什么是內(nèi)網(wǎng)安全？這個名詞我們經(jīng)常聽說，卻沒有人能說出它的準(zhǔn)確定義，即使是在維基百科和百度百科中也查找不到準(zhǔn)確的結(jié)果。可是，這個概念從誕生至今已有十年的歷史，它就像一個神秘的影子伴隨著企業(yè)不斷成長，我們都知道它在，卻不知它究竟是誰。

一般而言，人們通常以企業(yè)網(wǎng)絡(luò)邊界為限將網(wǎng)絡(luò)劃分為內(nèi)、外網(wǎng)，內(nèi)網(wǎng)安全指的就是在內(nèi)網(wǎng)中與安全相關(guān)的內(nèi)容。由于IT技術(shù)變化很快，每隔一段時間就會出現(xiàn)新的技術(shù)和新的安全威脅，因此內(nèi)網(wǎng)安全這個概念的內(nèi)涵自誕生以來就不斷的在發(fā)生改變。從網(wǎng)絡(luò)訪問控制到各種漏洞的封堵、從員工行為管理到桌面管理、從加密到融審計、監(jiān)控、加密于一體的整體信息防泄漏，十年之間，內(nèi)網(wǎng)安全走過了由技術(shù)到產(chǎn)品、由產(chǎn)品到方案、由方案到體系的發(fā)展之路。

內(nèi)網(wǎng)安全的發(fā)展并非一帆風(fēng)順，經(jīng)歷過波折和爭論，輝煌和失落，直到今天，仍存在諸多爭議。站在內(nèi)網(wǎng)安全發(fā)展十年的路口，我們不禁再次追問：內(nèi)網(wǎng)安全究竟是人的問題還是技術(shù)的問題？實現(xiàn)信息防泄漏管理，是利用單個功能的產(chǎn)品來搭建體系好，還是采用全套解決方案更佳？加密是不是解決信息泄漏問題的終極武器？行為審計究竟有沒有侵犯隱私？層出不窮的泄密事件反映出內(nèi)網(wǎng)安全的哪些風(fēng)險，我們能從中學(xué)到什么？如何評估一個信息防泄漏方案的好壞？太多的問題值得我們思考。正所謂"以史為鑒，可以知興替"，回顧內(nèi)網(wǎng)安全的發(fā)展史，或許能找到屬于您的答案。

內(nèi)網(wǎng)安全概念初現(xiàn)

2000年左右，中國基礎(chǔ)網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善，PC也已經(jīng)成為一種常見的設(shè)備，基于網(wǎng)絡(luò)的應(yīng)用大量涌現(xiàn)，很多企事業(yè)單位已經(jīng)進(jìn)入到網(wǎng)絡(luò)應(yīng)用的階段，辦公自動化開始普及。

網(wǎng)絡(luò)和辦公自動化的普及，為病毒等安全威脅的快速傳播提供了現(xiàn)實基礎(chǔ)。當(dāng)時企業(yè)級防護(hù)手段還是以防火墻為代表的邊界防護(hù)，一旦病毒越過防火墻，就會在內(nèi)網(wǎng)中快速傳播，由于大多數(shù)用戶對計算機的認(rèn)知程度不高，缺乏防護(hù)意識，加之條件有限，難以保證系統(tǒng)補丁、軟件升級的及時性，使得企業(yè)內(nèi)網(wǎng)毫無抵抗力。人們發(fā)現(xiàn)，依靠單一的防火墻、防病毒軟件無法應(yīng)付病毒威脅，只有在將每個客戶端都保護(hù)起來才能有效防止病毒入侵。隨著相關(guān)需求的大量產(chǎn)生，市面上出現(xiàn)了包括控制非法接入、控制非法外連、設(shè)備加密、補丁分發(fā)等功能內(nèi)網(wǎng)安全產(chǎn)品，主要解決桌面安全防護(hù)問題，內(nèi)網(wǎng)安全的前身就此顯現(xiàn)。在這個階段，內(nèi)網(wǎng)安全產(chǎn)品主要還是以系統(tǒng)功能增強為主，管理方面的能力較弱。

