3)觀念上的重視不夠：目前政府部門、金融部門、企事業(yè)單位的大量業(yè)務(wù)依賴于信息系統(tǒng)安全運(yùn)行，信息安全重要性日益凸顯。大多數(shù)單位已經(jīng)意識(shí)到了網(wǎng)絡(luò)及信息安全問題的重要性，但往往由于部門負(fù)責(zé)人的信息化水平本身不高導(dǎo)致其對(duì)信息安全管理認(rèn)知水平仍停留在較粗淺的低層次上。這主要表現(xiàn)在，沒有配備專職的網(wǎng)絡(luò)安全管理員或其業(yè)務(wù)素質(zhì)不高，沒有建立和落實(shí)完整的網(wǎng)絡(luò)系統(tǒng)安全防范制度，沒有對(duì)網(wǎng)絡(luò)系統(tǒng)和安全產(chǎn)品的配置進(jìn)行有效的管理等方面。

        4、網(wǎng)絡(luò)及信息安全的規(guī)劃

       從網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定與安全、社會(huì)經(jīng)濟(jì)的有序發(fā)展和保護(hù)企業(yè)利益的角度來看，一定要高屋建瓴地進(jìn)行網(wǎng)絡(luò)信息安全保障體系建設(shè)規(guī)劃工作，做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，建立信息安全保障。下面主要介紹如何進(jìn)行有效的網(wǎng)絡(luò)及信息安全規(guī)劃工作。

        4.1 風(fēng)險(xiǎn)分析和評(píng)估

        安全規(guī)劃的第一步是對(duì)用戶內(nèi)部網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估。根據(jù)現(xiàn)代的經(jīng)濟(jì)運(yùn)作理論，對(duì)于網(wǎng)絡(luò)及信息安全方面的投資將被視為一種投資方式，這種投資將帶來企業(yè)在運(yùn)行管理成本、安全事故損失以及企業(yè)形象等方面的收益。在市場(chǎng)經(jīng)濟(jì)領(lǐng)域中任何一種投資都必須有相應(yīng)的回報(bào)，因此投資前的一個(gè)重要措施就是風(fēng)險(xiǎn)分析和評(píng)估，用以確定所需的資金投入。

        安全風(fēng)險(xiǎn)分析和評(píng)估主要應(yīng)從以下二個(gè)方面入手：

        1)安全威脅及其可見性分析：對(duì)用戶企業(yè)所面臨的各種潛在的安全威脅因素及其對(duì)外的可見性進(jìn)行全面分析。安全威脅的存在不一定會(huì)造成事實(shí)的安全事故，安全威脅對(duì)外部是可見的，才有可能引發(fā)安全事故。可能的安全威脅應(yīng)包括軟、硬件以及用戶自身。

        2)組織對(duì)潛在安全風(fēng)險(xiǎn)的敏感性分析：這里的敏感性包括對(duì)安全事故造成的直接經(jīng)濟(jì)損失以及政治上和商業(yè)形象上的損失的敏感程度。敏感性分析的結(jié)果將直接關(guān)系到安全規(guī)劃過程中對(duì)各類安全措施的投入比重和優(yōu)先級(jí)問題。

        4.2 安全策略制定

       在安全風(fēng)險(xiǎn)分析和評(píng)估的基礎(chǔ)上，應(yīng)進(jìn)一步制定網(wǎng)絡(luò)系統(tǒng)的安全策略。在制定安全策略過程中應(yīng)充分權(quán)衡安全性和方便性，并應(yīng)注意使安全策略切實(shí)可行，與企業(yè)的技術(shù)和資金能力現(xiàn)狀相適應(yīng)。

       安全策略應(yīng)包括一下兩個(gè)層次的內(nèi)容：

       1)整體安全策略制定：主要用于確立企業(yè)級(jí)的網(wǎng)絡(luò)安全防范管理體制，并落實(shí)與之相配套的具體事實(shí)規(guī)劃和所需人力、物力的落實(shí)計(jì)劃，并應(yīng)明確違反安全策略行為的處理措施。整體的安全策略主要用于領(lǐng)導(dǎo)高層決策和管理使用。

