重庆大学本科学生《形势与政策》论文从“棱镜门”事件看国家信息安全学生：张益达学号：20126666专业：电子信息科学与技术重庆大学物理学院二O一三年十一月The Paper of Situation and Policy of Chongqing UniversityThe National Information security From“PRISM”Sophomore: Extra ZhangMajor: Electronic Information Science and TechnologyStudent Number: 20126666College of PhysicsChongqing UniversityNovember 2013摘要英国《卫报》和美国《华盛顿邮报》2013年6月6日报道，美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。

随着这部现实版“谍战片”剧情的不断推进，围绕“棱镜”事件的讨论也越发热烈。

联想到本国现状，人们不禁发出疑问：“棱镜”事件给我国信息安全带来哪些警示？如何让国家的信息安全建设自主可控？“棱镜”背后，会否隐藏着更多大规模秘密情报监视项目？这一切的一切都值得我们思考。

本文将对该问题做一个初步探讨。

关键词：棱镜门，信息安全，国家规划。

目录一、绪论 (1)1.1“棱镜门”事件简介 (1)1.2参与国家和公司 (1)1.3本文研究的目的与意义 (1)二、我国信息安全的现状 (1)2.1我国信息通信安全现状分析 (1)2.2我国网络安全现状分析 (1)2.3我国信息系统安全法律、法规现状分析 (2)三、国家信息安全对策研究 (2)3.1加强对国内关键行业领域企业信息安全情况的调研 (2)3.2加快推进国内关键行业领域企业信息系统的安全评估和测试工作。

(2)3.3建设自主可控的信息安全系统 (3)3.4建立保障国家信息安全的总体规划 (3)四、结论 (3)参考文献 (4)一、绪论1.1“棱镜门”事件简介棱镜计划（英语：PRISM）是一项由美国国家安全局自2007年起开始实施的绝密级电子监听计划。

该计划的正式名称为“US-984XN”。

根据报道，泄露的文件中描述PRISM计划能够对即时通信和既存资料进行深度的监听。

许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的美国公民。

国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、V oIP交谈内容、档案传输、登入通知，以及社交网络细节。

综合情报文件《总统每日简报》中在2012年内在1,477个计划使用了来自棱镜计划的资料。

关于PRISM的报道是在美国政府持续秘密地要求威讯向国家安全局提供所有客户每日电话记录的消息曝光后不久出现的。

泄露这些绝密文件的是国家安全局合约外判商的员工爱德华·斯诺登，于2013年6月6日，在英国《卫报》和美国《华盛顿邮报》公开。

1.2参与国家和公司英国的政府通信总部（GCHQ，与美国国家安全局对应的信号情报（SIGINT）机构）最早从2010年6月起就能访问PRISM系统，并在2012年使用该计划的数据撰写了197份报告。

PRISM让GCHQ 得以绕过正式法律手续来取得所需的个人资料。

当大数据的获取和分析成为棱镜计划的必经之路，不可避免地，身处科技前沿的企业卷入这一计划。

斯诺登披露的文件称，棱镜的项目可以使情报人员通过“后门”进入9家主要科技公司的服务器，这些公司包括微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、You Tube、苹果。

1.3本文研究的目的与意义本文旨在对“棱镜门”事件的研究与探讨，能够在国家信息安全方面得出一些结论。

能够充分地让当代大生以及民众了解国家信息安全的重要性，甚至为国家信息安全方面做出一定的贡献。

二、我国信息安全的现状2.1我国信息通信安全现状分析我国信息安全建设的政策环境、法律法规、标准体系、交流与合作等方面稳步推进，知识产权保护日益受到各方的关注，初步建成了国家信息安全组织保障体系，并且信息安全管理的法律法规体系进一步健全、制定和引进了一批重要的信息安全管理标准。

但当前全球信息安全形势逼人，最主要的威胁来源于技术系统本身，如计算机技术缺陷、计算机病毒、黑客、犯罪、信息垃圾和信息污染，尤其是黑客攻击手段更专业化，破坏力更强，电脑病毒传播速度快，杀伤力强，网络犯罪和恐怖活动日益泛滥。

而中国目前信息通信安全同样面临这些全球共性的问题。

2.2我国网络安全现状分析（1）电脑黑客活动已成重要威胁。

许多应用系统处于不设防状态，存在相当大的信息安全风险和隐患。

这种几乎不设防的现象，在金融等领域中表现的尤为突出。

国防科技大学的一项研究表明，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。

（2）计算机系统遭受病毒感染和破坏的情况相当严重。

从国家计算及病毒应急处理中心日常监测结果看来，计算机病毒呈现出异常活跃的姿态。

（3）信息基础设施面临安全的挑战。

我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。

（4）网络政治颠覆活动频繁。

近年来，国内外反动势力利用互联网结党结社，进行针对我国党和政府的非法组织活动，猖獗频繁，屡禁不止。

2.3我国信息系统安全法律、法规现状分析自我国1986年发现首例计算机信息犯罪以来，20世纪90年代中后期呈直线上升趋势。

网络信息安全立法渐成体系，除了应用网络技术手段加以防范外，我国对网络信息安全立法工作一直十分重视，制定了一批相关法律、法规、规章等规范性文件，涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治等特定领域的信息安全、信息安全犯罪制裁等多个领域。

