本文从分析我国信息安全现状出发，指出了信息安全建设的重要性和必要性。首先对 信息系统中的资源，包括硬件、软件、数据、文档、人员和耗材等进行评估，分出安全 等级。然后，对系统可能受到的威胁，包括非授权访问、信息泄漏、拒绝服务和内部缺 陷等进行分析，并提出了相应的控制策略：确定用户的权力和责任，包括帐户使用方 式、资源访问权限、口令应用以及建立备份等；确定系统管理员的权力和责任，包括物 理安全、系统配置、帐户设置及使用权限、口令管理、审计和监控、备份以及个人隐私 等方面；一般性的安全防护措施：存取控制、标识和认证、完整性控制、密码技术、防 火墙系统、审计和恢复、操作系统安全、数据库系统安全、计算机病毒防护和抗抵赖协 议等。最后，对事故处理和事后分析提供策略，如何报告安全事故，如何协调解决安全 事故，如何避免安全事故再次发生。总之，本文对信息系统安全防范工作给出一个整体 的解决方案，为其在配置、管理和应用方面提供了基本的框架。 文章最后结合医保综合业务网络管理信息系统实例加以详细说明，尤其在实施过程中 采用了网络安全策略，权限管理技术，基于组件的多层分布式技术，加密校验，基于角 色的权限管理方式，操作日志审计监控，闭环安全控制理论等问题进行了详细的探讨。