计算机网络实验室出现的安全问题

㈠ 网络机房安全自查的报告

关于网络机房安全自查的报告

学院领导：

根据学院的统一部署和要求，我们对重点安全部位网路机房进行了安全自检，情况如下：

主要安全隐患有四项：

一是供电线路在高负荷条件下运行了10年，已经出现老化迹象，一旦线芯裸露就会有短路打火现象，存在火灾威胁；

二是空调是家用机，不能进行湿度控制也不适合连续运行，在气温稍高时总是停机，迫使管理人员每个双休日都要前来检查是否停机，检查的结果，在气温达到30度以上时，停机的概率大约为30%左右，这对服务器危害很大，既影响了运行效率也对服务器寿命产生负面作用；

三是机柜前后布线空间狭小，强电弱电不能实施分离布线，以及没有配备p电源分配器也是混线和防火隐患；

四是安全报警设施不齐备，在机房内间空间缺少防火、防盗、防水、温度、湿度、供电状态等感知和报警装置。

上述四项的具体整改措施已在“网络主机房易地改扩建实施项目与要求”中列入。详见附件。

特此报告

宣传信息中心

20XX年6月28日

第二篇：XXX统计局机房管理自查报告

省统计局计算中心：

XXX统计局机房自20XX年9月10日竣工投入使用以来，各方面运行良好。根据青统办[20XX]35号文件精神，我局对机房管理进行了自查，现将自查情况汇报如下：

1、我局现有计算机专职人员2名，负责机房的日常管理及维护工作。

2、州统计局机房为8+1结构，机房内窗明几净，卫生整洁，布局合理。机房现有服务器2台，计算机5台，网络打印机、ups及网络防火墙各1台，机位及机器设备进行了合理的分配，基本上能够满足各专业人员的需要。

3、我局于20XX年已完成了局域网络的建设，并已于20XX年9月连接到了省局网络，通过统计系统的内部网络，可以更便捷的了解到全国各地的统计信息。也连接了政府网络，可以直接登陆互联网，能够直接为党政领导服务。

4、XXX统计局机房有专业人员负责管理，严格遵守规章制度，保证网络运行稳定、安全，为统计局各项工作打好基础。

5、XXX统计局机房根据省局机房管理制度及相关制度，制定了《XXX统计局机房管理制度》、《XXX统计局上网信息保密制度》等管理制度，并严格执行。

6、我局定期对计算机硬件进行维护。购买了正版瑞星杀毒软件，每天进行版本升级，并在每星期五下午断开网络对所有计算机进行病毒检测和清理。

7、XXX统计信息网站于20XX年建成，运行良好，版面新颖，结构合理，内容更新及时，起到了为各级党政领导及人民群众服务的作用，也得到了各方好评。20XX年XXX统计信息内网也相继建成，并由专人负责管理，更好地实现了统计系统的交流服务工作。

8、上网信息及报送信息严格按照省局制定的规章制度执行，做到信息报送及时准确，重要信息不漏报。

9、20XX年开始，XXX统计局着手数据库的开发工作，收集并整理了历史资料，制作完成了《XXX情》数据库材料，并制作成多形式的`版本，方便各方面的需要，提高了数据查询能力。

10、20XX年，XXX统计局上网信息、分析100余篇，经过全省统计系统评比，位列第二名，并且具有较高的质量，统计信息服务能力得到提高，受到了政府党政领导的好评。

总之，两年来，XXX统计局机房严格依照各项机房规章制度进行管理，开展了多项机房达标工作，计算中心起到了良好的信息服务作用，得到了各级领导的好评。通过自查我们认为XXX统计局机房完全达到了优良机房的标准。

第三篇：高台一中一号机房安全自查报告

高台一中一号机房建成于20XX年8月，位于实验教学楼五楼，其主要目的是承担高中学生信息技术课上机练习、信息技术课考试。另外还用于教师学习、培训，学生上网查阅资料等。

一、硬件配置：

教师机（1台），处理器：p4 1。8g，硬盘：40g，内存：256m，光驱：48x。

学生机（56台），处理器：赛扬1。3g，硬盘：30g，内存：128m，无光驱。

二、软件配置：

教师机安装windows20XX server操作系统，作为机房的教师机兼服务器。供教师备课、教学之用。学生机均安装windows xp 操作系统，并与教师机相互连网。安装了极域电子教室系统，辅助教师教学。

