网络信息安全管理方面还存在哪些不足

① 我国信息安全管理的现状、问题及其对策

我国信息安全管理的现状、问题及其对策

摘要：信息安全是国家安全的基础和关键。在信息安全保障的三大要素(人员、技术、管理)中，管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。本文分析了信息安全管理的现状，并着重讨论了加强信息安全管理的策略。
关键词：信息安全；管理；现状；策略

信息安全管理是随着信息和信息安金的发展而发展的。在信息社会中，一方面信息已经成为人类的重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，这样将使组织在业务运作过程巾面临巨大的风险。这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞， 以及大量存在于组织内外的各种威胁， 因此对信启、系统需要加以严格管理和妥善保护，信息安全管理也随之产生。

1、国内信息安全管理现状
1．1在国家宏观信息安全管理方面的问题
(1)法律法规问题。健全的信息安 法律法规体系是确保国家信息安全的基础，是信息安全的第一道防线。我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷，一是现有的法律法规存在不完善的地方，如法律法规之间有内容重复交叉， 同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不�6�8一致；二是法律法规建设跟不上信息技术发展的需要，这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法律法规缺乏。
(2)管理问题。管理包括三个层次的内容：组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容，因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之问，要有明确的分工，以避免“政出多门”和“政策拉车”现象的发生。需要建立切实可行的规章制度，即进行制度建设，以保证信息安全。如对人的管理，需要解决多人负责、责仔到人的问题，任期有限的问题，职责分离的问题，最小权限的问题等。有了组织机构和相应的制度，还需要领导的高度重视和群防群治，即强化人员的安全意识，这需要信息安全意识的教育和培训，以及对信息安伞问题的高度重视。
(3)国家信息基础设施建设问题。目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。关于国家信息基础设施方面存在的问题已引起国家的高度重视。如“十五”期问，国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目；2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求：电信产品软件商不能在软件上预留“后门”，外国供货商不能远程登录中国电信商的操作系统，高级 管系统要用国内可靠机构开发的软件产品。
1．2我国在微观信息安全管理方面存在的问题主要表现
(1)缺乏信息安全意识与明确的信息安全方针。大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足，或者仅局限于IT方面的安全，没有形成一个合理的信息安拿方针来指导组织的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章组织未必能严格实施等。
(2)重视安全技术，轻视安全管理。目前组织普遍采用现代通信、计算机和网络技术来构建信息系统，以提高组织效碍暑与竞争能力，但相应的管理措施不到位，如系统的运行、维护和开发等岗位不清，职责不分，存在一人身兼数职现象。
(3)安全管理缺乏系统管理的思想。大多数组织现有的安全管理模式仍是传统的管理方法，出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全风险评估基础上的动态的持续改进管理方法。

2、国外信息安全管理现状
国际上信息安全管理近几年的发展主要包括以下几个方面。
(1)制订信息安全发展战略和计划。制订发展战略和计划是发达国家一贯的作法。美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。
(2)加强信息安全立法，实现统一和规范管理。以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站，美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1O月5日美参议院通过了《互联网网络完备性及关键设备保护法案》。2000年9月，俄罗斯实施了关于网络信息安全的法律。
(3)步入标准化与系统化管理时代。随着2O世纪8O年代IS09000质量管理标准的出现及随后在全世界的推广应用，系统管理的思想在其他管理领域也被借鉴与采用，信息安全管理也同样在2O世纪9O年代步入了标准化与系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准，该标准于2000年被国际标准化组织认可为国际标准ISO／IEC17799。现在该标准已引起许多国家与地区的重视，在一些国家已经被推广与应用；组织贯彻实施该标准可以对信息安全风险进行全面系统的管理，从而实现组织信息安全。与此同时，其他国家以及组织也提出了很多与信息安全管理相关的标准。

