信息安全保障工作是企业信息化建设的重要组成部分。信息安全无法保障，将直接影响企业的正常运作以及网上交互办公的有效性、稳定性和高效性，大大制约了企业的深入发展，严重影响企业工作的信息化进程。因此，企业的信息系统必须全面提高信息安全防护能力，创建安全健康的网络环境，维护企业形象，促进企业的全面发展。

1 指导思想

    企业信息安全保障体系的建设要针对网络现状、安全需求以及未来的发展趋势，进行安全风险分析，明确安全等级保护实施办法以及与保护等级相适应的安全策略。对全网进行合理的安全域划分，以实效和应用为主导，管理与技术并重，从物理、网络、系统、组织管理等方面，保障企业信息系统的安全，形成集防护、检测、响应、恢复于一体的整体安全保障体系。企业 信 息 安全保障体系要遵循如下指导思想:(1) 遵循国家相关政策、法规和标准(2) 三分技术，七分管理管理与技术并重，互为支撑，互为补充，相互协同，形成有效的综合预防、追查及应急响应体系。(3) 遵循集防护、检测、响应、恢复于一体的整体安全保障体系。(4)遵循分域防护的思想。结合实际应用，根据企业信息系统访问控制要求，进行合理的安全域划分，建立合理有效的边界保护措施，实现安全域之间的访问控制，抵御非法攻击。(5)遵循深度防御的思想。要在企业信息系统可能面临的安全威胁进行风险评估的基础上，结合安全域的划分，从物理层、网络层、系统层、应用层和管理层等层面进行整体的安全设计，综合多种有效的安全防护措施，进行多层和多重防御，实现纵深防御。(6) 遵循等级保护的思想。根据企业信息系统各部分的安全要求，进行安全等级的划分，提出具体的安全等级保护实施办法，明确并解决信息系统目前必须解决的网络和安全问题。(7) 遵循动态发展的思想。在满足企业信息系统目前基本的、必须的安全需求的基础上，可以随着企业应用和网络安全技术的发展，不断调整安全策略，应对不断变化的网络安全环境。

2 总体目标和建设原则

    根据企业信息系统的实际情况和信息安全的特点，在安全建设方面应贯彻以下原则:(1) 整体设计，分步实施信息安全保障体系建设要结合企业信息系统建设的实际情况，同步规划，同步建设，在整体设计下分阶段、分步骤进行;(2) 综合防范，整体安全:在安全工程建设中，要管理与技术并重，建立综合防范机制，从网络、系统、数据和应用等方面保证企业信息系统的整体安全;(3) 分级保护，务求实效:要以应用为主导，根据不同应用的特点和安全需求，综合衡量不同业务系统的重要性和所面临风险大小等因素，科学划分安全等级，并依据安全等级进行安全建设和管理，提高信息安全保障的有效性;(4)滚动发展，长抓不懈:信息安全是一个动态的、复杂的长期过程，要形成不断创新的机制，与时俱进地从手段、工具、制度、组织等方面共同努力，为企业信息系统建立恰当的安全保障机制。

3 安全风险分析

3.1物理安全风险分析
    物理安全是整个网络信息系统安全的前提，包括:地震、水灾、火灾、电源故障、电磁辐射、设备故障、人为物理破坏等，这些风险都可能造成系统的崩溃。

3.2网络安全风险分析
    由于网络拓扑结构及安全策略的配置不合理，易形成网络运行管理上的混乱。网络设备的使用不当带来的问题，比如不能正确使用其中的访问控制功能，会导致它受到各种威胁。因为网络层是网络入侵者攻击信息系统的重要通道，许多安全问题都集中体现在网络的安全方面。网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统可能存在大量安全隐患和威胁。网络人侵者一般采用预攻击探侧、窃听等搜集信息，然后利用IP欺骗、拒绝服务攻击(SYN FLOOD，PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。

3.3系统安全风险及需求
    操作系统安全也称主机安全。一方面，由于操作系统的代码庞大，因而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Window、Unix，其安全漏洞更是广为流传。操作系统自身的脆弱性将直接影响业务应用系统的安全;另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成安全隐患。