网络安全当然不可能只倚靠CIO和信息化部门认识上的加强得以解决，相应的产品和技术也必不可少。防火墙等设备就如同网络上的大闸门，通过控制访问网络的权限，允许特许用户进出网络。 

当前很多企业没有养成主动维护系统安全的习惯，同时也缺乏安全方面良好的管理机制。对于合格的CIO来说，保证网络系统安全的第一步，首先要做到重视安全管理，绝对不能坐等问题出现，才扑上去“救火”。

同样，网络安全当然不可能只倚靠CIO和信息化部门认识上的加强得以解决，相应的产品和技术也必不可少。譬如，防火墙等设备就如同网络上的大闸门，通过控制访问网络的权限，允许特许用户进出网络。再配合用户验证、虚拟专用网和入侵检测等技术和相应产品，将企业面临的网络风险降到最低。

这里，我尝试将CIO对于网络安全管理的原则归纳为“三大纪律”。

（1）加强体系

企业信息化建设的展开，企业业务与IT系统的连接日渐紧密，使得网络安全成为诸多企业的严峻问题。安全体系的建立，涉及到管理和技术两个层面，而管理层面的体系建设是首当其冲的。

虽然新的技术层出不穷，但是新的威胁和攻击手段也是不断出现，单纯依靠技术和产品保障企业信息安全虽然起到了一定效果，但是复杂多变的安全威胁和隐患靠产品难以消除。CIO应该把网络安全提升到管理的高度上实施，然后落实到技术层次上做好保障。

CIO应该认识到，技术上的建设和加强只是网络安全的一方面，而且单纯的实现技术不是目的，技术只是围绕企业具体的工作业务来开展应用。从根本上来说，保障业务流程的网络安全，从而进一步促进IT在企业应用层面的拓展，才是企业和CIO应用安全技术最根本的目的。“三分技术、七分管理”，这句老话放在这里是再合适不过了。

（2）规范管理

我们可以这样说，网络行为的根本立足点，不是对设备的保护，也不是对数据的看守，而是规范企业内部员工的网络行为，这已经上升到了对人的管理的阶段。

对于企业和CIO来说，势必应该通过技术设备和规章制度的结合，来指导、规范员工正确使用公司的网络资源。

网络安全的根本政策，一定要包含内部的安全管理规范。举例来说，一些企业花费颇多购买了防火墙，但是那些已经离职的前员工，还是有可能通过某些漏洞入侵。

对此，CIO必须为网络安全建立一套监督与使用的管理程序，并且在企业高层的支持下，全方位、彻底地加以执行，任何部门和个人都没有讨价还价的余地。

（3）提高意识

光依靠技术和管理，也不能完全解决安全问题，这是因为过了一段时间，一些先进的技术可能就过时了，或者被不怀好意的人发现了漏洞，因此CIO不能对网络安全有丝毫的懈怠，而是应该始终有高度的安全意识，重视企业的安全措施。

面对不断袭来的安全威胁，除了购买安全产品、制订相应的网络管理规范以外，企业高层和CIO都应该向员工灌输这样的理念：“安全意识至高无上！”没有安全，企业运营在网络上的业务就只能堕入“皮之不存，毛将焉附”的悲惨境地。

安全设施的建立只是企业信息安全的第一步，如何在安全体系中有效彻底的贯彻安全制度，以及不断深化全员安全意识才是关键所在。对于公司的全体员工，要让他们意识到，很多行为会导致严重的安全问题，包括：忽视系统补丁、浏览不良网站、随意下载和安装来历不明的软件等。防微方能杜渐，网络安全管理就是一点一滴做起来的。

(责任编辑：)