1.6 我国网络与信息安全存在的不足

新技术的出现、网络攻击技术水平的提高以及国际上网络战、信息战形势的发展，对系统网络与信息安全提出了新的挑战，使我国网络与信息安全面临着巨大的风险，同时信息化的发展，对网络与信息安全提出了新的要求，现有的安全防护措施和技术已不能满足当前的网络与信息安全需求，主要体现在以下几个方面。

① 对信息安全的重要性和紧迫性缺乏全面准确的认识；对以计算机网络为主体的信息系统存在的安全漏洞和隐患认识不清；对涉密信息可能遭到多途径、多手段的持续攻击的严重性认识和准备不足；特别是对当前国际网络战和信息战大环境下组织实施信息安全保障工作的艰巨性、复杂性认识还不够到位。

② 对信息安全的底数不清，有多少软件、硬件的信息资源需要防护，各个信息资源的安全问题和根源在什么地方，针对得个信息资源的安全防护措施是什么，现有安全防护手段和措施有多少，能够达到什么样的防护能力等，都是一笔糊涂账。

③ 没有意识到信息安全是高层领导管理中一项极其重要的工作，尚没有对信息安全予以足够的关注和重视。高层领导的信息安全策略是信息安全管理计划的核心和基础。该策略是所有信息安全策略、过程和标准的起点和基础。信息安全不仅是一个技术问题，而且是一个管理问题。信息安全问题仅靠技术手段是不能解决的，管理部门越早发现问题，就能越快引起重视。然而遗憾的是，管理人员往往认为用技术手段就足以解决问题了，因此将出现的问题授权或降级给技术部门处理，而后就再也不闻不问。所以，没有一个全面的、科学的、持续的安全管理体系，再好的技术也难以解决信息安全问题。

④ 国际网络与信息安全形势的发展，客观上要求在顶层必须有一个强有力的重要安全保障机构，来实施组织领导和统一协调，以集中方方面面的有效力量。中共中央网络安全和信息化领导小组办公室（简称“网信办”）的成立改变了我国的网络与信息安全工作没有权威领导机构的状况，但是各自为政、多头管理的情况没有改变，严重制约了网络与信息安全工作的整体推进与发展。由于职责不明、关系不顺、缺乏统一的组织领导和筹划协调，使得网络与信息安全缺乏统一的顶层安全防护思想，安全管理目标与安全建设不一致。

⑤ 信息安全建设缺乏效能评估的基础。信息安全建设必须建立在效能评估的基础上，信息安全的目的是降低信息资源面临的风险，但如果不清楚已有的安全基础设施效能如何，自己存在哪些潜在的威胁，那么就会无的放矢，就会造成无谓的浪费。

⑥ 没有意识到信息安全管理在整个信息安全保障体系中的地位与作用。信息资源须预防哪些风险？针对这些风险，应采取哪些应对措施？这些都是信息安全管理人员最需要了解和掌握的。

⑦ 实施等级化的安全管理措施远未到位。信息安全等级化就是根据信息基础的重要性将信息基础设施和信息资源划分成不同等级，然后根据不同等级实施不同的防护，做到“重点资产重点保护”，提高保护效率。

⑧ 没有意识到信息安全策略的执行和监督是网络信息安全过程中不可缺少的方法和手段。仅有一个良好的信息安全策略和完整的支撑策略是不够的，如果它们没有得到有效的遵守和执行，那么一切都是空谈，得不到正确执行的策略是无用的。网络信息安全管理人员应被授权用技术或非技术手段来监督策略的遵守和执行，发现异常情况应及时进行处理。

⑨ 网络信息安全制度不健全，责任不落实，管理不到位，缺乏统一的建设规范与标准，安全建设与安全需求不一致。信息安全系统建设客观上要求，要从政策指导上规定信息安全保障的举措，从行政手段上制定一套完整、严密的信息安全管理制度，这是信息安全系统建设与发展的重要保障。

⑩ 防护技术和理念相对落后，目前主要还是以“防护”为基础的安全理念，以为买点安全产品部署上去就高枕无忧了，而不是对信息资源采取积极“防御”的思想，技术上也缺乏以安全“保障”为目的的第二代网络安全防护技术。第二代网络安全防护技术以检测技术为核心，以恢复技术为后盾，融合了保护、检测、响应、恢复等技术。通过检测和恢复技术，发现网络系统中异常的用户行为，根据事件的严重性，进而采取相应的措施。

基础设施离安全需求差距甚远：出于配置上的方便和转发效率的考虑，很多单位的防火墙规则设置的粒度比较粗，只指定了端对端通信的IP地址，并没有指定端对端通信的协议、端口号等较细的内容；入侵监测系统针对性不强，系统监测网络上的非法网络攻击的能力已经大打折扣；内外网互联监控系统部署情况并不理想，一些单位并未部署该系统或未在全部终端上部署，存在监控的死角；对信息安全产品的采购和使用没有强制性的政策和规定，缺乏有效地检测和监督。目前用于涉密信息系统的安全设备，不少是从国外进口的，其操作系统、芯片等核心技术几乎是清一色的“舶来品”，其中有意预设或无意产生的后门、漏洞数不胜数，存在着严重的安全隐患。

避灾、减损、应急响应方面还缺乏手段，主要问题表现为以下几个方面。

网络中部署的各种安全产品各自为战，并认为部署了安全设备就搞好了安全，不能在统一安全体系下运作，面对各种情况的网络安全问题时，无法协调配合应对。

缺乏避灾、减损措施，网络攻击是不可避免且具有创造性的，无数的网络安全事件告诉我们，网络的安全仅依靠“堵”和“防”是不够的，一旦危险发生，安全系统应能够通过检测到局部系统的失效或估计到系统被攻击，而加快反应时间，调整系统结构，重新分配资源，使信息保障上升到一种在攻击发生的情况下能够继续工作的系统。

缺乏反击手段，在发现系统有异常时，安全系统应能够根据系统安全策略快速做出应急响应及主被动协同防护等措施，并追踪、定位攻击源，从而达到保护系统安全的目的。

安全防护不成体系，没有科学的可操作标准，安全防护只是集成到基础架构中，与信息应用系统成烟囱状，没有嵌入到应用系统的基础架构中，只有将核心的信息安全控制嵌入到虚拟基础架构，防护体系与应用系统融为一体才能帮助组织降低风险，提高整体信息安全状况。

防护力量远远不够，安全防护力量的组织建立不健全，形不成有效的作战能力，此外，信息安全人才的数量和质量远不能适应信息安全保障工作和信息化发展的需求，特别是高层次信息安全技术与管理人才严重缺乏，人才培养任务艰巨，任重道远。

没有应对大规模信息作战安全防护的方案和策略，很难应对网络信息作战。

上述分析表明，建立网络信息安全防护体系是一项十分紧迫的任务。必须抓紧建立健全网络信息安全组织机构，加强对网络信息安全产品的研制和管理，及时发现、追踪和查处通过计算机信息网络进行的违法和违规行为，尽快建立网络信息安全应急响应和灾难恢复体系，为信息化建设保驾护航。