局域網(wǎng)技術(shù)從真正實(shí)現(xiàn)商用的第一天起，就一直采用一種以開(kāi)放和共享資源為主的模式。在追求較高便利性的同時(shí)，安全性必然會(huì)受到一定的影響，這也是內(nèi)網(wǎng)安全問(wèn)題自始難以解決的最重要內(nèi)因。 

管理上的細(xì)度和深入程度，往往決定了一套內(nèi)網(wǎng)安全體系最終的層次。而往往那些層次較高的解決方案，在管理和應(yīng)用上反而更加簡(jiǎn)單。眾所周知，一個(gè)使用起來(lái)復(fù)雜的安全工具往往會(huì)因?yàn)檎`用而帶來(lái)更多的安全問(wèn)題。真正理想化的內(nèi)網(wǎng)安全狀態(tài)，應(yīng)該是通過(guò)對(duì)管理的精益化，而將本就繁復(fù)的內(nèi)網(wǎng)安全問(wèn)題簡(jiǎn)單化。

文/河南信陽(yáng)供電公司  黃文  張昕楠

就各種公布的調(diào)查數(shù)據(jù)來(lái)看，即使在最樂(lè)觀的情況下，內(nèi)網(wǎng)安全問(wèn)題所造成的損失也超過(guò)了外網(wǎng)安全問(wèn)題。將近四分之三的安全問(wèn)題是由組織內(nèi)部原因引起的，這其中主要包括了對(duì)企業(yè)信息設(shè)施的非授權(quán)訪問(wèn)和電子文檔的泄漏。

這種情況一方面反應(yīng)了部署在內(nèi)網(wǎng)、外網(wǎng)邊界的安全防護(hù)措施確實(shí)阻斷了大量的外部攻擊，而從另一方面也不難得出這樣的結(jié)論，內(nèi)網(wǎng)安全在時(shí)下已經(jīng)成為信息安全領(lǐng)域最重要也是最難解決的課題。

當(dāng)各個(gè)組織都在對(duì)游弋于互聯(lián)網(wǎng)空間的黑客們百般擔(dān)憂恐懼之時(shí)，殊不知正是那些被信任的人們，因?yàn)樽陨淼氖д`甚至是物質(zhì)誘惑，為攻擊者們打開(kāi)了方便之門。從流行的網(wǎng)絡(luò)安全問(wèn)題及其攻擊手段也可以看出，利用內(nèi)網(wǎng)安全問(wèn)題已經(jīng)成為主流趨勢(shì)。

知名的特洛伊木馬程序幾乎都內(nèi)置了感染內(nèi)網(wǎng)計(jì)算機(jī)之后再向外網(wǎng)發(fā)起反彈式連接的機(jī)制，這對(duì)于那些允許員工相對(duì)自由接入互聯(lián)網(wǎng)的組織來(lái)說(shuō)，堪稱百試不爽。而更是有大量疏于防范的內(nèi)網(wǎng)計(jì)算機(jī)被攻擊者占領(lǐng)，被用作實(shí)施拒絕服務(wù)攻擊等大規(guī)模迫害行為之用。

內(nèi)網(wǎng)安全問(wèn)題所具有的普遍性和嚴(yán)重性，使得我們無(wú)法再停留在重視內(nèi)網(wǎng)安全問(wèn)題的層面上，而必須要對(duì)其有徹底而清醒的認(rèn)識(shí)，這樣才能進(jìn)一步對(duì)問(wèn)題進(jìn)行妥善的解決。

內(nèi)網(wǎng)安全問(wèn)題上的一個(gè)謬誤是，人們經(jīng)常無(wú)法正確區(qū)分內(nèi)網(wǎng)安全所涉及的范圍。例如，經(jīng)常有人會(huì)將內(nèi)網(wǎng)安全和終端安全等概念等同視之，事實(shí)上內(nèi)網(wǎng)安全和終端安全還是有著比較明顯的區(qū)別的。一般來(lái)說(shuō)，終端是指內(nèi)網(wǎng)中的服務(wù)器、客戶端、網(wǎng)絡(luò)設(shè)備等節(jié)點(diǎn)。這些節(jié)點(diǎn)雖然代表了內(nèi)網(wǎng)安全防護(hù)的主要目標(biāo)，但是絕不是內(nèi)網(wǎng)安全的全部。

從比較廣泛的認(rèn)識(shí)來(lái)看，內(nèi)網(wǎng)是指與互聯(lián)網(wǎng)相連但是中間有安全隔離設(shè)備的局域網(wǎng)絡(luò)。內(nèi)網(wǎng)安全應(yīng)該涵蓋了整個(gè)組織內(nèi)部的信息安全問(wèn)題，終端安全是內(nèi)網(wǎng)安全的有機(jī)組成部分，過(guò)分地強(qiáng)調(diào)終端安全或者其它某一個(gè)領(lǐng)域的內(nèi)網(wǎng)安全問(wèn)題，是欠缺全面性的。