为确保师生人身和国家财产安全。为此，我们主要做了以下安全管理工作：

1．以预防为主，确保实验教学安全

我们在实验室管理过程中以预防为主，时时、处处、事事都要把安全放在首位。把握机房管理过程中的各个环节，做好预防工作，把事故的隐患消除在过程进行之前。

2．确保用电安全

机房教学设备的存放和使用过程中离不开电，确保用电安全是实

验室安全管理的重要任务之一。实验室现设有总配电盘、漏电保护器。实验室管理人员每天离开实验室时均将总电闸断开。用电器都已接地，并经常检查接地是否良好。清洁大扫除时，不能弄湿电源线，不能用潮湿的手触摸正在工作的电器设备。检修电源线和用电器时必须切断电源，切忌带电操作。

3．定期检查实验室消防设施

机房严禁吸烟，以免发生火灾。机房的消防设施，如灭火器、消防水管、桶等都已定点布设，做到使用方便。开学时全面检查了所有消防设施，发现问题，及时进行了处理。

4．做好防盗工作

机房加固了门窗，有专人看管钥匙，并安装有多处防盗设施，积极做好防盗工作。

5．保持机房清洁卫生

每周彻底进行2次大扫除，保持机房清洁卫生。并经常开窗通风，确保空气流通，预防传染病的发生。

6。处理好突发事故

机房发生触电、爆炸、着火、失窃等突发事故，要迅速果断处理。并立即报告校领导。事后要查明原因，总结经验，并把事故发生原因及损失情况报告主管部门。

第四篇：XXX统计局机房管理自查报告

省统计局计算中心：

1、我局现有计算机专职人员2名，负责机房的日常管理及维护工作。

3、我局于20XX年已完成了局域网络的建设，并已于20XX年9月连接到了省局网络，通过统计系统的内部网络，可以更便捷的了解到全国各地的统计信息。也连接了政府网络，可以直接登陆互联网，能够直接为党政领导服务。

4、XXX统计局机房有专业人员负责管理，严格遵守规章制度，保证网络运行稳定、安全，为统计局各项工作打好基础。

5、XXX统计局机房根据省局机房管理制度及相关制度，制定了《XXX统计局机房管理制度》、《XXX统计局上网信息保密制度》等管理制度，并严格执行。

6、我局定期对计算机硬件进行维护。购买了正版瑞星杀毒软件，每天进行版本升级，并在每星期五下午断开网络对所有计算机进行病毒检测和清理。

7、XXX统计信息网站于20XX年建成，运行良好，版面新颖，结构合理，内容更新及时，起到了为各级党政领导及人民群众服务的作用，也得到了各方好评。20XX年XXX统计信息内网也相继建成，并由专人负责管理，更好地实现了统计系统的交流服务工作。

8、上网信息及报送信息严格按照省局制定的规章制度执行，做到信息报送及时准确，重要信息不漏报。

9、20XX年开始，XXX统计局着手数据库的开发工作，收集并整理了历史资料，制作完成了《XXX情》数据库材料，并制作成多形式的版本，方便各方面的需要，提高了数据查询能力。

10、20XX年，XXX统计局上网信息、分析100余篇，经过全省统计系统评比，位列第二名，并且具有较高的质量，统计信息服务能力得到提高，受到了政府党政领导的好评。

总之，两年来，XXX统计局机房严格依照各项机房规章制度进行管理，开展了多项机房达标工作，计算中心起到了良好的信息服务作用，得到了各级领导的好评。通过自查我们认为XXX统计局机房完全达到了优良机房的标准。

