IT支撑系统是以计算机网络技术为基础，负责高效采集、分析、管理、传送所有企业信息的系统工具，是支撑企业运营的IT系统的总和。常见的IT支撑系统包括企业信息化、办公自动化、计费结算、网管监控等系统。

  随着经济和社会信息化的迅猛发展，企业内部核心资料和应用也能够最终靠计算机和网络进行访问、读取、修改，在高效便捷的同时，IT支撑系统也面临着病毒泛滥、探测攻击等诸多安全威胁，尤其是在与互联网连接以后，这样的一种情况往往会促进加剧。

  作为管理企业核心信息资源的电子化工具和企业软实力的重要组成部分，IT支撑系统的安全事关重大。因此，如何保证IT支撑系统中信息的保密性、完整性、可用性、真实性和可控性慢慢的变成了当前业界追踪和研究的热点。

  从一般意义上讲，IT支撑系统的安全体系是保证IT支撑系统的硬件、软件及其管理的数据，不受偶然、无意或者恶意的破坏、更改、泄露，是保证IT支撑系统连续可靠运行的技术方法和管理手段。

  从组成上看，IT支撑系统的安全体系由两个部分所组成，一是以安全策略和安全设备为中心的安全技术体系；二是以组织机构和规章制度为中心的安全管理体系。只有这两个部分统一协调地工作，才能确保IT支撑系统可靠稳定运行。

  很多企业，甚至是一些电信运营商缺乏对IT支撑系统安全体系的全局性和整体性规划，更无法提出未来的愿景展望。深究这一现象的成因，主要是企业缺乏对安全体系规划必要性的认识，只是理所当然地认为安全系统的建设应该是“随需而动”，即IT支撑部门提出需求后再由安全部门响应，很少能够主动或者预先提出某种安全防护能力为有关部门服务。

  不同的IT支撑部门往往按照各自思路对自身功能与应用进行规划和指导，安全需求常常仅作为一个小的方面提及，因此，安全部门也无法对IT支撑系统的安全体系做整体的前瞻性规划和设计，制订的安全解决方案常常是仅考虑局部效果和工期，直接后果是安全系统的扩展性、稳定性与实际使用效果不能尽如人意。

  缺乏对安全需求的分析提炼，导致安全设备分散或者独立部署，安全建设维护成本居高不下。

  由于缺少规划，因此企业在实施中很难制订一个全面可靠的安全实施计划，制订安全计划的人员几乎不清楚哪些是共性需求，哪些是特定需求。

  在工程建设中，某些共性的安全需求或者应用没有被提炼出来，安全设施的部署分散，往往会导致建设成本、维护成本年年攀升，但使用者真实的体验和安全支撑质量没有本质改变情况的出现。

  没有经过权威全面的安全评估，就简单粗放地开始安全体系建设，常常重防外、轻防内，形成威胁一定来自黑客、安全就是防火墙等片面认识。

  根据笔者的经验，很多IT支撑部门或者安全部门往往在考虑安全项目时，没做好对安全需求和安全现状评估的前期工作，就提出了所谓的安全解决方案。而这类安全解决方案最常见的解决之道就是在企业内部与外界，尤其是互联网边界配置防火墙，抗DOS攻击设备等。在一些设备厂家的鼓吹下，企业往往会误认为好的安全方案就是要在互联网边界上部署高端的安全防护设备，对端口支持能力、安全策略种类做详细的规定，这其实就是对防火墙等设备应用场合和能力认识上的误解。

  根据国际权威安全机构的统计，60％～70％的安全威胁和破坏源自企业内部。IT支撑系统是面向所有员工的，所以，仅仅在互联网边界上部署安全设备是远远不足的。另外，很多企业在防火墙的配置和部署上较为随意和简单，不仅没有保证核心信息的安全，还成为了应用的瓶颈。

  在安全体系的建设和管理中，有可能会出现重技术、轻管理、重设备、轻人员的问题，从而造成安全体系不能发挥其应有的作用。

  实际上，有了良好的技术设施，并不等于降低了对安全体系管理制度和维护人员的要求。恰恰相反，任何一个安全体系是不可能游离于企业管理体系之外单独存在的，只有将安全体系的建设、管理和维护挂起钩来，这才能真正发挥安全设施的作用。

  此外，由于大部分普通员工在安全方面的警惕性是非常低的，企业也很少花大力气培训安全部门的人员以便他们有能力部署、操作和维护现有的安全设备，从而造成了安全人员业务素质的提高相对滞后，进而影响了安全体系的建设与维护质量。

  上述这样一些问题在IT支撑系统安全体系建设中经常遇到，也是企业在部署了很多安全设备、采取了很多安全措施之后，仍然出现数据泄漏、黑客入侵、病毒泛滥等安全事件的根本原因。IT支撑系统安全体系的建设原则对企业搭建有效可靠的IT支撑系统安全体系有重要意义，企业应基于这些原则，开展IT支撑系统安全体系的建设工作。