信息系统网络安全建设和绩效情况

⑴ 信息网络安全的什么是信息系统安全等级保护

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例

⑵ 如何开展单位信息系统安全体系建设

加强信息安全建设的几点认识
董振国
信息安全建设是电子政务建设不可缺少的重要组成部分。电子政务信息系统承载着大量事关国家政治安全、经济安全、国防安全和社会稳定的数据和信息；网络与信息安全不仅关系到电子政务的健康发展，而且已经成为国家安全保障体系的重要组成部分。缺乏安全保障的电子政务信息系统，不可能实现真正意义上的电子政务。
一、强化安全保密意识，高度重视信息安全，是确保政务网络信息系统安全运行的前提条件
目前，电子政务信息系统大都是采用开放式的操作系统和网络协议，存在着先天的安全隐患。网络攻击、黑客入侵、病毒泛滥、系统故障、自然灾害、网络窃密和内部人员违规操作等都对电子政务的安全构成极大威胁。因此，信息安全保障工作是一项关系国民经济和社会信息化全局的长期性任务。
我们必须认真贯彻“一手抓电子政务建设，一手抓网络和信息安全”的精神和中办发［2003］27号文件关于信息安全保障工作的总体要求，充分认识加强信息安全体系建设的重要性和紧迫性，高度重视网络和信息安全。这是做好信息安全保障工作的前提条件。“高度重视”首先要领导重视；只有领导重视才能把信息安全工作列入议事日程，放到重要的位置，才能及时协调解决信息安全工作所面临的诸多难题。其次，要通过加强网络保密知识的普及教育，特别是对县处级以上干部进行网络安全知识培训，大力强化公务员队伍的安全保密意识，使网络信息安全宣传教育工作不留死角，为网络信息系统安全运行创造条件。

二、加强法制建设，建立完善的制度规范，是做好信息安全保障工作的重要基础
确保政务网络信息安全，必须加强信息安全法制建设和标准化建设，严格按照规章制度和工作规范办事。俗话说，没有规矩不成方圆，信息安全工作尤其如此。如果我们能够坚持建立法制和标准，完善制度和规范并很好地执行，就会把不安全因素和失误降到最低限度，使政务信息安全工作不断登上新的台阶。
为此，一要严格按照现行的法律法规规范网络行为，维护网络秩序，同时逐步建立和完善信息安全法律制度。要加强信息安全标准化工作，抓紧制定急需的信息安全和技术标准，形成与国际标准相衔接的具有中国特色的信息安全标准体系。
二要建立健全各项规章制度和日常工作规范。要根据网络和信息安全面临的新情况、新问题，紧密联系本单位信息安全保密工作的实际，本着“堵漏、补缺、管用”的原则，抓紧修订、完善和新建信息安全工作的各项规章制度及操作规程，切实增强制度的科学性、有用性和可操作性，使信息安全工作有据可依、有章可循。
三要重视安全标准和规章制度的贯彻落实。有了制度，不能把它束之高阁。不按制度办事，是造成工作失误和安全隐患的重要原因。很多不安全因素和工作漏洞都是由于没有按程序办事所造成的。因此，要组织信息化工作人员反复学习有关制度和规范，使他们熟悉和掌握各项制度的基本内容，明白信息安全工作的规矩和方法，自觉用制度约束自己，规范工作。
四要建立完善对制度落实情况的监督检查和激励机制。工作程序、规章制度建立后，必须做到行必循之，把规章制度的每一条、每一款落到实处。执行制度主要靠自觉，但必须有严格的监督检查。要通过监督检查建立信息安全工作的激励机制，把信息安全工作与年度考核评比及“争先创优”工作紧密结合起来，激励先进，鞭策后进，确保各项信息安全工作制度落到实处。各地、各部门要不定期地对本地和本系统的制度落实情况进行自查自纠，发现问题及早解决。