       2)系統(tǒng)級(jí)的安全策略：在整體安全策略所確定的框架之上進(jìn)一步從技術(shù)角度針對(duì)特定的系統(tǒng)專門制定詳細(xì)的安全策略，主要用于具體的技術(shù)實(shí)施使用。

       在安全策略的制定和實(shí)施并不只是單純的管理層的任務(wù)，而是應(yīng)充分發(fā)揮技術(shù)人員的作用。

       4.3 系統(tǒng)的管理與維護(hù)

       在系統(tǒng)的運(yùn)行過程中應(yīng)進(jìn)行一下幾方面的管理與維護(hù)工作：

       1)數(shù)據(jù)備份：對(duì)系統(tǒng)中關(guān)鍵性的信息根據(jù)應(yīng)用的特點(diǎn)確定備份的方式和備份策略。

       2)安全審計(jì)：對(duì)系統(tǒng)中的資源訪問和各種異常情況進(jìn)行安全審計(jì)，及時(shí)地發(fā)現(xiàn)系統(tǒng)配置中的安全漏洞并加以補(bǔ)救，并對(duì)已發(fā)生的安全事故進(jìn)行責(zé)任追查。

        4.4 技術(shù)不是一切

       對(duì)于網(wǎng)絡(luò)及信息安全問題，需要著重指出的一個(gè)問題是：“技術(shù)不是一切”。某種程度上說，網(wǎng)絡(luò)技術(shù)及信息技術(shù)本身就是技術(shù)含量很高的高科技，因此在網(wǎng)絡(luò)及信息領(lǐng)域的整體安全解決方案中，技術(shù)因素必然是起著決定性作用的，這一點(diǎn)是不可否認(rèn)的。事實(shí)上任何一種技術(shù)都是在正、反兩方面的應(yīng)用和較量的過程中逐步完善和發(fā)展起來的，對(duì)于網(wǎng)絡(luò)及信息安全問題則更將是一場(chǎng)智慧與技術(shù)的反復(fù)較量。

       但同時(shí)也應(yīng)該看到，網(wǎng)絡(luò)及信息安全問題涉及到了人的因素。與任何其它涉及到人的問題一樣，網(wǎng)絡(luò)及信息安全領(lǐng)域中并不是只依靠單純的技術(shù)力量就能有效解決一切問題的。

       1) 功能再?gòu)?qiáng)大的網(wǎng)絡(luò)及信息安全產(chǎn)品，若使用者沒有進(jìn)行合理地配置或者正確地操作，其安全性能不但無法得到有效利用，還有可能形成許多新的安全漏洞。

       2)再完善的安全管理制度，只為了貪圖一時(shí)方便而不去執(zhí)行它，那么所有的安全措施都有可能形同虛設(shè)。最簡(jiǎn)單的例子是用戶違反口令管理的規(guī)定選取過于簡(jiǎn)單的口令或干脆直接采用系統(tǒng)缺省口令就足以給網(wǎng)絡(luò)黑客敞開大門。

       3)只要用戶個(gè)人出于對(duì)工作條件的不滿或其它情感因素，完全有可能利用其合法的用戶身份從系統(tǒng)內(nèi)部發(fā)起攻擊或?qū)⑾到y(tǒng)內(nèi)部信息透露給其它惡意用戶。而根據(jù)美國(guó)FBI的統(tǒng)計(jì)，80%以上(奏效)的網(wǎng)絡(luò)攻擊都屬于這種“后院起火”的類型。因此，在從技術(shù)角度加強(qiáng)網(wǎng)絡(luò)及信息安全防范的同時(shí)，還必須加強(qiáng)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全管理，才能使公司在安全產(chǎn)品和技術(shù)方面的投資發(fā)揮其應(yīng)有的作用。