网络伦理：打造安全的网络

1.2.2 安全的网络

信息论奠基人香农在《通信的数学理论》中提出，信息是“两次不确定性之间的差异”，是用以消除随机不确定性的东西。控制论的创始人维纳认为信息是人与外部世界相互交换的内容的名称。我国信息论专家钟义信教授指出信息是事物运动的状态和方式。从哲学角度讲信息是一切物质的属性，既非物质又非精神的第三态。一般认为，信息就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。广义地说，信息就是消息，一切存在都有信息。对人类而言，人的五官生来就是为了感受信息的，它们是信息的接收器，它们所感受到的一切都是信息。然而，大量的信息是我们的五官不能直接感受的，人类正通过各种手段、发明各种仪器来感知它们、发现它们。信息可以被交流、存储和使用。

我国非常重视信息化。党中央和国务院在大力提倡和推动国家信息化高速发展的同时，对信息安全也给予了高度关注，认为这是信息化建设过程中必须解决好的重大问题，直接关系到国家的安全和主权、社会稳定、民族文化的继承和发扬。特别是针对国际互联网的安全问题，多次敦促加速相关管理体制的建立和安全保护设备的研究使用。在各级管理机关的努力下，我国初步建立了信息安全管理的格局，制定了相应的管理规则，社会的信息安全意识也逐步提高。

1988年11月3日，第一个“蠕虫”出现在Internet上。在几小时之内，数千台机器被传染，Internet陷入瘫痪。“蠕虫”的作者Robert Morris J.r被判有罪，接受三年监护并被罚款。“Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单纯的程序有效地摧毁了数百台（或数千台）机器，那一天标志着Internet安全性研究的开始。

1．安全的概念

客观上不存在威胁，主观上不存在恐惧。

信息安全分为具体的信息技术系统的安全、某一特定信息体系的安全和一个国家的社会信息化状态不受外来的威胁或侵害。

传统方式下的信息安全与数字世界中的信息安全相比较：

传统方式下的信息安全具有以下特点：

① 复制品与原件存在不同。

② 对原始文件的修改总是会留下痕迹。

③ 模仿的签名与原始的签名有差异。

④ 用铅封来防止文件在传送中被非法阅读或篡改。

⑤ 用保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或篡改。

⑥ 用签名或者图章来表明文件的真实性和有效性。

⑦ 信息安全依赖于物理手段与行政管理。

而数字世界中的信息安全则具有更多的新特点：

① 复制后的文件跟原始文件没有差别。

② 对原始文件的修改可以不留下痕迹。

③ 无法像传统方式一样在文件上直接签名或盖章。

④ 不能用传统的铅封来防止文件在传送中被非法阅读或篡改。

⑤ 难以用类似于传统的保险柜来保管文件。

⑥ 易被盗窃、毁坏、非法阅读或篡改。

⑦ 信息安全的危害更大， 信息社会更加依赖于信息，信息的泄密、毁坏所产生的后果更严重。

⑧ 信息安全无法完全依靠物理手段和行政管理。

信息安全的发展历程如下：

（1）通信保密（COMSEC）

20世纪50～80年代，主要突出通信信息的保密，标志是1949年Shannon发表的《保密通信的信息理论》。

（2）信息安全（INFOSEC）

20世纪80～90年代，提出了机密性、完整性、可用性等安全原则，标志是1977年美国国家标准局公布的国家数据加密标准（DES）和1983年美国国防部公布的可信计算机系统评价准则（TCSEC）。信息安全的三个基本方面：保密性（Confidentiality），即保证信息为授权者享用而不泄漏给未经授权者；完整性（Integrity ），包括数据完整性（未被未授权篡改或者损坏）和系统完整性（系统未被非授权操纵，按既定的功能运行）；可用性（Availability），即保证信息和信息系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况。其他方面：信息的不可否认性（Non-repudiation ），要求发送方、接收方都不能抵赖所进行的传输；鉴别（Authentication），确认实体是它所声明的，适用于用户、进程、系统、信息等；审计（Accountability ），确保实体的活动可被跟踪；可靠性（Reliability ），特定行为和结果的一致性；可控性 （Controlability）。

