2.风险分析

　（1）非法访问，未经授权使用网络资源，包括非法用户通过专网进入企业业务内部进行违法操作及合法用户以未经授权的方式进行操作，非法复制信息等。

　（2）系统漏洞，高危漏洞很容易被病毒、木马、黑客等侵入，导致软件崩溃或者盗取重要信息、密码等。

　（3）恶意代码，通过恶意程序，计算机病毒等获取信息或破坏企业信息系统正常运行。

　（4）破坏信息完整性，改变企业系统信息的内容或形式。

　（5）破坏网络的可用性，通过执行命令，发送数据或执行其它操作使系统资源对用户失效，使合法用户不能正常访问企业信息系统网络资源或使有严格时间要求的服务不能及时得到响应。也可能以物理方式盗窃或破坏企业信息系统网络的设备、设施。

　（6）操作失误，人为操作失误可能会对企业信息系统造成破坏。

　（7）运维无法审计，面对不同厂商或者集成商运维技术人员的调试，可能会造成网络问题，内部人员的操作等，出现网络、业务问题时无法追踪什么样的操作造成的事件

　（8）自然灾害和环境事故，地震，火灾，水灾等自然灾害和电磁污染等环境事故会对企业信息系统造成破坏。

　　3.设计原则

　　安全保障体系框架将信息网络及信息系统做为安全保护对象的基础，制定了标准的安全方针和总体策略，采用“结构化”的分析和控制方法，把控制体系分成安全管理、安全技术、安全服务的控制体系框架，建立的满足整体安全控制要求的安全保障体系

　　4.解决思路

　　安全保障框架所有安全控制都应以安全方针、策略作为安全工作的指导与依据，落实安全管理和安全技术两大维度的具体实施与维护，以业务系统的安全运营为信息安全保障建设的核心，并辅以安全评估与安全培训贯穿信息安全保障体系的全过程，形成风险可控的安全保障框架体系。各层面的具体说明如下：、 业务系统：是企业安全保障框架的核心，其实现业务功能的信息系统安全保护等级决定了整体安全保障的强度和力度。 安全策略体系：指导企业信息系统安全设计、建设和维护管理工作的基本依据，所有相关人员应根据工作实际情况履行相关安全策略，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全体系相关工作。 安全管理体系：落实安全管理机构、人员、建设、运维安全管理等相关要求，指导企业安全职能的落实、岗位设置和相关人员的安全管理，建立覆盖组织、策略和技术的流程和规范，重点关注系统建设和系统运维管理控制要求，指导企业安全管理、实施和运维的具体实现。 安全技术体系：落实安全技术相关控制要求，实现物理、网络、主机、应用和数据的所有安全控制项，通常采用安全产品加以实现，辅助安全技术以增强安全控制能力。 安全服务体系：在信息系统的整个生命周期中，通过安全评估、安全加固、应急响应及安全培训等信息安全技术，对信息系统的各个阶段进行检查、控制与修正，保障信息系统的持续安全运营。