同樣，網絡安全當然不可能只倚靠CIO和信息化部門認識上的加強得以解決，相應的產品和技術也必不可少。譬如，防火墻等設備就如同網絡上的大閘門，通過控制訪問網絡的權限，允許特許用戶進出網絡。再配合用戶驗證、虛擬專用網和入侵檢測等技術和相應產品，將企業面臨的網絡風險降到最低。

        這里，我嘗試將CIO對于網絡安全管理的原則歸納為“三大紀律”。

        (1)加強體系

        企業信息化建設的展開，企業業務與IT系統的連接日漸緊密，使得網絡安全成為諸多企業的嚴峻問題。安全體系的建立，涉及到管理和技術兩個層面，而管理層面的體系建設是首當其沖的。

        雖然新的技術層出不窮，但是新的威脅和攻擊手段也是不斷出現，單純依靠技術和產品保障企業信息安全雖然起到了一定效果，但是復雜多變的安全威脅和隱患靠產品難以消除。CIO應該把網絡安全提升到管理的高度上實施，然后落實到技術層次上做好保障。

        CIO應該認識到，技術上的建設和加強只是網絡安全的一方面，而且單純的實現技術不是目的，技術只是圍繞企業具體的工作業務來開展應用。從根本上來說，保障業務流程的網絡安全，從而進一步促進IT在企業應用層面的拓展，才是企業和CIO應用安全技術最根本的目的。“三分技術、七分管理”，這句老話放在這里是再合適不過了。

        (2)規范管理

        我們可以這樣說，網絡行為的根本立足點，不是對設備的保護，也不是對數據的看守，而是規范企業內部員工的網絡行為，這已經上升到了對人的管理的階段。

         對于企業和CIO來說，勢必應該通過技術設備和規章制度的結合，來指導、規范員工正確使用公司的網絡資源。

        網絡安全的根本政策，一定要包含內部的安全管理規范。舉例來說，一些企業花費頗多購買了防火墻，但是那些已經離職的前員工，還是有可能通過某些漏洞入侵。

        對此，CIO必須為網絡安全建立一套監督與使用的管理程序，并且在企業高層的支持下，全方位、徹底地加以執行，任何部門和個人都沒有討價還價的余地。

         (3)提高意識

        光依靠技術和管理，也不能完全解決安全問題，這是因為過了一段時間，一些先進的技術可能就過時了，或者被不懷好意的人發現了漏洞，因此CIO不能對網絡安全有絲毫的懈怠，而是應該始終有高度的安全意識，重視企業的安全措施。

        面對不斷襲來的安全威脅，除了購買安全產品、制訂相應的網絡管理規范以外，企業高層和CIO都應該向員工灌輸這樣的理念：“安全意識至高無上!”沒有安全，企業運營在網絡上的業務就只能墮入“皮之不存，毛將焉附”的悲慘境地。

        安全設施的建立只是企業信息安全的第一步，如何在安全體系中有效徹底的貫徹安全制度，以及不斷深化全員安全意識才是關鍵所在。對于公司的全體員工，要讓他們意識到，很多行為會導致嚴重的安全問題，包括：忽視系統補丁、瀏覽不良網站、隨意下載和安裝來歷不明的軟件等。防微方能杜漸，網絡安全管理就是一點一滴做起來的。