這個(gè)謬誤往往造成內(nèi)網(wǎng)安全的一個(gè)最重要問(wèn)題，就是安全防護(hù)不成體系，各個(gè)安全防護(hù)點(diǎn)、防護(hù)措施之間整合度不夠，無(wú)法良好地協(xié)同。對(duì)于一個(gè)完善的內(nèi)網(wǎng)安全防護(hù)體系來(lái)說(shuō)，不單單只要強(qiáng)化每個(gè)終端節(jié)點(diǎn)的安全性，還要監(jiān)控在內(nèi)網(wǎng)中傳輸?shù)木W(wǎng)絡(luò)流量、確認(rèn)數(shù)據(jù)存取是否符合權(quán)限規(guī)定、處理硬件和軟件環(huán)境的變更等，工作內(nèi)容甚是繁雜。

而且，隨著信息安全意識(shí)的進(jìn)步，企業(yè)的關(guān)注點(diǎn)已經(jīng)不再局限于對(duì)信息節(jié)點(diǎn)進(jìn)行單純的監(jiān)控管理，同時(shí)也考慮到應(yīng)用效率和管理效率等更多的因素。也就是說(shuō)，用戶對(duì)于內(nèi)網(wǎng)安全的認(rèn)識(shí)正在變得更加健全和健康，也更加的全面。這就對(duì)內(nèi)網(wǎng)安全技術(shù)和產(chǎn)品提出了很多新的要求，就像UTM類型的整合式安全設(shè)備正在越來(lái)越獲得認(rèn)可一樣，在內(nèi)網(wǎng)安全領(lǐng)域整合式的產(chǎn)品服務(wù)無(wú)疑也將會(huì)受到用戶的歡迎。

正如鼎普科技的技術(shù)總監(jiān)王海洋女士所言：“我們不光提供產(chǎn)品，我們要提供的是一整套解決方案，包括介質(zhì)的使用管理、終端的非法外聯(lián)管理、補(bǔ)丁的增發(fā)等等”。所謂三流的公司賣產(chǎn)品，二流的公司賣服務(wù)，一流的公司賣標(biāo)準(zhǔn)，只有體系健全、技術(shù)規(guī)范、需求把握準(zhǔn)確的產(chǎn)品才能真正提升用戶的內(nèi)網(wǎng)安全防護(hù)質(zhì)量。

另外一個(gè)必須引起重視的問(wèn)題，還是信息安全領(lǐng)域的老生常談，那就是管理層面的問(wèn)題。這不僅僅是指管理層提供的重視和支持，也不完全是管理制度的重要性，而更多的表現(xiàn)于內(nèi)網(wǎng)安全體系所具備的管理職能乃至管理“智能”。以實(shí)際的例子來(lái)說(shuō)，很多內(nèi)網(wǎng)安全產(chǎn)品確實(shí)具有很多的功能組件，但是對(duì)于不同的用戶，安全需求往往是不同的。

相比來(lái)說(shuō)，一個(gè)能夠靈活根據(jù)不同用戶需求進(jìn)行功能定制和管理的產(chǎn)品，無(wú)疑能爆發(fā)出更大的安全效能。又比如內(nèi)網(wǎng)安全常見(jiàn)的端口管理，一些產(chǎn)品只能做到限制USB、網(wǎng)絡(luò)等端口的訪問(wèn)，而一些先進(jìn)的產(chǎn)品則還可以實(shí)現(xiàn)對(duì)這些端口使用狀態(tài)的監(jiān)控并實(shí)時(shí)地返回告警信息。

一、技術(shù)篇：內(nèi)網(wǎng)安全問(wèn)題尋求技術(shù)良方

引言：對(duì)于關(guān)注內(nèi)網(wǎng)安全的人們來(lái)說(shuō)，他們或者是要親身處理組織中的內(nèi)網(wǎng)安全問(wèn)題，或者是每天都在受到內(nèi)網(wǎng)安全問(wèn)題的困擾。正所謂“工欲善其事，必先利其器”，在本篇內(nèi)容中將以更加貼近一線戰(zhàn)場(chǎng)的視角為眾位讀者分析內(nèi)網(wǎng)安全領(lǐng)域各種常見(jiàn)問(wèn)題和相關(guān)處理方法。

