3)觀念上的重視不夠：目前政府部門、金融部門、企事業單位的大量業務依賴于信息系統安全運行，信息安全重要性日益凸顯。大多數單位已經意識到了網絡及信息安全問題的重要性，但往往由于部門負責人的信息化水平本身不高導致其對信息安全管理認知水平仍停留在較粗淺的低層次上。這主要表現在，沒有配備專職的網絡安全管理員或其業務素質不高，沒有建立和落實完整的網絡系統安全防范制度，沒有對網絡系統和安全產品的配置進行有效的管理等方面。

        4、網絡及信息安全的規劃

       從網絡信息系統的穩定與安全、社會經濟的有序發展和保護企業利益的角度來看，一定要高屋建瓴地進行網絡信息安全保障體系建設規劃工作，做好基礎性工作和基礎設施建設，建立信息安全保障。下面主要介紹如何進行有效的網絡及信息安全規劃工作。

        4.1 風險分析和評估

        安全規劃的第一步是對用戶內部網絡所面臨的安全風險進行分析和評估。根據現代的經濟運作理論，對于網絡及信息安全方面的投資將被視為一種投資方式，這種投資將帶來企業在運行管理成本、安全事故損失以及企業形象等方面的收益。在市場經濟領域中任何一種投資都必須有相應的回報，因此投資前的一個重要措施就是風險分析和評估，用以確定所需的資金投入。

        安全風險分析和評估主要應從以下二個方面入手：

        1)安全威脅及其可見性分析：對用戶企業所面臨的各種潛在的安全威脅因素及其對外的可見性進行全面分析。安全威脅的存在不一定會造成事實的安全事故，安全威脅對外部是可見的，才有可能引發安全事故。可能的安全威脅應包括軟、硬件以及用戶自身。

        2)組織對潛在安全風險的敏感性分析：這里的敏感性包括對安全事故造成的直接經濟損失以及政治上和商業形象上的損失的敏感程度。敏感性分析的結果將直接關系到安全規劃過程中對各類安全措施的投入比重和優先級問題。

        4.2 安全策略制定

       在安全風險分析和評估的基礎上，應進一步制定網絡系統的安全策略。在制定安全策略過程中應充分權衡安全性和方便性，并應注意使安全策略切實可行，與企業的技術和資金能力現狀相適應。

       安全策略應包括一下兩個層次的內容：

       1)整體安全策略制定：主要用于確立企業級的網絡安全防范管理體制，并落實與之相配套的具體事實規劃和所需人力、物力的落實計劃，并應明確違反安全策略行為的處理措施。整體的安全策略主要用于領導高層決策和管理使用。

       2)系統級的安全策略：在整體安全策略所確定的框架之上進一步從技術角度針對特定的系統專門制定詳細的安全策略，主要用于具體的技術實施使用。

       在安全策略的制定和實施并不只是單純的管理層的任務，而是應充分發揮技術人員的作用。

       4.3 系統的管理與維護

       在系統的運行過程中應進行一下幾方面的管理與維護工作：

       1)數據備份：對系統中關鍵性的信息根據應用的特點確定備份的方式和備份策略。

       2)安全審計：對系統中的資源訪問和各種異常情況進行安全審計，及時地發現系統配置中的安全漏洞并加以補救，并對已發生的安全事故進行責任追查。

        4.4 技術不是一切

       對于網絡及信息安全問題，需要著重指出的一個問題是：“技術不是一切”。某種程度上說，網絡技術及信息技術本身就是技術含量很高的高科技，因此在網絡及信息領域的整體安全解決方案中，技術因素必然是起著決定性作用的，這一點是不可否認的。事實上任何一種技術都是在正、反兩方面的應用和較量的過程中逐步完善和發展起來的，對于網絡及信息安全問題則更將是一場智慧與技術的反復較量。

       但同時也應該看到，網絡及信息安全問題涉及到了人的因素。與任何其它涉及到人的問題一樣，網絡及信息安全領域中并不是只依靠單純的技術力量就能有效解決一切問題的。

       1) 功能再強大的網絡及信息安全產品，若使用者沒有進行合理地配置或者正確地操作，其安全性能不但無法得到有效利用，還有可能形成許多新的安全漏洞。

       2)再完善的安全管理制度，只為了貪圖一時方便而不去執行它，那么所有的安全措施都有可能形同虛設。最簡單的例子是用戶違反口令管理的規定選取過于簡單的口令或干脆直接采用系統缺省口令就足以給網絡黑客敞開大門。

       3)只要用戶個人出于對工作條件的不滿或其它情感因素，完全有可能利用其合法的用戶身份從系統內部發起攻擊或將系統內部信息透露給其它惡意用戶。而根據美國FBI的統計，80%以上(奏效)的網絡攻擊都屬于這種“后院起火”的類型。因此，在從技術角度加強網絡及信息安全防范的同時，還必須加強對企業內部網絡系統的安全管理，才能使公司在安全產品和技術方面的投資發揮其應有的作用。