三、建立信息安全组织体系，落实安全管理责任制，是做好政务信息安全保障工作的关键
调查显示，在实际的网络安全问题中，约有80%是由于管理问题造成的。因此，建立信息安全管理机构，加强组织协调，发挥其统筹规划、科学管理、宏观调控和决策的作用，强化信息安全管理，形成全方位的信息安全管理组织体系至关重要。
一方面，要逐步建立和完善信息安全组织体系。该体系应包括各地、各部门成立的保密工作领导小组；有本部门主管领导参加的政务网络与信息安全协调小组；聘请国内外安全专家组成的安全咨询专家小组。根据建设和应用情况需要，还可建立相应的信息安全管理执行机构（如“政府安全中心”），负责整个政务信息系统中的安全保密工作，包括提供相关服务。
另一方面，要在健全信息安全组织体系的基础上，切实落实安全管理责任制。明确各级、各部门行政一把手（或主管领导同志）作为信息安全保障工作的第一责任人；技术部门主管或项目负责人作为信息安全保障工作直接责任人，强化对网络管理人员和操作人员的管理。切实把好用人关，对关键岗位实行A、B角色管理；对网络管理人员和涉密操作人员要签订保密协议，明确保密职责，实行持证上岗制度。要培养一批具有信息安全管理经验的复合人才，充实到关键岗位，为政务信息化把好安全关。

四、结合实际注重实效，正确处理信息安全“五大关系”，是确保信息安全投资效益的最佳选择
在电子政务建设中，信息安全方面的投资往往涉及很大金额。各地、各部门应紧密结合自身实际，正确处理和把握与信息安全相关的“五大关系”，使有限的资金发挥出最大的社会效益。
1、要正确处理发展与安全的关系。发展与安全是信息安全关系中最基本、最重要的一对关系，由此可以派生出其他一些关系。发展与安全的关系是辩证统一、相辅相成的，其中发展是目的，安全是保证。二者关系处理得好，安全会有保障并能促进发展；处理不好，安全就会制约并牵制发展。正确处理发展与安全的关系就是要加快发展，确保安全。具体讲，就是在加快发展过程中确保安全；在确保安全的条件下加快发展。这里要注意克服两种倾向：一是过分强调发展而忽视安全；二是追求绝对安全而制约发展。为此，要坚持电子政务发展和网络信息安全“两手抓”。要在电子政务建设和发展过程中不断加强安全管理，完善安全措施，切实保障安全；同时要在适度安全、基本安全的前提下，培育业务需求，加大工作力度，促进电子政务事业加快发展。
2、处理好安全成本与效益的关系。成本与效益的关系是由信息安全基本关系派生出来的，二者的关系是对立统一、相反相成的。成本与效益的关系处理得好，安全成本就会下降同时效益提高；处理不好，安全成本就会上升同时效益下降。正确处理好安全成本与效益的关系，必须坚持综合平衡。要根据中办发［2003］27号文件中关于“信息化发展的不同阶段和不同信息系统不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点”的要求，一方面千方百计降低安全投入成本，另一方面努力提高安全措施的实际效果，确保满足重点项目、重点部位的安全需求，使有限的安全保障资金充分发挥出良好的使用效益。
3、处理好信息安全与共享（信息公开和保密）的关系。这也是从信息安全基本关系中派生出来的。开放和发展需要信息资源共享，而网络互联为信息共享提供了条件。但信息公开和信息保护是一对不可回避的矛盾。推进信息化建设既要强调资源共享，还要保证信息安全。我们应立足于电子政务建设的大系统，整体地、动态地看待信息安全与资源共享问题，用发展的眼光和辩证的观点去处理问题。在这对矛盾中，目前资源共享是矛盾的主要方面。当前我国各地方、各行业的信息资源建设普遍存在“数字鸿沟”、“信息孤岛”现象。针对这种情况,我们在处理两者之间关系时,应当紧紧围绕矛盾的主要方面，在确保国家安全和尊重个人隐私的前提下，把当前工作的重点放在最大限度地促进信息资源共享方面，消除数字鸿沟和信息孤岛，提高信息资源共享程度，使政务信息资源发挥更大的社会效益。
4、处理好安全管理与技术的关系。安全管理与技术的关系也是信息安全体系中的基本关系之一。在信息安全保障体系中，安全管理和安全技术是一个不可分割的统一体，是一个事物的两个方面。管理离不开技术，技术离不开管理；两者紧密相连、相互渗透、互为补充。因此，在信息安全工作中，我们要坚持管理和技术并重，做到管理手段和技术手段相结合，也就是在加强管理的前提下，采用先进的安全技术，在提升技术的基础上强化管理。信息安全问题的解决需要技术手段，但又不能单纯依赖技术。信息化的过程其实是人与技术相互融合的过程，如何使管理与技术相得益彰十分重要。在这方面，我们要同时注意防止和克服“重管理、轻技术”和“单纯技术观点”两种倾向，既要高度重视信息安全技术的重要作用，又要避免陷入唯技术论的怪圈。从理论上看，不存在绝对安全的技术；技术固然重要，但管理更不容忽视。虽然“三分技术，七分管理”的说法不一定准确，但从另一个角度说明了安全管理工作的重要性。因此，我们应以业务为主导，从全局的高度部署安全策略，采用先进技术，加强安全管理，把采取安全技术手段与加强日常管理和健全体制机制紧密结合起来，坚持一手抓安全技术手段开发，一手抓安全规章制度的建立与完善，提高政务网络信息系统的安全性和可靠性。
5、处理好信息安全工作中应急事件处理与建立长效机制的关系。要保证政务网络与信息系统的“长治久安”，必须着手建立一套长期有效的安全机制。但信息安全问题在信息化进程中广泛存在且突发性强，所以又必须强调和重视应急事件的处理。一旦出现影响到国家利益的网络安全与信息安全事件，必须能够立即采取有效措施，控制危机的发展，把损失减少到最低限度。
为此，首先要建立和完善信息安全监控体系，及时发现和处置突发事件，提高对网络攻击、病毒入侵、网络失窃密的防范能力，防治有害信息传播，增强对政务网络和信息系统的监控、管理和保护。其次，要重视信息安全应急处理工作，建立健全应急管理协调机制、指挥调度机制和信息安全通报制度。要制定完善信息安全处置预案，加强信息安全应急支援服务队伍建设，提高信息安全应急响应能力。

