網絡信息安全等級保護條例精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡信息安全等級保護條例主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡信息安全等級保護條例范文

在對當前信息安全工作開展情況進行調研的基礎上，與信息系統的信息安全等級保護工作相結合，闡述了在實施信息安全工作中管理措施的重要性和緊迫性。

【關鍵詞】風險 管理 等級保護

在現實的工作生活中，大家對計算機病毒、黑客攻擊這些詞匯都很熟悉，因為這些安全事件是我們經常聽說，也經常遇到的。但是安全事件的范圍其實遠遠不止上述兩個詞匯。

1 前言

隨著我國經濟的快速發展和社會信息化進程的全面加快，網絡和信息系統的基礎性、全局性作用日益增強，各行各業都在充分享受著信息系統帶來的方便和快捷。隨之而來的安全事件也因為各行各業的不同存在著千變萬化。例如經常在網上沖浪的朋友都知道，維護不善的網站經常會被掛馬；還有就是在網購風靡的今天，網上交易經常因為域名劫持，而將個人的金融信息暴露。為了防止這些層出不窮的安全事件，信息系統的管理者們是絞盡腦汁，不惜花費重金聘請安全服務機構制定詳細的安全建設方案，并且采購了大量含有最新技術的安全產品。很多人都認為，在這樣的努力下，安全事件應該就此杜絕了吧。但現實卻給了我們一個很遺憾的答案。為什么會這樣呢？是安全服務機構技術力量不足，還是安全產品功能不夠強大？從我們對多個信息系統的調查上來看，兩者都沒有明顯的不足，而是很多信息系統的管理者忽視了信息安全中的管理措施。

在科技高速發展的如今，追求技術已成為一種時髦，無論是作為賣家的產品制造商還是作為買家的信息系統管理者，大家談的最多的是新技術的新優勢、新特點等等。當然注重技術的更新是無可指責的，也是很有必要的。但是無論是何種新技術，最后落實到的使用者還是我們一線的技術人員和管理人員。對這些人員的有效管理往往決定了是否能最大化實現既定安全方案的預期成果。

2 信息泄露實例分析

舉一個簡單的例子，現在大部分的信息系統在網絡邊界上均部署有防火墻、IDS或IPS設備，以阻止外部的非授權訪問，來達到保護內部資源的目的。凡是對防火墻和入侵檢測設備有一定了解的朋友都知道，只要對防火墻和入侵檢測設備進行合理的配置，從外部獲取內部資源的可能性是很低的。但是為什么現在還有很多敏感信息泄露的現象存在呢？其實很多的信息系統管理者都有一個錯誤的判定，就是“風險都來自于系統外部，內部是絕對安全的。”據公安機關和安全機構的多年調查發現，其實很多安全事件的真正發生原因來自于內部，由于對內部資源訪問控制不夠嚴密，導致一些并無訪問權限的內部人員獲取到了部分資源，同時對移動介質管理的空白，最終導致內部資源外流。

還有一個典型的案例就是網絡設備的防護，很多信息系統的管理部門在對網絡設備的防護方面采取了很多的技術手段，比如將登陸網絡設備的管理終端設置在中心機房內，并和其他網絡進行完全的物理隔離來避免網絡上的黑客行為和惡意代碼。但在機房出入的地方卻沒有進行嚴格的控制，雖然設置了門禁，但是常年開放，對出入機房的人員也沒有進行記錄。管理上的疏忽對網絡設備的防護帶來了很大的風險。

另一個證明管理措施重要性的例子就是我國目前在實施的信息安全等級保護制度。

我國政府針對信息安全這個大課題，早在1994年就由國務院頒布了《中華人民共和國計算機信息系統安全保護條例》。2003年又出臺了《國家信息化領導小組關于加強信息安全保障工作的意見》。最近又于2004年由公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合轉發了《關于信息安全等級保護工作的實施意見》，這一系列的國家層面的文件的制定，逐步明確了信息系統安全等級保護將作為我國信息系統安全建設的基本要求。

那到底什么是信息系統安全等級保護呢？通俗的講，就是信息系統根據其重要性進行分級，并且根據其安全級別進行相應的安全建設。我們知道，一個完整的信息系統涵蓋了網絡、主機、應用、數據等多種技術層面，事實上等級保護也是根據了信息系統組成的特點，分別在物理安全、網絡安全、主機安全、應用安全、數據安全以及安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理十個層面對信息系統的安全建設提出了要求。等級保護的相關要求是在聽取眾多信息安全專家的意見和建議，并結合大量安全事件的經驗教訓的基礎上制定的，具有廣泛的代表性和嚴密的科學性。從安全等級保護要求的內容上我們可以看出，管理措施竟然占到了總體內容50%的比例，足以說明管理措施在信息安全建設中的重要性。

