3．安全工作由各网络/应用系统具体的维护人员兼职负责，安全工作分散到各个维护人员；

4．应用系统账号管理、防病毒等方面具有一定流程，在网络安全管理方面的流程相对比较薄弱，需要进一步进行修订；

5．员工安全意识有待加强，日常办公中存在一定非安全操作情况，终端使用和接入情况复杂。

这可以说是现阶段具有代表性的网络安全建设和使用的现状，从另一个角度来看，单纯依靠网络安全技术的革新，不可能完全解决网络安全的隐患，如果想从根本上克服网络安全问题，我们需要首先分析距真正意义上的网络安全到底存在哪些差距。

5.网络安全的发展趋势

与其他新技术一样，Internet技术也总存在积极方面和消极方面。

积极方面是它带来了大量的商业机会，消极方面是为此许多公司面临着巨大的安全风险，更危险的是只有少数公司真正了解它所面临的潜在风险。

许多公司投入数以百万美元的资金，也不能保证系统时刻安全，这使得公司处于危险之中。

公司容易受到威胁有很多原因，但其首要原因是缺乏安全意识，即人们经常没有意识到威胁的存在。

打个比方，如果您是一个赤手空拳的士兵，当您被俘时就不能保护自己。

相反，如果您训练有素并了解对手所用武器的局限性，就会占据上风。

可见，如果IT从业人员拥有专门工具并了解攻击者攻破站点设备的技术，那么他们将能构建适当的防御机制。

为了树立正确的安全理念保护自己，从Internet安全角度审视当前发生的事件非常重要。

目前人们的安全理念致使Internet攻击者能够频繁攻击成功。

攻击者能够比较容易地攻入几乎任何系统，而且很难抓获。

更糟糕的是，复杂的攻击被程序化，这导致任何人在任何时间都可以针对这些系统发动攻击。

因此，现在一些缺乏经验的攻击者能够像专家一样攻破站点。

使情况更糟的另一个原因是公司构建网络的方式。

以前，各个公司的网络和系统都是不同的。

在20世纪80年代末，公司通过雇用程序员以定制应用程序和系统，所以如果攻击者想攻入公司网络，则需要了解该公司的网络环境。

而这些信息并不能帮助攻击者攻破其他公司网络，这是因为这两个公司的网络是不同的。

当前，各个公司都使用安装了相同软件的相同设备。

攻击者如果熟悉Cisco、Microsoft和UNIX，那么几乎可以攻入Internet上的任意系统。

由于网络的相似性，以及软件和硬件的标准化，这使得攻击者更容易发起攻击。

人们可以争辩：安全专家的工作也简化了，因为一旦掌握了一个系统的安全技术，就可以将其应用于其他系统。

但是，该推理过程存在两大问题。

首先，由于某种原因，攻击者喜欢分享，但防护者并非如此。

其次，尽管操作系统和应用程序是相同的，但是其配置方法千差万别。

这些差异对于攻击者是微不足道的，但对安全防护者而言却是重要的。

例如，服务器A运行Windows 2008且处于安全状态，但是这并非意味着可克隆该配置到服务器B中，因为服务器B可能需要不同的配置方式。

所以，攻击者发起攻击越来越简单，而安全工作越来越困难，这是当前网络安全的总趋势。

当前Internet上存在着大量可用的脚本病毒，任何人都可以下载并运行它们，并且不需要具备高深的专业知识。

各种类型和规模的公司都曾经受到这种攻击，而且往往在几个星期后才察觉到。

总结

多年以来，人们常常低估安全事故造成的影响，然而主动防止安全事故发生是一种很好的方法。

当今社会正处在技术发展的转折点，我们正在考虑将安全预防作为缓解或检测威胁方法的重要补充。

引入安全策略并指导安全措施的实施是网络安全的关键基础。

这些安全策略应该成为解决诸如弱口令策略、未授权介质、限制Internet访问失败、控制用户使用Internet等网络安全问题的共同方法。

在制定了安全策略的基础上，接下来的重要工作是实现并维护关键基础设施，从而构建良好的网络安全态势。

发展和维护这种态势需要多方面的努力。