3、加强信息安全管理的策略
随着国民经济和社会信息化进程的全面加快，信息安全管理工作面临着越来越严峻的形势和挑战。从总体上看，当前，我国的信息安全管理工作尚处于起步阶段，基础薄弱，水平不高，存在许多亟待解决的问题，我们要以全局性的眼光，加强信息安全的组织管理工作。
(1)建立集中统一、分工协作、各司其职的信息安全管理机制。信息安伞保障的关键在于组织领导，要从根本上加强我国的信息安全保障工作，必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。一是国家应建立能够协调维护各种安全利益的综合职能机构，成立有高度权威的国家信息安全委员会，作为国务院信息化领导小组的常设委员会， 以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状；二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系，按照“谁主管、谁负责”的原则，共同履行信息安全管理的职责；三是尽早建立省、市两级比较完善的信息安全领导管理体系， 以便积极调动各种资源主动配合和协调信息安全保障工作，形成纵横结合的信息安全协调与信息共享机制； 四是充分调动政府、企业和个人的积极性，实现有机联动，形成合力，共同构筑国家信息安全保障体系；五是健全和完善信息安全责任体系，要求各部门、各单位明确信息安全工作负责人，配备相应的信息安全员，把信息安全责任真正落实到人。
(2)加强信息安全法制建设，为信息安全管理提供执法依据。作为信息安全保障体系的重要部分，相关法律法规和标准体系的建设已经势在必行。下一步，应着力建立健全信息安全法律法规体系；同时，要注重和加强信息安全执法队伍的建设；各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行，正确行使权力和履行职责，保护企业和公民的合法权益，打击网络违法犯罪；各有关主管部门和运营单位要积极支持执法机关工作，履行应尽的义务；社会团体、企业和个人要认真履行法律规定的信息安全责任和义务，在信息网络环境中依法开展活动。
(3)采取有效措施，积极推进信息安全等级保护工作的顺利开展。实行信息安全等级保护是国家解决信息安全保护问题的基本政策。信息安全等级保护是信息系统的社会价值和经济价值保护的客观要求，即按信息的敏感和重要程度、系统应用性质和资严价值、部门重要程度，分级采取科学、合理的保护措施；对于涉及国计民生的国家关键信息基础设施应分级加以重点保护；适度保护，效费合理，避免盲目和浪费。国家实行信息安全等级保护，必须从总体战略角度考虑，把握关键环节，建立长效保护机制。当前，信息安全等级保护的试点工作已积累了一定的经验，为推动信息安全等级保护工作的伞面开展，应着力做好以下几个方面的工作：明确信息系统等级保护各方责任；制定各项信息安全等级保护管理制度；制定、完善信息安全等级保护管理规范和技术标准体系；依托社会技术力量，组建技术支撑体系；研制开发信息安全等级保护备案、检测、评估信息系统和技术
工具；加强宣传、培训工作等等。
(4)努力探索，创立新形势下的信息网络违法犯罪防范打击体系。近年来，我国在打击网络违法犯罪方面做了大量的工作，也取得了很火的成绩，但是随着信息技术的不断发展，网络违法犯罪的形式更加多样化，技术手段更加先进，这就要求我们不断建立健全信息网络违法犯罪防范打击体系， 以执法职能部门为主体，动员社会各方力量，运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪的行政执法和刑事执法体系，提高对信息网络违法犯罪的防范、控制和侦查、打击能力。重点要做好以下四方面机制建设：一是全社会防范控制机制。二是统一指挥、快速反应的侦查机制。三是有关部门、单位的支持、配合机制。四是公检法三机关的协调、协作机制。

② 现代网络都存在哪些安全问题

当前网络主要存在以下三方面安全问题：

1、网络系统安全

网络系统安全主要是指计算机和网络本身存在的安全问题，也就是保障电子商务平台的可用性和安全性的问题，其内容包括计算机的物理、系统、数据库、网络设备、网络服务等安全问题。

2、网络信息安全

信息安全问题是电子商务信息在网络的传递过程中面临的信息被窃取、信息被篡改、信息被假冒和信息被恶意破坏等问题。

如电子的交易信息在网络上传输过程中，可能被他人非法修改、删除或重放，从而使信息失去原有的真实性和完整性；网络硬件和软件问题导致信息传递的丢失、谬误及一些恶意程序的破坏而导致电子商务信息遭到破坏；交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用等。

3、网络交易安全

交易安全问题是指在电子商务虚拟市场交易过程中存在的交易主体真实性、资金的被盗用、合同的法律效应、交易行为被抵赖等问题。如电子商务交易主体必须进行身份识别，若不进行身份识别，第三方就有可能假冒交易一方的身份，破坏交易，损害被假冒一方的声誉或盗窃被假冒一方的交易成果，甚至进行欺诈。

(2)网络信息安全管理方面还存在哪些不足扩展阅读：

网络安全防护措施：

1、加强设施管理

建立健全安全管理制度，防止非法用户进入计算机控制室和各种非法行为的发生；注重在保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作，确保计算机网络系统实体安全。

2、强化访问控制策略。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。各种安全策略必须相互配合才能真正起到保护作用，但访问控制是保证网络安全最重要的核心策略之一。