（3）信息保障（IA）

20世纪90年代至今，增加了信息和系统的可控性、信息行为的不可否认性要求，强调对信息的保护、检测、反应和恢复能力。1998年美国国家安全局制定的《信息保障技术框架》（IATF）则是这个时代的一个典型标志。美国人提出 （Information Assurance）:为了保障信息安全，除了要进行信息的安全保护，还应该重视提高安全预警能力、系统的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力、保护（Protect）、检测（Detect）、反应（React）、恢复（Restore）。

P2DR安全模型，以安全策略为核心（ISS（Internet Security Systems InC.））提出。策略：是模型的核心，具体的实施过程中，策略意味着网络安全要达到的目标；防护：安全规章、安全配置、安全措施；检测：异常监视、模式发现；响应：报告、记录、反应、恢复。如图1.8、图1.9所示。

图1.8　PDRR信息安全体系模型

图1.9　PDRR信息安全体系模型

2．安全的目的

① 保密：即保证信息为授权者享用而不泄漏给未经授权者。

② 数据完整性：未被未授权篡改或者损坏。

③ 实体鉴别：验证一个实体的身份。

④ 数据源发鉴别：验证消息来自可靠的源点，且没有被篡改。

⑤ 签名：一种绑定实体和信息的办法。

⑥ 授权：把官方做某件事情或承认某件事情的批准传递给另一实体。

⑦ 访问控制：限制资源只能被授权的实体访问。

⑧ 抗否认：防止对以前行为否认的措施。

具体应用如表1.3所示。

表1.3　典型的网络安全需求

3. 安全的网络

网络安全涉及的内容有网络安全体系结构、网络的攻击手段与防范措施、网络安全标准制定、安全评测及认证、网络安全检测技术、网络安全设备、安全管理、安全审计、网络犯罪侦查、网络安全理论与政策、网络安全教育、网络安全法律等。

网络安全技术主要包括主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术和反病毒技术等。

建立信息安全评测认证体系是有效保障信息安全的重要组成部分，各国都在致力于基于信息安全评测认证标准、国家信息安全测评认证机构和人员的体系建设，构建了一套系统的安全框架，保证了技术、产品、系统安全等的质量认可。在信息安全评测认证标准方面，有美国1985年国防部发布可信计算机系统评估标准TCSEC（橘皮书）、欧洲1991年发布信息技术安全性评估准则ITSECV1.2、加拿大1989年发布计算机产品评估准则CTCPEC、美国1993年发布信息技术安全联邦准则FC草案以及ISO组织1999年12月将各国家标准综合成的信息技术安全性评估通用准则CC2.0定义成国际标准ISO15408等；在国家信息安全测评认证机构方面，有国家标准技术研究所与国家安全局共同组建的国家信息保证伙伴NIAP和认可的CC测试实验室CCTLS、英国IT安全评估认证机构以及中国国家信息安全测评认证中心等。

信息系统评测标准如图1.10所示。

图1.10 信息系统评测认证标准发展状况

TCSEC带动了国际计算机安全的评估研究，使用了可信计算基础（TCB）这一概念，第一版发布于1983年，1985年最终修订。由于使用了橘色书皮，通常人们称其为“橘皮书”。后来在NCSC的主持下制定了一系列相关准则，称之为彩虹系列。其中，1987年， NCSC为TCSEC提出的可依赖网络解释（TNI1987）通常被称做“红皮书”；1991年，为TCSEC提出的可依赖数据库管理系统解释（TDI 1991）通常称做“紫皮书”。

TCSEC将计算机安全从低到高顺序分为四等八级：最低保护等级（D）、自主保护等级（C1，C2）、强制保护等级（B1，B2，B3）和验证保护等级（A1，超A1），为信息安全产品的测评提供准则和方法，指导信息安全产品的制造和应用。TCSEC是针对孤立计算机系统提出的，特别是小型机和主机系统，假设有一定的物理屏障。该标准适合军队和政府，不适合企业，是一个静态模型。TNI是把TCSEC的思想用到网络上，缺乏成功实践的支持。

ITSEC在借鉴TCSEC成功经验的基础上，20世纪90年代初，西欧四国（英、法、荷、德）联合提出了信息技术安全评价准则（ITSEC）。ITSEC定义了七个安全级别：