⑶ 如何建设有效的绩效管理信息系统

美国一项为期4年的课题研究分析了437家公开交易上市公司的绩效管理系统和财务结果，研究清晰地显示，正式使用绩效管理系统的公司财务表现要明显优于未使用的公司，同一公司执行正式绩效管理系统比没执行前的效果 也更好。

正是由于这样的现实作用，近些年来绩效管理也被我国企业广泛讨论和应用。但是，绩效管理的实施效果大部分却差强人意，不是半途而废，就是流于形式，甚至还有的破坏了组织本身的稳定，起到了相反的作用。

鉴于此，作者结合具体的实例就如何建设有效的绩效管理信息系统给出了自己独特的看法，并指出了企业在进行绩效管理系统建设时常犯的错误。

打破信息系统与流程间的平衡

企业的绩效管理取决于有效的流程管理与辅助系统。为此，相对应的适宜的流程应该是理性的、具备成本效益的、弹性的和透明的，此外与流程相关的技术流程，不仅要为业务流程提供支持，同时还应该改善其运行效率。公司设计、实施绩效管理的方案时，最为关键的是，管理人员不仅要把握公司的业务流程和信息系统，更重要的要深入理解二者之间的关系。

企业的绩效管理（BPM）过程可以用一组函数来描述。通常企业的绩效管理都是与战略目标相联系的，企业希望通过绩效管理对员工进行有效的激励从而促进管理目标的实现。在企业的实际管理中，不能度量也就无法管理，要实现有效的绩效管理，首先必须设计出可以度量的指标。企业长远的战略目标通常都是由一些特殊的目标组合和关键的控制指标来描述的。这些关键指标可以通过组织结构设计体现在企业的管理运作中，并且必须与企业的激励制度联系起来。

但是，绩效管理往往是说起来容易，做起来难。许多企业的绩效管理从一开始就注定了是要失败的，他们误以为只要建立起绩效管理信息系统自己就可以高枕无忧了，事实上仅靠一个单独的系统是起不了什么作用的。复杂的绩效管理信息系统本身对于企业来说就是一个挑战，一旦企业把绩效管理等同于绩效管理信息系统，就会发现自己走进了崎岖的山地中，即使拥有再好的BPM地图也不管用了。如果企业不能清楚地理解自己目前的流程，也就谈不上去设计未来的流程了，更加不要指望绩效管理信息系统能够对新的流程起到支持和促进作用。