③ 计算机网络安全存在的问题有哪些

计算机网络信息安全面临的主要威胁有以下几个：

• 黑客的恶意攻击。

• 网络自身和管理存在欠缺。

• 软件设计的漏洞或“后门”而产生的问题。

• 恶意网站设置的陷阱。

• 用户网络内部工作人员的不良行为引起的安全问题。

• 那就还有人为的误接收病毒文件也是有可能的。

④ 本讲提到，我国在网络信息安全保障方面还有哪些不足

1.人才匮乏。涉及到原理的底层安全人员凤毛麟角，也就是能从编程语言从事安全研究的很少。
2.安全意识不强，民众不重视，公司也不太重视。
我们是做信息安全教育的，叫15PB。对信息安全这行比较了解。这个行业发展其实已经有些年头了，由于知识广泛，且偏难。受众面较小。所以行业一直不温不火。我们这的学生，只要你技术可以的，基本都被抢走了。可见这行业人才供需了。
又由于信息安全，在很多公司不受重视。安全岗位只是停留在web为主的前端安全。并不能深入的探查安全威胁，及有预见性的做防护工作。
所以行业发展不好。

⑤ 网络安全都存在哪些问题

影响网络安全的因素很多，主要是黑客的袭击和计算机病毒的传递。
当前网络主要存在以下三方面安全问题：
网络系统安全
网络系统安全主要是指计算机和网络本身存在的安全问题，也就是保障电子商务平台的可用性和安全性的问题，其内容包括计算机的物理、系统、数据库、网络设备、网络服务等安全问题。
网络信息安全
信息安全问题是电子商务信息在网络的传递过程中面临的信息被窃取、信息被篡改、信息被假冒和信息被恶意破坏等问题。如电子的交易信息在网络上传输过程中，可能被他人非法修改、删除或重放(指只能使用一次的信息被多次使用)，从而使信息失去原有的真实性和完整性;网络硬件和软件问题导致信息传递的丢失、谬误及一些恶意程序的破坏而导致电子商务信息遭到破坏;交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用等。因此，电子商务中对信息安全的要求就是要求信息传输的安全性、信息的完整性及交易者身份的确定性。
网络交易安全
交易安全问题是指在电子商务虚拟市场交易过程中存在的交易主体真实性、资金的被盗用、合同的法律效应、交易行为被抵赖等问题。如电子商务交易主体必须进行身份识别，若不进行身份识别，第三方就有可能假冒交易一方的身份，破坏交易，损害被假冒一方的声誉或盗窃被假冒一方的交易成果，甚至进行欺诈。
需要强调的是，在“互联网+”时代，网络安全至关重要，几乎关心到每个人的隐私和财产安全，于是催生出一个高薪职业，那就是网络安全工程师，很多企业都会聘请专业的网络安全工程师和网络安全团队去维护网络安全。我们个人的网络安全则需要自己去守护，最好的方法就是不要浏览非法网站，不要在不知名商城购物或交易。

⑥ 网络安全存在的问题及对策分析

网络安全存在的问题及对策分析

随着互联网的快速发展，互联网在各个领域的应用取得了积极进展，互联网已经成为多个领域的重要辅助手段，对提高工作效率和改变生活方式起到积极的促进作用。但是随着网络个人信息的增多，以及人们对网络的依赖，网络安全问题成为了制约网络发展的重要因素。同时，网络安全问题还对用户的信息及财产产生了严重的影响和威胁。为此，我们应对网络安全问题引起足够的重视，应从网络安全现存问题入手，分析问题的成因，制定具体的应对策略，保证网络安全问题得到有效解决，提高网络安全性，为用户营造一个安全稳定的网络环境。

网络安全的概念分析

网络安全从本质上来讲就是网络上的信息安全，就是指网络系统中流动和保存的数据，不受到偶然的或者恶意的破坏、泄露、更改。系统连续正常的工作，网络服务不中断。从广义上来说，凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行。网络服务不中断。广义来说凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。

网络安全存在的主要问题分析

从目前网络安全所暴露出的问题来看，重要包括两个大的方面，即自然因素引起的网络安全问题和人为因素引起的网络安全问题，以下我们着重分析这两种网络安全问题。

1、自然因素及偶发因素引起的网络安全问题

计算机系统硬件和通讯设施极易遭受到自然环境的影响，如：各种自然灾害(如地震、泥石流、水灾、风暴、建筑物破坏等)对计算机网络构成威胁。还有一些偶发性因素，如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等，也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对网络安全造成威胁。

2、人为因素引起的网络安全问题

从计算机网络的实际使用来看，人为因素引起的网络安全问题主要表现在以下几个方面：

(1)网络应用中的不安全问题

在网络的应用中，由于网络具有较为开放的特征，因此在网络中信息的传输和交换非常频繁，由此造成的信息安全也成为了网络安全面临的主要问题。在互联网中，用户之间由于现实的数据传输需求，需要保证自己的网络终端属于开放的状态，由此就给他人以植入木马程序等电脑病毒的机会。所以，网络使用中存在的不安全问题是网络安全问题的重要类别。