3 小結

依照國家目前對信息系統建設的要求，每個信息系統都要按照等級保護的要求建設，還要按照等級保護的要求進行測評。筆者作為全國眾多測評人員中的一員，參加了很多個大型信息系統的安全等級保護測評工作。在多個測評項目中，發現被測評的很多信息系統在管理方面的措施與等級保護的相關要求有著一定的差距。在與信息系統的管理者們訪談時，很多管理人員對管理措施重要性的認識還停留在滿足當前情況的基礎上，缺乏風險的預見性。對于這個被忽視的另一半，筆者深深地體會到了信息安全建設任務的任重而道遠。也在此呼吁信息系統的管理者們在重視技術更新的同時，能將更多的目光能夠投到管理措施的建設上來，并嚴格按照管理制度執行。當技術和管理兩者相輔相成的時候，相信我們今后的工作生活中將越來越少碰到因為安全事件而帶來的不愉快，信息安全建設工作也將躍上一個新的臺階。

第2篇：網絡信息安全等級保護條例范文

第一條為了規范信息化管理，加快信息化建設，促進經濟發展和社會進步，根據有關法律和行政法規，結合本市實際情況，制定本條例。

第二條本市信息化工程建設、信息資源開發利用、信息技術推廣應用、信息安全保障以及相關管理活動，適用本條例。

第三條本市信息化發展遵循統籌規劃、資源共享、務求實效、保障安全的原則。

第四條市和區、縣人民政府應當將信息化發展工作納入國民經濟和社會發展規劃，健全信息化工作領導協調機制，統籌協調解決本行政區域內信息化發展工作中的重要問題，加大信息化發展的經費投入。

鄉鎮人民政府和街道辦事處應當推進本轄區內的信息化發展工作。

第五條市和區、縣信息化主管部門負責本行政區域內信息化發展的統一規劃、組織協調和監督管理工作。

發展改革、財政、科技、通信管理、質量技術監督、工商、公安、保密等行政管理部門按照職責分工負責信息化發展的相關工作。

第六條市信息化主管部門會同有關部門依照國家信息化發展規劃和本市國民經濟和社會發展規劃，組織編制本市信息化發展規劃，報市人民政府批準后公布實施。

區、縣信息化主管部門會同有關部門依據本市信息化發展規劃，結合本區、縣實際情況組織編制本行政區域的信息化發展規劃，經市信息化主管部門審核后，報同級人民政府批準后公布實施。

本市國家機關編制的本部門和本行業、本系統的信息化發展規劃，應當符合本市信息化發展規劃。

第七條市質量技術監督行政主管部門應當會同信息化主管部門及其他有關部門，根據信息化發展趨勢和要求以及職責權限，制定并及時完善有關信息化標準。

單位和個人從事信息化工程建設、信息資源開發利用、信息技術推廣應用、信息安全保障等活動應當執行國家和本市有關信息化標準。

市和區、縣質量技術監督、信息化及其他有關部門對有關信息化標準的執行情況進行監督。

第八條市和區、縣人民政府應當制定優惠政策和措施推動現代信息技術創新，并通過政府采購、宣傳教育、培訓考核等活動促進具有自主知識產權的信息技術應用。

市和區、縣人民政府應當對在信息化工作中作出突出貢獻的單位和個人給予表彰。

第九條本市鼓勵信息化人才的培養和引進，加強市民的信息化知識和技能普及，提高信息技術應用能力。

本市建立并完善基礎課程體系，在中小學校普及信息技術教育。

廣播、電視、報刊、網站等應當開展信息化宣傳、教育和科普活動。

第二章信息化工程建設

第十條信息化工程建設需要進行招標投標的，應當依法進行，并按照國家和本市有關規定實施監理；政府投資的信息化工程建設，應當符合政府采購等有關法律、法規的規定。

第十一條從事信息化工程建設的單位依照國家有關規定需要經過資質認證的，應當依法取得資質認證。未經資質認證的單位，不得承攬或者以其他單位名義承攬相應領域內的信息化工程；已經資質認證的單位，不得超越本單位資質等級承攬信息化工程。

第十二條本市政府投資建設的信息化工程年度計劃，由市和區、縣信息化主管部門會同同級發展改革、財政等相關部門制定并監督落實。

第十三條使用政府投資新建信息化工程的，建設單位在報發展改革部門或者其他有關部門立項審批前，應當通過同級信息化主管部門的審查；使用政府投資對信息化工程進行改建、擴建、運行維護的，建設單位在報財政部門審批經費前，應當通過同級信息化主管部門的審查。