此外，国家“十一五”规划明确指出：“加强宽带通信网、数字电视网和下一代互联网等信息基础设施建设，推进‘三网融合’，健全信息安全保障体系。

”我国有关网络信息安全的法律法规主要有：《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网信息服务管理办法》、《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国刑法》、《电信条例》等外，无论是国家信息安全政策制度、计算机和网络安全法律法规，还是信息安全行业标准法律法规，都存在空子和漏洞，亟待健全。

三、国家信息安全对策研究3.1加强对国内关键行业领域企业信息安全情况的调研通过信息网络安全风险评估实现对企业信息安全现状信息收集，采用的手段包括文档审阅、脆弱性扫描、本地审计、现场观测、人员访谈、座谈研究、问卷采集、资料收集等。

同时，从信息安全管理组织、信息安全风险管理、信息安全制度体系、信息安全审计监督、人员信息安全控制、第三方访问安全控制、系统安全建设控制、系统运维安全控制、物理和环境安全控制、网络安全控制、操作系统和数据库与基础信息系统安全控制、应用系统安全控制、桌面安全控制等方面来调查和了解企业信息安全状况，并根据企业信息化程度的不同以及信息安全保障能力的高低，鼓励和支持企业制定差异化、针对性和可操作性较强的信息安全解决方案。

3.2加快推进国内关键行业领域企业信息系统的安全评估和测试工作。

在安全评估方面，主要针对企业主机安全保密检查与信息监管，采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术，评估分析重要信息是否发生泄漏，并找出泄漏的原因和渠道。

在安全测试方面，针对企业信息系统的特征和需求，研究信息安全测评技术，提高信息安全缺陷发现率，重点加强测试环境的构造与仿真、有效性测试、负荷与性能测试、渗透测试、故障测试、一致性与兼容性测试等工作。

同时，还要完善安全测评服务体系，不断提升信息安全服务质量。

3.3建设自主可控的信息安全系统针对当前制约我国信息安全产业发展的关键技术和重点产品，有效汇聚国家重要资源，制定信息安全关键技术和重点产品目录，并积极引导企业和普通消费用户扩大应用规模。

通过突破一批信息安全核心技术，形成一批具有市场竞争力的产品，建立和推广自主知识产权的标准规范，从而构建完整的信息安全产品体系和产业链。

但同时，国产化亦非等同于绝对安全，在自主可控的基础上，要高度重视网络安全开发的技术与能力。

3.4建立保障国家信息安全的总体规划在网络安全基础设施建设中，在软硬件的服务应用过程中，在与国家利益安全相关联的跨境数据流动中，一定要有法律作保障；市场监管方面，对数据流动的安全性、合法性要加强监管；要高度重视公民网络素养培养，并将其纳入到国民教育体系。

应尽快出台国家整体战略，通过政策法规、技术建设、产业发展、外交战略等各方面的明确与配合，才有可能从根本性的角度使问题有所改善。

四、结论随着全球信息化的飞速发展，我国大力建设信息化系统，初步建成了国家信息安全组织保障体系，但网络安全现状令人堪忧。

“棱镜门”事件更是给我们敲响了警钟。

虽然我国已经建立了一些信息法，但是由于我国现在的信息法建立较少，还未形成一个完整的信息法体系。

加上我国很多现象又制约着我国信息立法的步伐，因而我国的信息法仍然比较落后，无法满足日益深化的信息化建设。

综上所述，我国需要加强信息立法的相关研究，推动我国的信息法制建设，从而促进我国信息和网络安全建设；应加快信息安全应用技术发展的步伐，提高人们的防范意识，增加此方面的知识，提高技术含量；还应该加强我国的自主创新能力，形成一批值得信赖的国产信息产品；最后，我们更应该制定出适合我国国情的能够保障国家信息安全的总体规划。

只有我们做好这些，我们才能够真正保障好我们国家的信息安全。

参考文献[1] 徐国爱，彭俊好，张淼. 信息安全管理[M].北京邮电大学出版社，2008[2] 陈建伟，张辉. 计算机网络与信息安全[M].北京林业出版社，2006[3] 吴煜煌，汪军，阚君满等. 网络与信息安全教程[M].中国水利水电出版社，2006[4] 潘小刚，周亚明，肖琳子. 中国信息安全报告[M].红旗出版社，2009[5] 罗森林. 信息系统安全与对抗技术[M].北京理工大学出版社，2005[6] CIO时代网，赛迪网. 从“棱镜门”看中国信息安全建设,2003年7月3日，/cloud/caq/81559.html[7]中国新闻网.“棱镜门”事件折射我国信息安全隐忧，2013年07月06日，/world/2013-07/06/c_124967155.htm[8]百度百科.“棱镜门”词条，/link?url=M6OCzh0a-ALO7r7ASJGTVM0PvcRW4ug9AeYVn3I4oMUZfi onHjM6ibiINpcvgAevD7l8QmMeTBiXjUYkOZPsca#3_5。