保障网络安全有两个支柱，一个是技术、一个是管理。而我们日常提及网络安全时，多是在技术相关的领域，例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、文档加密技术、CA认证技术等等。但正如"木桶原理"所示，你的能力是由你最弱的那个环节决定的，我们在保护网络安全时，也应该从上述二个方面全面考量，而不能只偏重其中的某一个部分。

(1)网络行为规范化管理

网络行为的根本立足点，不是对设备的保护，也不是对数据的看守，而是规范企业员工网络行为，这已经上升到了对人的管理的阶段，通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源。网络安全的根本政策，一定要包含内部的安全管理规范。许多企业花大成本买最好的防火墙，黑客或是熟悉该企业网络环境的离职员工，还是有办法绕过从墙外进来，这是因为没有一套软件可以在没有网络安全管理策略之下发挥作用。防火墙、防毒墙都是提供服务的工具之一，人，才是网络安全最大的关键。CIO必须为网络安全建立一套监督与使用的管理程序，并且彻底实行。　

(2)安全意识最重要

面对不断袭来的安全威胁，除了购买安全产品以外，我们还应该做些什么呢?这里需要指出："安全意识最重要!"。安全设施的建立只是企业信息安全的第一步，如何在安全体系中有效彻底的贯彻安全制度，以及不断深化全员安全意识才是关键所在。光依靠技术不能完全解决安全问题，因为过了一段时间，一些先进的技术可能就过时了，所以CIO应该有安全意识，重视自己企业的安全措施。加强安全意识的培训，首先要集团的领导认识到网络安全问题，另外也要对技术人员加强培训，统一认识。这些安全措施包括，培养员工的安全意识，养成良好的上网习惯，比如及时打好系统补丁、不要浏览不良网站、不随意下载安装来历不明的软件等等;对相关的技术管理人员进行技能培训，对于重要数据一定要做好数据备份，否则会导致灾难性的后果。

(3)明确岗位职责，保障网络安全

CIO重要责任之一是保障本公司网络安全、完整与可用性。这项工作不能外包出去，也责无旁贷，因此要在岗位职能上明确规定。CIO要有特许权，只要检测到网络安全违反行为就要收集、分析与调查事件。例如职责上明确规定负责安全协调，确保影响网络安全的职能是集成在业务流程过程中而不是独立任务。同时要进行评估网络安全受到危及或有受到危及之嫌每一个事件，并把网络安全质量、健全性和可靠性通知和报告高层管理人员。此外CIO还应该指导开发人员确保网络安全成为IT系统设计不可或缺的一部分。

(4)力争在网络安全投入足够预算

CIO要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨一定金额的预算，以承担安全成本，例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。公司高层主管有时会认为CIO对网络安全过于大惊小怪。但CIO要清醒认识到："至关重要的计算机设施出现安全问题造成严重损害的故障只是个时间问题。

(5)定期进行网络安全检讨会议

明确了网络安全目标后，CIO应当就网络安全问题定期地举行检讨会议。一旦安全会议检查到现有业务运作存在网络安全问题，或评估以往安全措施执行情况存在问题时，CIO就需要设立一个解决网络安全的时间框架。每月进行安全讨论听上去很多，尤其当公司各安全团队是散布在不同地区，但是CIO从中所获得的回报是在当月接下来日子可确保公司网络安全，以确保公司业务能处理日常工作。

(6)部署网络监控软件和透明加密软件

A、内网安全管理模块：监视计算机开机后的所有操作情况，能够全程管理和控制内网电脑的全部过程；支持远程桌面屏幕监视和录象、打印监视、文件操作监视、USB等硬件监视和禁止、ARP火墙、消息发布、日志报警、禁止聊天工具文件传输、软件资源监视和禁止(资产管理)、文件自动备份功能、窗口和消息监视、MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/google talk/淘宝旺旺/微信/钉钉/TM/QQ聊天记录监控等功能；

B、透明文件加密模块：将局域网内文件的透明加密、内网的有效管理有效地结合起来，能满足不同类型企业用户对信息安全的需求，确保企业的内网信息安全。强制、自动、透明加密备份电子文档；禁止企业内部泄密；结合内网管理；确保数据安全；文件自动透明加密、文件操作过程的全程记录、文件备份功能、文件权限管理、自动解密申请、灵活离线策略、安全的企业密钥的管理、USBKey可绑定指定终端、附带全面的内网管理、监控功能；除了以上措施外，还需配合杀病毒软件并经常更新、系统补丁、应用补丁、以及正确的火墙等安全设置，日常的合理管理；