1.6 我國網絡與信息安全存在的不足

新技術的出現、網絡攻擊技術水平的提高以及國際上網絡戰、信息戰形勢的發展，對系統網絡與信息安全提出了新的挑戰，使我國網絡與信息安全面臨著巨大的風險，同時信息化的發展，對網絡與信息安全提出了新的要求，現有的安全防護措施和技術已不能滿足當前的網絡與信息安全需求，主要體現在以下幾個方面。

① 對信息安全的重要性和緊迫性缺乏全面準確的認識；對以計算機網絡為主體的信息系統存在的安全漏洞和隱患認識不清；對涉密信息可能遭到多途徑、多手段的持續攻擊的嚴重性認識和準備不足；特別是對當前國際網絡戰和信息戰大環境下組織實施信息安全保障工作的艱巨性、復雜性認識還不夠到位。

② 對信息安全的底數不清，有多少軟件、硬件的信息資源需要防護，各個信息資源的安全問題和根源在什么地方，針對得個信息資源的安全防護措施是什么，現有安全防護手段和措施有多少，能夠達到什么樣的防護能力等，都是一筆糊涂賬。

③ 沒有意識到信息安全是高層領導管理中一項極其重要的工作，尚沒有對信息安全予以足夠的關注和重視。高層領導的信息安全策略是信息安全管理計劃的核心和基礎。該策略是所有信息安全策略、過程和標準的起點和基礎。信息安全不僅是一個技術問題，而且是一個管理問題。信息安全問題僅靠技術手段是不能解決的，管理部門越早發現問題，就能越快引起重視。然而遺憾的是，管理人員往往認為用技術手段就足以解決問題了，因此將出現的問題授權或降級給技術部門處理，而后就再也不聞不問。所以，沒有一個全面的、科學的、持續的安全管理體系，再好的技術也難以解決信息安全問題。

④ 國際網絡與信息安全形勢的發展，客觀上要求在頂層必須有一個強有力的重要安全保障機構，來實施組織領導和統一協調，以集中方方面面的有效力量。中共中央網絡安全和信息化領導小組辦公室（簡稱“網信辦”）的成立改變了我國的網絡與信息安全工作沒有權威領導機構的狀況，但是各自為政、多頭管理的情況沒有改變，嚴重制約了網絡與信息安全工作的整體推進與發展。由于職責不明、關系不順、缺乏統一的組織領導和籌劃協調，使得網絡與信息安全缺乏統一的頂層安全防護思想，安全管理目標與安全建設不一致。

⑤ 信息安全建設缺乏效能評估的基礎。信息安全建設必須建立在效能評估的基礎上，信息安全的目的是降低信息資源面臨的風險，但如果不清楚已有的安全基礎設施效能如何，自己存在哪些潛在的威脅，那么就會無的放矢，就會造成無謂的浪費。

⑥ 沒有意識到信息安全管理在整個信息安全保障體系中的地位與作用。信息資源須預防哪些風險？針對這些風險，應采取哪些應對措施？這些都是信息安全管理人員最需要了解和掌握的。

⑦ 實施等級化的安全管理措施遠未到位。信息安全等級化就是根據信息基礎的重要性將信息基礎設施和信息資源劃分成不同等級，然后根據不同等級實施不同的防護，做到“重點資產重點保護”，提高保護效率。

⑧ 沒有意識到信息安全策略的執行和監督是網絡信息安全過程中不可缺少的方法和手段。僅有一個良好的信息安全策略和完整的支撐策略是不夠的，如果它們沒有得到有效的遵守和執行，那么一切都是空談，得不到正確執行的策略是無用的。網絡信息安全管理人員應被授權用技術或非技術手段來監督策略的遵守和執行，發現異常情況應及時進行處理。

⑨ 網絡信息安全制度不健全，責任不落實，管理不到位，缺乏統一的建設規范與標準，安全建設與安全需求不一致。信息安全系統建設客觀上要求，要從政策指導上規定信息安全保障的舉措，從行政手段上制定一套完整、嚴密的信息安全管理制度，這是信息安全系統建設與發展的重要保障。

⑩ 防護技術和理念相對落后，目前主要還是以“防護”為基礎的安全理念，以為買點安全產品部署上去就高枕無憂了，而不是對信息資源采取積極“防御”的思想，技術上也缺乏以安全“保障”為目的的第二代網絡安全防護技術。第二代網絡安全防護技術以檢測技術為核心，以恢復技術為后盾，融合了保護、檢測、響應、恢復等技術。通過檢測和恢復技術，發現網絡系統中異常的用戶行為，根據事件的嚴重性，進而采取相應的措施。

基礎設施離安全需求差距甚遠：出于配置上的方便和轉發效率的考慮，很多單位的防火墻規則設置的粒度比較粗，只指定了端對端通信的IP地址，并沒有指定端對端通信的協議、端口號等較細的內容；入侵監測系統針對性不強，系統監測網絡上的非法網絡攻擊的能力已經大打折扣；內外網互聯監控系統部署情況并不理想，一些單位并未部署該系統或未在全部終端上部署，存在監控的死角；對信息安全產品的采購和使用沒有強制性的政策和規定，缺乏有效地檢測和監督。目前用于涉密信息系統的安全設備，不少是從國外進口的，其操作系統、芯片等核心技術幾乎是清一色的“舶來品”，其中有意預設或無意產生的后門、漏洞數不勝數，存在著嚴重的安全隱患。

避災、減損、應急響應方面還缺乏手段，主要問題表現為以下幾個方面。

網絡中部署的各種安全產品各自為戰，并認為部署了安全設備就搞好了安全，不能在統一安全體系下運作，面對各種情況的網絡安全問題時，無法協調配合應對。

缺乏避災、減損措施，網絡攻擊是不可避免且具有創造性的，無數的網絡安全事件告訴我們，網絡的安全僅依靠“堵”和“防”是不夠的，一旦危險發生，安全系統應能夠通過檢測到局部系統的失效或估計到系統被攻擊，而加快反應時間，調整系統結構，重新分配資源，使信息保障上升到一種在攻擊發生的情況下能夠繼續工作的系統。

缺乏反擊手段，在發現系統有異常時，安全系統應能夠根據系統安全策略快速做出應急響應及主被動協同防護等措施，并追蹤、定位攻擊源，從而達到保護系統安全的目的。

安全防護不成體系，沒有科學的可操作標準，安全防護只是集成到基礎架構中，與信息應用系統成煙囪狀，沒有嵌入到應用系統的基礎架構中，只有將核心的信息安全控制嵌入到虛擬基礎架構，防護體系與應用系統融為一體才能幫助組織降低風險，提高整體信息安全狀況。

防護力量遠遠不夠，安全防護力量的組織建立不健全，形不成有效的作戰能力，此外，信息安全人才的數量和質量遠不能適應信息安全保障工作和信息化發展的需求，特別是高層次信息安全技術與管理人才嚴重缺乏，人才培養任務艱巨，任重道遠。

沒有應對大規模信息作戰安全防護的方案和策略，很難應對網絡信息作戰。

上述分析表明，建立網絡信息安全防護體系是一項十分緊迫的任務。必須抓緊建立健全網絡信息安全組織機構，加強對網絡信息安全產品的研制和管理，及時發現、追蹤和查處通過計算機信息網絡進行的違法和違規行為，盡快建立網絡信息安全應急響應和災難恢復體系，為信息化建設保駕護航。