第五篇：机房安全检查自查报告

一、 整体情况

1、机房位于建筑物的层，面积平方，楼板荷载kn/平方米。

2、机房整体初建竣工时间

3、最后升级时间。其中ups主机年ups电池月，精密空调20XX年7月，环境监控系统20XX年7月。

二、 设备参数情况

1、市电供电回路数共路，其中第路，第路，第路kva。

2、有后备供电措施。

3、ups主机共其中第台kva，第台kva，第台kva，单机运行。

4、ups电池后备时间设计为ah，共块。

5、机房有精密空调。如有，共台，其中第kw，第台制冷量kw， 第台制冷量kw， 第台制冷量kw， 第台制冷量kw。（未尽可续）

6、无气体消防系统。启动方式为，自动 年检到期日为20XX年12月。

7、有效的防雷措施。

三、 设备保修情况

截至填报日止，设备的保修截至日期和级别情况：

1、空调，保修截止年日，第三方，响应级别到达现场时间0小时。

2、ups，保修截止年日，第三方，响应级别到达现场时间5小时。

3、供配电，保修截止年月日，响应级别到达现场时间

四、 设备运行指标

1、ups近2周的负载率平均值为。

2、空调近2周的温度平均值 22℃，湿度%，温度最高值 24 ℃。

3、电池近2周的电压最高值v，最低值，平均值v。

五、 设备巡检情况

1、空调巡检频率，每年次，最后一次巡检时间为20XX年4月15日。

2、ups巡检频率，每年年 月 日。

3、消防系统巡检频率，每年次，最后一次巡检时间为20XX年3月15日。

4、电池放电频率，每年次，最后一次放电时间为月 日。

六、 常见问题检查

1、设备有无老化情况，如有，请说明。

2、电缆线材有无老化情况，如有，请说明。

3、空调有无制冷能力不足的情况，如有，请量化说明。

4、ups有无容量不足，负载率高的情况，如有，请量化说明。

5、电池有无后续能力不足的情况，如有，请量化说明。

6、机房有无物理指标不足的情况，如有，请说明。

七、 机房事故应急预案及最近一次应急演练情况可作为附件上报。

八、 机房现状及整改方案

我公司机房整体情况一般，主要问题是由于公司部门和办公室的经常调整，导致配线架线路比较凌乱，我部近期将进行整改，利用周末或晚上时间，将机房线路重新整理，整理完成时间在20XX年8月1日前。

自查完成时间： 20XX年6月28日

分管领导签字：

㈡ 网络安全的预防措施

网安措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
（一）保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：
（1）全面规划网络平台的安全策略。
（2）制定网络安全的管理措施。
（3）使用防火墙。
（4）尽可能记录网络上的一切活动。
（5）注意对网络设备的物理保护。
（6）检验网络平台系统的脆弱性。
（7）建立可靠的识别和鉴别机制。
（二）保护应用安全。
保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
（三）保护系统安全。
保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：
（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。
（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。
（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。
商交措施
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。
（一）加密技术。
加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。
（1）对称加密。
对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
（2）非对称加密。
非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。
（二）认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。
（1）数字签名。
数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。
（2）数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。
（三）电子商务的安全协议。
除上文提到的各种安全技术之外，电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。
（1）安全套接层协议SSL。
SSL协议位于传输层和应用层之间，由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC，然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
（2）安全电子交易协议SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。SET主要由三个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层，其认证体系十分完善，能实现多方认证。在SET的实现中，消费者帐户信息对商家来说是保密的。但是SET协议十分复杂，交易数据需进行多次验证，用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外，还有发卡行、收单行、认证中心、支付网关等其它参与者。
加密方式
链路加密方式
安全技术手段
物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。
访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等等。
数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。
网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。
隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。
其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。
安全防范意识
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。
主机安全检查
要保证网络安全，进行网络安全建设，第一步首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具，彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性，一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定，并对评测系统进行强有力的分析处置和修复。
主机物理安全
服务器运行的物理安全环境是很重要的，很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素，因为在选择IDC时你自己会作出决策。
在这里着重强调的是，有些机房提供专门的机柜存放服务器，而有些机房只提供机架。所谓机柜，就是类似于家里的橱柜那样的铁柜子，前后有门，里面有放服务器的拖架和电源、风扇等，服务器放进去后即把门锁上，只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子，开放式的，服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别，显而易见，放在机柜里的服务器要安全得多。
如果你的服务器放在开放式机架上，那就意味着，任何人都可以接触到这些服务器。别人如果能轻松接触到你的硬件，还有什么安全性可言?
如果你的服务器只能放在开放式机架的机房，那么你可以这样做：
（1)将电源用胶带绑定在插槽上，这样避免别人无意中碰动你的电源；
（2)安装完系统后，重启服务器，在重启的过程中把键盘和鼠标拔掉，这样在系统启动后，普通的键盘和鼠标接上去以后不会起作用(USB鼠标键盘除外)
（3)跟机房值班人员搞好关系，不要得罪机房里其他公司的维护人员。这样做后，你的服务器至少会安全一些。

㈢ 实验室安全包括

实验室安全包括：信息安全、化学安全、物理安全、环境安全、人员安全。

1、信息安全：信息安全涉及实验室中的数据、信息和网络的安全，需要采取一系列安全措施，防止信息泄露、篡改和攻击，确保实验室信息的安全。

2、化学安全：化学安全涉及实验室中使用的各种化学药品和危险品，包括储存、使用、处理和废弃物的处理等方面，需要制定严格的管理制度和操作规程，确保实验室化学安全。

3、物理安全：物理安全主要涉及实验室中的电气、机械、非电离辐射、高电压、高频等物理危险因素，需要制定相应的安全标准和操作规程，确保实验室物理安全。

4、环境安全：环境安全包括实验室内部和周边环境的安全，如防火、防水、防盗、防爆等，需要制定完善的安全制度和应急预案，确保实验室环境安全。

5、人员安全：人员安全主要包括实验室工作人员的安全培训、个人防护装备的配备、安全操作规程的遵守等，确保实验室工作人员的人身安全。

实验室安全的重要性：

1、防止意外伤害：在实验室中，可能会接触到化学品、高压电流等危险物品，如果不注意安全操作，可能造成严重的身体伤害。因此，实验室应该配备必要的防护装备和安全设备，以确保实验人员的安全。