在真實(shí)的世界里，確實(shí)有很多因技術(shù)因素而造成的內(nèi)網(wǎng)安全困局，其中最重要的就是混雜平臺(tái)問(wèn)題。即使在一些小企業(yè)當(dāng)中，也可能存在著超過(guò)一種以上的操作系統(tǒng)環(huán)境。比如那些需要Windows操作系統(tǒng)處理日常辦公業(yè)務(wù)，同時(shí)又需要iMac進(jìn)行設(shè)計(jì)工作的廣告公司。而一些組織雖然只使用一個(gè)廠商提供的操作系統(tǒng)，由于計(jì)算機(jī)硬件配置參差不齊，很難保證使用相同版本的操作系統(tǒng)。

就我們所見(jiàn)的一個(gè)酒店客戶來(lái)說(shuō)，Novell的服務(wù)器系統(tǒng)是經(jīng)常用來(lái)支撐酒店業(yè)務(wù)軟件運(yùn)行的，而相匹配的終端甚至包括了遺留的DOS系統(tǒng)。通常文件服務(wù)和Web服務(wù)的控制要由Windows 2003 Server或更高版本的服務(wù)器操作系統(tǒng)來(lái)完成，而辦公區(qū)域則混合著從Windows 98到Windows XP等不同版本的桌面操作系統(tǒng)。

最直接的一點(diǎn)，由于混雜的操作系統(tǒng)種類，該酒店的管理員在處理防病毒、補(bǔ)丁更新、數(shù)據(jù)備份乃至各種內(nèi)部應(yīng)用服務(wù)的時(shí)候，都需要為這種情況付出大量的額外努力。

而在設(shè)備管理和跟蹤的過(guò)程中，也經(jīng)常會(huì)出現(xiàn)一些死角，導(dǎo)致偶有未被登錄在案的計(jì)算機(jī)節(jié)點(diǎn)在網(wǎng)絡(luò)中工作而卻茫然不知?？梢哉f(shuō)，投入到信息安全的成本有很大一部分都因?yàn)榛祀s平臺(tái)問(wèn)題而被浪費(fèi)掉了，這導(dǎo)致的最直接結(jié)果就是沒(méi)有更多的資源來(lái)真正提升內(nèi)網(wǎng)安全防護(hù)的質(zhì)量，從而形成了一個(gè)內(nèi)網(wǎng)安全泥潭。

在看到羅列與此的這些問(wèn)題時(shí)，安全管理員一定會(huì)有似曾相識(shí)的感覺(jué)。這個(gè)列表中的問(wèn)題都相當(dāng)常見(jiàn)而且流行，可以作為內(nèi)網(wǎng)安全的優(yōu)先關(guān)注點(diǎn)，也可以作為在選擇內(nèi)網(wǎng)安全工具和技術(shù)解決方案時(shí)的映射目標(biāo)，最重要的是我們需要正確地認(rèn)識(shí)使用哪些技術(shù)可以有效地處理這些問(wèn)題。

目前，國(guó)內(nèi)也有很多CIO選擇TIPS安全防護(hù)平臺(tái)，對(duì)內(nèi)網(wǎng)進(jìn)行有效管理。通過(guò)建立四級(jí)的防護(hù)體系：首先就是以硬件級(jí)防護(hù)為基礎(chǔ)，建立可信可控的信息系統(tǒng)；其次，建立四級(jí)可信認(rèn)證機(jī)制的縱深防御體系；接著是實(shí)現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護(hù)、安全審計(jì)、實(shí)時(shí)監(jiān)控等一系列基本防護(hù)要求；最后，安全性、管理性并重，系統(tǒng)既突出安全性，更注重可管理性

系統(tǒng)安全補(bǔ)丁自動(dòng)分發(fā)

很多管理員都知道微軟提供了應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)的產(chǎn)品補(bǔ)丁更新解決方案，但是卻不見(jiàn)得都部署和使用過(guò)這種方式的更新，畢竟接入互聯(lián)網(wǎng)下載安全更新實(shí)在是太方便了。然而，在現(xiàn)實(shí)的應(yīng)用環(huán)境中，并不是所有時(shí)候都可以簡(jiǎn)單地讓所有終端計(jì)算機(jī)都不受控制地接入互聯(lián)網(wǎng)。

Windows服務(wù)器更新服務(wù)(WSUS)是相對(duì)常用的補(bǔ)丁更新工具，運(yùn)行于服務(wù)器操作系統(tǒng)上，能夠向各種版本的、包含更新代理機(jī)制的桌面Windows操作系統(tǒng)傳遞和部署更新文件。而對(duì)于需要重啟控制、計(jì)劃安排、更新清單和更豐富管理界面的用戶來(lái)說(shuō)，付費(fèi)的系統(tǒng)管理服務(wù)器(SMS)將是一個(gè)不錯(cuò)的選擇。

