一、网络信息安全的现状
    从20世纪90年代末期开始，随着因特网的成熟和广泛应用，引发了一场全球范围内的信息革命，全球信息化的步伐不断加快，信息型社会正在形成并走向成熟。信息，逐渐被作为一种重要的社会战略资源而与物质、能源、人才一起被列为现代社会生产力要素中的重要因素。
    信息化社会中，信息安全必然很重要。然而信息安全所面临的威胁也由来已久。自世界上出现计算机病毒理论后，对计算机系统的攻击就引起了一些人的兴趣。至今，这种攻击已由学术上的探讨，计算机操作系统的漏洞发现与弥补演变成了对信息系统的破坏和对涉及国家利益信息、商业信息及个人隐私信息的窃取和破坏。随因特网的迅猛发展，更进一步暴露出了这种自由网络空间具有的无中心、无管理、不可控、不可信等不安全的特征，且形成了对一切现存社会秩序的威胁。
     1.骇客攻击、计算机病毒破坏和网络金融犯罪已构成对世界各国的实际威胁。进入21世纪以来，尽管人们在计算机技术上做出了种种努力，但这种攻击却是愈演愈烈。从单一的利用计算机病毒搞破坏和用骇客手段进行入侵攻击转变为使用恶意代码与骇客攻击手段结合的方式，使得这种攻击具有：传播速度惊人、受害面惊人和穿透深度惊人的特点，往往一次攻击就给受害者带来严重的破坏和损失。特别是“9·11”以后，各种恐怖组织利用其所掌握的网络和信息技术，以网络方式组织恐怖活动已成为各类恐怖组织的日常运作方式，这种扁平化的组织形态和指挥形式对传统的等级制的社会治理已形成严峻挑战,对人类社会构成的安全威胁和现实影响与日俱增。2003年在美国东部、英国伦敦、意大利和美国加州等地先后发生了多起重大的电网大面积瘫痪事故，引起全球哗然。虽然官方调查结果表明这些网络事故绝大多数皆因技术故障或管理不当造成，但时至今日，人们对这类事故的危害性和基础设施自动化、网络化后所带来的脆弱性和安全风险仍心有余悸。在我国，“法轮功”组织亦是利用Internet进行反动宣传，散布垃圾邮件、实施对民用通讯卫星攻击及组织各种非法活动，给我国的社会稳定产生了恶劣影响和危害，对社会安全造成实际威胁。
     2.我国的信息安全形势不容乐观。在我国，2000年以来，建设了一批信息安全基础设施，加强了互联网信息内容的安全管理，信息安全保障工作取得一些成效。由于基础薄弱，工作人员防范意识淡薄，安全隐患巨大。首先，网上的重大失窃密案件多有发生；反动邪教法轮功和民运分子等境内外敌对势力利用因特网从事各种违法犯罪活动，对社会稳定和政权巩固造成了许多负面影响。
    其次，我国网络金融安全隐患巨大，我国银行网络每年因安全问题包括外部攻击、内外勾结、内部人员违法犯罪和技术缺陷引起的经济损失数以亿计。
    再次，全国各地都发生过涉及个人隐私、名誉权遭到侵害的网络信息案件，而遭受的更多是意识形态的文化方面的渗透，这也是利用信息战进行和平演变的一个重要方面。
     信息网络存在严重隐患还表现在，不能快速有效抑制各种计算机病毒的入侵，2003年初至年底我国连续遭受“口令”、“冲击波”、“大无极”等病毒袭击，这些病毒都给计算机用户造成了较严重的损失，究其造成损失的原因，均属于没有及时做软件的漏洞修补。根据国家计算机病毒应急处理中心的调查显示：2003年中国计算机病毒感染率高达85.57%，因病毒感染造成经济损失的比率达到了63.57%。
    上述安全问题，已覆盖了各个重要敏感的安全领域，随着国家信息化的进一步发展，还将更充分更深入地暴露出我国信息网络的安全隐患，遭受更大的威胁和风险。

二、积极防御，综合治理应是我国在现实条件下应对信息安全防护的基本措施
    1．今后的网络信息安全在全球范围内都面临的威胁和挑战：
1）全球圾邮件数量容量的增长率将超过正常电子邮件的增长率。各种不断变换的发信地址和庞大的收件人名单加大了成功狙击垃圾邮件的工作量和难度，同时垃圾邮件扩散各种病毒破坏网络正常工作。以至国内外都不得不对垃圾邮件作专项治理；
2）企业用户网络安全维护范围要重新界定。远程接入而登录自己的网络系统可以提高工作效率，但为了抵御各种攻击远程登录的政府、企业用户网络安全维护范围需要重新界定。因为远距离确定登陆者的真实身份，不是现有的常规手段可以完成的。
3）保护个人的信用资料已是能否进一步发展网络信息应用的关键。随着网上窃取个人信用资料的手段的提高，在国际上预计这种现象将会发展到全面窃取个人信用资料的犯罪趋势。在我国，利用网络窃取个人信用卡帐号和银行资金的犯罪行为也时有发生，已成为需要高度关注的一种倾向。
