內(nèi)網(wǎng)安全 站在十年的路口
什么是內(nèi)網(wǎng)安全?這個名詞我們經(jīng)常聽說,卻沒有人能說出它的準(zhǔn)確定義,即使是在維基百科和百度百科中也查找不到準(zhǔn)確的結(jié)果。可是,這個概念從誕生至今已有十年的歷史,它就像一個神秘的影子伴隨著企業(yè)不斷成長,我們都知道它在,卻不知它究竟是誰。
一般而言,人們通常以企業(yè)網(wǎng)絡(luò)邊界為限將網(wǎng)絡(luò)劃分為內(nèi)、外網(wǎng),內(nèi)網(wǎng)安全指的就是在內(nèi)網(wǎng)中與安全相關(guān)的內(nèi)容。由于IT技術(shù)變化很快,每隔一段時間就會出現(xiàn)新的技術(shù)和新的安全威脅,因此內(nèi)網(wǎng)安全這個概念的內(nèi)涵自誕生以來就不斷的在發(fā)生改變。從網(wǎng)絡(luò)訪問控制到各種漏洞的封堵、從員工行為管理到桌面管理、從加密到融審計、監(jiān)控、加密于一體的整體信息防泄漏,十年之間,內(nèi)網(wǎng)安全走過了由技術(shù)到產(chǎn)品、由產(chǎn)品到方案、由方案到體系的發(fā)展之路。
內(nèi)網(wǎng)安全的發(fā)展并非一帆風(fēng)順,經(jīng)歷過波折和爭論,輝煌和失落,直到今天,仍存在諸多爭議。站在內(nèi)網(wǎng)安全發(fā)展十年的路口,我們不禁再次追問:內(nèi)網(wǎng)安全究竟是人的問題還是技術(shù)的問題?實現(xiàn)信息防泄漏管理,是利用單個功能的產(chǎn)品來搭建體系好,還是采用全套解決方案更佳?加密是不是解決信息泄漏問題的終極武器?行為審計究竟有沒有侵犯隱私?層出不窮的泄密事件反映出內(nèi)網(wǎng)安全的哪些風(fēng)險,我們能從中學(xué)到什么?如何評估一個信息防泄漏方案的好壞?太多的問題值得我們思考。正所謂"以史為鑒,可以知興替",回顧內(nèi)網(wǎng)安全的發(fā)展史,或許能找到屬于您的答案。
內(nèi)網(wǎng)安全概念初現(xiàn)
2000年左右,中國基礎(chǔ)網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善,PC也已經(jīng)成為一種常見的設(shè)備,基于網(wǎng)絡(luò)的應(yīng)用大量涌現(xiàn),很多企事業(yè)單位已經(jīng)進(jìn)入到網(wǎng)絡(luò)應(yīng)用的階段,辦公自動化開始普及。
網(wǎng)絡(luò)和辦公自動化的普及,為病毒等安全威脅的快速傳播提供了現(xiàn)實基礎(chǔ)。當(dāng)時企業(yè)級防護(hù)手段還是以防火墻為代表的邊界防護(hù),一旦病毒越過防火墻,就會在內(nèi)網(wǎng)中快速傳播,由于大多數(shù)用戶對計算機的認(rèn)知程度不高,缺乏防護(hù)意識,加之條件有限,難以保證系統(tǒng)補丁、軟件升級的及時性,使得企業(yè)內(nèi)網(wǎng)毫無抵抗力。人們發(fā)現(xiàn),依靠單一的防火墻、防病毒軟件無法應(yīng)付病毒威脅,只有在將每個客戶端都保護(hù)起來才能有效防止病毒入侵。隨著相關(guān)需求的大量產(chǎn)生,市面上出現(xiàn)了包括控制非法接入、控制非法外連、設(shè)備加密、補丁分發(fā)等功能內(nèi)網(wǎng)安全產(chǎn)品,主要解決桌面安全防護(hù)問題,內(nèi)網(wǎng)安全的前身就此顯現(xiàn)。在這個階段,內(nèi)網(wǎng)安全產(chǎn)品主要還是以系統(tǒng)功能增強為主,管理方面的能力較弱。
關(guān)注"人"的風(fēng)險
2002年,美國"安然""世通"丑聞爆發(fā),2004年,美國證券市場開始實施針對上市公司財務(wù)和公司治理的Sarbanes-Oxley(塞班斯法案)。其中要求上市公司的內(nèi)控管理必須切實做到保護(hù)財務(wù)數(shù)據(jù)、維護(hù)系統(tǒng)安全、保護(hù)客戶數(shù)據(jù)免遭盜竊與破壞以提高公司披露的準(zhǔn)確性和可靠性。內(nèi)控從此成為人們關(guān)注的焦點,隨之而來的針對郵件、網(wǎng)絡(luò)等IT系統(tǒng)的審計要求使得郵件監(jiān)控、網(wǎng)絡(luò)監(jiān)控、行為審計等產(chǎn)品成為熱潮。
