企业信息系统的安全保障体系可以分为三个层次：一是基本安全环节，这是很多系统平台本身就提供的，如操作系统或者数据库，有效的发挥这些安全机制的作用有时候会起到意想不到的效果；其次是对基本安全要素的增强环节 ，可以对系统起到更可靠的保护作用；再次是扩充的安全机制，提供更强的安全监测和防御能力，是对安全有很高要求的信息系统应该考虑的成分。

　　基本安全环节

　　1、身份标识和鉴别

　　计算机信息系统的可信操作在初始执行时，首先要求用户标识自己的身份，并提供证明自己身份的依据，计算机系统对其进行鉴别。身份的标识和鉴别是对访问者授权的前提，并通过审计机制保留追究用户行为责任的能力。

　　2、访问控制

　　访问控制分为“自主访问控制”和“强制访问控制”两种。

　　自主访问控制（DAC）是商用系统中最常见的一种类型，Unix和Windows NT操作系统都使用DAC。

　　强制访问控制（DMC）可以防范特洛伊木马和用户滥用权限，具有更高的安全性。

　　3、审计

　　审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识，访问权限请求、日期和时间、参考请求结果（成功或失败）。审计记录应以一种确保可信的方式存储。

　　上面这些安全要素是一个安全系统最基本的和不可缺少的安全机制，这些要素的缺乏意味着系统几乎没有可信赖的安全机制。但这些基本要素并不能提供系统的可信程度的信息。

　　任何软件中都可能存在缺陷，而部分系统中会留下未公开的特性。这些特性会导致安全体系中各种保护机制失效。