    2．网络信息安全不仅仅是技术问题，也是思想意识问题
    现在全世界都公认2003年的网络安全情况是有史以来最差的一年。也预期2004年的信息安全形势将更加恶劣。而一些骇客却道出了这样一个事实：最薄弱的环节很可能是大意的人们，而不是软件的漏洞，骇客曾攻陷的许多极为繁复的网络，靠的不仅是高超的技术，更多的是利用人的弱点。只有把人的安全防范意识提升到一个相当高的地步，骇客攻击的破坏性才能够从根本上降低。因此，单靠技术手段是不足以做好信息安全工作的，需要有思维上的转变，将现实生活中的很多经验和思维方式应用到网络安全中去。
    在我国，由于网络与信息系统的关键技术整体上比较落后，产业缺乏核心竞争力；防护水平不高，应急处理能力不强；信息安全管理和技术人才紧缺，因此，完善信息安全法律法规和标准；提高全社会的信息安全意识，是弥补漏洞的重要方面。应成为今后信息化建设中的一项重要任务。贯彻国家信息化领导小组第三次全体会议提出的坚持积极防御、综合防范的方针，建立健全法律法规就是其中必不可少的一环。

三、目前我国信息安全立法现状
    最近几年来，结合我国信息化建设的实际情况，政府制订了一系列法律文件和行政法规、规章，为我国信息化建设的发展与管理起到了有利的促进和规范作用，为依法规范和保护我国信息化建设健康有序发展提供了有利的法律依据。
1.对信息安全立法的认识是一个过程。
    信息安全问题成为社会各方面日益关注的一个热点问题。不同方面的有关部门和人士在信息安全保障方面做了很多努力，并积累了丰富的经验。计算机科学技术领域的专家、学者从各自的专业角度，通过理论研究、技术创新、产品开发等途径，尝试着解决计算机、通信网络方面的信息安全问题；国家有关行政部门通过颁布一系列的法规和规章制度，来加强信息安全管理，协调缓解因信息安全问题而带来的矛盾；法律界的有关人士、国家立法也开始讨论信息安全立法的意义和可行性。可见，对信息安全问题通过立法手段加以解决，产生这个想法并逐渐加深对问题的认识和理解，是有一个过程。对信息安全立法问题认识过程概括起来，是沿着一条技术——技术+管理——法律规范的发展路线，逐步提高认识的。
2.我国现行信息安全法律法规分类
    2003 年中办下发的《关于加强信息安全保障工作的意见》（中办发[2003]27号）是目前我国信息安全保障方面的一个纲领性文件。在此之前出台的法律法规主要分为两大类，一是从发文部门体现出的部门规章。如《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统保密管理暂行规定》、《公安部关于对与国际联网的计算机信息系统进行备案工作的通知》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、信息产业部《关于中国互联网络域名体系的公告》和《加强我国互联网络域名管理工作的公告》等。二是从发文内容体现出的信息化建设部分领域的单行法律法规。如国际互联网管理、国际信道、域名注册、密码管理、重要信息系统和信息内容等。如1994年2月发布的《中华人民共和国计算机信息系统安全保护条例》、《中国互联网络城市注册暂行管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《计算机信息网络国际联网管理暂行规定》、《中国公共计算机互联网国际联网管理办法》、《计算机信息网络国际联网出入口信道管理办法》、国家信息化工作领导小组2001年3月颁布的《关于计算机网络信息安全管理工作中有关部门职责分工的通知》、中办、国办2002年3月印发的《关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见》等。
3.我国现行信息安全法律法规的主要特点：
    1）已出台的条例和规定缺乏系统性和权威性，尚未上升到法律的高度；即使是已颁布的专门法（如《专利法》、《统计法》、《档案法》、《公民出境入境管理法》、《科学技术进步法》等）也没有充分体现国家信息安全的内容。
    2）已出台的条例和规定之间的协调性和相通性不够。因大多出自各部门，如保密、公安、信息产业、国家安全、邮电、技术监督等，缺乏统筹规划。