不能充分满足保证（E0）；

功能测试（E1）；

数字化测试（E2）；

数字化测试分析（E3）；

半形式化分析（E4）；

形式化分析（E5）；

形式化验证（E6）。

CTCPEC ＆amp; FC。1993年，加拿大发布了“加拿大可信计算机产品评价准则”（CTCPEC）。同年，美国对可信计算机系统评估准则（TCSEC）作了补充和修改，国家标准局和国家安全局合作制定了“组合的联邦标准”（简称FC），对保护框架和安全目标作了定义，明确了由用户提供系统安全保护需求的详细框架，厂商定义产品的安全功能、安全目标等，但有很多缺陷，只是一个过渡准则。

CC。进入20世纪90年代中期，美国改进TCSEC与各国改进ITSEC的想法不谋而合，宣布了制定通用安全评价准则（CC）的计划，它的全称是CommonCriteria for IT security Evaluation。CC的制定考虑了对前期标准的兼容，因而它们之间可建立粗略的对应关系。

建立计算机信息系统安全等级保护制度，是我国计算机信息系统安全保护工作中的一件大事，它直接关系到各行各业的计算机信息系统建设和管理，是一项复杂的社会化的系统工程，需要社会各界的共同参与。在当前全社会信息化发展达到一定水平和阶段的情况下，虽然存在一些客观困难，但只要我们抓住机遇，下大力气，采取有力措施，就一定能够在不太长的时间内，将我国的计算机信息系统安全保护的整体水平迅速提高。

1994年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》)，该条例是计算机信息系统安全保护的法律基础。其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。公安部在《条例》发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点，因此，对计算机信息系统实行安全等级保护制度，是我国计算机信息系统安全保护工作的重要发展思路，对于正在发展中的信息系统安全保护工作更有着十分重要的意义。

为切实加强重要领域信息系统安全的规范化建设和管理，全面提高国家信息系统安全保护的整体水平，使公安机关公共信息网络安全监察工作更加科学、规范，指导工作更具体、明确，公安部组织制定了《计算机信息系统安全保护等级划分准则》(以下简称《准则》)国家标准，并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，已于2001年1月1日执行。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理提供了技术指导，是我国计算机信息系统安全保护等级工作的基础。

由于对信息系统和安全产品的安全性评估事关国家安全和社会安全，任何国家不会轻易相信和接受由别的国家所作的评估结果，为保险起见，要通过本国标准的测试才认为可靠。因此，没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评估标准、评估体系和评估结果的基础上。而是在充分借鉴国际标准的前提下，制定自己的安全评估标准。1989年公安部开始设计起草法律和标准，在起草过程中经过长期地对国内外广泛地调查和研究，特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究，使我们认识到要从法律、管理和技术三个方面着手；采取的措施要从国家制度的角度来看问题，对信息安全要实行等级保护制度。

国家标准《准则》就是要从安全整体上进行保护，从整体上、根本上、基础上来解决等级保护问题。要建立良好的国家整体保护制度，标准体系是基础。由国家的统一标准要求对系统进行评估，《准则》的配套标准分两类：一是《计算机信息系统安全保护等级划分准则应用指南》，它包括技术指南、建设指南和管理指南：二是《计算机信息系统安全保护等级评估准则》，它包括安全操作系统、安全数据库、网关、防火墙、路由器和身份认证管理等。目前，国家正在组织有关单位完善信息系统安全等级保护制度的标准体系。

《准则》对计算机信息系统安全保护能力划分了以下五个等级，计算机信息系统安全保护能力随着安全保护等级的增高逐渐增强。高级别的安全要求是低级别要求的合集：(www.xing528.com)

第一级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

第二级：系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，所有的用户对自己行为的合法性负责。

第三级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。

第四级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

第五级：访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

需要实施安全等级保护的信息系统有：党政系统(党委、政府)、金融系统(银行、保险、证券)、财税系统(财政、税务、工商)、经贸系统(商业贸易、海关)、电信系统(邮电、电信、广播、电视)、能源系统(电力、热力、燃气、煤炭、油料)、交通运输系统(航空、航天、铁路、公路、水运、海运)、供水系统(水利及水源供给)、社会应急服务系统(医疗、消防、紧急救援)、教育科研系统(教育、科研、尖端科技)和国防建设系统。