文档化现有的流程

对现有的流程进行整理通常都是一件乏味的工作，或许这也是一直以来它不受企业重视的一个原因。但是由于萨班斯·奥克斯利法案（Sarbanes-Oxley ，2002年颁布，是美国反商业欺诈法案，要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。）第404节自2004年年中开始生效，许多公司被迫重拾旧的操作流程图，并且对其进行重新的审视。

问题在于不能对这些流程进行精确地分析，许多公司都有文档化的管理流程，但是这个流程又会让那些财务专家们对公司目前的文件流程产生不同的看法。这也常常导致外界要求的与实际存在的不一致。一些图表忽视了一些重要的程序、系统或者其它一些特殊的情形，如果你依据的是这样的图表的话，就会不可避免的耽误BPM项目的进度或者导致系统存在缺陷，甚至是两者兼有。

当然，对于企业来说，一般都不会完全否定现有的流程，而去设计一个新的流程达到自己理想的状况。这一点也可以从BPM产品提供商那里得到反应，他们经常将自己描述为“绩效管理方案”的提供者。如果这些方案设计正确且又能被很好的得到执行，将会给企业带来巨大的价值，但是企业应该明白的是没有哪一个BPM系统是万能的。企业必须在认识清楚自己的流程的基础上发现自己的实际需求。如果不能清楚地知道自己的流程，盲目追求BPM系统，不仅会给现有系统带来灾难，还会导致新系统的设计存在重大缺陷，最终会导致企业选择不适合自己的系统或者花了巨额费用才买回一套合适的系统。

原有流程的重要性，我们可以从一个涉及BPM的具体的流程中看出：企业财务呈报流程，即企业财务信息和其它的运营信息的收集、报告和分析流程。该流程由一些重要的数据流组成：数据最初来源的记录，数据的分类，以及数据的ETL（即数据的摘录、转换、存储和应用）。如果不能做到上面的过程，新系统面临着被过分单纯化的危险。此外，临时的、一次性的信息需求和协调工作也应该整合在流程图中。

如何决定目标流程

如果没有很好的理解现有的流程，就很难去设计一个新的流程。就好像，如果你不知道自己在哪里，也就不知道为什么要从这里走到那里。更重要的是，如果你不知道现有流程的成本来源，也就不可能准确地估计流程重组、整合的投资回报，这些投资包括：技术解决方案的费用，咨询服务费用以及内部的努力成本。

决定目标流程，首先必须明白技术到底是怎样让新的流程变得更加有效的。现在，很多BPM的软件和工具包都是非常容易获得的。但是，究竟采用什么样的流程和技术，取决于那些软件能否有效的整合现有的流程和企业原有相关的基础设施。与BPM相关的系统以及数据安全、可靠性都必须考虑进去。

再次以财务呈报系统为例，萨班斯·奥克斯利法案规定了企业财务周期的长短。但正如军事格言所说的那样：“如果把你所期望的等同于自己的能力，那将是十分危险的”。如果企业使用人工来协调数据流程，或者企业的基础设施和结构不支持高度的数据集中处理，那么企业想通过网络来缩短财务周期是非常困难的。

BPM系统的设计

决定目标流程之后，该如何选择和设计新的绩效管理系统呢？企业必须打破现有的流程和系统间的平衡，当然有效的绩效管理主要是关于流程的，但是要应用新的技术来设计支持该系统的新的流程却必须打破以往所有的成功。

通常，选择何种系统和技术来设计新的系统，必须从你眼前面临的困难着手。例如，如果问题是出在流程本身的，那么就必须查明问题到底存在哪个环节，为什么存在那里。如果问题是涉及系统方面的，千万不要以为换一个新系统就能很容易地解决问题，新流程只有满足特殊的需要并与流程很好的搭配起来，才会发挥有效的作用。如果系统与流程不能很好的结合起来的话，这样做只会使问题变得更糟。企业不能只看到问题的表象，必须找出问题的根源所在。

再次回到前面说过的财务呈报管理系统，即使采用新的解决方案，财务周期过长的问题也不一定能够得到解决。相反有可能的是，通过使用成倍数的报告系统来取代高度集中的财务系统，一家企业的财务周期可能会缩短，这时候企业就会抱怨系统的问题，而忽视真正的原因。真正的原因可能存在运营过程之中，而不是在信息到达中央处理以后的过程中，或者是财务管理人员只使用本部门的系统而不是充分利用企业的信息管理系统。这两个问题是不可能通过使用新的绩效管理工具或管理软件来解决的。