不過(guò)，在遇到混雜平臺(tái)環(huán)境時(shí)，微軟的產(chǎn)品就無(wú)法滿足需要了，企業(yè)可能需要求助于CA的Unicenter這樣的第三方商業(yè)產(chǎn)品來(lái)管理各種不同操作系統(tǒng)的補(bǔ)丁更新。對(duì)于Linux等非微軟操作系統(tǒng)來(lái)說(shuō)，對(duì)面向企業(yè)應(yīng)用環(huán)境的更新分發(fā)工具的需要似乎還沒(méi)有那么迫切，不過(guò)隨著這些操作系統(tǒng)使用比例的提高，也是該重視起來(lái)的時(shí)候了。

加密電子文檔同時(shí)不影響正常使用

對(duì)于數(shù)據(jù)安全來(lái)說(shuō)，根據(jù)數(shù)據(jù)所對(duì)應(yīng)的安全等級(jí)進(jìn)行適當(dāng)?shù)募用鼙Ｗo(hù)是最基本的手段之一。就那些相對(duì)公開(kāi)化的業(yè)務(wù)應(yīng)用來(lái)說(shuō)，基于公鑰加密和證書認(rèn)證等手段的體系是相對(duì)比較成熟和流行的，而PKI則是其中最典型的代表。一般常用的CA體系架構(gòu)相對(duì)簡(jiǎn)便，也具有絕大多數(shù)用戶所需的功能。

從存儲(chǔ)數(shù)據(jù)的各個(gè)計(jì)算機(jī)節(jié)點(diǎn)來(lái)說(shuō)，現(xiàn)在有大量免費(fèi)的加密工具和數(shù)據(jù)擦除工具可用。不過(guò)其提供的保密級(jí)別往往較低，而且在操作系統(tǒng)層以及應(yīng)用層進(jìn)行加密，往往會(huì)衍生出其他的安全問(wèn)題。對(duì)于密級(jí)較高的電子文檔，應(yīng)該盡可能應(yīng)用BIOS防護(hù)卡等硬件設(shè)備，限制數(shù)據(jù)的存取，并通過(guò)芯片級(jí)加密保護(hù)硬盤上的數(shù)據(jù)。

另外，目前基于USB接口的存儲(chǔ)設(shè)備比如U盤、移動(dòng)硬盤等，也可以通過(guò)智能判斷和權(quán)限控制功能，來(lái)對(duì)其中的數(shù)據(jù)進(jìn)行更好的安全管理。在更加高端的領(lǐng)域，用戶可能需要對(duì)數(shù)據(jù)的流向采取非常嚴(yán)格的控制，甚至規(guī)定必須使用簽收刻錄光盤的方式來(lái)交換某些數(shù)據(jù)。對(duì)于這類問(wèn)題國(guó)內(nèi)廠商已經(jīng)提出了不少有效的解決方案。

例如鼎普科技的數(shù)據(jù)單向?qū)牍芾硐到y(tǒng)就相當(dāng)具有創(chuàng)新意義，這個(gè)系統(tǒng)利用了光纖單向傳輸?shù)奶匦?，在物理層保證數(shù)據(jù)的流向正確。在使用過(guò)程中，鼎普科技的設(shè)備一端連入存儲(chǔ)涉密數(shù)據(jù)的計(jì)算機(jī)終端，一端連入U(xiǎn)盤等數(shù)據(jù)源，即可實(shí)現(xiàn)數(shù)據(jù)的安全存入，而不會(huì)出現(xiàn)涉密數(shù)據(jù)被非法泄漏的問(wèn)題。從中可以看出，作為以文檔加密作為內(nèi)網(wǎng)安全起點(diǎn)的國(guó)內(nèi)用戶來(lái)說(shuō)，也許確實(shí)只有國(guó)內(nèi)的廠商才真正了解國(guó)內(nèi)用戶的需求。

防止擴(kuò)散的無(wú)線信號(hào)泄漏組織的有價(jià)值數(shù)據(jù)

以Wi-Fi為代表的無(wú)線局域網(wǎng)技術(shù)似乎已經(jīng)成為便利性與安全性相互制約的一個(gè)經(jīng)典示例了。盡管Wi-Fi本身的安全性一直相對(duì)脆弱，但是在內(nèi)部網(wǎng)絡(luò)中提供無(wú)線接入能力仍舊成為越來(lái)越多企業(yè)的選擇。對(duì)于Wi-Fi無(wú)線接入點(diǎn)的管理應(yīng)該具有相對(duì)較高的安全強(qiáng)度和級(jí)別，至少不能將其與其它普通的網(wǎng)絡(luò)節(jié)點(diǎn)等同視之。