信息化主管部門對報審的信息化工程的需求效益、規劃布局、技術標準、網絡與信息安全、信息資源共享以及其他相關內容組織審查并出具審查意見。

信息化主管部門、發展改革部門、財政部門及其他有關部門對于不符合信息化發展規劃和本條所規定審查要求的信息化工程，不予審查和審批通過。

信息化主管部門應當會同有關部門采取措施，積極推進已建信息化工程的整合工作。

第十四條建設單位應當組織進行信息化工程竣工驗收。未經驗收或者驗收不合格的信息化工程，不得投入使用。

建設單位對使用政府投資的信息化工程進行竣工驗收時，應當邀請信息化及其他有關主管部門參加。

第十五條本市實行信息化工程質量保修制度。承攬信息化工程的單位應當對信息化工程承擔保修責任。

使用政府投資的信息化工程的保修期，自工程竣工驗收合格之日起不得少于兩年。

第十六條信息化工程建設和運行維護過程中，建設單位應當建立規范的管理制度，做好信息內容更新，加強信息資源管理、知識產權保護和信息安全保障工作。

本市信息化工程建設中應當使用合法授權的軟件，鼓勵使用國產信息技術和產品。

第三章信息資源開發利用

第十七條本市加強對政務信息資源采集工作的管理。

本市國家機關應當依法采集政務信息，加強對政務信息的管理，定期進行信息更新，保證政務信息的真實準確，并采取安全措施防止政務信息丟失、泄露或者被濫用。

市信息化主管部門組織建立政務信息資源目錄，規范市和區、縣兩級行政機關采集政務信息的活動，避免重復采集政務信息資源目錄內的信息。

第十八條本市統一建設人口、法人、自然資源和地理空間、宏觀經濟等基礎數據庫。基礎數據庫的建設和使用按照國家和本市有關規定執行。

本市各級國家機關應當充分利用基礎數據庫建設本行業、本部門的業務數據庫；除涉及國家秘密或者法律、法規另有規定外，基礎數據庫的建設單位應當為本市國家機關提供信息共享服務。

第十九條本市各級國家機關和法律、法規授權的具有管理公共事務職能的組織應當建立健全政務信息公開工作制度，依法編制并公布本單位的政務信息公開指南和政務信息公開目錄，按照國家和本市的規定通過公報、網站、新聞會以及報刊、廣播、電視等便于公眾知曉的方式公開政務信息。

本市各級國家機關和法律、法規授權的具有管理公共事務職能的組織應當依法建立政務信息公開的申請受理和處理機制，為市民提供信息公開服務。

第二十條本市教育、醫療衛生、供水、供氣、供熱、公共交通、環保等公共企事業單位，應當將服務承諾、收費標準、辦事過程等信息通過網站及其他方式及時向社會公開，并逐步采用信息化手段開展業務辦理工作。

市有關行業主管部門應當對公共企事業單位的信息公開和服務情況進行指導和監督。

第二十一條市和區、縣人民政府統一建設政務信息共享交換平臺，為各國家機關共享交換政務信息提供服務。

國家機關可以使用政務信息資源目錄中的其他國家機關的政務信息。政務信息需求單位應當就需要共享的信息內容、范圍、用途和方式與提供單位主動協商。協商未達成一致的，政務信息需求單位應當將有關情況報請同級信息化主管部門協調解決。

第二十二條市和區、縣人民政府應當引導和規范對政務信息資源的增值開發利用，鼓勵單位和個人進行信息資源公益性開發利用。

第二十三條信用服務中介機構開展征信活動時，應當遵循獨立、客觀、公正的原則，保守商業秘密，尊重個人隱私，維護被征信企業及個人的合法權益和社會公共利益。

信用服務中介機構對采集的信息應當在信息提供者許可的范圍內使用。

鼓勵在政府采購、市場監管、信貸、商務等活動中使用信用服務中介機構提供的信用產品。

第四章信息技術推廣應用

第二十四條市和區、縣人民政府應當采取措施推動企業和個人利用信息網絡從事商務活動，引導社會逐步建立、完善信用體系和網上支付、物流配送系統，鼓勵電子商務服務提供商的發展。

市人民政府有關部門應當制定以中小企業為主的企業信息化發展指南，建設面向中小企業的公共信息服務平臺。

第二十五條本市統籌城鄉信息化發展，加大公共財政投入，支持農村信息基礎設施和農村綜合信息平臺建設和運行維護，推進農村現代遠程教育；鼓勵通過信息化手段為農民提供生產、生活實用信息服務，開發、利用涉農信息資源，開展面向農民的信息化知識和技能培訓。

電信、廣播、電視等公共服務單位應當采取措施加強農村信息網絡服務。

第二十六條在本市從事互聯網信息服務活動的，應當按照國家規定辦理相應許可或者履行備案手續。

利用互聯網從事經營活動的單位和個人應當依法取得營業執照，并在網站主頁面上公開經營主體信息、已取得相應許可或者備案的證明、服務規則和服務流程等相應信息。

第二十七條電子商務服務提供商應當對利用其網站從事經營活動的經營主體的身份信息、合法經營憑證和反映交易信用狀況的材料進行核查，并對相關信息做好數據備份，便于當事人和有關部門查詢、核對。

