我國網絡與信息安全存在的不足主要體現在哪方面

我國網絡與信息安全存在的不足主要體現在以下方面：

• 對信息安全的重要性和緊迫性缺乏全面準確的認識；對以計算機網絡為主體的信息系統存在的安全漏洞和隱患認識不清；對涉密信息可能遭到多途徑、多手段的持續攻擊的嚴重性認識和準備不足；特別是對當前國際網絡戰和信息戰大環境下組織實施信息安全保障工作的艱巨性、復雜性認識還不夠到位。

• 對信息安全的底數不清，有多少軟件、硬件的信息資源需要防護，各個信息資源的安全問題和根源在什么地方，針對得個信息資源的安全防護措施是什么，現有安全防護手段和措施有多少，能夠達到什么樣的防護能力等，都是一筆糊涂賬。

• 沒有意識到信息安全是高層領導管理中一項極其重要的工作，尚沒有對信息安全予以足夠的關注和重視。高層領導的信息安全策略是信息安全管理計劃的核心和基礎。該策略是所有信息安全策略、過程和標準的起點和基礎。信息安全不僅是一個技術問題，而且是一個管理問題。信息安全問題僅靠技術手段是不能解決的，管理部門越早發現問題，就能越快引起重視。然而遺憾的是，管理人員往往認為用技術手段就足以解決問題了，因此將出現的問題授權或降級給技術部門處理，而后就再也不聞不問。所以，沒有一個全面的、科學的、持續的安全管理體系，再好的技術也難以解決信息安全問題。

• 國際網絡與信息安全形勢的發展，客觀上要求在頂層必須有一個強有力的重要安全保障機構，來實施組織領導和統一協調，以集中方方面面的有效力量。中共中央網絡安全和信息化領導小組辦公室（簡稱“網信辦”）的成立改變了我國的網絡與信息安全工作沒有權威領導機構的狀況，但是各自為政、多頭管理的情況沒有改變，嚴重制約了網絡與信息安全工作的整體推進與發展。由于職責不明、關系不順、缺乏統一的組織領導和籌劃協調，使得網絡與信息安全缺乏統一的頂層安全防護思想，安全管理目標與安全建設不一致。

• 信息安全建設缺乏效能評估的基礎。信息安全建設必須建立在效能評估的基礎上，信息安全的目的是降低信息資源面臨的風險，但如果不清楚已有的安全基礎設施效能如何，自己存在哪些潛在的威脅，那么就會無的放矢，就會造成無謂的浪費。

• 沒有意識到信息安全管理在整個信息安全保障體系中的地位與作用。信息資源須預防哪些風險？針對這些風險，應采取哪些應對措施？這些都是信息安全管理人員最需要了解和掌握的。

• 實施等級化的安全管理措施遠未到位。信息安全等級化就是根據信息基礎的重要性將信息基礎設施和信息資源劃分成不同等級，然后根據不同等級實施不同的防護，做到“重點資產重點保護”，提高保護效率。

• 沒有意識到信息安全策略的執行和監督是網絡信息安全過程中不可缺少的方法和手段。僅有一個良好的信息安全策略和完整的支撐策略是不夠的，如果它們沒有得到有效的遵守和執行，那么一切都是空談，得不到正確執行的策略是無用的。網絡信息安全管理人員應被授權用技術或非技術手段來監督策略的遵守和執行，發現異常情況應及時進行處理。

• 網絡信息安全制度不健全，責任不落實，管理不到位，缺乏統一的建設規范與標準，安全建設與安全需求不一致。信息安全系統建設客觀上要求，要從政策指導上規定信息安全保障的舉措，從行政手段上制定一套完整、嚴密的信息安全管理制度，這是信息安全系統建設與發展的重要保障。

• 防護技術和理念相對落后，目前主要還是以“防護”為基礎的安全理念，以為買點安全產品部署上去就高枕無憂了，而不是對信息資源采取積極“防御”的思想，技術上也缺乏以安全“保障”為目的的第二代網絡安全防護技術。第二代網絡安全防護技術以檢測技術為核心，以恢復技術為后盾，融合了保護、檢測、響應、恢復等技術。通過檢測和恢復技術，發現網絡系統中異常的用戶行為，根據事件的嚴重性，進而采取相應的措施。

• 基礎設施離安全需求差距甚遠：出于配置上的方便和轉發效率的考慮，很多單位的防火墻規則設置的粒度比較粗，只指定了端對端通信的IP地址，并沒有指定端對端通信的協議、端口號等較細的內容；入侵監測系統針對性不強，系統監測網絡上的非法網絡攻擊的能力已經大打折扣；內外網互聯監控系統部署情況并不理想，一些單位并未部署該系統或未在全部終端上部署，存在監控的死角；對信息安全產品的采購和使用沒有強制性的政策和規定，缺乏有效地檢測和監督。目前用于涉密信息系統的安全設備，不少是從國外進口的，其操作系統、芯片等核心技術幾乎是清一色的“舶來品”，其中有意預設或無意產生的后門、漏洞數不勝數，存在著嚴重的安全隱患。

回答所涉及的環境：聯想天逸510S、Windows 10。