国家实行计算机信息系统安全等级保护制度建设主要由计算机信息系统安全等级保护标准体系、计算机信息系统安全等级保护管理的行政法规体系、信息系统安全等级保护所需的系统设备技术体系、安全等级系统的建设和管理机制及计算机信息系统安全监督管理体系五个部分构成。

如表1.4所示,在信息安全法律法规方面,各国也呈现出积极的态度,相关立法工作也在不断健全,以电子商务方面为例,在国外就有如下法律法规：

表1.4　世界各国（或地区）立法情况

1993年，联合国制定《电子数据交换及贸易数据通讯有关手段法律方面的统一规则草案》，形成了国际EDI法律基础。

1995年，美国犹他州制定了世界上第一个《数字签名法》。

1996年6月，联合国国际贸易法委员会（UNCITRAL）通过了《电子商务示范法》，稍后起草了《电子签名统一规则》。

1998年，新加坡公布了电子交易法案。

1999年，欧盟发布了《电子签名统一框架指令》1999/93/CE。

2000年，美国签发了《全球、国内电子商务签章法》。

2001年，联合国国际贸易法委员会通过了《电子签名示范法》。

在国内,这方面的安全立法工作也取得了很大进展,例如：

1999年10月，通过中华人民共和国《商用密码管理条例》。

2001年8月，《中华人民共和国电子商务法（示范法）》出台。

2001年8月，海南省出台了《海南省数字证书认证管理试行办法》。

2002年11月，上海市发布了《上海市数字认证管理办法》。

2003年2 月，广东省通过《广东省电子交易条例》。

2003年12月，山东省颁布《山东省数字认证管理办法》。

2005年4月1日，《电子签名法》颁布实施。

值得一提的是，国际“经济合作与发展组织”（OECD）于1992年11月26日通过《信息系统安全指南》，制定了9项安全原则，分别是负责原则、知晓原则、道德原则、多方原则、配比原则、综合原则、及时原则、重新评价原则和民主原则。

OSI信息安全体系结构是基于ISO7498-2标准（GB/T9387-2）建构的，共五大类安全服务（鉴别、访问控制、数据保密性、数据完整性和不可否认性），八大类安全机制（加密、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制）。

其实，信息安全建设是一个系统工程，“三分技术，七分管理”，网络与信息安全其本质就是信息安全技术与信息安全管理体系的有机结合。如图1.11所示。

图1.11 信息安全管理的地位

信息安全管理的历史发展应该是从管人开始，继而管密码、管密钥、管口令、管配置、管产品测评、管产品采购、管系统安全、管等级划分。信息安全管理的层次分为宏观管理和微观管理，宏观管理（政府）主要是提供方针、政策、法规与标准等，微观管理（机构）则是规章、制度和策略等。信息安全管理准则包括管理策略、组织与人员、资产分类与安全控制、配置与运行、网络信息安全域与通信安全、异常事件与审计、信息标记与文档、物理环境、开发与维护、作业连续性保障和符合性等。

全国有信息产业部、公安部、安全部、国务院新闻办、文化部、国家广电总局、新闻出版总署、教育部、中宣部等十多个部门在互联网领域开展信息安全管理工作。还有诸多理论研究部门、科研部门进行理论研究、技术研究。武汉大学、清华大学、华中科技大学、中国人民公安大学、湖北警官学院等十几所高校都先后设置了信息安全专业。

信息网络安全是世界各国在信息化进程中都不得不面临的重大安全问题。为了维护互联网络的健康发展，保障国家、网络、公民的合法权益，世界各主要国家和地区均对信息网络安全给予了高度重视和关注，纷纷设置专门机构，组建了网络警察专门队伍，同时，加强了立法、司法和专门技术手段建设。

美国是信息安全管理工作开展得最早、管理比较有序的国家。与信息安全管理有关的机构有国家安全局（NSA）、国家技术标准研究所（NIST）、联邦调查局（FBI）、高级研究计划署（APRA）和国防部信息局（DISA），它们分别有自己授权管理的领域和业务。为了有效地促进合作，以便解决信息安全问题采取相应措施，这些机构彼此间达成了信息安全管理职责上的理解备忘录（MOU）和协议备忘录（MOA）。