電子商務服務提供商應當建立投訴受理機制，對利用其網站從事的經營活動進行監督，配合政府有關部門的管理活動，但不得妨礙相關經營主體開展正常交易活動。

第二十八條本市各級國家機關應當定期組織本單位工作人員學習電子政務相關知識，開展電子政務技能培訓。

第二十九條本市建設統一的電子政務網絡，促進相關業務應用系統的互連互通。

本市各級國家機關的業務應用系統，凡不宜通過互聯網實現的，必須依托全市統一的電子政務網絡；需要接入全市統一的電子政務網絡的，應當符合有關規范，并經市或者區、縣信息化主管部門審查同意。

各級國家機關不得新建專用網絡，已經建成的專用網絡應當按照規劃和標準逐步調整，接入電子政務網絡。

第三十條本市國家機關的網站應當按照規定與本市政務門戶網站建立鏈接，統一網站風格、標識和建設運行維護技術標準。

本市國家機關在互聯網上注冊域名的，應當遵守國家和本市的相關規定，并經過市信息化主管部門的審核。

第三十一條市和區、縣信息化主管部門組織開展信息化成果展示和交流，對先進的信息技術、產品進行示范推廣。

第五章信息安全保障

第三十二條本市對網絡與信息系統按照國家和本市有關規定實行安全等級保護制度。

網絡與信息系統的建設單位和運行維護單位應當按照國家信息安全等級保護管理規范和技術標準確定本單位網絡與信息系統的安全保護等級，并按照國家和本市有關規定進行備案、審批。

第三十三條信息系統的建設單位和運行維護單位應當根據確定的安全保護等級，按照國家信息安全等級保護管理規范和技術標準，保證相應投入，同步開展信息系統安全建設或者改建工作；建設完成后，建設單位和運行單位應當按照國家有關規定開展安全等級技術測評工作，并根據結果采取措施保障網絡與信息系統的安全。

第三十四條本市網絡與信息系統的建設單位和運行維護單位應當加強安全管理，并制定網絡與信息系統安全事件應急預案，定期進行演練。

發生網絡與信息系統安全事故后，相關單位應當迅速采取措施降低損害程度，防止事故擴大，保存相關記錄，并按照規定及時向同級信息化主管部門報告。

市和區、縣人民政府有關部門應當組織制定相關行業的網絡與信息系統安全事件應急預案，組織、協調有關單位做好應急預案的落實工作。

第三十五條本市組建公共服務網絡與信息系統信息安全應急救援服務體系，建立信息安全情況通報和協調機制，為發生公共服務信息安全事件的單位提供救援服務，為全市應急指揮體系提供網絡與信息系統安全保障。

第三十六條任何單位和個人不得利用網絡與信息系統從事危害國家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權益，危害網絡和信息系統安全以及散布、傳播違法信息等活動。

第三十七條涉及國家秘密的信息化工程的管理，按照國家保密有關規定執行。

第六章監督管理

第三十八條市和區、縣信息化主管部門對信息化發展規劃和政府投資建設信息化工程年度計劃的落實情況進行監督檢查，并組織開展對國家機關的電子政務績效考核工作。

第三十九條市和區、縣發展改革、財政、審計、信息化等部門對使用政府投資的信息化工程的資金使用情況和工程運行維護情況進行監督檢查；統計、監察、信息化及政府信息公開主管部門對有關國家機關政務信息采集、公開、共享和信息服務工作進行監督檢查。

第四十條本市各級國家機關應當加強對本單位政務信息采集、管理、公開、共享等工作的內部管理，并明確主管負責人和內部機構，負責本單位電子政務的規劃、協調和管理工作，建立對本單位工作人員信息化知識、技能的定期考核制度。

第四十一條市和區、縣人民政府的相關行業主管部門應當組織對本行業公共企事業單位的信息化服務水平進行檢查和評估，并將有關情況向社會公布。

第四十二條市和區、縣人民政府有關部門根據職責分工，做好信息化相關領域的監督檢查工作，并將相關信息向同級信息化主管部門通報。

企業、事業單位和個人的違法行為可以依法納入相關信用信息系統。

第七章法律責任

第四十三條違反本條例第十一條規定，未經資質認證的單位承攬、以其他單位名義承攬相應領域的信息化工程，或者已經資質認證的單位超越本單位資質等級承攬信息化工程的；由市或者區、縣信息化主管部門給予警告，責令限期改正；情節嚴重的，處以1萬元以上10萬元以下罰款。

第四十四條違反本條例第三十四條規定，未按要求制定網絡與信息系統安全事件應急預案，或者對網絡與信息系統安全事故情況隱瞞不報、謊報或者拖延不報的，由市或者區、縣信息化主管部門責令限期改正，并可處3萬元以下罰款。

第四十五條違反本條例規定，有下列行為之一的，由有關部門依照《中華人民共和國政府信息公開條例》、《中華人民共和國計算機信息系統安全保護條例》等有關規定責令改正，給予警告或者責令停機整頓，并對直接負責的主管人員和其他直接責任人員依法處理：

