本文主要研究信息安全理论和技术在电信企业的信息网络和系统中的应用,即企业的信息安全问题,并最终为之构建企业信息安全保障体系。首先,介绍和分析与本研究相关的主要信息安全理论与技术,其中信息安全理论有PPDR动态安全模型、SSE-CMM系统安全工程-能力成熟度模型、PADMINEE信息安全生命周期工程模型、BS7799信息安全管理标准、信息系统安全保护等级划分准则、IATF信息安全保障技术框架和木桶安全理论等;信息安全技术有防火墙技术、入侵检测技术、计算机病毒防治技术、漏洞扫描与评估技术、身份认证技术和SOC技术等。然后,研究电信企业的信息安全保障体系的设计问题。在设计信息安全保障体系时,必须遵循信息安全木桶原则、网络信息安全整体性原则、安全性评价与平衡原则、标准化与一致性原则、技术与管理相结合原则、统一规划分步实施原则、等级划分原则和可操作性原则。信息安全保障体系框架可分为安全管理框架和安全技术框架,安全管理框架包括安全策略、安全组织和安全运作三个方面,安全技术框架有鉴别和认证(Identification & Authentication)、访问控制(Access Control)、内容安全(Content Security)、冗余和恢复(Redundant & Recovery)和审计和响应(Audit & Response)。为了系统地、完整地构建企业信息安全保障体系,应考虑技术体系和管理体系共同构建。最后,深入研究本企业的信息网络和系统的信息安全保障体系,为企业信息网络和系统提出全面的信息安全解决方案,即以安全策略为核心,以信息安全理论与技术作为支撑,以信息安全管理和国家信息安全建设要求作为指导,通过安全培训加强全体员工的信息安全意识,逐步提高电信企业网络和系统的信息安全防护水平,落实中发办27号文件精神和信息产业部有关电信企业信息安全建设的要求,建立电信企业“积极防御、综合防范”的信息安全保障体系,从而充分发挥信息系统在电信企业竞争中的价值。本文的研究以电信企业信息网为基础,部分研究成果已经在实际应用中得到验证,证明本文所提出的解决方案具有先进性和实用性以及推广意义。