-
系统建设未与安全建设同步
信息化进程中,普遍存在重建设轻管理,重应用功能轻安全防护,导致信息系统在建设过程中没有充分考虑信息安全防护措施和管理要求。
-
未充分发挥安全产品防御作用
当前,信息安全已深入到业务行为关联和信息内容语义范畴。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自应用安全策略要求,信息安全产品更多的是面向应用层面的信息安全控制。但是由于系统开发缺乏明确的安全需求,造成了信息安全产品针对其实施的安全策略权限开放过大或无安全策略,安全告警无法有效判断,使得部分产品形同虚设,不能充分发挥其防御作用。
-
工控设备系统及软件存在漏洞
软件漏洞是信息安全问题的根源之一,易引发信息窃取、资源被控、系统崩溃等安全事件。补丁升级存在较大安全风险和不确定性,使得应用部门通常不实施操作系统等相关补丁升级工作。
-
工控网络病毒威胁
计算机病毒是数据安全的头号大敌病毒带来的危害越来越大。
-
现场工作人员信息安全意识薄弱
人是信息安全工作的核心因素,其安全管理水平将直接影响信息安全保障工作。由于安全意识淡薄和缺乏识别潜在的安全风险,用户在实际工作中容易产生违规操作,引发信息安全问题或失泄密事件。