（一）違反第十九條規定，未按照國家和本市的規定公開政務信息的；

（二）違反第三十二條規定，網絡與信息系統的建設單位和運行維護單位未依法進行安全保護等級備案、審批的；

（三）違反第三十三條規定，未進行網絡與信息系統安全建設或者改建工作，或者未進行網絡與信息系統安全等級技術測評的。

第四十六條違反本條例規定，有下列行為之一的，市或者區、縣信息化主管部門可以對責任單位給予通報批評；造成重大損失的，依照有關法律、法規予以處理：

（一）違反第十七條規定，沒有正當理由，重復采集政務信息資源目錄內信息的；

（二）違反第二十九條第二款規定，未經審查同意擅自接入電子政務網絡的。

第3篇：網絡信息安全等級保護條例范文

關鍵詞：策略 系統工程 動態

中圖分類號：TP301 文獻標識碼：A 文章編號：1672-3791（2012）08（c）-0012-01

信息技術、通信技術、計算機技術對各個行業的影響越來越大，已成為國家和社會發展的重要戰略資源。各個行業實現網絡的互動互連、信息的共享已經成為必然趨勢，中國的軍工研究單位也不例外。3G/4G高速數據手機通信也已經滲透到每個人的工作、生活之中，如何在現有形式下保護開放網絡環境下軍工研究單位的軍事秘密信息已經成為當前的重要任務。解決辦法之一是建立獨立的軍隊內部網，在物理上隔開與外界的互連，這樣將直接影響到軍工研究單位與非軍工研究單位的協同工作，對中國武器裝備科研發展帶來不利的影響。最好的解決方法是按照軍事級別的要求提高軍工研究單位的網絡安全，不僅能使用互聯網、通信網絡的優勢，同時也能保護軍事秘密。

1 網絡安全體系

網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊。要提高網絡安全性，任何單位都需要一個完整的網絡安全體系結構，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素造成的安全脆弱性和潛在威脅。要從網絡安全體系的各個層面來分析網絡安全的實現，研究網絡安全模型，來對網絡安全體系進行研究與部署。一般的網絡系統都要涉及到網絡設施、網絡操作系統和網絡應用程序，僅僅從這三個方面實施網絡不能完全保證網絡的整體安全。因為在網絡中信息是核心，如何保證數據的安全性以及使用這些信息的用戶、實體和進程的安全性也是必須考慮，只有從這五個層次綜合考慮，才能總整體上做到安全的防護。

網絡安全體系的五層之間是相互依賴的，呈現了整體性，相互協作以立體化作業來提高整個系統的安全性。網絡安全威脅按照攻擊者的主動性可以分為主動威脅和被動威脅，在合適的網絡安全模型的支持下，網絡系統可以采用對應的主動防御技術和被動防御技術來提高網絡系統的安全性。現在的網絡主動防御技術和被動防御技術有很多，把最好的、最貴的防御產品部署到軍工單位的網絡中是不能提供足夠的安全，應該按照網絡安全策略指導網絡安全技術來保護好網絡安全，對網絡安全整體體系進行保護，才能即保護了數據，同時也充分利用了網絡的便利性和快捷性。

2 網絡安全策略

網絡安全策略（Security Policy）是指在一個特定的網絡環境里，為保證提供一定級別的安全保護所必須遵守的一系列條例、規則。進行數據訪問時，網絡安全策略規定在安全范圍內什么是允許的，什么是不允許的。網絡安全策略通常不作具體規定，它僅僅提出什么是最重要的，而不確切地說明如何達到所希望的安全性。網絡安全策略建立起安全技術規范的最高一級。安全策略具備普遍的指導意義，它針對網絡系統安全所面臨的各種網絡威脅進行安全風險分析，提出控制策略，建立安全模型和安全等級，對網絡安全系統進行評估并為網絡系統的配置管理和應用提供基本的框架。有了網絡安全策略系統才可能保證整體網絡系統能夠正常有序地運行，也才可能更安全合理地提供網絡服務，有了網絡安全策略才可能更加高效迅速地解決網絡安全問題，使網絡威脅造成的損失降為最小。

制訂軍工單位的安全策略必須以《保密法》、《中華人民共和國保守國家秘密法》、《中國人民保密條例》、《中華人民共和國計算機信息、系統安全保護條例》為根本依據，才能制訂科學的、完善的網絡安全策略。安全策略是規章制度，是網絡安全的高級指導，需要考慮軍工企業的各個方面，不僅僅是網絡安全的技術，還必須包括各個級別的員工的安全教育、安全操作、危機意識的培養。比如現在手機終端功能越來越強大，很多人都喜歡手機終端的通信，這樣就為軍工單位的網絡打開一個缺口，黑客軟件可以控制手機攝像頭的打開和攝像操作，在軍工單位內使用智能手機就有可能泄露軍事秘密。所以軍工單位的安全必須采用系統工程的方法進行，作為一個復雜的系統來考慮，這樣才能制定一個科學的安全策略。軍工單位的網絡安全策略制定是屬于社會領域的研究，可以采用軟系統方法論，采用一個系統方法，以國家法律和法規為基礎，在軍工單位的各個層面的人員進行討論和辯論，使大家從各個層面考慮網絡安全問題，是問題得到充分的認識和問題解決的考慮，使制定的安全策略得到全面的考慮，同樣對軍工單位的人員的一個安全教育。