(2)操作系统本身存在的安全漏洞和缺陷

在网络应用中，操作系统是网络终端用户的重要软件系统。虽然操作系统在开发过程中均会对安全设置予以高度重视，并在使用中起到一定的安全防护作用。但是随着网络黑客手段的升级，操作系统本身存在的.安全漏洞和缺陷逐渐被网络黑客所破解，由此给网络用户的信息和资金安全带来了较大的影响。为此，我们必须对操作系统本身存在的安全漏洞和缺陷有足够的重视，采取积极措施予以弥补。

(3)数据库存在的安全隐患

在互联网使用中，不管是网络用户终端还是各个网站，都会有相应的数据库。在数据库中，存储着大量的信息数据和关键信息。其中有些涉及个人隐私，有些则是涉及资金安全的重要信息。但是从目前数据库建设来看，数据库的安全防御措施比较薄弱，一旦遇到网络入侵，难以形成对数据信息的有效保护，数据库的安全隐患已经成为网络安全的重要问题之一。

(4)网络防火墙存在的安全漏洞和局限性

为了提高网络终端用户的安全防御能力，网络防火墙系统是重要的网终端防御系统。但是受到多种因素的困扰以及网络防火墙技术的限制，在实际使用过程中，网络防火墙不可避免的存在安全漏洞和局限性，这一缺陷导致了网络防火墙只能抵御一般性网络攻击，一旦遇到升级版本的计算机病毒，将无法形成对系统的保护，进而给网络安全造成严重影响。

网络安全问题的应对策略分析

考虑到网络安全问题造成的严重影响，以及网络安全的重要性，在网络使用过程中，我们应对网络安全问题进行认真分析，应从网络发展实际出发，围绕着网络安全存在的问题，制定具体的应对策略，保证网络安全问题得到有效解决，提高网络的安全性和可靠性，促进网络的快速健康发展，为网络用户提供一个安全的网络环境。为此，我们应从以下几个方面入手，制定网络安全问题的应对策略：

1、建立完善的网络安全管理制度，应对网络安全突发事件

为了防范网络系统突然遭遇外界因素干扰进而发生安全问题，应在网络使用过程中，根据自身需要，建立完善的网络安全管理制度，保证对网络安全问题能够有够的预见，并做到在网络安全突发事件中能够采取有效措施予以应对。考虑到网络安全面临的现实影响和威胁，我们应在建立完善的网络安全管理制度的基础上，对网络系统和数据进行备份，避免因外界因素导致数据损坏或丢失。

2、对操作系统进行及时更新，堵塞操作系统的安全漏洞

从目前计算机操作系统的发展来看，操作系统的研发部门能够在操作系统使用一段时间后意识到其存在的漏洞和缺陷，能够通过定期对操作系统进行升级和更新的办法有效堵塞操作系统的安全漏洞，从而满足操作系统的安全性能指标，提高操作系统的防御能力。所以，我们应在网络使用过程中，对操作系统进行及时更新，防患于未然。

3、在网络终端系统中安装杀毒软件，提高防御能力

从目前网络使用过程来看，计算机病毒作为一种特殊代码，无法从根本上予以消除。为了保证网络终端能够满足安全性能要求，我们应在网络终端系统中安装杀毒软件，定期对网络终端系统进行杀毒，保证网络终端系统能够抵御病毒攻击，提高网络终端系统的安全性。在当前网络保护中，安装杀毒软件是一种保护系统安全的有效方式，我们应广泛采用。

4、采用信息加密技术，提高数据库的安全性

考虑到数据信息安全的重要性，在网络使用中，我们应结合数据库的使用特点，对数据库中的信息采取加密技术，防止数据库中的数据被盗用，提高数据的安全性。在数据库信息加密过程中，我们可以采用最新的加密技术，并不定期的更新密钥，保证数据库不被计算机病毒和黑客入侵，达到保护数据库安全的目的。

5、安装高版本的防火墙，采用防火墙和密码相结合的方式提高安全性

对于计算机终端而言，防火墙对防御外界攻击提高系统安全性具有重要意义。为此，我们应在计算机终端上积极安装高版本的防火墙，提高防火墙的防御能力，满足计算机终端的防御需要，同时，我们还可以采用防火墙与密码相结合的方式，提高防火墙和计算机终端的安全性，有效解决网络安全问题。所以，应在每一个计算机终端上都安装防火墙。

通过本文的分析可知，随着互联网的快速发展，网络安全问题不容忽视。为此，我们应从网络安全制度建设、操作系统更新、安装杀毒软件、采用信息加密技术和安装高版本防火墙等手段，有效提高网络安全性能，满足网络安全发展需要。