@瞌睡虫
2年前 提问
1个回答

我国网络与信息安全存在的不足主要体现在哪方面

GQQQy
2年前

我国网络与信息安全存在的不足主要体现在以下方面:

  • 对信息安全的重要性和紧迫性缺乏全面准确的认识;对以计算机网络为主体的信息系统存在的安全漏洞和隐患认识不清;对涉密信息可能遭到多途径、多手段的持续攻击的严重性认识和准备不足;特别是对当前国际网络战和信息战大环境下组织实施信息安全保障工作的艰巨性、复杂性认识还不够到位。

  • 对信息安全的底数不清,有多少软件、硬件的信息资源需要防护,各个信息资源的安全问题和根源在什么地方,针对得个信息资源的安全防护措施是什么,现有安全防护手段和措施有多少,能够达到什么样的防护能力等,都是一笔糊涂账。

  • 没有意识到信息安全是高层领导管理中一项极其重要的工作,尚没有对信息安全予以足够的关注和重视。高层领导的信息安全策略是信息安全管理计划的核心和基础。该策略是所有信息安全策略、过程和标准的起点和基础。信息安全不仅是一个技术问题,而且是一个管理问题。信息安全问题仅靠技术手段是不能解决的,管理部门越早发现问题,就能越快引起重视。然而遗憾的是,管理人员往往认为用技术手段就足以解决问题了,因此将出现的问题授权或降级给技术部门处理,而后就再也不闻不问。所以,没有一个全面的、科学的、持续的安全管理体系,再好的技术也难以解决信息安全问题。

  • 国际网络与信息安全形势的发展,客观上要求在顶层必须有一个强有力的重要安全保障机构,来实施组织领导和统一协调,以集中方方面面的有效力量。中共中央网络安全和信息化领导小组办公室(简称“网信办”)的成立改变了我国的网络与信息安全工作没有权威领导机构的状况,但是各自为政、多头管理的情况没有改变,严重制约了网络与信息安全工作的整体推进与发展。由于职责不明、关系不顺、缺乏统一的组织领导和筹划协调,使得网络与信息安全缺乏统一的顶层安全防护思想,安全管理目标与安全建设不一致。

  • 信息安全建设缺乏效能评估的基础。信息安全建设必须建立在效能评估的基础上,信息安全的目的是降低信息资源面临的风险,但如果不清楚已有的安全基础设施效能如何,自己存在哪些潜在的威胁,那么就会无的放矢,就会造成无谓的浪费。

  • 没有意识到信息安全管理在整个信息安全保障体系中的地位与作用。信息资源须预防哪些风险?针对这些风险,应采取哪些应对措施?这些都是信息安全管理人员最需要了解和掌握的。

  • 实施等级化的安全管理措施远未到位。信息安全等级化就是根据信息基础的重要性将信息基础设施和信息资源划分成不同等级,然后根据不同等级实施不同的防护,做到“重点资产重点保护”,提高保护效率。

  • 没有意识到信息安全策略的执行和监督是网络信息安全过程中不可缺少的方法和手段。仅有一个良好的信息安全策略和完整的支撑策略是不够的,如果它们没有得到有效的遵守和执行,那么一切都是空谈,得不到正确执行的策略是无用的。网络信息安全管理人员应被授权用技术或非技术手段来监督策略的遵守和执行,发现异常情况应及时进行处理。

  • 网络信息安全制度不健全,责任不落实,管理不到位,缺乏统一的建设规范与标准,安全建设与安全需求不一致。信息安全系统建设客观上要求,要从政策指导上规定信息安全保障的举措,从行政手段上制定一套完整、严密的信息安全管理制度,这是信息安全系统建设与发展的重要保障。

  • 防护技术和理念相对落后,目前主要还是以“防护”为基础的安全理念,以为买点安全产品部署上去就高枕无忧了,而不是对信息资源采取积极“防御”的思想,技术上也缺乏以安全“保障”为目的的第二代网络安全防护技术。第二代网络安全防护技术以检测技术为核心,以恢复技术为后盾,融合了保护、检测、响应、恢复等技术。通过检测和恢复技术,发现网络系统中异常的用户行为,根据事件的严重性,进而采取相应的措施。

  • 基础设施离安全需求差距甚远:出于配置上的方便和转发效率的考虑,很多单位的防火墙规则设置的粒度比较粗,只指定了端对端通信的IP地址,并没有指定端对端通信的协议、端口号等较细的内容;入侵监测系统针对性不强,系统监测网络上的非法网络攻击的能力已经大打折扣;内外网互联监控系统部署情况并不理想,一些单位并未部署该系统或未在全部终端上部署,存在监控的死角;对信息安全产品的采购和使用没有强制性的政策和规定,缺乏有效地检测和监督。目前用于涉密信息系统的安全设备,不少是从国外进口的,其操作系统、芯片等核心技术几乎是清一色的“舶来品”,其中有意预设或无意产生的后门、漏洞数不胜数,存在着严重的安全隐患。