安全策略出自對軍工單位的要求、網絡設備環境、軍事機構規則、國家軍事秘密法律約束等方面研究，在網絡安全專家的協助下制定詳細的規范，但僅僅使提供安全服務的一套準則，具體的實現需要各種網絡安全防御技術提供的安全服務和安全機制來保障。軍工單位的網絡安全策略是一個動態策略，它是要在安全策略的執行過程中，實時進行監測，實時對各個層面的人員進行安全教育，對于出現的問題及時對安全策略進行修訂和補充。

3 結語

各個國家的軍工單位都是重點保護的對象，因為它擁有軍事秘密信息，也是各種敵對勢力、競爭對象、商業間諜進行網絡攻擊的目標，提高網絡安全是軍工單位網絡邊界的第一道防線，網絡安全策略就是指導各種網絡安全防御技術保障整個網絡體系的安全。不要認為網絡全策略僅僅是一個規則和制度，僅僅采購高級網絡技術就可以了，軍工單位的網絡必須在網絡安全策略的宏觀指導下才能綜合各種網絡安全產品構建一個動態的安全網絡，它是各個部分工作的規范，包括人員。網絡安全策略是一個軍工單位的核心，只有充分認識網絡安全策略的動態發展過程，才能使軍工單位充分使用網絡的優點，也能保護好單位內部秘密。

參考文獻

[1] 尹開賢.軍工單位信息系統的安全保密形勢與對策[C].第十一屆“保密通信與信息安全現狀研討會”，2009（8）：186-187.

第4篇：網絡信息安全等級保護條例范文

【關鍵詞】互聯網 金融 犯罪 防控

隨著互聯網技術的快速發展，互聯網正逐步滲透進經濟、金融、社會、民生等領域，改變人們的思維、行為習慣及投資、消費方式。與其他借助互聯網技術進行行業革新的領域類似，互聯網金融也隨著互聯網技術的不斷演進，經歷了不同的發展階段。從最早的各大商業銀行的“網上銀行”到如今以大數據、云計算、社交網絡和搜索引擎為基礎的互聯網金融業務全面勃發，互聯網金融實現了從單純的互聯網技術支持到互聯網業務的轉變。

可以預見的是，在國家戰略層面實施“互聯網+”行動計劃的驅使下，具有人群覆蓋優勢、數據挖掘、分析優勢和平臺操作便利、無門檻等優勢的互聯網金融將實現進一步的發展，并迫使傳統金融行業進行革新。同時，由于自身處于方興未艾的探索階段，存在著從運營到監管層面的諸多風險。近來頻發的泛亞、e租寶、大大集團等p2p網絡借貸平臺的著名案件，只是互聯網金融存在風險的冰山一隅，全國3464家被監測的P2P借貸平臺，正常運營的僅有1876家，問題平臺約占46%，加之網絡金融詐騙手段翻新，案件層出不窮等現象，則為加強互聯網金融犯罪防控敲響了警鐘。

一、大數據時代互聯網金融犯罪的類型

所謂大數據，是指對信息爆炸時代產生的海量數據進行數據挖掘、分析，并為之所用的技術革新，它所承載的平臺主要集中于互聯網平臺。互聯網金融是最為典型的數據驅動型產業，它通過大數據實現信息挖掘、信用風險管理和資金轉移管理上的需求。但由于信息的無界性，一旦使用大數據的用戶懷有惡意目的，那么很可能釀成金融犯罪，目前我國典型的互聯網金融犯罪類型主要有以下3種：

一是金融詐騙。互聯網金融詐騙主要有三類。第一類是網絡釣魚詐騙。這是互聯網金融犯罪最傳統也是最常見的犯罪方式。不法分子利用大數據盜取、收買用戶信息，通過傳播木馬、偽造釣魚網站、發送含有欺詐信息的電子郵件等引誘上當的方式，采取誘騙用戶自己劃轉資金或盜取用戶的賬戶密碼劃轉資金等手段對用戶實施網絡詐騙。由于第三方支付平臺在社會層面的廣為運用，目前，第三方支付已取代銀行卡詐騙成為網絡詐騙的最新作案工具。第二類是假造借錢行為。利用p2p網絡借貸平臺信用審核不嚴的漏洞，通過偽造個人身份信息、工作證明、銀行交易流水、資金用途、聯系方式等手段騙取借款，然后攜款潛逃。第三類是信用卡金額套取詐騙。通過虛構交易的方式，套取信用卡內金額。這兩類案件也層出不窮。

