要得到一个安全的计算机应用系统，并不是靠买几套现成的软件或硬件工具，安装在用户现有的计算机系统上就可以实现的。

信息安全防范体系的设计应该根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面。

信息安全防范体系在整体设计过程中应遵循以下9项原则：

1．信息安全的木桶原则

信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。

所以计算机信息系统的安全保护是一个综合性的问题，一方面要采用各种技术手段来提高安全防御能力，如数据加密、口令机制、电磁屏蔽、防火墙技术及各种监视、报警系统等。另一方面要加强法制建设和宣传，对计算机犯罪行为进行严厉的打击。同时也要加强安全管理和安全教育，建立健全计算机信息系统的安全管理制度，通过多种形式的安全培训和教育，提高系统使用人员的安全技术水平，增强他们的安全意识。

2．信息安全的整体性原则

信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

3．安全性评价与平衡原则

计算机安全是计算机技术的一部分。正因为如此，首先，并不存在精确的、可度量的“安全” 。如果真的要对计算机安全来分级，也仅仅能够从定性的角度来表达：“信息是‘相当’安全的” 。

其次，计算机安全依赖计算机系统本身来保证信息安全。计算机系统本身既可以被编程(或被配置)来用于保障信息安全，又可以被用于破坏计算机安全。预设的安全屏障是否能够被攻克仅取决于其攻击者本身的意志、技能、所费时间及其所用计算机的处理能力。

由于以上原因，敏感信息所受保护的程度是不确定的。就计算机安全方面而言，并没有任何硬件、软件方面的投资能够保证“敏感信息是绝对安全的”。

所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。

实际上，计算机安全策略的制定与实施，仅仅能够做到明确应用系统面临的风险并通过采取适当的措施将系统风险降到我们可以接受的水平上而已。

4．标准化与一致性原则

系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。

5．技术与管理相结合原则

安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

系统攻击往往是由公司内部人员发动的。那些对公司不满的雇员往往伺机窃取公司的最新情报来牟取一己私利。例如：在被公司辞退后，某个雇员在离职前闯入了公司机密的设计库，删除了重要的设计细节，并将该资料带去公司的竞争对手处，则公司方面将会蒙受巨大损失。比较而言，内部人员攻击比外部人员攻击更危险，会为一个公司带来更大的损失。外部攻击通常仅仅使一个公司的形象受损，而内部攻击却能够毁掉一个公司的一切。

6．统筹规划，分步实施原则

由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着系统规模的扩大及应用的增加，系统应用和复杂程度的变化，调整或增强安全防护力度，保证整个信息系统最根本的安全需求。

7．等级性原则

等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足不同层次的各种实际需求。

8．动态发展原则

要根据安全的变化不断调整安全措施，适应新的网络环境，满足新的安全需求。

9．易操作性原则

首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

一个理想的安全系统环境应该能够让用户在毫不知觉安全机制存在的情况下，自如地访问计算机系统及敏感信息。当然，它首先应该能够保证有效杜绝用户的不当访问。

毫无疑问，实施计算机安全架构及其相应的服务是一件相当繁琐的任务，这显然并不是通过几个晚上拼命加班就能够完成的。

对信息系统实施等级保护的过程包括五个主要阶段，系统定级阶段、安全规划设计阶段、安全实施阶段、安全运维阶段、系统终止阶段。在安全运维阶段，当局部调整等原因导致安全措施的变化时，如果不影响系统的安全等级，应从安全运维阶段进入安全实施阶段，重新调整和实施安全措施，确保满足等级保护的要求；在安全运维阶段，当系统发生重大变更导致影响系统的安全等级时，应从安全运维阶段进入系统定级阶段，重新开始一次等级保护的实施过程。

这5个阶段的具体内容是：

a) 系统定级阶段

系统定级阶段通过对信息系统调查和分析，进行信息系统划分，确定包括的相对独立的信息系统的个数，选择合适的信息系统安全等级定级方法，科学、准确地确定每个信息系统的安全等级。

通常情况下，系统定级阶段包括系统识别和描述、信息系统划分和安全等级确定等几个主要安全活动。

b) 安全规划设计阶段

安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划等，以指导后续的信息系统安全建设工程实施。

通常情况下，安全规划设计阶段包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。

c) 安全实施阶段

安全实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节，将规划阶段的安全方针和策略，具体落实到信息系统中去，其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。

通常情况下，安全实施阶段包括安全方案详细设计、等级保护技术实施和等级保护管理实施等几个主要活动。

安全管理体系的建设应该贯穿信息系统的整个生命周期，涉及等级保护实施过程的各个阶段。

d) 安全运维阶段

安全运维阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程；对安全状态进行监控，对发生的安全事件及时响应，确保信息系统正常运行；通过定期的监督检查督促信息系统运营使用单位做好信息系统的日常安全维护工作，确保其满足相应等级的安全要求，达到相应等级的安全保护能力；通过安全风险评估和持续改进等活动过程实现对信息系统的动态保护。

