网络安全防护体系

　　要保障网络安全，必须将组织管理体系、技术标准体系、技术防护体系三个方面有机结合起来。组织管理体系包括组织机构、人员编制、职责分工、教育培训；技术标准体系包括行政法规、技术标准与规范；技术防护体系包括物理安全防护、电磁安全防护、信息安全防护（包括网络、计算环境、基础设施、应用系统的安全防护技术，如入侵检测技术、防火墙、安全评估技术、信息认证技术、访问控制技术、加密、解密技术和安全态势感知技术等）。
　　安全保密技术与安全保密制度相辅相成，能够互相促进，也能互相制约。安全制度的制定和执行不到位，再严密的安全保障措施也是形同虚设；如果安全技术不到位，就会使安全保密措施不完整，任何疏忽都会造成泄密的后果；安全教育、培训不到位，网络安全涉及的人员就不能很好地理解、执行各项规章制度，也不可能正确使用各种安全防护技术和工具。
　　在构建网络安全防护体系时，要注意遵循以下原则。
　　1)木桶原则。网络攻击通常针对网络最薄弱的环节。安全机制和服务设计的首要目的是防御最常见的攻击，通过提高整个系统的“安全最低点”的安全性来提高整个网络的安全性能。
　　2)整体性原则。充分考虑各种安全配套措施的整体一致性'不要顾此失彼。
　　3)均衡性原则。绝对安全难以达到，也不一定必要，所以需要建立合理的实用安全性与用户需求评价和平衡体系，正确处理需求、风险与代价的关系。
　　4)等级性原则。等级指安全层次或安全级别，包括信息保密程序分级、对用户操作权限分级、对网络安全程度分级（安全子网和安全区域）、对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象提供合适的、可选的安全解决方案。
　　5)一致性原则。安全体系的设计必须遵循一系列标准，以确保各个分系统的一致性。
　　6)易操作性原则。安全措施如果太复杂，不好设置和操作，使用时就很容易出错'反而更不安全。
　　7)技术与管理相结合原则。仅有安全技术是不够的，还需要有配套的安全管理措施，它们相辅相成，能够互相促进，也能互相制约。
　　8)统筹规划、分步实施原则。设计安全防护体系时，首先要有完整的解决方案，然后考虑到时间和成本，分阶段逐步实施。在实施过程中，还需对最开始的方案进行修正。
　　9)动态发展原则。安全技术和安全状态不是一成不变的，而是动态变化的，因此，构建全防护体系时，应根据形势的变化进行动态调整。
　　总之，网络安全不仅仅是_个技术问题或一个管理问题，它是一个系统工程，一定要坚持以组织管理为保障，以技术标准为指南，以防护技术为手段，三位一体才能提高安全防护水平。