應(yīng)用WPA加密無(wú)線數(shù)據(jù)通信是必要的，盡管只要攻擊者有足夠的耐心，還是可能從嗅探到的數(shù)據(jù)中破解密鑰，但是其難度相對(duì)于WEP等舊有加密方式來(lái)說(shuō)無(wú)疑要困難得多。如果需要更高的安全級(jí)別，可以考慮在無(wú)線鏈路上增加令牌驗(yàn)證和VPN訪問(wèn)控制等手段，以提供較強(qiáng)的安全控管能力。

對(duì)各種移動(dòng)終端進(jìn)行接入控制

對(duì)于筆記本電腦以及越來(lái)越多的智能手機(jī)終端，企業(yè)所能做的安全管理似乎總顯得有些力不從心。除了對(duì)無(wú)線局域網(wǎng)接入進(jìn)行控制之外，這類終端可能引起的問(wèn)題還有很多。藍(lán)牙作為極為通用和具有時(shí)尚意味的連接方式，安全性卻存在一些脆弱點(diǎn)。

為了更好地和其它藍(lán)牙設(shè)備進(jìn)行連接，藍(lán)牙往往被設(shè)置成相對(duì)較低的安全認(rèn)證等級(jí)，而事實(shí)上很多設(shè)備在出廠時(shí)默認(rèn)就被設(shè)為最低的級(jí)別，比如大部分的手機(jī)產(chǎn)品都是如此。由于僅在鏈路層提供有限的安全控制，所以藍(lán)牙安全更多地依賴于上層協(xié)議甚至應(yīng)用層來(lái)進(jìn)行安全管理。

想真正實(shí)現(xiàn)藍(lán)牙安全應(yīng)該強(qiáng)制性地在藍(lán)牙傳送數(shù)據(jù)時(shí)結(jié)合其它安全驗(yàn)證措施。雖然這通常很難處理，但不應(yīng)該被忽視。對(duì)于手持設(shè)備來(lái)說(shuō)，WAP站點(diǎn)訪問(wèn)是提供業(yè)務(wù)處理和辦公信息獲取的通行方式之一。WTLS協(xié)議雖然出于性能考慮已經(jīng)做了一些簡(jiǎn)化，但是仍是一種具有較高安全性的解決方案。

另外一個(gè)通行的原則是盡量將WAP網(wǎng)關(guān)置于防火墻保護(hù)之后，因?yàn)閿?shù)據(jù)在到達(dá)WAP網(wǎng)關(guān)后往往會(huì)被解密而失去了WTLS的保護(hù)，在其流出WAP網(wǎng)關(guān)之后往往容易被俘獲。

二、技術(shù)篇：管理是內(nèi)網(wǎng)安全的硬道理

引言：從近期就安全事件的原因所做的一些調(diào)查結(jié)果可見(jiàn)，75%的管理員都勾選了安全意識(shí)淡薄和安全管理不到位的選項(xiàng)，而軟件或網(wǎng)絡(luò)配置錯(cuò)誤也有接近百分之五十的受調(diào)查者選擇，管理已經(jīng)成為內(nèi)網(wǎng)安全問(wèn)題的重中之重。

結(jié)合內(nèi)網(wǎng)安全的種種現(xiàn)狀和問(wèn)題來(lái)看，單純?cè)诩夹g(shù)上先進(jìn)已經(jīng)無(wú)法保證競(jìng)爭(zhēng)力，甚至已經(jīng)無(wú)法保證實(shí)際的防護(hù)效果了。這些引起內(nèi)網(wǎng)安全問(wèn)題的核心原因，只有在安全管理手段以及安全產(chǎn)品的管理能力達(dá)到一定的層次之后才有望解決。面對(duì)日益復(fù)雜的應(yīng)用環(huán)境，管理員需要具有更深、更精、更高智慧程度的工具來(lái)開(kāi)展自己的工作，否則難免被淹沒(méi)于安全威脅的浪濤之中。

放之四海：具有通用性的內(nèi)網(wǎng)安全管理體系

盡管很多時(shí)候人們不可遏止地覺(jué)得守護(hù)目標(biāo)不讓黑客對(duì)其進(jìn)行攻擊是一件很酷的事情，但是在絕大多數(shù)情況下，安全管理都是建構(gòu)在規(guī)范和嚴(yán)謹(jǐn)之上的一件工作。這其中不但需要正確的應(yīng)用安全技術(shù)，同時(shí)也需要前期的規(guī)劃和設(shè)計(jì)以及后期的運(yùn)營(yíng)和支持。在這里我們將嘗試給出一個(gè)內(nèi)網(wǎng)安全管理體系的基本模型，我們希望它具有廣泛和長(zhǎng)期的適應(yīng)性，同時(shí)覆蓋內(nèi)網(wǎng)安全各個(gè)主要的問(wèn)題域。