二是網絡洗錢。不法分子一方面可以利用第三方支付平臺等進行洗錢和轉移贓款，而由于基于大數據的第三方支付平臺具有門檻低、高頻交易的特點，使贓款可以通過一系列復雜、快速的往來交易與資金轉移，混淆資金來源，實現資金的快速洗白；另一方面利用大量p2p借貸平臺對出借人審查不嚴格、游離于主流監管體系之外的漏洞，向p2p平臺大量出借贓款，再借由p2p平臺之手，將贓款轉移，脫離監管視線。值得注意的是，隨著國家有關部門逐漸加強對第三方支付平臺的監管，不法分子p2p網絡借貸平臺正在成為隱秘、安全、快捷的洗錢通道。

三是非法集資。隨著p2p借貸平臺的紛紛涌現，以p2p為名義進行非法集資的案例近來呈高發態勢，主要表現為擅自成立金融機構進行非法吸收公眾存款等。一些不法分子未經過國家有關部門批準，組建p2p網絡借貸平臺，擅自開展向社會公眾融資業務。在業務開展過程中，偽造信用評級和資金托管平臺，許以高額利潤回報，吸取大量公眾資金，進行自我融資或期限錯配吸儲放貸，且產生的信貸存量沒有存貸比、準備金等“防火墻”設置，杠桿極度放大，一旦投融資失敗或發生客戶大量擠兌，大量客戶的資金血本無歸。2014年及之前的杭州國臨創投、深圳中貸信創、上海鋒逸信投，2015年的E租寶、大大集團，均因涉嫌非法集資而站在了輿論的風口浪尖。

二、引起犯罪的風險原因

一是隱私風險導致用戶信息容易泄漏。“大數據時代沒有隱私”，雖然是一句夸大的用語，但卻真實反映了互聯網上的海量信息在增加便利的同時給個人生活造成的負面影響。由于當前互聯網與現實世界的無縫銜接及網絡信息擴散的迅速化和無界性，用戶在現實世界及網絡上的每一次消費行為及個人所在地、行徑位置、健康和財務情況等基本信息都可以被挖掘和利用。而在大數據時代的互聯網金融環境中，隱私問題遠遠超出了常規身份確認風險的范疇，一旦被別有用心的人攫取，就可能為實施網絡詐騙提供前提條件。

二是安全風險導致金融系統易受攻擊。由于互聯網金融服務基本上是利用計算機程序和軟件系統在萬維網平臺進行控制的，因此一旦承載網絡的物理平臺或網絡本身出現安全漏洞，就可能對金融系統或用戶財產安全造成致命影響。事實上，當前互聯網安全技術雖已趨于成熟，但遠不完美，加之網絡黑客活動的增長率居高不下，使得包括惡意攻擊和木馬病毒等其他安全隱患仍是當前互聯網金融系統的主要風險之一。在網絡黑客的攻擊行為中，既有針對用戶個人的盜取賬戶、密碼等犯罪行為，也有針對金融系統的入侵行為，輕則損失錢財，重則對金融秩序穩定造成危害。

三是平臺風險導致金融行為缺乏規范。在互聯網金融體系中，以p2p網絡借貸平臺為代表的小微企業占據了半壁江山。這些企業普遍存在法律意識不強、運營管理不規范、信用不高等問題。很多企業由于沒有足夠的底線意識，在資格條件不具備、各項配套措施不完善的前提下，開展互聯網金融業務，游走于非法集資的邊緣，較易構成犯罪，大多數小微企業在用戶信用審核上做得不夠，為了迅速達成交易，缺乏正規的審查流程，合同的簽訂也不規范，而人民銀行征信體系又未覆蓋到位，使一些不法分子有可乘之機，進行網絡洗錢和惡意借錢的犯罪行為。

四是監管缺位導致金融風險缺乏監控。目前，我國針對互聯網金融領域的法律制度建設嚴重滯后，行業準入的標準不清晰，金融監管的部門和相關權力不明確，互聯網金融企業開展具體金融業務的規范性要求也不明晰，導致違法邊際過大，產生了大量灰色地帶。這些灰色地帶由于監管缺位，被一些不法分子利用，不僅縱容了網絡洗錢、非法集資、網絡詐騙等犯罪行為，而且使互聯網金融行業出現了大量亂象，互聯網金融企業信譽、資質良莠不齊，影響了金融秩序的穩定運行和互聯網金融的健康發展。