安全运维阶段需要进行的安全控制活动很多，一些重要的安全控制活动有运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等。

e) 系统终止阶段

系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程，主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。系统终止阶段的主要活动可能包括对信息的转移、暂存或清除，对设备迁移或废弃，对存储介质的清除或销毁；系统终止阶段当要迁移或废弃系统组件时，核心关注点是防止敏感信息泄漏。

2003年10月5日13时12分，甘肃定西地区临洮县太石镇邮政储蓄所的营业电脑一阵黑屏，随即死机。营业员不知何故，急忙将刚刚下班尚未走远的所长叫了回来。所长以为电脑出现了故障，向上级报告之后，没太放在心上。17日，电脑经过修复重新安装之后，工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现，5日13时发生了11笔交易、总计金额达83．5万元的异地账户系虚存（有交易记录但无实际现金）。当储蓄所几天之后进一步与开户行联系时，发现存款已经分别于6日、11日被人从兰州、西安两地取走37．81万元，他们意识到了问题的严重性，于10月28日向临洮县公安局报了案。

县公安局经过初步调查，基本认定这是一起数额巨大的金融盗窃案，随即向定西公安处汇报。公安处十分重视，立即制定了详细的侦查计划，组成专案组，全力侦查此案，并上报省公安厅。面对特殊的侦破任务，专案组兵分两路，一方面在省、市邮政局业务领导和计算机专家的协助下，从技术的角度分析黑客作案的手段以及入侵的路径；另一方面，使用传统的刑侦方法，大范围调查取证。专案组首先对有异常情况的8个活期账户进行了调查，发现都属假身份证储户。此时，技术分析的结果也出来了，经过大量网络数据资料的分析，发现作案人首先是以会宁邮政局的身份登录到了永登邮政局，然后再以永登邮政局的名义登入了临洮太石邮政储蓄所。专案组对会宁邮政局进行了调查，发现该局系统维护人员张少强最近活动异常。暗查发现，其办公桌上有一条电缆线连接在了不远处的邮政储蓄专用网络上。专案组基本确认，张少强正是这起金融盗窃案的主谋。11月14日22时，张少强在其住所被专案组抓获。

经过审问，张少强交待了全部犯罪事实。10月5日，张少强在会宁利用笔记本电脑侵入邮政储蓄网络后，非法远程登录访问临洮太石邮政储蓄所的计算机，破译对方密码之后进入操作系统，以营业员身份向自己8月末预先在兰州利用假身份证开设的8个活期账户存入了11笔共计83．5万元的现金，并在退出系统前，删除了营业计算机的打印操作系统，造成机器故障。第二天，他在兰州10个储蓄网点提取现金5．5万元，并将30．5万元再次转存到他所开设的虚假账户上。10月11日，张少强乘车到西安，利用6张储蓄卡又提取现金1．8万元。至此，这件远程金融盗窃案告破，83．5万元完璧归赵。

为什么一名普通的系统维护人员，竟然能够闯入邮政储蓄专用网络，从容地实施犯罪……案子结束了，但它留给我们的思索没有结束。从5日案发，到向公安机关报案，这中间有整整23天的时间，足以让一名有准备的罪犯逃之夭夭。在这段时间内，邮政储蓄专用网络依然处在门户大开状态，如果张少强再起贼心，很有可能损失会更大。

张少强今年29岁，毕业于邮电学院，案发前仅是会宁县邮政局的系统维护人员，谈不上精通电脑和计算机网络技术。而邮政储蓄网络的防范措施不可谓不严：邮政储蓄使用的是专用的网络，和互联网物理隔

分析整个案例，不难看出，是管理上存在的漏洞、工作人员安全意识的淡薄，才造成了如此严重的局面。案发前，张少强私搭电缆，从来没有人过问，更没有人阻止，让他轻易地将邮政储蓄专用网络置于自己的掌握之中。而另一方面，临洮县太石镇的邮政储蓄网点竟然一直使用原始密码，不仅没有定期更改，也没有在工作人员之间互相保密，于是张少强很轻松地就突破了数道密码关，直接进入了操作系统，盗走了83．5万元。而且，当工作人员发现已经出了问题时，还认为是内部网络系统出了故障，根本没有想到会有网络犯罪的情况发生。

这件案子让我们警觉，使用网络的工作人员，甚至包括某些行业的专业人员在内，缺乏基本的网络安全防范意识，才让黑客有机可乘。

张少强案也告诉我们，网络联结的广阔性一旦管理不善，可能就成了它的弱点，即使这种管理不善是在一个偏僻乡村的网点，它也可能成为黑客进入网络核心的一条捷径。如果网络是无处不在的，那么，它的安全管理也应该是无处不在的。