塞班斯法案從法規(guī)遵從的角度對上市企業(yè)的內(nèi)控提出了明確要求,但內(nèi)控并非只有上市公司才需要。在2005年左右,眾多企業(yè)發(fā)現(xiàn)員工會在工作時間內(nèi)通過互聯(lián)網(wǎng)訪問無關(guān)信息,這不僅降低了工作效率,還使得釣魚欺詐、病毒、木馬等安全威脅輕易的進(jìn)入企業(yè)內(nèi)網(wǎng),內(nèi)部泄密也變得輕而易舉,傳統(tǒng)的管理手段根本無法應(yīng)對。如何對上網(wǎng)行為進(jìn)行限制和管理成為了企業(yè)信息安全建設(shè)的燃眉之急,于是"上網(wǎng)行為管理"也在這一時期得到了快速發(fā)展。
從此時開始,內(nèi)網(wǎng)安全不單單關(guān)注技術(shù)風(fēng)險,也開始關(guān)注"人"的風(fēng)險。行為監(jiān)控和審計的出現(xiàn)標(biāo)志著內(nèi)網(wǎng)安全產(chǎn)品從單純的"技術(shù)"走向了"管理",但是,這一步走得并不輕松。
以現(xiàn)在的眼光來看,監(jiān)控和審計是一種內(nèi)控的必要手段,但是在當(dāng)時,國人對于"隱私"的理解非常粗淺,而且企業(yè)的管理水平普遍較低,員工對于"監(jiān)控"和"審計"有著非常強烈的抵觸情緒。"監(jiān)控"和"審計"源于美國,而此時的中國無論是企業(yè)發(fā)展水平還是員工意識都相對落后,在一些制造企業(yè)中還曾經(jīng)發(fā)生過因為實施"行為監(jiān)控"而導(dǎo)致大量設(shè)計人員離職的情況,許多企業(yè)最終不得不停用行為監(jiān)控系統(tǒng)。
在這種大環(huán)境下,"監(jiān)控"和"審計"的功能從臺前轉(zhuǎn)到了幕后,業(yè)內(nèi)也開始關(guān)于"隱私"的討論。與此同時,關(guān)于內(nèi)網(wǎng)安全中是"管理"重要還是"技術(shù)"重要的思辨也登上歷史舞臺。
技術(shù)融合與防水墻
時間進(jìn)入2006年,經(jīng)過數(shù)年的發(fā)展,傳統(tǒng)的網(wǎng)絡(luò)連接控制、設(shè)備加密、補丁分發(fā)、監(jiān)控、行為管理、行為審計等產(chǎn)品逐漸走向融合,桌面安全管理系統(tǒng)開始嶄露頭角。與傳統(tǒng)的分散部署相比,整合后的桌面安全管理系統(tǒng)能夠通過對網(wǎng)絡(luò)中所有設(shè)備的統(tǒng)一策略制定、用戶行為的統(tǒng)一管理,安全工具的集中審計,最大限度地減少安全隱患。同時,它還對個人桌面系統(tǒng)的軟件資源、工作狀況進(jìn)行管理,有效地提高員工工作效率。桌面安全管理系統(tǒng)的出現(xiàn),代表著內(nèi)網(wǎng)安全領(lǐng)域技術(shù)整合的開始。也在這一年,信息防泄漏1.0版本--能夠?qū)咕W(wǎng)絡(luò)、終端、外設(shè)等多樣化安全威脅的防水墻也登上舞臺。
融合產(chǎn)品的出現(xiàn)是內(nèi)網(wǎng)安全發(fā)展史上的重大事件。傳統(tǒng)的內(nèi)網(wǎng)安全產(chǎn)品各自獨立,企業(yè)可以選擇每個具體應(yīng)用上最強的軟件來搭建內(nèi)網(wǎng)安全體系。但這種方式的弱點也非常明顯,不同產(chǎn)品互不相通,不但形成信息孤島,還導(dǎo)致管理權(quán)限的交叉和重疊,從而產(chǎn)生更多的問題。融合產(chǎn)品可以將原本分散的多種功能整合成一個整體,有著更高的效率和更好的防護(hù)效果,因此一經(jīng)面世就受到了眾多廠商的追捧。