關(guān)注"人"的風(fēng)險

2002年，美國"安然""世通"丑聞爆發(fā)，2004年，美國證券市場開始實施針對上市公司財務(wù)和公司治理的Sarbanes-Oxley（塞班斯法案）。其中要求上市公司的內(nèi)控管理必須切實做到保護(hù)財務(wù)數(shù)據(jù)、維護(hù)系統(tǒng)安全、保護(hù)客戶數(shù)據(jù)免遭盜竊與破壞以提高公司披露的準(zhǔn)確性和可靠性。內(nèi)控從此成為人們關(guān)注的焦點，隨之而來的針對郵件、網(wǎng)絡(luò)等IT系統(tǒng)的審計要求使得郵件監(jiān)控、網(wǎng)絡(luò)監(jiān)控、行為審計等產(chǎn)品成為熱潮。

塞班斯法案從法規(guī)遵從的角度對上市企業(yè)的內(nèi)控提出了明確要求，但內(nèi)控并非只有上市公司才需要。在2005年左右，眾多企業(yè)發(fā)現(xiàn)員工會在工作時間內(nèi)通過互聯(lián)網(wǎng)訪問無關(guān)信息，這不僅降低了工作效率，還使得釣魚欺詐、病毒、木馬等安全威脅輕易的進(jìn)入企業(yè)內(nèi)網(wǎng)，內(nèi)部泄密也變得輕而易舉，傳統(tǒng)的管理手段根本無法應(yīng)對。如何對上網(wǎng)行為進(jìn)行限制和管理成為了企業(yè)信息安全建設(shè)的燃眉之急，于是"上網(wǎng)行為管理"也在這一時期得到了快速發(fā)展。

從此時開始，內(nèi)網(wǎng)安全不單單關(guān)注技術(shù)風(fēng)險，也開始關(guān)注"人"的風(fēng)險。行為監(jiān)控和審計的出現(xiàn)標(biāo)志著內(nèi)網(wǎng)安全產(chǎn)品從單純的"技術(shù)"走向了"管理"，但是，這一步走得并不輕松。

以現(xiàn)在的眼光來看，監(jiān)控和審計是一種內(nèi)控的必要手段，但是在當(dāng)時，國人對于"隱私"的理解非常粗淺，而且企業(yè)的管理水平普遍較低，員工對于"監(jiān)控"和"審計"有著非常強烈的抵觸情緒。"監(jiān)控"和"審計"源于美國，而此時的中國無論是企業(yè)發(fā)展水平還是員工意識都相對落后，在一些制造企業(yè)中還曾經(jīng)發(fā)生過因為實施"行為監(jiān)控"而導(dǎo)致大量設(shè)計人員離職的情況，許多企業(yè)最終不得不停用行為監(jiān)控系統(tǒng)。

在這種大環(huán)境下，"監(jiān)控"和"審計"的功能從臺前轉(zhuǎn)到了幕后，業(yè)內(nèi)也開始關(guān)于"隱私"的討論。與此同時，關(guān)于內(nèi)網(wǎng)安全中是"管理"重要還是"技術(shù)"重要的思辨也登上歷史舞臺。

技術(shù)融合與防水墻

時間進(jìn)入2006年，經(jīng)過數(shù)年的發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)連接控制、設(shè)備加密、補丁分發(fā)、監(jiān)控、行為管理、行為審計等產(chǎn)品逐漸走向融合，桌面安全管理系統(tǒng)開始嶄露頭角。與傳統(tǒng)的分散部署相比，整合后的桌面安全管理系統(tǒng)能夠通過對網(wǎng)絡(luò)中所有設(shè)備的統(tǒng)一策略制定、用戶行為的統(tǒng)一管理，安全工具的集中審計，最大限度地減少安全隱患。同時，它還對個人桌面系統(tǒng)的軟件資源、工作狀況進(jìn)行管理，有效地提高員工工作效率。桌面安全管理系統(tǒng)的出現(xiàn)，代表著內(nèi)網(wǎng)安全領(lǐng)域技術(shù)整合的開始。也在這一年，信息防泄漏1.0版本--能夠?qū)咕W(wǎng)絡(luò)、終端、外設(shè)等多樣化安全威脅的防水墻也登上舞臺。