    3）有些法规制度过于原则或笼统，缺乏可操作性。
    4）有些法规制度明显滞后，还有些领域，如对制造病毒者的制裁等重大问题的法规和规定不健全，在我国已经出现了诉讼先例。

四、我国信息安全立法的原则和重点
1．立法的原则
   1）国家利益原则。当今信息已成为社会发展的重要战略资源，信息安全成为维护国家安全和社会稳定的一个焦点。信息安全首先要体现国家利益原则。
   2）一致性原则。指要与能在我国现行法律和国际法框架下制定的法律法规相一致。避免重复立法和分散立法，增强立法的协调性，避免立法的盲目性、随意性和相互冲突。
    3）发展的原则。信息安全立法既要考虑规范行为，又要考虑促进我国国民经济和社会信息化的发展。
    4）可操作性原则。要对现实有针对性，对实践有指导性。
    5）优先原则。急需的先立法、先实施。如信息安全等级保护、信息安全风险评估、网络信任、信息安全监控、信息安全应急处理等方面要加紧立法。
2．立法的重点
    立法重点内容应体现在：一是基础信息网络安全；二是党政核心信息系统；三是国防信息系统；四是税务、海关、银行、证券、电力、民航、铁路等重要信息系统。
    立法重点环节应体现在：一是立法规划；二是信息共享；三是信息服务与传输服务的责任和义务；四是有关知识产权。
    立法重点措施应体现在：管理体制、等级保护、信息保护、网络信任、监控体系、应急处理、信息安全技术研发、安全标准与应用推广、建设资金、信息安全意识与人才培养等方面。

五、我国信息安全立法的建议
    1．要做好立法的全面规划。这是积极有序地开展信息安全立法的基础性工作，是提高立法质量的重要措施。制定立法规划可以整合立法需求，使立法项目之间相互协调，增强立法的科学性和预见性。当前，要从完善国家信息安全组织体系、建立国家信息安全技术保障体系、保证国家重要信息系统等方面进行全面规划。
    2．要从信息安全的主体、内容和客体三个方面构建不同的立法框架。从主体入手，可以就政府和非政府公共部门、产业部门、科研教育部门、信息服务部门、公民个人等主体的信息交流权利和义务制定法律，规范这些主体的信息获取、处理、交换、传输等方面的行为。从客体入手，可以就信息获取、知识产权保护、信息犯罪、信息安全和网络安全、跨国数据流动、
    信息资源共享信息服务等方面制定法律，构建信息安全立法的框架。从内容入手，信息安全立法要解决以下方面的问 题：（1）信息表达的权利和义务；（2）信息获取的权利和义务；（3）信息保存的权利和义务；（4）信息传递的权利和义务；（5）信息处理的权利和义务；（6）利用和使用信息技术和信息基础设施的权利和义务；（7）信息资源分配，等等。
    3．要确立信息安全相对独立的关系。 在有些人看来，信息安全主要是保密问题，其实，这是一种片面认识。信息安全是个广义概念，涉及多个部门。随着信息化建设的不断推进，信息安全关系从其他关系中分离出来的趋势越来越明显，将逐步成为一种相对独立的关系。2003年国家层面成立的由15个部门组成的主要负责做好跨地区跨部门信息安全组织协调工作的国家信息安全协调小组，就说明了这一点。
    4．要体现管理与发展并重的原则。我们在立法时，不仅要考虑如何确定否定式的消极性法律后果，而且应当考虑如何确定肯定式的积极性的法律后果。既要制订管理性的法律法规，又要制订促进信息安全技术和信息产业健康发展的法律法规。同时，还要有积极推动我国信息安全产业的内容。
    5．要考虑规范实现的可能性。要使信息安全规范与网络技术发展相衔接，使制定出的规范能够被有效地、低成本地贯彻实施，避免法律规范成为不切实际的空中楼阁或劳民伤财的根源。
     6．要树立既要遵循现行法律体系又不拘泥于现行法律体系的理念。随着信息化的不断发展，信息安全立法有可能打乱现行法律体系，或与已有的法律重复乃至冲突。因此，在制订信息法时，凡属于现行法律体系的内容，须遵循现行法律体系；凡不属于现行法律体系的内容，就要突破现行法律体系。
    当然，国家信息安全法不可能解决信息安全中所存在的所有问题。信息安全法律法规的制定，成为理顺体制、解决冲突、完善程序以保证信息安全法质量和速度、避免无序的主要措施，可以说制订信息安全法是信息安全史上的重要里程碑。它将使信息安全中存在的某些问题得到一定程度的解决。