英国专门组建了一支由专家组成的“电子警察分队”，专门对付通过互联网和以网站为基础进行的欺诈和勒索行为。这支队伍耗资2 500万英磅（合3 700万美元），它将由分布在伦敦和其他地区的80个警察队组成。英国政府为了打击网上犯罪活动，采取了以下一些监管措施：加强法律规范，加大打击力度；对网络提供者提出具体、严格的要求；网络监察部门对网上内容进行合法性鉴别；对网上非法资料进行严肃处理；加强研究开发工作，研制适合国情监控软件和电子设备。

法国1992年通过、1994年生效的新刑法典设专章“侵犯资料自动处理系统罪”对计算机犯罪作了规定。

俄罗斯1996年通过、1997年生效的新刑法典以专章“计算机信息领域的犯罪”为名对计算机犯罪作了规定。

西班牙1995年成立了特种部队——信息技术犯罪调查部队，并于1996年创建了一个专门对付网络犯罪的技术组，拥有七名顶级专家和分布在全国各地并相互联系的70多名特工。

韩国因特网普及迅速，目前的因特网用户已达1 600多万，约占总人口的1/3。随着因特网的普及率日益提高，网络犯罪不断增加。韩国警方加大力度打击网络犯罪，成立了“网络犯罪应对中心”，专门对付网络犯罪。该中心利用实时跟踪和事件分析等先进搜查系统严密监视网上犯罪，并及时加以打击。

在我国，1983年国务院批准公安部成立计算机管理监察司，这标志着公安机关正式肩负起计算机管理和监察任务。1994年2月18日国务院发布《中华人民共和国计算机信息系统安全保护条例》（147号令），标志着我国信息网络安全保护工作逐步纳入法制化管理轨道。1997年全国人大八届五次会议上通过的新《刑法》中增加了三个有关计算机犯罪的条款（第285、286、287条），标志着打击计算机犯罪有了最高的法律依据。1998年9月，经中编办批准，公安部原计算机管理监察司更名为公共信息网络安全监察局，标志着“网络警察”这一新警种的诞生。

惟有依法治网，方能为信息技术的发展、社会信息化保驾护航。我国不断加大信息网络安全立法的力度和进度，取得了一定的成绩。信息网络安全法律、法规体系雏形初显。

（1）明确了信息网络安全的主管部门

1994年2月18日，国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，由公安机关负责计算机信息系统的安全保护管理工作。此条例也是我国保护计算机信息系统安全的首部法规。

1995年2月28日，全国人大常委会颁布的《中华人民共和国警察法》明确了公安机关警察负有监督管理计算机信息系统的安全保护工作职责。

1997年12月30日，国务院颁布的《计算机信息网络国际联网安全保护管理办法》将公安机关的监督职权扩展到了信息网络的国际网领域。

2000年12月，全国人大常委会颁布的《关于维护互联网安全的决定》进一步明确了公安机关对互联网安全的监督管理职权。信息网络安全主管部门地位的确立，使得信息网络安全在组织上有了保障。

（2）确立了信息网络安全管理的基本法律原则

从现有的信息网络安全法律法规中可以看出，我国已经确立了多项信息网络安全管理的基本法律原则。如“谁主管、谁负责”原则、重点保护原则、诚实信用原则、预防为主的原则等，形成了我国信息网络安全保障法的基本框架。

（3）探索并完善了信息网络安全的保障制度

经过多年的探索，到目前为止我国已经建立并完善了诸多信息网络安全保障制度。如安全专用产品销售许可证、计算机病毒防治管理制度、商用密码管理制度、互联网信息服务安全管理制度、电信安全管理制度、信息系统安全保护管理制度、信息系统使用单位安全管理制度、信息安全检测及评估和认证安全监督管理制度。

