（三）网络安全管理情况

　　调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明，认为单位信息网络安全防护能力"较高"和"一般"的比较多，分别占44%。但是，被调查单位也普遍反映用户安全观念薄弱、安全管理人员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低。






　　调查结果表明，目前，我国信息网络使用单位应用最广泛的网络安全产品是防火墙和计算机病毒防治产品，分别占被调查用户的82%和81%。其他安全产品使用率普遍比较低，均在30%以下。






　　在安全技术措施上，目前使用最多的是口令加密，占被调查单位的67%，用户权限控制为60%，存储备份系统为55%。采用最少的安全措施分别为：PKI安全机制，3%；审计监控软件，15%；移动存储器管理，16%。






　　三、分析与建议

　　（一）加强预警和通报是提高信息网络安全防范能力的当务之急。从发生安全事件类型看，"感染计算机病毒、蠕虫和木马程序"占发生安全事件比例的79%，远高于其他安全事件。从原因分析，计算机病毒等破坏程序利用软件安全漏洞传播的情况比较突出，而我国信息网络用户操作系统软件比较集中在Windows系统，带来的系统性安全风险比较集中。因此，建立一套完善的信息安全研判、通报和预警发布工作机制，及时发布重大信息网络安全问题和计算机病毒疫情预警信息是有效防范信息网络安全事件和降低损失的重要措施。

　　（二）增强用户防范意识是安全管理工作应着重解决的问题。调查结果表明，当前安全管理工作存在的主要问题是用户安全意识薄弱，对信息网络安全重视不够，安全措施不落实，导致安全事件的发生。从发生安全事件的原因中，占前两位的分别是"未修补软件安全漏洞"和"登录密码过于简单或未修改"，也表明了用户缺乏相关的安全防范意识和基本的安全防范常识。因此，组织开展多层次、多方位的信息网络安全宣传和培训，增强信息网络用户安全防范意识和防范能力是避免信息网络安全事件发生的有效途径。

　　（三）应当加快推进信息安全等级保护工作，建立起完善的安全防范体系。在发生安全事件的被调查单位中，一年内发生了3次以上的安全事件的达到了40%，说明安全管理工作漏洞比较多。大部分的单位虽然使用了防火墙和计算机病毒防治产品，安装了基本的技术防范设备，但是技术防范措施比较薄弱。如何建立完整的信息网络安全保护策略、规范的管理制度和成体系的技术防范措施，很多被调查单位表示希望主管部门加强这方面的指导。建议加动推进信息安全等级保护工作的实施，使信息网络安全管理工作逐步走向规范化、制度化，建立起比较完善的技术防范体系。

　　（四）要大力支持信息网络安全服务行业的发展。我国的信息网络还处于发展阶段，安全管理水平低，安全管理人员缺乏培训，安全管理组织不健全的问题比较突出。促进安全服务行业的发展，走专业化、社会化的道路是提高我国信息安全管理水平的一个有效途径。为此，建议出台支持信息安全服务行业发展的相关政策，加强对信息安全服务行业的监管，积极引导信息网络使用单位借助信息安全服务单位提高其安全管理水平和能力。