绩效管理解决方案在最近的几年里取得了巨大的成功。很多方案提供公司也获得了很大的发展，像Hyperion Solutions ,Congnos等公司都大大拓宽了他们的产品线来满足各种各样的BPM系统的需求。但是，对于企业来说，战略决定了流程，而你实际的流程将决定你需要的系统。进行BPM系统的投资，最重要的是要了解你现有的流程，知道你能获得的技术和方案的优点和缺点。

成功的绩效管理系统的意义，应该是让企业的所有员工，都能达成公司期许的目标与工作标准。对绩效佳的员工，让其有更多的发展空间，以追求更好的绩效，或维持现况的绩效；对绩效未达预期标准的员工，由主管与员工面谈，共同来拟定改善计划与措施，让员工能尽速达到合于标准的绩效。成功的绩效管理信息系统是提高企业绩效为前提的。

⑷ 网络及信息系统需要构建什么样的网络安全防护体系

网络安全保障体系的构建

网络安全保障体系如图1所示。其保障功能主要体现在对整个网络系统的风险及隐患进行及时的评估、识别、控制和应急处理等，便于有效地预防、保护、响应和恢复，确保系统安全运行。

图4 网络安全保障体系框架

网络安全管理的本质是对网络信息安全风险进行动态及有效管理和控制。网络安全风险管理是网络运营管理的核心，其中的风险分为信用风险、市场风险和操作风险，包括网络信息安全风险。实际上，在网络信息安全保障体系框架中，充分体现了风险管理的理念。网络安全保障体系架构包括五个部分：

1) 网络安全策略。属于整个体系架构的顶层设计，起到总体宏观上的战略性和方向性指导作用。以风险管理为核心理念，从长远发展规划和战略角度整体策划网络安全建设。

2) 网络安全政策和标准。是对网络安全策略的逐层细化和落实，包括管理、运作和技术三个层面，各层面都有相应的安全政策和标准，通过落实标准政策规范管理、运作和技术，保证其统一性和规范性。当三者发生变化时，相应的安全政策和标准也需要调整并相互适应，反之，安全政策和标准也会影响管理、运作和技术。

3) 网络安全运作。基于日常运作模式及其概念性流程（风险评估、安全控制规划和实施、安全监控及响应恢复）。是网络安全保障体系的核心，贯穿网络安全始终；也是网络安全管理机制和技术机制在日常运作中的实现，涉及运作流程和运作管理。

4) 网络安全管理。对网络安全运作至关重要，从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现，而网络安全管理体系是从人员组织的角度保证正常运作，网络安全技术体系是从技术角度保证运作。

5) 网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可极大提高网络安全运作的有效性，从而达到网络安全保障体系的目标，实现整个生命周期（预防、保护、检测、响应与恢复）的风险防范和控制。

摘自-拓展：网络安全技术及应用（第3版）贾铁军主编，机械工业出版社，2017

⑸ 什么是网络信息系统安全体系结构

网络信息系统安全体系结构是由硬件网络、通信软件以及操作系统构成的，对于一个系统而言，首先要以硬件电路等物理设备为载体，然后才能运 行载体上的功能程序。
通过使用路由器、集线器、交换机、网线等网络设备，用户可以搭建自己所需要的通信网络，对于小范围的无线局域网而言，人们可以使用这 些设备搭建用户需要的通信网络，最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵，这种防护措施可以作为一种通信协议保护，目前广泛采 用WPA2加密协议实现协议加密，用户只有通过使用密匙才能对路由器进行访问，通常可以讲驱动程序看作为操作系统的一部分，经过注册表注册后，相应的网络 通信驱动接口才能被通信应用程序所调用。
网络信息系统安全通常是指网络系统中的硬件、软件要受到保护，不能被更改、泄露和破坏，能够使整个网络得到可持续的稳定运 行，信息能够完整的传送，并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。

⑹ 网络安全建设的必要性

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。等保不仅是“安全防护是否到位”的重要衡量指标，而且是众多企事业信息安全管理的“必过标杆”。但是，等保合规成本只增不减，实施流程复杂。