党的十六大将经济社会信息化发展作为我国的一项基本方略，而这首先又必然依赖于信息网络的安全，信息网络安全更是引起了世界各国空前的关注与重视。

近年来，各级部门和领导对网络安全监察工作作出了一系列重要指示和批示。

（1）中共中央总书记、国家主席胡锦涛同志的指示

中共中央政治局于2007年1月23日下午进行第三十八次集体学习，由中共中央总书记胡锦涛主持。他强调，加强网络文化建设和管理，充分发挥互联网在我国社会主义文化建设中的重要作用，有利于提高全民族的思想道德素质和科学文化素质，有利于扩大宣传思想工作的阵地，有利于扩大社会主义精神文明的辐射力和感染力，有利于增强我国的软实力。我们必须以积极的态度、创新的精神，大力发展和传播健康向上的网络文化，切实把互联网建设好、利用好、管理好。

胡锦涛在主持学习时发表了讲话。他指出，我国网络文化的快速发展，为传播信息、学习知识、宣传党的理论和方针政策发挥了积极作用，同时也给我国社会主义文化建设提出了新的课题。能否积极利用和有效管理互联网，能否真正使互联网成为传播社会主义先进文化的新途径、公共文化服务的新平台、人们健康精神文化生活的新空间，关系到社会主义文化事业和文化产业的健康发展，关系到国家文化信息安全和国家长治久安，关系到中国特色社会主义事业的全局。

胡锦涛强调，加强我国网络文化建设和管理，必须从中国特色社会主义事业总体布局和文化发展战略出发，坚持以邓小平理论和“三个代表”重要思想为指导，全面贯彻落实科学发展观，按照发展社会主义先进文化的要求，坚持积极利用、大力发展、科学管理，以先进技术传播先进文化，促进和谐文化建设，更好地满足人民群众日益增长的精神文化需要，为全面建设小康社会提供有力的思想保证和舆论支持。

胡锦涛就加强网络文化建设和管理提出五项要求。一是要坚持社会主义先进文化的发展方向，唱响网上思想文化的主旋律，努力宣传科学真理、传播先进文化、倡导科学精神、塑造美好心灵、弘扬社会正气。二是要提高网络文化产品和服务的供给能力，提高网络文化产业的规模化、专业化水平，把博大精深的中华文化作为网络文化的重要源泉，推动我国优秀文化产品的数字化、网络化，加强高品位文化信息的传播，努力形成一批具有中国气派、体现时代精神、品位高雅的网络文化品牌，推动网络文化发挥滋润心灵、陶冶情操、愉悦身心的作用。三是要加强网上思想舆论阵地建设，掌握网上舆论主导权，提高网上引导水平，讲求引导艺术，积极运用新技术，加大正面宣传力度，形成积极向上的主流舆论。四是要倡导文明办网、文明上网，净化网络环境，努力营造文明健康、积极向上的网络文化氛围，营造共建共享的精神家园。五是要坚持依法管理、科学管理、有效管理，综合运用法律、行政、经济、技术、思想教育、行业自律等手段，加快形成依法监管、行业自律、社会监督、规范有序的互联网信息传播秩序，切实维护国家文化信息安全。

胡锦涛指出，各级党委和政府要从加强规划、完善制度、规范管理、充实队伍等方面采取措施，加强信息产业发展与网络文化发展的统筹协调，切实把一手抓发展、一手抓管理的要求贯彻到网络技术、产业、内容、安全等各个方面。要制定政策、创造条件，加强政府网站建设，扶持拥有优秀网络文化内容的网站，积极开发具有自主知识产权的网络文化产品，加强和改善与人民群众生产生活密切相关的信息和服务。要加快网络文化队伍建设，形成与网络文化建设和管理相适应的管理队伍、舆论引导队伍、技术研发队伍，培养一批政治素质高、业务能力强的干部。各级领导干部要重视学习互联网知识，提高领导水平和驾驭能力，努力开创我国网络文化建设的新局面。

（2）江泽民同志的指示

2000年8月，江泽民同志在第十六届世界计算机大会致词中指出了“因特网的迅猛发展，对世界经济增长和各国人民加强交往具有重要作用。但有害的信息垃圾泛滥，个人隐私、企业秘密难以保全，黑客攻击甚至造成通信中断、网络瘫痪——我们主张制定国际因特网公约，共同加强信息安全管理，充分发挥因特网的积极作用”。这充分表达了我国政府对信息网络安全的高度重视与关注。

