网络信息安全的建设没有统一的定式，受企业的地理环境、人文环境、对应用系统的使用程度和依赖程度、网络和软硬件等基础设施状况以及企业领导的重视程度和经费预算等因素的影响。作者总结多年来建设网络信息安全的经验，提出下列一些指导性原则：

　　（1）没有绝对的安全，过分强调安全则反而使网络信息系统的可用性和便捷性降低。

　　（2）网络信息系统安全的建设是一个复杂的系统工程，受各种条件的限制，不可能一步到位，建设过程中要分清轻重缓急。不要轻信供货商所谓的“完整解决方案”。

　　（3）“三分技术，七分管理”的思想基本上是符合实际的，必须制定和实施可行、有力的网络信息安全管理制度。除了内部的管理制度和采用合适的技术外，也不要忘了可以使用法律武器来保卫网络信息安全。

　　（4）不要迷信网络信息安全的“木桶原理”，它有一个假设前提就是影响网络信息安全的所有因素等概率发生。但这是不可能的，所以应该评估影响企业网络信息安全的各个因素发生的概率及其破坏的程度，以此来决定应该先做什么，后做什么。

　　（5）网络的体系结构安全是很容易实现的，但也是经常犯的一个错误。

　　（6）物理安全的内容很多，要依据企业的环境和经费预算，特别是要对物理安全的各个因素进行评估后，再拟定计划进行建设。

　　（7）UPS电源的使用能够保证企业关键应用不受到供电影响，核心机房空调恒温以及防盗、防鼠、防水是必需的，配线间通风、防尘、防高温也是必需的。

　　（8）在建设网络之前应该慎重选用网络产品，不要被各厂家网络产品大量的宣传迷惑，各网络产品除了具有很多共性外，也存在不少的特性。选用网络产品时主要应注意如下一些内容：

• 接入级交换转发速率、VLAN支持、远程管理等功能是必需的。此外，需要接入级交换机支持IP地址和MAC地址的绑定，支持基于端口号和基于IP地址的ACL设置，支持日志实时记录到计算机硬盘上。
• 核心交换机必须支持VLAN间通信限制策略的灵活定义，支持DHCP的长期租赁期（比如一年），支持VLAN流量的监测，支持IP地址和MAC地址的绑定，支持基于端口号和基于IP地址的ACL设置，支持日志实时记录到计算机硬盘上；核心交换机的热备份问题，有的是采用双主控板互为备份、双交换板互为备份，有的直接使用两台独立的交换机互为备份，不管哪种方式，从主机切换到备机的时间是一个值得关注的参数。
• 防火墙和路由器必须支持NAT，支持L2TP协议和IPSEC协议的VPN，支持数据的分流，支持日志实时记录到计算机硬盘上，支持扩展的ACL。

　　（9）操作系统的自动升级必须有很好的解决办法，可以在操作系统上配置成自动升级方式，也可以采用第三方软件来分发升级程序，如微软的SMS或者SUS。

　　（10）必须随时关注数据库管理系统和应用系统的升级信息，必要时进行系统升级。

　　（11）企业版网络杀毒软件是必须的，杀毒软件应该具备杀毒、防火墙、入侵检测等功能，应该能够检测和杀死木马程序。

　　（12）防火墙、入侵检测硬件网络产品是必须的，入侵检测产品应该是旁路接入的，可以与防火墙联动，或者直接采用入侵防护系统。

　　（13）最好使用信息安全审计系统，它可以实现信息活动跟踪与记录。

　　（14）网管软件是必须的，它应该支持所有可以远程管理的网络设备历史流量的记录，网络设备日志的记录，此外还应该方便网络设备的各种配置和管理。

　　（15）数据库的备份是必需的，有条件的话可考虑异地备份。

　　（16）网络和信息安全管理是一个持续改进的过程，要不断地发现问题、解决问题，不断提高安全性。