一般來(lái)說(shuō)，一個(gè)內(nèi)網(wǎng)安全解決方案從形成到正式開(kāi)始運(yùn)行，要經(jīng)歷如圖所示的一系列階段。從認(rèn)識(shí)到有需要解決的內(nèi)網(wǎng)安全問(wèn)題或者內(nèi)網(wǎng)存在安全問(wèn)題開(kāi)始，首先需要形成一份需求定義文檔。這份需求文檔應(yīng)由信息安全部門和行政部門的管理人員進(jìn)行評(píng)估，然后表決通過(guò)。

在此之后，應(yīng)根據(jù)需求進(jìn)行實(shí)際內(nèi)網(wǎng)安全防護(hù)體系的構(gòu)建，這其中通常還可以展開(kāi)很多子步驟，例如進(jìn)行安全體系的具體設(shè)計(jì)等。當(dāng)一個(gè)內(nèi)網(wǎng)安全體系經(jīng)過(guò)評(píng)估之后將融合到現(xiàn)有的信息基礎(chǔ)設(shè)施當(dāng)中，同樣地，如果基礎(chǔ)設(shè)施發(fā)生變化，相對(duì)應(yīng)的也要進(jìn)行評(píng)估。而在這些工作完成之后，需要對(duì)已經(jīng)成型的安全體系進(jìn)行評(píng)價(jià)和驗(yàn)證，以證明其有效性。

如果不存在漏洞和考慮不周之處，該內(nèi)網(wǎng)安全體系將投產(chǎn)于實(shí)際的工作環(huán)境，而后續(xù)的針對(duì)應(yīng)用環(huán)境變更所做出的調(diào)整、日常的安全管理、發(fā)生安全事件時(shí)的應(yīng)急響應(yīng)和支持等工作將會(huì)有序地開(kāi)展。

按部就班：如何操作內(nèi)網(wǎng)安全管理

從管理目標(biāo)來(lái)說(shuō)，內(nèi)網(wǎng)安全所處理的主要問(wèn)題還是內(nèi)網(wǎng)中的信息也即數(shù)據(jù)。雖然說(shuō)Web、電子郵件、即時(shí)通信、業(yè)務(wù)管理系統(tǒng)等建構(gòu)在局域網(wǎng)和互聯(lián)網(wǎng)上的應(yīng)用為企業(yè)帶來(lái)了大量的效率提升，但是并不是所有的人都明白這些應(yīng)用會(huì)給企業(yè)的數(shù)據(jù)帶來(lái)什么風(fēng)險(xiǎn)，更不知道如何來(lái)控制這種風(fēng)險(xiǎn)。

通過(guò)對(duì)信息進(jìn)行分級(jí)并映射其可能的安全風(fēng)險(xiǎn)，以及在這些安全風(fēng)險(xiǎn)變成現(xiàn)實(shí)時(shí)可能遭受的損失，在擁有這些基礎(chǔ)素材之后安全管理人員才能開(kāi)發(fā)出有效的控制措施來(lái)將風(fēng)險(xiǎn)降低到可以接受的程度。在形成了完善的信息分級(jí)系統(tǒng)之后，組織就可以著手形成自己的基本安全策略。

安全策略除了確認(rèn)信息作為受保護(hù)資產(chǎn)的地位之外，更重要的價(jià)值在于規(guī)定當(dāng)信息依照其所在等級(jí)的風(fēng)險(xiǎn)情況應(yīng)該受到何種程度的保護(hù)。而在預(yù)期的成本和目標(biāo)效果的指導(dǎo)之下，安全管理人員應(yīng)選擇與之相適應(yīng)的技術(shù)和產(chǎn)品來(lái)構(gòu)建安全防護(hù)措施。

當(dāng)然，在一切都被搭建起來(lái)之后，還有很多安全管理工作需要被周而復(fù)始地執(zhí)行。然而不得不承認(rèn)的是，很多情況下安全管理人員都直接將構(gòu)建安全設(shè)施作為內(nèi)網(wǎng)安全管理的起點(diǎn)，同時(shí)以很低的效率和很盲目的姿態(tài)來(lái)開(kāi)展后續(xù)的工作，這樣做最可能的結(jié)果就是形成一個(gè)可能發(fā)生安全事件的內(nèi)部網(wǎng)絡(luò)。從下面提供的一份示例清單中可以看出，這種未經(jīng)足夠準(zhǔn)備就開(kāi)始的安全工作到底遺漏了多少有益的要素。

見(jiàn)著拆招：實(shí)例解析內(nèi)網(wǎng)安全管理

也許在95%的講解內(nèi)網(wǎng)安全管理的文章中，內(nèi)網(wǎng)都用來(lái)代指與互聯(lián)網(wǎng)相對(duì)的局域網(wǎng)絡(luò)。但是在實(shí)際的安全管理情景中，內(nèi)網(wǎng)往往還需要被劃分成不同的區(qū)域。有的時(shí)候是因?yàn)榻M織業(yè)務(wù)的需要，網(wǎng)絡(luò)已經(jīng)被進(jìn)行切割；而有的時(shí)候則是為了讓安全體系更加具有層次，所以令不同安全等級(jí)的數(shù)據(jù)只能在自己的區(qū)域中流動(dòng)。