2001年1月10日，江泽民同志在全国宣传部长会议上强调：“要高度重视互联网的舆论宣传，积极发展，充分运用，加强管理，趋利避害，不断增强网上宣传的影响力和战斗力，使之成为思想政治工作的新阵地，对外宣传的新渠道。”

2001年8月25日，江泽民为《中国信息化建设与探索》一书作序指出“信息和网络安全关系国家安全”，我国要“积极发展、加强管理、趋利避害、为我所用，努力在全球信息网络化的发展中占据主动地位”。

（3）已故中央政治局常委、国务院副总理黄菊同志的指示

2004年1月9日，已故中央政治局常委、国务院副总理黄菊在“全国信息安全保障工作会议”上讲话时强调指出：“网络与信息系统的基础性、全局性作用日益增强，迫切要求加强信息安全保障工作，要从促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，充分认识进一步加强信息安全保障工作的极端重要性，增强做好这项工作的紧迫感、责任感和自觉性。”

统筹考虑的会议和文件是我国信息化建设的指南针,确定了我国“社会信息化，信息社会化”的发展方向。

重要会议是国家信息化领导小组会议。2001年8月,国家重新组建国家信息化领导小组，同年12月25日，国家信息化领导小组第一次会议在北京召开。时任中共中央政治局常委、国务院总理、国家信息化领导小组组长朱镕基主持会议。会议强调，我国的信息化正处在起步阶段，务必防止走弯路，要注意打好基础，做好规划，统一标准，加强法制和安全保障体系建设。国家信息化领导小组会议是目前为止在信息网络发展方面规格最高的会议，定期召开。国家还专门成立了信息与网络安全协调小组。2002年7月26日，召开国家信息化领导小组第二次会议。会议讨论通过了《国民经济和社会信息化专项规划》、《关于我国电子政务建设的指导意见》,讨论了振兴软件产业的问题。会议强调，推进信息化必须坚持统筹规划、资源共享，应用主导、面向市场，安全可靠、务求实效的方针；必须做到基础工作先行，特别是要加快信息化法律法规建设，制定国家信息技术标准体系，加强信息化知识普及和人才培养。

重要文件有中共中央办公厅、国务院办公厅《关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见》（中办发[2002]8号）。这是中央第一次系统，明确提出了互联网新闻宣传和信息内容安全管理工作的规范性文件，对互联网新闻宣传的意义、重要性、职责、分工提出了明确要求。意见从促进经济社会发展和社会主义精神文明建设的高度，从维护社会政治稳定和国家安全的高度出发，要求各级党委、政府和有关部门要进一步提高对加强互联网新闻宣传和信息内容安全管理工作的重要性的认识。意见强调，要积极占领互联网舆论阵地，努力掌握网上新闻宣传工作主动权。意见指出，要采取有力措施，认真做好互联网信息内容安全管理工作。意见最后强调，要加强领导，明确分工，确保互联网新闻宣传事业健康发展和信息内容安全管理责任到位。

文件还有《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），第一次系统、明确提出了我国信息安全保障的总体架构。意见指出，随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息安全已经成为国家安全的重要组成部分。意见提出了加强信息安全保障工作的总体要求和主要原则。总体要求是：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则是：立足国情，以我为主，坚持管理和技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。意见强调，要实行信息安全等级保护，加强以密码技术为基础的信息保护和网络信任体系建设，建设和完善信息安全监控体系，要高度重视信息安全应急处理工作，要加强信息安全技术研究，推进信息安全产业发展，要加强信息安全法制建设和标准化建设。意见特别指出，要重视信息安全执法队伍建设，加强对利用网络传播有害信息、危害公众利益和国家安全的违法犯罪活动的打击。意见要求，要加快信息安全人才培养，保证信息安全资金，要加强对信息安全保障工作的领导，建立健全信息安全管理责任制。

《关于进一步加强互联网管理工作的意见》（中办发[2004]32号）于2004年11月8日发布。《意见》针对当前互联网管理中存在的突出问题，从维护国家安全和社会稳定的大局出发，从坚持马克思主义在意识形态领域的主导地位，大力推进互联网管理的规范化、制度化的要求出发，进一步明确了互联网管理部门职责，提出了当前要切实抓好的重点工作和建立长效机制的工作措施。