三、互聯網金融風險的防控對策

一是加強立法立規，完善監管、樹立標準。梳理完善現行互聯網金融法律法規，國家層面出臺進一步促進互聯網金融發展的指導意見，省級層面出臺具體實施細則，在鼓勵各類市場主體運用互聯網、大數據、云計算等技術，對接各類金融資源，開展產品創新、技術創新、服務創新、管理創新和模式創新，打造互聯網金融品牌的同時，界定互聯網金融的范疇、準入門檻、運營規范、進出機制、監管主體及職責等問題，并構建多部門聯動的互聯網金融協同監管機制，切實加強監管。同時進一步完善相關法律，對互聯網金融在第三方支付、網絡金融理財、p2p網絡借貸、眾籌可能觸犯法律的行為特別是對互聯網金融技術的創新抵觸現行法律的行為，如涉嫌非法集資、非法證券交易等的行為，作出明確規定，出臺司法解釋。同時，修正完善個人信息保護、等互聯網金融配套法律體系，包括合同簽訂規范等在內的互聯網金融行為指引和國家標準等規范性文件，規范資本運作，保障金融秩序。

二是加強網絡安全技術研發與管理。修訂完善《計算機軟件保護條例》、《計算機病毒控制條例》、《中華人民共和國計算機信息系統安全保護條例》等相關網絡安全法律，擴大適用范圍和調整對象，使之與大數據時代下的互聯網環境相適應，同時建立健全網絡信息安全管理體系，嚴格落實信息安全等級保護制度，加強互聯網金融企業網站規范管理，保障互聯網金融環境安全。進一步加強網絡金融基礎設施建設，以統一的標準和規范加強網絡安全系統的開發，以監測、預防、查殺可能的黑客攻擊行為及病毒程序，并在各互聯網金融企業強制安裝。此外，還要做好網絡安全及網絡行為風險的社會宣傳與教育，使社會公眾逐步建立良好的安全意識。

三是利用大數據構建完善的信用風險機制。人民銀行利用大數據技術，進一步加強征信體系建設，擴大人群覆蓋范圍，特別是對小微互聯網金融企業服務對象的信用評級覆蓋。互聯網金融企業要利用大數據的挖掘、分析，對客戶的社交網絡信息、用戶申請信息等網絡行為進行深度的信息調查，同時加強客戶的信貸歷史挖掘，加強客戶信用數據的審核，對于有網絡洗錢、惡意借貸行為的對象，進行有效攔截。同時，要打通線上線下，采用先進的預測模型等策略，進行數據挖掘和信息分析，提高信用評估的決策效率，建立完備和科學的風控體系，降低違約風險，為客戶投資安全提供堅實保障，解決國內互聯網金融的信用風險管理問題。

四是加強行業自律。建立遍布各省的互聯網金融協會，吸收省內有一定資質的互聯網金融企業成為會員，充分發揮互聯網金融協會的行業規范與自律作用，構建約束機制，組織會員簽訂行業自律公約，推動機構之間的業務交流和信息共享，營造公平的市場競爭環境。同時，完善互聯網金融企業信用信息公示和準入退出機制，一方面建立互聯網金融企業定期向社會、投資人信息披露制度，公布惡意行為人的黑名單，并開展投資者教育和金融消費者權益保護工作，引導社會公眾增強投資風險意識，另一方面，制定經營管理規則和業務標準，開展互聯網金融企業信用等級評定和公示工作，引導互聯網金融企業依法合規開展業務，對違法違規的互聯網金融企業進行社會公示并取消其協會會員資格。在此基礎上，互聯網金融企業樹立底線思維，深入了解與互聯網金融相關的法律法規問題，對違法違規行為堅決不觸及，并嚴格執行相關行業標準，規范運營管理的各個環節，共同促進互聯網金融的健康發展。

五是加強對互聯網金融犯罪的偵防。公安經偵部門要跟蹤了解互聯網金融犯罪的主要類型和發展動態，對互聯網金融體現出來的涉案人員范圍廣，涉案金額高，犯罪主體專業化、手段智能化、反偵查意識強，電子數據成為主要的證據形式，衍生犯罪特點顯著等特點予以警惕，建立互聯網金融犯罪風險監測、預警和管控工作機制，利用大數據等新型技偵手段，努力發現、挖掘、提煉深層次、預警性信息，及時提出防范涉及互聯網金融經濟犯罪活動的工作意見，助力犯罪防控。同時，加強情報信息的收集和分析研判，做好電子數據證據收集、網絡信息查證和犯罪嫌疑人員追蹤等工作，打擊具體犯罪人員。此外，要對互聯網金融經濟犯罪的常見類型、慣用手法和動態特征開展多層面、多角度宣傳，提醒公眾理性投資，提升社會公眾防范意識和能力。

參考文獻

[1]劉坤，高春興.互聯網金融犯罪的特點與偵防對策研究[J].山東警察學院.2015（9）.

[2]中國人民銀行.中國金融穩定報告（2014）[EB/OL]. http：///a/20140429/1320967.shtml.

[3]姚國章，趙剛.互聯網金融及其風險研究[J].《南京郵電大學學報.自然科學版》.2015（2）.