品：防火墻產品主要提供被保護網絡與外部網絡之間的進出控制。它是被保護網絡與外部網絡之間的一道屏障，根據各種過濾原則來判斷網絡數據是否能夠通過防火墻。

　　2 VPN設備：VPN設備實現了利用公共網絡建立自己的虛擬專網。VPN設備負責給發(fā)送到對方的數據包進行加密并重新打包，當到達對方VPN設備的時候再拆包、脫密，而在公共網絡上看到的只是兩個PVN設備。

　　3系統(tǒng)日志審計工具：許多系統(tǒng)都提供了系統(tǒng)日志，其中包含了有關系統(tǒng)安全方面的有價值的信息。在系統(tǒng)投入使用的時候，網管員對系統(tǒng)日志進行配置，使其盡可能多地保留一些有用的信息。

　　4信息網關：信息網關為計算機內的電子文件引入了密級、電子印章和網關證的概念。信息網關負責檢查出入網絡的文件是否具有網關證，是否按照所具有的密級進行了加密。在檢查合格后才能傳出網絡。

　　5.授權和身份認證系統(tǒng)：授權和身份認證系統(tǒng)加強7原有的基于賬戶和口令的控制，提供了授權、訪問控制、用戶身份識別、對等實體鑒別、抗抵賴等功能。信息加密是信息安全應用中最早開展有效手段之一。信息加密的目的是保護網上傳輸的數據。

　　6安全路由器：安全路由器提供了某些基于地址或服務的過濾機制，可以在一定程度上限制網絡訪問。

　　7.安全性分析工具：安全性分析工具用于自動發(fā)現網絡上的安全漏洞，給出安全性分析報告。

　　8安全檢測預警系統(tǒng)：安全檢測預警系統(tǒng)用于實時監(jiān)視網絡上的數據流，尋找具有網絡攻擊特征和違反網絡安全策略的數據流。當它發(fā)現可疑數據流時按照系統(tǒng)安全策略規(guī)定的響應策略進行響應，包括實時報警、記錄有關信息、實時阻斷非法的網絡連接、對事件涉及的主機實施進一步的跟蹤等。

　　網上信息安全的攻擊與反攻擊比較集中地體現在互聯網上。由于互聯網自身是一個開放系統(tǒng)，它不為任何服務提供安全保障。因此，任何單位的內部網絡與互聯網相連時，在檢查合格后才能傳出網絡。同時，信息安全意識與信息保護措施常抓不懈，培養(yǎng)網絡人員良好的工作素質。