3)觀念上的重視不夠：目前政府部門、金融部門、企事業(yè)單位的大量業(yè)務依賴于信息系統(tǒng)安全運行，信息安全重要性日益凸顯。大多數(shù)單位已經(jīng)意識到了網(wǎng)絡(luò)及信息安全問題的重要性，但往往由于部門負責人的信息化水平本身不高導致其對信息安全管理認知水平仍停留在較粗淺的低層次上。這主要表現(xiàn)在，沒有配備專職的網(wǎng)絡(luò)安全管理員或其業(yè)務素質(zhì)不高，沒有建立和落實完整的網(wǎng)絡(luò)系統(tǒng)安全防范制度，沒有對網(wǎng)絡(luò)系統(tǒng)和安全產(chǎn)品的配置進行有效的管理等方面。

        4、網(wǎng)絡(luò)及信息安全的規(guī)劃

       從網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定與安全、社會經(jīng)濟的有序發(fā)展和保護企業(yè)利益的角度來看，一定要高屋建瓴地進行網(wǎng)絡(luò)信息安全保障體系建設(shè)規(guī)劃工作，做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，建立信息安全保障。下面主要介紹如何進行有效的網(wǎng)絡(luò)及信息安全規(guī)劃工作。

        4.1 風險分析和評估

        安全規(guī)劃的第一步是對用戶內(nèi)部網(wǎng)絡(luò)所面臨的安全風險進行分析和評估。根據(jù)現(xiàn)代的經(jīng)濟運作理論，對于網(wǎng)絡(luò)及信息安全方面的投資將被視為一種投資方式，這種投資將帶來企業(yè)在運行管理成本、安全事故損失以及企業(yè)形象等方面的收益。在市場經(jīng)濟領(lǐng)域中任何一種投資都必須有相應的回報，因此投資前的一個重要措施就是風險分析和評估，用以確定所需的資金投入。

        安全風險分析和評估主要應從以下二個方面入手：

        1)安全威脅及其可見性分析：對用戶企業(yè)所面臨的各種潛在的安全威脅因素及其對外的可見性進行全面分析。安全威脅的存在不一定會造成事實的安全事故，安全威脅對外部是可見的，才有可能引發(fā)安全事故。可能的安全威脅應包括軟、硬件以及用戶自身。

        2)組織對潛在安全風險的敏感性分析：這里的敏感性包括對安全事故造成的直接經(jīng)濟損失以及政治上和商業(yè)形象上的損失的敏感程度。敏感性分析的結(jié)果將直接關(guān)系到安全規(guī)劃過程中對各類安全措施的投入比重和優(yōu)先級問題。

        4.2 安全策略制定

       在安全風險分析和評估的基礎(chǔ)上，應進一步制定網(wǎng)絡(luò)系統(tǒng)的安全策略。在制定安全策略過程中應充分權(quán)衡安全性和方便性，并應注意使安全策略切實可行，與企業(yè)的技術(shù)和資金能力現(xiàn)狀相適應。

       安全策略應包括一下兩個層次的內(nèi)容：

       1)整體安全策略制定：主要用于確立企業(yè)級的網(wǎng)絡(luò)安全防范管理體制，并落實與之相配套的具體事實規(guī)劃和所需人力、物力的落實計劃，并應明確違反安全策略行為的處理措施。整體的安全策略主要用于領(lǐng)導高層決策和管理使用。

       2)系統(tǒng)級的安全策略：在整體安全策略所確定的框架之上進一步從技術(shù)角度針對特定的系統(tǒng)專門制定詳細的安全策略，主要用于具體的技術(shù)實施使用。

       在安全策略的制定和實施并不只是單純的管理層的任務，而是應充分發(fā)揮技術(shù)人員的作用。

       4.3 系統(tǒng)的管理與維護

       在系統(tǒng)的運行過程中應進行一下幾方面的管理與維護工作：

       1)數(shù)據(jù)備份：對系統(tǒng)中關(guān)鍵性的信息根據(jù)應用的特點確定備份的方式和備份策略。

       2)安全審計：對系統(tǒng)中的資源訪問和各種異常情況進行安全審計，及時地發(fā)現(xiàn)系統(tǒng)配置中的安全漏洞并加以補救，并對已發(fā)生的安全事故進行責任追查。

        4.4 技術(shù)不是一切

       對于網(wǎng)絡(luò)及信息安全問題，需要著重指出的一個問題是：“技術(shù)不是一切”。某種程度上說，網(wǎng)絡(luò)技術(shù)及信息技術(shù)本身就是技術(shù)含量很高的高科技，因此在網(wǎng)絡(luò)及信息領(lǐng)域的整體安全解決方案中，技術(shù)因素必然是起著決定性作用的，這一點是不可否認的。事實上任何一種技術(shù)都是在正、反兩方面的應用和較量的過程中逐步完善和發(fā)展起來的，對于網(wǎng)絡(luò)及信息安全問題則更將是一場智慧與技術(shù)的反復較量。

       但同時也應該看到，網(wǎng)絡(luò)及信息安全問題涉及到了人的因素。與任何其它涉及到人的問題一樣，網(wǎng)絡(luò)及信息安全領(lǐng)域中并不是只依靠單純的技術(shù)力量就能有效解決一切問題的。

       1) 功能再強大的網(wǎng)絡(luò)及信息安全產(chǎn)品，若使用者沒有進行合理地配置或者正確地操作，其安全性能不但無法得到有效利用，還有可能形成許多新的安全漏洞。

       2)再完善的安全管理制度，只為了貪圖一時方便而不去執(zhí)行它，那么所有的安全措施都有可能形同虛設(shè)。最簡單的例子是用戶違反口令管理的規(guī)定選取過于簡單的口令或干脆直接采用系統(tǒng)缺省口令就足以給網(wǎng)絡(luò)黑客敞開大門。

       3)只要用戶個人出于對工作條件的不滿或其它情感因素，完全有可能利用其合法的用戶身份從系統(tǒng)內(nèi)部發(fā)起攻擊或?qū)⑾到y(tǒng)內(nèi)部信息透露給其它惡意用戶。而根據(jù)美國FBI的統(tǒng)計，80%以上(奏效)的網(wǎng)絡(luò)攻擊都屬于這種“后院起火”的類型。因此，在從技術(shù)角度加強網(wǎng)絡(luò)及信息安全防范的同時，還必須加強對企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全管理，才能使公司在安全產(chǎn)品和技術(shù)方面的投資發(fā)揮其應有的作用。