有相當(dāng)多的技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)隔離，例如防火墻設(shè)備、中繼網(wǎng)關(guān)、應(yīng)用代理、三層交換機(jī)、VLAN等等。盡管很多企業(yè)都應(yīng)用低層的物理隔離設(shè)備來(lái)分割網(wǎng)絡(luò)，但是事實(shí)上應(yīng)用最廣泛的仍舊是防火墻類型的設(shè)備。而另外一個(gè)較為明顯的趨勢(shì)是，大部分組織都應(yīng)用了一種以上的技術(shù)或設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)區(qū)域的劃分和管理。

然而，如果只是利用這些傳統(tǒng)的、基本的設(shè)施來(lái)進(jìn)行網(wǎng)絡(luò)隔離管理是相當(dāng)?shù)托У?，也很難與數(shù)據(jù)隔離、應(yīng)用隔離等安全管理手段相互融合。所以更加受到推崇的方式，是在一個(gè)統(tǒng)一的管理平臺(tái)之下，將面向各種層面和各種方向的防護(hù)機(jī)能整合起來(lái)。

以鼎普科技面向防泄漏的產(chǎn)品解決方案為例，通過(guò)BIOS等硬件芯片級(jí)別的可信認(rèn)證來(lái)保持終端的安全性，只授權(quán)那些可信、可控、處于健康狀態(tài)的計(jì)算機(jī)才允許訪問(wèn)內(nèi)網(wǎng)中的數(shù)據(jù)，并在此監(jiān)控和認(rèn)證的過(guò)程中對(duì)信息和訪問(wèn)信息的終端進(jìn)行分級(jí)、分層、分組管理，這樣才能實(shí)現(xiàn)真正意義上的安全管理通暢。

另外，對(duì)于那些出現(xiàn)安全問(wèn)題同時(shí)可能對(duì)內(nèi)網(wǎng)其它節(jié)點(diǎn)造成破壞的計(jì)算機(jī)，整個(gè)安全管理體系可以智能識(shí)別并將其與內(nèi)網(wǎng)切斷。這樣的體系可以簡(jiǎn)化安全管理員的負(fù)擔(dān)，甚至每一臺(tái)計(jì)算機(jī)都可以被視為內(nèi)網(wǎng)中的一個(gè)內(nèi)網(wǎng)，管理彈性可見(jiàn)一斑。

鏈接：在安全體系被實(shí)際搭建起來(lái)之前應(yīng)獲得如下的一些文檔資料

《業(yè)務(wù)應(yīng)用清單》

《信息分級(jí)制度》

《風(fēng)險(xiǎn)評(píng)估報(bào)告》

《業(yè)務(wù)影響分析表》

《安全要求清單》（包括服務(wù)器、終端、網(wǎng)絡(luò)、應(yīng)用、密碼、人員等）

《安全策略》（包括訪問(wèn)定義和控制策略、密碼管理策略、網(wǎng)絡(luò)應(yīng)用策略、隱私策略、行動(dòng)程序規(guī)劃等等）

《安全基礎(chǔ)設(shè)施設(shè)計(jì)》

三、趨勢(shì)篇：當(dāng)內(nèi)網(wǎng)安全遇上云

引言： “當(dāng)我們望向未來(lái)的時(shí)候，我們可以更好地了解現(xiàn)在”，在信息安全領(lǐng)域亦是如此，帶有一點(diǎn)前瞻意味的分析可能更有助于我們了解在安全問(wèn)題的巨浪中應(yīng)該賴何為生。主流安全技術(shù)與內(nèi)網(wǎng)安全的融合？新興內(nèi)網(wǎng)安全工具的興起？當(dāng)面對(duì)一個(gè)問(wèn)題時(shí)如果我們能夠有很多可供選擇的答案，雖有點(diǎn)煩惱卻也是一種不折不扣的幸福。

如果我們將云安全體系的主要特性展開(kāi)，會(huì)發(fā)現(xiàn)其與內(nèi)網(wǎng)安全訴求有著驚人的鏡面效應(yīng)。從核心模式上來(lái)說(shuō)，云安全有能力構(gòu)建不同種類終端到安全云的統(tǒng)一防御體系，這是而體系性正是目前內(nèi)網(wǎng)安全解決方案最亟待提高的方面。

