目前，我國信息化發展空前迅速，信息安全保障已成為信息化發展的重要部分，政府部門、企事業單位及科研院所、大專院校在結合自身實際需要建設網絡信息系統的同時，也在配置安全產品、增加安全功能以保證系統的正常運行。

        那么，如何考慮信息安全系統的建設?怎樣選購信息安全產品?選購信息安全產品時要考慮那些因素?安全系統建成后怎樣發揮安全產品的作用?這些問題是廣大信息安全系統建設者所關心的，本文將就這些問題談談個人的一些看法。

        確定安全需求

        建設信息安全系統的首要問題是要搞清楚存在的安全風險，明確安全目標，進而提出安全需求，并以此為基礎設計安全解決方案。安全需求的確定涉及以下幾個方面：

        政策、標準要全面審查和考慮相關的政策指令，包含與有關安全標準或目標體系結構相符合的東西以及國際、國家、部門、地方等級別上頒發的、強制或指導性的各種規定。

        安全威脅評估安全威脅分成兩大類，一類是惡意地利用環境、行動或事件，可能給信息或系統造成的損害。另一類包含授權用戶在內的因為純粹的誤操作或偶爾的誤用不經意下所犯下的錯誤，以及系統組件的脆弱性和漏洞。

        任務的安全目標安全目標是從一種大范圍、長時期使用的觀點提出的，從而可以作為系統的安全風險分析以及選擇產品和解決方案的依據。

        信息流及其功能和價值了解系統及其所處理信息的性質非常重要。要分析由于系統資源或系統處理信息的丟失、泄露或被修改對國家、團體和個人在政治影響、社會影響和經濟利益方面帶來的損害。為了準確地定義安全目標、安全需求，必須了解和分析系統處理或存貯的信息功能、流向和價值。

        選擇合適的產品

        信息安全產品按其功能分為幾大類，如訪問控制類、加密類、入侵檢測類等等。每類產品因設計思想和實現模式不同而衍生出各種有特色的產品。對用戶來說，需要選擇一款最適宜的。首先用戶要搞清楚要保護什么?達到什么安全目標?

        安全產品并不是功能越全越好，而且每種產品都有其優點和缺點，沒有那家廠商的產品是全方位的冠軍，應該以應用需求推動技術采購決策，另外，要考慮安裝、配置以及管理的方便性。

        中國信息安全產品測評認證中心代表國家開展對信息安全產品的安全性和可靠性進行測評認證工作，其認證證書具有權威性。在一些特殊的部門和領域，如：涉密系統和軍方也有本部門的測評認證中心，他們將根據一些特殊要求和標準對產品進行測評并頒發證書。這些都是用戶在選購時可以參考或必須執行的。對涉密系統而言，原則上必須選用國產設備，只有在無相應國產設備時方可選用經國家主管部門批準的國外設備。涉及密碼技術的安全保密產品必須獲得國家密碼主管部門的批準。

        由于信息安全系統的特殊性，所以不論對安全系統的集成商還是產品的提供商，了解其背景、考察其服務能力十分必要。最好選擇有成功案例、社會知名度高且信譽好的企業和產品，對技術支持和服務承諾要落實在協議中避免發生糾紛。

        安全功能的配置要和當前系統的整體應用水平配套，對于那些用不到或暫時用不到的功能可以不采購或暫緩采購產品。這樣，一是安全目標明確，維護易行;二是經費可以得到有效利用，避免浪費;三是信息技術發展日新月異，購置的產品閑置不用很快將被新的技術產品所取代;四是把下次產品采購的主動權留給自己。

        集成后的測試和維護

        毋庸置疑，信息安全保護措施不是一勞永逸的。信息技術不斷發展，網絡系統的功能也在不斷完善擴充，網絡攻擊、病毒傳播、惡意破壞的手段不斷翻新，因此，對安全提出新的需求。這就要求網絡安全管理者及時調整安全策略，采取安全措施：

        一、將所有的安全功能模塊(產品)集成為一個完整的系統后，需要檢查確認集成出的系統是否符合要求。包括：測試安全系統在整個系統中的作用;測試安全系統與網絡系統及應用系統的適應性和對它們的影響;跟蹤安全保障機制，包括安全管理機制，發現漏洞;完善系統的運行程序和全生命期安全支持計劃;準備一份現階段的安全風險評估報告。

        作為一些重要部門可以邀請權威的測評認證機構對安全系統進行一次檢查和測試，以確保系統設計滿足安全目標并得到主管部門的認可。

        二、運行維護階段要對各種安全問題采取措施，以保證系統的安全水平在運行期間不會下降，具體工作如下：

        ⑴做好產品的升級和系統打補丁工作。⑵監測系統的安全性能，包括事故報告。⑶對用戶進行安全培訓，并對培訓進行評估。⑷監測新發現的對系統的安全攻擊、系統所受威脅的變化以及其它與安全風險有關的因素。⑸監控配置改動對安全的影響。⑹評估系統改動對安全系統造成的影響。