2、防止环境污染：许多实验室需要进行化学或生物试验，这些试验可能对环境造成污染。如果实验室没有采取适当的环境保护措施，可能会导致水源、土壤和空气的污染，对周围的生态环境造成污染。

3、保护知识产权：许多实验室进行的研究涉及机密信息，如专利、商标和其他知识产权。如果这些信息泄露到外部，可能会导致商业损失和声誉受损。因此，实验室必须采取措施确保知识产权的保护。

4、防止数据丢失：在实验室中，经常会发生数据丢失的情况，这可能是由于计算机系统崩溃、电力故障或其他原因造成的。为了避免这种情况的发生，实验室需要做好数据备份工作，并使用可靠的存储设备和传输协议来保护数据的安全性。

㈣ 信息安全隐患有哪些

从大的方面讲，信息安全主要包括：运行安全（主要是由网络和计算机构成的平台）、交易安全（传输过程中的数据安全）、内容安全、个人或单位隐私保护。几年前，谈论信息安全还仅限于政府部门内部，而且所涉及的也大多是内容安全、防止泄密等。但近几年，在新经济的环境下，所有人的生活已与网络形成了非常紧密的联系，随着安全问题越来越引起政府和企业的关注，各种安全技术和产品也不断涌现出来。但值得思考的是，为什么在强大的防御技术的保护下，信息的安全问题反而越来越多，入侵与反入侵技术总是在上演“道高一尺，魔高一丈”的活剧？在中国，信息安全应用的最大隐患到底在哪里？其症结究竟是什么？
管理：信息安全应用的最大漏洞
据统计，在美国被中国黑客攻击的网站中，政府网站占3％，而在中国遭到美国黑客攻击的网站中，政府网站竟占37％还多。这个数字充分说明，中国的政府网站应该进行的管理没有到位。其实，美国人所采用的攻击手段并不高明，其中许多技术漏洞都是被中国人最早发现并公布的，但正是由于在管理上没有得到足够的重视，才让别人利用简单的技术钻了空子。
提高安全管理意识已刻不容缓。中国国家计算机网络与信息安全实验室主任白硕先生在接受记者采访时说：“目前，中国的信息安全在技术上的最大隐患是，操作系统、微电子芯片、路由器等核心技术都掌握在别人手里，这是一个极为严重的问题。像中国这样一个大国，没有自己的核心技术，就好像所有的信息系统都建筑在沙滩上一样，稍有风吹草动，我们就会失去平衡。尽管不久前中国国防科技大学推出了自主研制的核心路由器，中科院软件所也有了相应的安全操作系统软件推出，但这些刚刚起步的技术离可用还有一段距离，况且面对着如此具大的应用市场，这一点突破仍然是杯水车薪。”
那么，如何解决当前的问题?在只能采用国外产品的情况下如何保证信息的安全？怎样在现有条件下，对一些疑点进行修补呢？白硕先生认为，一个最直接、最有效的方法就是拉紧管理这根线，用严密的制度弥补技术上的不足。近几年，我国的政府机构为了加强对信息安全的保障，实行了内网与外网分离的策略，但这种隔离从严格意义上讲只能防外而不能防内。事实上，不管多么先进的安全技术，都抵挡不住从内部攻破，先进技术解决不了人的问题，“家贼难防”是尽人皆懂的道理。北京邮电大学信息安全中心杨义先生曾说过，信息安全在管理方面还存在几个问题：一是CA(数字证书认证中心)的建设，目前全国共建立了不下20个CA认证机构，其实有一个就足够了；二是目前的安全问题，包括病毒、网络安全、加密等，也分属很多部门管理，各有各的标准。建议设立一个统一的部门，把认证及所有安全问题统一管起来，以保证拥有一个标准的控制手段。
投资失衡：信息安全应用的隐患之一
信息安全在技术与管理上的比重失调还明显地体现在投入上。目前在中国，大多数企、事业单位在建立信息系统时，安全建设方面的投入均不足整个系统的5％，而国外在这方面的投入一般都在10％～15％。如果对这5％的投入进行具体分析，其中用于购买硬件设备的投资已基本接近发达国家的水平，而购买服务和管理的投资几乎为零，因而从信息系统建设一开始就已经给安全带来了极大的隐患。