从定级到等保测评，到本地化、系统化、专业化的等级保护合规建设与测评咨询一站式的服务，才能帮助用户更好的测评整改，提升安全防护能力，快速满足国家实行的网络安全等级保护制度。

网络安全

【网络安全建设主要分为一下几个方面】

服务安全可靠

行业资深的专家服务团队，为降低等保合规风险，提供安全、可靠、专业的安全合规产品和服务，快速、高效提升您的合规能力。

合规生态完备

无需头疼云上的信息系统综合规划建设，专业的咨询机构、测评机构通力合作，为您提供完整、持续的等保合规咨询服务和等保测评服务。

防护架构严固

帮助您减少基础环境和安全产品投入，建立完整的安全技术架构，形成安全纵深防御，从而帮助您完成安全整改，以满足等保的基础合规技术要求。

合规产品优质

根据测评过程中发现的安全问题，为您提供全周期的安全解决方案。结合灵活便捷、按需的选用合规产品和服务，极大节省您的合规成本。

现在较为流行的是一站式等保合规解决方案，积累了诸多成功的案例，沉淀了丰富的安全经验。

希望本篇回答可以帮助到你

望采纳~

⑺ 实施一个完整的网络与信息安全体系,需要采取哪些方面的措施

网络与信息安全体系以及网络安全管理方案
大致包括： 1) 企业网络安全漏洞分析评估2) 网络更新的拓扑图、网络安全产品采购与报价3) 管理制度制定、员工安全教育与安全知识培训计划4) 安全建设方案5) 网管设备选择与网络管理软件应用6) 网络维护与数据灾难备份计划7) 企业防火墙应用管理与策略8) 企业网络病毒防护9) 防内部攻击方案10) 企业VPN设计
网络安全要从两方面来入手
第一、管理层面。包括各种网络安全规章制度的建立、实施以及监督
第二、技术层面。包括各种安全设备实施，安全技术措施应用等
按照你的描述 首先我提醒你一点
安全是要花钱的 如果不想花钱就你现有的这些设备
我认为应该从以下几点入手
一、制定并实施网络安全管理制度 包括服务器以及个人主机安全管理、包括个级别权限管理等等
二、制定并实施网络安全日常工作程序，包括监测上网行为、包括入侵监测
三、从技术层面上，你那里估计是一根专线接入后用交换机或者无线路由器DHCP分配IP地址供大家上网，这样的话你做不到上网行为管理，你需要一台防火墙进行包过滤以及日志记录 或者作一台代理服务器进行上网行为管理并进行日志记录。
四、局域网内计算机系统管理 包括操作系统防病毒 更新补丁等工作 堡垒往往是从内部攻破 内部计算机中毒主动向外发送数据，造成泄密 这已经是很常见的事情 所以做好主机防护很重要。
当然 如果您有钱 黑洞系统 入侵监测 漏洞扫描 多级防火墙 审计系统都可以招呼
最后提醒一点 那就是 没有绝对的安全 安全都是相对的
你需要什么级别的安全 就配套做什么级别的安全措施
管理永远大于技术 技术只是辅助手段

网络安全措施
一：密码安全
无论你是申请邮箱还是玩网络游戏，都少不了要注册，这样你便会要填密码。
二：QQ安全
1.不要让陌生人或你不信任的人加入你的QQ（但这点很不实用，至少我这样认为）。
2.使用代理服务器（代理服务器英文全称ProxySever，其功能就是代理网络用户去取得网络信息，更确切地说，就是网络信息的中转站）。设置方法是点击QQ的菜单==>系统参数==>网络设置==>代理设置==>点击使用SOCKS5代理服务器，填上代理服务器地址和端口号，确定就好了，然后退出QQ，再登陆，这就搞定了。QQ密码的破解工具也很多，你只要把密码设的复杂点，一般不容易被破解。
三：代理服务器安全
使用代理服务器后可以很有效的防止恶意攻击者对你的破坏。
四：木马防范
木马，也称为后门，直截了当的说，木马有二个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入如你的计算机，通过指挥服务器程序达到控制你的计算机的目的。
1：邮件传播：木马很可能会被放在邮箱的附件里发给你。
2：QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。
3：下载传播：在一些个人网站下载软件时有可能会下载到绑有木马服务器的东东。