一提到信息安全问题，很多人都会想到黑客攻击、病毒爆发等信息安全事件，其实技术故障、系统漏洞等因素都可能造成信息安全事故。那么信息安全问题是怎样产生的呢？从根源上说，信息安全问题可以分为内因和外因两个方面，内因方面主要是信息系统复杂性导致漏洞的存在不可避免，也就是说漏洞是客观存在的。这些复杂性包括过程复杂、结构复杂和应用复杂等方面。外因则是来自外部对信息系统的威胁因素，包括人为因素和非人为因素。

从信息系统的生命周期角度来分析信息系统漏洞存在的普遍性，我们可以看出在各阶段都存在安全不足的地方。

1）在设计阶段存在的不足。往往在系统的设计阶段，用户对于安全问题重视不足，导致安全设计需求不明确。这就造成开发人员设计时，往往优先考虑功能、易用性、代码大小、执行效率等因素，而安全性被放在次要地位。

2）在实现阶段存在的不足。目前软件安全开发工程尚未普遍采用，而软件工程偏重于开发质量，对安全因素考虑不足，导致所开发的软件存在安全漏洞。

3）在使用和运行阶段存在的不足。常常说安全问题三分技术七分靠管理，安全管理不到位、运维人员意识薄弱或能力不足，导致操作失误或者恶意攻击，是造成安全问题的原因。操作失误包括文件误删除、误修改等；恶意攻击中，主动攻击包括利用恶意代码、入侵工具实施的操作，被动攻击包括监听、截包等。

而从管理角度看，技术管理或组织管理的不完善，都会给威胁提供机会。

外因主要包括环境因素和人为因素。从自然环境的角度看，雷击、地震、火灾、洪水等自然灾害和极端天气容易引发信息安全问题；从人为因素看，有黑客、犯罪团伙、恐怖分子等多种，可以分为个人威胁、组织威胁和国家威胁三个层面，从所掌握的资源来看，这三个层面的威胁所具备的威胁能力依次递增。