那么，企、事业单位在IT投资时，安全管理方面的资金应该投到哪些方面呢？在一个信息化系统中，属于管理的问题有很多，在某些情况下，与信息化配套的管理机制不可能自发地产生，这时安全管理就必须进行购买，也就是花钱买管理。企业或事业单位应该与一些专业从事安全管理的公司进行合作，共同建立起一套管理体系，包括质量管理体系、文档管理体系、组织体系、监督检查机制等，要根据各单位具体的安全需求配置安全级别。单位中需要管理的事务很多，如果管理机制得不到很好的惯彻，安全是无从谈起的。
另一个资金投向应该是安全服务。信息技术在不断地发展，安全问题也将随着网络应用的不断深化而变化出更多的新内容，安全漏洞防不胜防。然而，目前对于中国的许多企、事业单位来说，最为困难的还是缺少能够全面承担起各种安全系统管理重任的人才，在这种情况下，唯一的变通方法就是花钱买服务。但是，目前在中国，各单位在安全服务方面的投入也基本为零。
技术分布失衡：信息安全应用的隐患之二
白硕先生认为，目前在国内市场上，保障网络安全的产品不是太少，而是太多了。但从分布上看，少数类型的产品又过于集中。例如防火墙，现在许多厂商都在做防火墙，已经造成一种水平不高的重复，从宏观上看这并不是一种理想的技术格局。网络安全保障具有非常多的环节，包括预防（漏洞扫描、风险评估等）、实时检测、审计、记录取证、灾难恢复以及对于攻击的响应手段等，但目前这些安全环节在产品开发上并没有得到合理的分布，如安全中的必要环节审计、取证、备份和灾难恢复等产品数量偏少，而且没有过硬的技术。
作为政府的信息安全管理部门，信息产业部计算机网络与信息安全中心目前非常关注安全产品和服务的标准及立法等问题(即对于安全产品及服务的合格认证)。不久他们将召开一次关于网络安全服务试点选择的会议，并将出台一系列具有长远规划的安全法规和政策，力图让人们看到国家信息安全发展的脉络。而对于标准，他们希望改变现有的工作模式。过去的方法是，由国家下达一个标准化研究任务，一些专门从事标准研究的机构就开始制定工作，现在看来这种方式已经不适应时代的发展，因为专职研究机构距离研制安全产品的第一线还有相当大的距离，因此对于一些策略的理解还存在很大差距。信息产业部希望，将这种研究方式转化成以企业为主的标准研究方式，把一些真正有实力的大型企业联合起来，共同承担标准的制定工作。
追求安全不应该制约发展
安全问题是现代经济发展的最大障碍，但是不是因为安全问题得不到很好的解决，国家和企业就必须放慢发展的步伐呢？在讨论安全与发展的关系之前，我们需要搞清楚的是，什么样的系统是安全的系统。一个商业系统，永远也做不到政府和军方那样的安全程度。招商银行总行电脑部周天虹说：“在商业系统内部，安全是一个相对的概念，因为我们无法追求绝对安全。什么叫相对安全？首先，安全问题所带来的损失是商业企业能够承受的。例如信用卡业务，它的风险很大，但是银行仍然在大规模地开展这项业务，这是由于信用卡风险大同时利润也很大，招商银行大约30％的利润都来自信用卡；第二，一定要确保不给客户造成损失，这是在任何银行系统中都必须遵循的一个硬指标。一旦出现问题，只要有证据显示责任不在客户，银行必须承担损失。有了这两条原则，银行就可以求发展。”
信息安全是一个综合性的问题，从政府部门的角度看，安全与发展也是一个辩证的关系。政府机构对于安全的需求也是分等级、分层次的，只要不突破安全底线，还是要边发展边完善。目前保障安全的技术已经很多了，其中用户的身份识别就是一个极为重要的方面，此外还有服务器端的管理，如安装监测软件、防火墙等等。但最关键的一点还是如何使用这些技术，使系统既安全又好用。总的来说，一个系统是不是安全，绝不是单纯的技术问题，对于业务的管理已影响到了信息安全应用的方方面面，如事后监督、实时监控等。如果从管理和技术两方面都能够做到万无一失，我们就可以得到一个相对安全的环境。