企业信息安全建设探讨摘要：随着现代科学技术的迅猛发计算机信息技术得到普遍应用，信息的安全问题也日益突出，该文结合我公司信息化建设的实际，从技术上探讨企业信息安全的解决方案。关键词:信息安全；信息内网；信息外网；存储介质；安全策略；信息泄密：TP393文献标识码：A:1009-3044(2011)35-0000-0cDiscussionontheConstructionofEnterpriseInformationSecurityXIE激an-gen(ShanghaiElectricPowerEnvironmentalEquipmentWorksCo.,Ltd,Shanghai200072,China)Abstract:Withtherapiddevelopmentofmodernscienceandtechnology,computerinformationtechnologyhasbeenwidelyused,informationecurityissueshavebecomeincreasinglyprominent,thistextcombinedwithourcompanyinformatizationconstructionisactual,fromatechnicaldiscussionofenterpriseinformationsecuritysolution.Keywords：informationsecurity；internalinformationnetwork；externalinformationnetwork；storagemedium；securitystrategy；informationleakage随着计算机和网络应用的加速发展，信息安全问题己经引起许多国家的普遍关注，成为当今信息安全技术领域的一个重要研宄课题。对企业信息安全而言，影响信息安全的因数很多，除Internet系统自身的开放性外，内部用户访问控制，用户身份识别，安全意识不高等都可能?信息安全造成威胁。信息安全技术是解决如何有效进行介入控制，以及如何保证数据安全传输的技术手段。企业信息安全建设主要从以下二方面开展，一方面是企业信息安全保密管理规章制度，另一方面是信息安全保密技术。本文着重从技术上探讨企业信息安全的解决方案。1信息安全目前状况现在黑客的攻击并不是破坏底层的系统，而是为了入侵应用，窃取数据，带有明显的商业目的。网络攻击带来安全威胁，如：网页挂马、网页仿冒、网页篡改等。随着网络合规应用要求越来越多，针对应用的攻击也越来越多，除了在管理制度上确保信息安全外，还要在技术上确保信息安全。在众多的攻击行为和事件中，发生最多的安全事件是信息泄漏事件；攻击者主要来自企业内部，而不是来自外部的黑客等攻击者；安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄漏事件。信息泄漏事件往往不被人们所关注，没有引起企业主管领导和技术人员的足够重视和关注；针对外部黑客攻击的防范措施、解决方案、技术和产品较多较成熟，而针对内部员工的失泄密行为，目前还没有成熟的、全面的解决方案。对于来自内部信息泄密的安全问题，一直是整个信息安全保障体系的难点和弱点所在2企业信息泄密的主要途径企业信息概密途径多种多样，归纳起来有网络泄密、存储介质泄密、电磁波辐射泄密、工作人员违规操作泄密等。而网络泄密、存储介质泄密是信息泄密的薄弱环节，也是最易发生的，在技术上要重点防控。3企业信息泄密的主体分析3.1外部入侵泄密外部入侵又分外部网络入侵和外部实体入侵。外部网络入侵是指对方利用系统的漏洞或安全防护薄弱环节，通过一定的技术手段进入内部网络，拦截网络传输信息、攻击计算机而达到窃取计算机上存储的机密信息。外部网络入侵窃密途径有黑客入侵、病毒感染、木马窃密、传输拦截等。外部实体入侵是指外部人员通过各种方式接近或进入信息安全防护实体，直接对保护实体进行盗窃，非法获取载有涉密信息的计机、存储介质、纸质文件等，或者使用移动存储介质进行非法拷贝，利用存储介质剩磁进行数据恢复等。3.2内部人员泄密内部信息泄密是指单位内部的工作人员，在工作过程中无意识地泄露单位机密，或者利用职务之便有意地窃取单位机密。如：存储介质丢失或失窃，在上网时对信息的处理过程中因缺乏保护意识而无意中泄密以及非法外联、非法内联、非法拷贝、非法共享、非法打印、上网外发信息等诸多方面。4企业信息安全的解决方案每个企业对信息安全的等级不一样，其信息安全的解决方案也不一样，我公司是上海市电力公司下属的一家国有企业，企业的信息安全要满足国家电网的要求，按照国家电网的要求来建设。4.1采用网络物理隔离技术及网络VLAN技术信息内网是指承载公司信息化业务应用的网络系统，且与互联...