融合產(chǎn)品的出現(xiàn)是內(nèi)網(wǎng)安全發(fā)展史上的重大事件。傳統(tǒng)的內(nèi)網(wǎng)安全產(chǎn)品各自獨立，企業(yè)可以選擇每個具體應(yīng)用上最強的軟件來搭建內(nèi)網(wǎng)安全體系。但這種方式的弱點也非常明顯，不同產(chǎn)品互不相通，不但形成信息孤島，還導(dǎo)致管理權(quán)限的交叉和重疊，從而產(chǎn)生更多的問題。融合產(chǎn)品可以將原本分散的多種功能整合成一個整體，有著更高的效率和更好的防護(hù)效果，因此一經(jīng)面世就受到了眾多廠商的追捧。

但是融合產(chǎn)品也并非沒有弱點。許多企業(yè)特別是制造企業(yè)，在過去的信息化建設(shè)過程中已經(jīng)有了許多應(yīng)用，要全部撤除換新系統(tǒng)并不現(xiàn)實，而且會做所有的事情并不代表能把所有事情都做好。因此，是部署分散、獨立系統(tǒng)還是部署整體解決方案來構(gòu)建企業(yè)信息安全體系是一個見仁見智的問題，時至今日，仍然是業(yè)界探討的熱點。

透明加密井噴

同樣是2006年，透明加密產(chǎn)品在信息安全領(lǐng)域刮起了一陣旋風(fēng)。透明加密軟件可以將企業(yè)圖紙、辦公文檔等文檔進(jìn)行加密處理，整個過程對用戶透明，不改變工作習(xí)慣。文檔只有在授信范圍內(nèi)才能打開，離開了授信范圍文檔就是一堆亂碼，號稱"偷得走，打不開"。深陷信息安全風(fēng)險的企業(yè)紛紛購買透明加密軟件來保護(hù)自己的重要信息，透明加密市場出現(xiàn)井噴，短短半年間就出現(xiàn)了上百種產(chǎn)品，但在市場火熱的背后，隱患也被埋下。

由于透明加密市場的突然火熱，大量沒有掌握核心技術(shù)，僅靠購買他人產(chǎn)品貼牌銷售的廠商涌入透明加密市場。由于技術(shù)并不過關(guān)，許多用戶在應(yīng)用過程中遇到問題，還出現(xiàn)了不少加密后文檔損壞且無法恢復(fù)的惡性案例。經(jīng)過了06年的火爆之后，2007年透明加密市場急速冷卻，大量缺乏技術(shù)實力的廠商倒閉。

內(nèi)網(wǎng)安全走向成熟

2007年到2008年間，是內(nèi)網(wǎng)安全領(lǐng)域變化較大的時期。隨著移動存儲介質(zhì)的廣泛普及，移動存儲介質(zhì)管理及其周邊產(chǎn)品得到了用戶的認(rèn)可，主機監(jiān)控審計產(chǎn)品亦開始盛行。2008年，美國次貸危機爆發(fā)，金融風(fēng)暴席卷全球，中國也未能幸免，大量缺乏核心競爭力的企業(yè)倒閉。人心浮動之下，針對企業(yè)核心信息的違法行為增多，韓國雙龍汽車、現(xiàn)代汽車先后爆出"泄密門"事件，如何保證核心數(shù)據(jù)的安全再次成為了企業(yè)關(guān)注的焦點。一些廠商將國外的DLP（數(shù)據(jù)泄漏防護(hù)）概念引入中國，根據(jù)中國企業(yè)的實際需求整合終端防護(hù)、存儲磁盤、文件管理、版權(quán)管理以及U盤、外設(shè)端口控制、網(wǎng)頁信息保護(hù)、即時通訊攔截等多個功能，推出了具有中國特色的DLP產(chǎn)品。國內(nèi)部分知名制造企業(yè)也吸取其他廠商泄密事件的教訓(xùn)，迅速部署了DLP系統(tǒng)，如中國一汽集團(tuán)、河北天馬汽車、比亞迪汽車、廣州本田等企業(yè)都陸續(xù)實施了DLP數(shù)據(jù)防泄密系統(tǒng)。

