一、企业需警惕网络信息安全十五大问题

　  互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。许多企事业单位的业务依赖于信息系统安全运行，信息安全重要性日益凸显。信息已经成为各企事业单位中的重要资源，也是一种重要的无形财富，分析当前的内网信息安全问题，有十五个典型的局域网信息安全问题急需解决。 　　

　　一、网络共享与恶意代码防控
　　网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。　　

　　二、信息化建设超速与安全规范不协调
　　网络安全建设缺乏规范操作，常常采取亡羊补牢之策，导致信息安全共享难度递增，也留下信息安全隐患。　　

　　三、信息产品国外引进与安全自主控制
　　国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前，国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中，但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。　　

　　四、IT产品单一性和大规模攻击问题
　　信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、“零日”攻击等安全事件。　　

　　五、IT产品类型繁多和安全管理滞后矛盾
　　目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同，特别是不同厂商的产品，不仅产品之间安全管理数据缺乏共享，而且各种安全机制缺乏协同，各产品缺乏统一的服务接口，从而造成信息安全工程建设困难，系统中安全功能重复开发，安全产品难以管理，也给信息系统管理留下安全隐患。　　

　　六、IT系统复杂性和漏洞管理
　　多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在信息安全漏洞，网络管理员也不敢轻易地安装补丁。特别是，大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。　　

　　七、网络攻击突发性和防范响应滞后
　　网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。　　

　　八、口令安全设置和口令易记性难题
　　在一个网络系统中，每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是网络管理员，需要记住的口令就更多。按照安全原则，口令设置要求复杂，且口令长度要足够长，这导致记住口令的难度大增，因此，用户选择简短易记的口令，以便于保管，这样一来攻击者只要猜测到某个用户的口令，就极有可能顺藤摸瓜，引发系列口令泄露事件。　　

　　九、远程移动办公和内网安全
　　随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，内网安全程度难以得到保证，如果内部网络直接允许远程访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。既要使工作人员能方便地远程访问内部网，又要保证内部网络的安全就成了一个许多单位都面临的问题。　　

　　十、内外网络隔离安全和数据交换方便性
　　由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。同时，内部网的用户安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。但是，许多企业或机构都需要从外网采集数据，同时内网的数据也需要发布到外网上。因此，完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。　　

　　十一、业务快速发展与安全建设滞后
　　在信息化建设过程中，由于业务急需要开通，做法常常是业务优先，安全靠边，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是亡羊补牢，出了安全事件后才去做。　　

　　十二、网络资源健康应用与管理手段提升
　　复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、色情网站，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要 求能做到 “可信、可靠、可视、可控”。　　

　　十三、信息系统用户安全意识差和在信息安全整体提高困难
　　目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，人员整体信息安全意识不平衡，导致一些在信息安全制度或在信息安全流程流于形式。　

　　十四、安全岗位设置和安全管理策略实施难题
　　根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个网络管理员既要负责系统的配置，又要负责安全管理，这种情况使得在信息安全权限过于集中，一旦网络管理员的权限被人控制，极易导致在信息安全失控。　　

　　十五、在信息安全成本投入和经济效益回报可见性
　　由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行在信息安全建设资金投入。但是，一些在信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，很难预测，容易造成误判，进而造成信息安全建设资金投入困难。这样一来，在信息安全建设投入往往是事后进行。这种做法造成在信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，让网络管理员疲于奔命。