Internet的出现，是20世纪末人类科技史上最伟大的事件之一。当今的时代是一个信息化的时代，Internet则是这个时代的基石与代表作。Internet的普及使网络不再是专家们的技术沙龙，使人们可以突破时间、地域的限制而共享信息资源和进行全天候的交流。当今已经通过Internet形成了一条在不同种族、不同国家和地区之间进行超时空多媒体信息交流的神奇纽带。专家们评论和预测互联网的划时代意义：像火一样改变人类的生活。

网络源于美国，它的前身只是连接了4台主机的ARPANET（于1969年由美国国防部高级研究计划局ARPA用做军用实验网络而建立，1973年正式运行）。1989年由CERN开发成功的WWW（World Wide Web，万维网），为Internet实现广域超媒体信息截取/检索奠定了基础。1990年商业使用的Internet在美国开始急速地扩大，Internet也从原来少数人专属使用的网络变为平民化的网络系统。计算机科学的历史迄今不过半个多世纪，计算机网络的历史（从20世纪80年代Internet这个名词产生）也不过20年（真正高速发展是在20世纪90年代中期），但它们对人类生活的影响却远远超出了以往任何时代的任何一种发明，它们渗透到人们的日常生活、工作、学习和娱乐当中。不仅如此，它们对社会政治、经济、科技、教育、文化、卫生、商业乃至国防都起到决定性作用。

正是意识到互联网的重要意义，国际上对下一代互联网技术的研究十分重视。我们现在所用的互联网，它的发展几乎完全由美国独立完成，从各种基础硬件（如路由器、服务器）到各种标准、软件乃至关键技术，大多由美国掌握，其他国家都是追随者。由于具备这个优势，美国不仅在网络上，而且在军事、国际社会生活等各个方面都拥有巨大的影响。1992年，美国政府主导进行了“下一代互联网计划”的研究，1996年美国国家科学基金会又设立了“下一代因特网”研究计划（NGI）。另外，美国190多所大学和研究机构联合起来，共同构造了一个叫做“Internet2”的网络研究平台。这个平台计划把创造出今日Internet的美国学术界、政府、工业界联合起来，共同研究创建今后的Internet。如果失去对下一代互联网的发言权，将在很大程度上受制于人。其他国家和地区也相继开展了下一代互联网的研究，都对研究下一代互联网投入了巨资。我国第一个下一代互联网的示范网——中国高速互联研究试验网格（NSFCNET）项目由清华大学、中科院信息中心、北京大学、北京航空航天大学、北京邮电大学联合承担建设，在2001年已经通过鉴定验收。下一代互联网与现在的互联网的标志性区别是：速度更快（将比现在的拨号上网提高1 000～10 000倍）、IP地址数量更大（将广泛使用IPv6体系，可为地球上每平方米土地分配数以千计的IP地址）、使用更安全（病毒、恶意攻击将得到有效控制）。有专家如此评论下一代互联网的划时代意义：“在人类的发展史上，火的使用是野蛮人与文明人的分界线；下一代互联网对人类社会的意义和影响，决不亚于火的使用。”人类的祖先在使用火以后，告别了蒙昧而逐步迈入了文明时代。专家们认为，下一代互联网的应用和普及就像火的使用一样，会让世界发生质的变化。一切不怕做不到，只怕想不到。

网络技术健康发展需要采取经济、社会、法律、伦理、文化等多种手段，比如改革不合理的国际政治经济秩序，建构具有适应性和灵活性的网络社会结构，发展具有人性化的新技术；建构和完善网络法律法规；建构具有现代网络精神的网络伦理，培养健康、全面的网络人格等。技术的进步给了人们以更大的信息支配能力，也要求人们更严格地控制自己的行为。要建立一个“干净”的互联网络，需要法律和技术上的不断完善，也需要网络中的每个人的自律和自重。所以,网络的未来应朝着个人与社会、个体与群体、个性与共性之间分散而有张力的互动形态发展，从而实现个人自由发展与社会共和体健康发展的双重目标。