雖然從技術(shù)角度看，DLP系統(tǒng)仍然是各種傳統(tǒng)技術(shù)的整合，并沒有但是它體現(xiàn)出國內(nèi)廠商已經(jīng)不再盯著單一的產(chǎn)品或技術(shù)，而是開始進(jìn)行概念和整體解決方案的推廣，這無疑比過去單純的技術(shù)概念炒作要高出一個層次，也代表著內(nèi)網(wǎng)安全廠商更加的成熟。

整體信息防泄漏時代

2011年，全球泄密事件仍然層出不窮。索尼PSN泄密、富士康ipad圖紙泄密、達(dá)利集團(tuán)配方泄密、蜀山產(chǎn)業(yè)園丟失財政數(shù)據(jù)U盤，無論是相關(guān)公司的規(guī)模、泄露信息的重要性還是泄密事件的發(fā)生頻率，2011年都超過往年。這表明，企業(yè)核心數(shù)據(jù)的價值已被攻擊者認(rèn)同，他們將花費更多的成本去非法獲得企業(yè)核心數(shù)據(jù)。而另一方面，許多企業(yè)防泄密意識還不夠，對核心信息的價值、內(nèi)網(wǎng)安全以及信息防泄漏的認(rèn)識還不足，由于成本原因，很多企業(yè)還在建設(shè)內(nèi)網(wǎng)安全究竟是"掙錢"還是"花錢"的問題中糾結(jié)。

但是在安全業(yè)界，廠商們已經(jīng)從層出不窮的泄密事件中看到了問題所在。加密不能解決所有的問題，單純審計也沒有任何意義。只有從全局的視角出發(fā)，對安全問題進(jìn)行統(tǒng)籌規(guī)劃、統(tǒng)一管理，整合運用審計、權(quán)限管理、透明加密等防泄密功能，根據(jù)涉密程度的不同（如核心部門和普通部門），部署力度輕重不一的梯度式防護(hù)，將技術(shù)、管理、審計進(jìn)行有機的結(jié)合，在內(nèi)部構(gòu)建起立體化的整體信息防泄漏體系，使得成本、效率和安全三者達(dá)到最優(yōu)平衡，才能實現(xiàn)真正意義上的內(nèi)網(wǎng)安全。作為內(nèi)網(wǎng)安全領(lǐng)域的最新理念，融審計、監(jiān)控、加密于一體的"整體信息防泄漏"正式登上舞臺。

無限未來

云計算、虛擬化、SNS、移動終端，這些名詞可能你還沒有消化，但安全威脅卻已隨之而來。在這個世界，唯一不變的就是"變"，從內(nèi)網(wǎng)安全的這十年發(fā)展來看，內(nèi)網(wǎng)安全經(jīng)歷了關(guān)注安全技術(shù)、關(guān)注人的行為、關(guān)注管理、關(guān)注整體解決方案到最近回歸本質(zhì)的關(guān)注信息本身的立體化整體信息防泄漏體系這五個過程，技術(shù)、體系、理念都在不斷進(jìn)步和完善，不斷的加固著企業(yè)的內(nèi)網(wǎng)安全防護(hù)體系。但是，技術(shù)不斷在進(jìn)步，威脅不斷在產(chǎn)生，內(nèi)網(wǎng)安全的范疇和焦點亦在不斷的變化。未來內(nèi)網(wǎng)安全關(guān)注的焦點是什么？這個問題恐怕要留給時間來回答。

思，辨

正所謂"三人行，必有我?guī)熝?quot;，思、辯是學(xué)習(xí)的最佳方式。文首提到的問題，并沒有所謂的"標(biāo)答"，在回顧了內(nèi)網(wǎng)安全十年發(fā)展史之后，或許您已經(jīng)有了自己的答案。"思"過之后，自當(dāng)是"辯"，您是否有過相關(guān)經(jīng)歷？您如何看待這些問題？寫下您的看法，讓我們一起開始內(nèi)網(wǎng)安全的十年之"辯"。

專題鏈接：http://netsecurity.51cto.com/secu/ethernet10/