随着计算机技术的发展与普及，许多企事业单位和管理机构都建立了自己的管理信息系统。在信息系统开发设计过程中，安全性能总是被放在首要的位置，成为信息系统生存的关键。构建企业级信息系统的安全体系已日益成为一个重要的研究领域。本文介绍了目前信息安全领域的研究现状，指出了在众多信息系统开发和管理中，各种安全技术的应用独立为战，缺乏系统的构架，而信息安全策略的制定和信息安全技术的应用也缺乏有效的融合。本文以基于Web的管理信息系统的安全要求为出发点，分别从管理层面对信息安全策略，从技术层面对相关的信息安全技术展开了深入的研究，包括信息安全策略的规范问题，入侵检测系统、访问控制、身份认证等。安全策略的涉猎范围十分广阔，内容也十分丰富，本文重点分析了应对当今黑客猖獗，病毒泛滥的重要策略：数据加密策略以及备份和灾难恢复策略。提出了设计思路和应该注意的问题。作为对防火墙有益的补充，IDS(入侵检测系统)能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力。本文从IDS的发展和分类详细论述了IDS，并指出了IDS的发展方向。本文从系统运行效率和安全性出发，在对身份认证详细分析的基础上，重点研究了.Net环境下开发信息系统对ASP.NET身份验证、Enterprise Services身份验证、SQL Server身份验证的实现。访问控制组件用来实现对系统的安全访问，防止非法用户进入系统以及合法用户对系统资源的非法操作。本文将访问权限与角色相联系，既RBAC模型，通过给用户分配适合的角色，让用户与访问权限相联系。最后通过一个实际的信息系统一基于B／S、C／S混合的武汉理工大学学工广场信息系统，验证了本文论述的信息安全策略和安全技术的研究，成功的构建了同级别的信息系统综合策略和技术的安全框架，具有通用意义。