從防病毒這個(gè)最傳統(tǒng)也是最為人熟知的安全防護(hù)領(lǐng)域來(lái)看，云安全體系的應(yīng)用雖然起步時(shí)日尚短但仍以極快的速度進(jìn)入成熟期。由此獲得的成功經(jīng)驗(yàn)即是對(duì)其它內(nèi)網(wǎng)安全領(lǐng)域的啟示，同時(shí)也是一種莫大的鼓舞。也許用不了太長(zhǎng)時(shí)間，就能夠看到有其它的產(chǎn)品開(kāi)始通過(guò)云安全來(lái)提升自己的防護(hù)能力，又或者為自己造勢(shì)。

不得不令人關(guān)注的一點(diǎn)是，云安全是否會(huì)成為防病毒廠商進(jìn)一步擴(kuò)張自己勢(shì)力范圍的契機(jī)呢？讓我們來(lái)看看堪稱云安全“先驅(qū)者”的趨勢(shì)科技，其最新推出的云安全2.0技術(shù)架構(gòu)中所包含的文件信譽(yù)和多協(xié)議關(guān)聯(lián)分析等技術(shù)，全都是將矛頭指向了終端安全和內(nèi)網(wǎng)安全。

云客戶端文件信譽(yù)（CCFR）將海量病毒特征碼交付給云端服務(wù)（比如內(nèi)網(wǎng)的一臺(tái)服務(wù)器）進(jìn)行管理，終端計(jì)算機(jī)進(jìn)行文件訪問(wèn)時(shí)，將直接連接該云服務(wù)檢查文件的安全性，而不必一定將更新文件分發(fā)到各臺(tái)計(jì)算機(jī)。

這樣做不但解放了各個(gè)計(jì)算機(jī)節(jié)點(diǎn)的性能和網(wǎng)絡(luò)帶寬，而且在及時(shí)性上也有著更充分的保障，對(duì)于防護(hù)質(zhì)量具有非常顯見(jiàn)的提高。而多協(xié)議關(guān)聯(lián)分析技術(shù)能夠全面支持檢測(cè)2~7層的惡意威脅，對(duì)于時(shí)下流行的基于Web頁(yè)面的惡意攻擊、網(wǎng)絡(luò)釣魚(yú)欺詐等典型的內(nèi)網(wǎng)安全問(wèn)題，有著較為全面的解決能力。

從這些情況不難看出，由于具備了體系上的優(yōu)勢(shì)和功能上的切入點(diǎn)，本身就是致力于終端保護(hù)的防病毒廠商，特別是像趨勢(shì)、賽門鐵克、卡巴斯基這樣在技術(shù)和企業(yè)市場(chǎng)方面有很多前期積累的廠商，很有可能成為內(nèi)網(wǎng)安全領(lǐng)域的一支奇兵。

如果延伸一點(diǎn)來(lái)看，云安全體系不但能夠融合終端與云，網(wǎng)關(guān)也可以被納入安全云的保護(hù)，形成“終端->網(wǎng)關(guān)”、“終端->云端”、“網(wǎng)關(guān)->云端”這樣層次豐富且完整的防護(hù)體系。如果云安全能夠真正滲透到內(nèi)網(wǎng)安全領(lǐng)域，那其彌合所有計(jì)算機(jī)設(shè)備的特性和目標(biāo)，甚至有望實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)網(wǎng)的融合，實(shí)現(xiàn)安全的統(tǒng)一化和簡(jiǎn)約化。

生物識(shí)別技術(shù)剛剛興起之時(shí)，是一種幾乎被所有人看好的用于進(jìn)行身份驗(yàn)證的技術(shù)，但是時(shí)至今日，居高不下的成本以及其他一些零散的問(wèn)題仍讓這種技術(shù)遠(yuǎn)離主流。這帶給我們一些明確的啟示，單純的技術(shù)因素永遠(yuǎn)不？能決定一個(gè)安全產(chǎn)品的未來(lái)，所以我們當(dāng)然不應(yīng)該單純地從技術(shù)角度出發(fā)來(lái)考慮內(nèi)網(wǎng)安全問(wèn)題。內(nèi)網(wǎng)安全在需要適合當(dāng)前安全環(huán)境的工具和產(chǎn)品同時(shí)，更需要那些適應(yīng)長(zhǎng)遠(yuǎn)發(fā)展的理念和架構(gòu)，有了堅(jiān)實(shí)的基礎(chǔ)，才有真正的未來(lái)。  

【編輯推薦】

1. 為內(nèi)網(wǎng)安全提供四級(jí)認(rèn)證 立體布控才是出路
2. 安全公司為創(chuàng)維家電打造可信內(nèi)網(wǎng)安全
3. 網(wǎng)關(guān)準(zhǔn)入控制—初探內(nèi)網(wǎng)安全的新思路