但是融合產(chǎn)品也并非沒有弱點。許多企業(yè)特別是制造企業(yè),在過去的信息化建設(shè)過程中已經(jīng)有了許多應(yīng)用,要全部撤除換新系統(tǒng)并不現(xiàn)實,而且會做所有的事情并不代表能把所有事情都做好。因此,是部署分散、獨立系統(tǒng)還是部署整體解決方案來構(gòu)建企業(yè)信息安全體系是一個見仁見智的問題,時至今日,仍然是業(yè)界探討的熱點。
透明加密井噴
同樣是2006年,透明加密產(chǎn)品在信息安全領(lǐng)域刮起了一陣旋風(fēng)。透明加密軟件可以將企業(yè)圖紙、辦公文檔等文檔進(jìn)行加密處理,整個過程對用戶透明,不改變工作習(xí)慣。文檔只有在授信范圍內(nèi)才能打開,離開了授信范圍文檔就是一堆亂碼,號稱"偷得走,打不開"。深陷信息安全風(fēng)險的企業(yè)紛紛購買透明加密軟件來保護(hù)自己的重要信息,透明加密市場出現(xiàn)井噴,短短半年間就出現(xiàn)了上百種產(chǎn)品,但在市場火熱的背后,隱患也被埋下。
由于透明加密市場的突然火熱,大量沒有掌握核心技術(shù),僅靠購買他人產(chǎn)品貼牌銷售的廠商涌入透明加密市場。由于技術(shù)并不過關(guān),許多用戶在應(yīng)用過程中遇到問題,還出現(xiàn)了不少加密后文檔損壞且無法恢復(fù)的惡性案例。經(jīng)過了06年的火爆之后,2007年透明加密市場急速冷卻,大量缺乏技術(shù)實力的廠商倒閉。
內(nèi)網(wǎng)安全走向成熟
2007年到2008年間,是內(nèi)網(wǎng)安全領(lǐng)域變化較大的時期。隨著移動存儲介質(zhì)的廣泛普及,移動存儲介質(zhì)管理及其周邊產(chǎn)品得到了用戶的認(rèn)可,主機監(jiān)控審計產(chǎn)品亦開始盛行。2008年,美國次貸危機爆發(fā),金融風(fēng)暴席卷全球,中國也未能幸免,大量缺乏核心競爭力的企業(yè)倒閉。人心浮動之下,針對企業(yè)核心信息的違法行為增多,韓國雙龍汽車、現(xiàn)代汽車先后爆出"泄密門"事件,如何保證核心數(shù)據(jù)的安全再次成為了企業(yè)關(guān)注的焦點。一些廠商將國外的DLP(數(shù)據(jù)泄漏防護(hù))概念引入中國,根據(jù)中國企業(yè)的實際需求整合終端防護(hù)、存儲磁盤、文件管理、版權(quán)管理以及U盤、外設(shè)端口控制、網(wǎng)頁信息保護(hù)、即時通訊攔截等多個功能,推出了具有中國特色的DLP產(chǎn)品。國內(nèi)部分知名制造企業(yè)也吸取其他廠商泄密事件的教訓(xùn),迅速部署了DLP系統(tǒng),如中國一汽集團(tuán)、河北天馬汽車、比亞迪汽車、廣州本田等企業(yè)都陸續(xù)實施了DLP數(shù)據(jù)防泄密系統(tǒng)。
雖然從技術(shù)角度看,DLP系統(tǒng)仍然是各種傳統(tǒng)技術(shù)的整合,并沒有但是它體現(xiàn)出國內(nèi)廠商已經(jīng)不再盯著單一的產(chǎn)品或技術(shù),而是開始進(jìn)行概念和整體解決方案的推廣,這無疑比過去單純的技術(shù)概念炒作要高出一個層次,也代表著內(nèi)網(wǎng)安全廠商更加的成熟。
整體信息防泄漏時代
2011年,全球泄密事件仍然層出不窮。索尼PSN泄密、富士康ipad圖紙泄密、達(dá)利集團(tuán)配方泄密、蜀山產(chǎn)業(yè)園丟失財政數(shù)據(jù)U盤,無論是相關(guān)公司的規(guī)模、泄露信息的重要性還是泄密事件的發(fā)生頻率,2011年都超過往年。這表明,企業(yè)核心數(shù)據(jù)的價值已被攻擊者認(rèn)同,他們將花費更多的成本去非法獲得企業(yè)核心數(shù)據(jù)。而另一方面,許多企業(yè)防泄密意識還不夠,對核心信息的價值、內(nèi)網(wǎng)安全以及信息防泄漏的認(rèn)識還不足,由于成本原因,很多企業(yè)還在建設(shè)內(nèi)網(wǎng)安全究竟是"掙錢"還是"花錢"的問題中糾結(jié)。
但是在安全業(yè)界,廠商們已經(jīng)從層出不窮的泄密事件中看到了問題所在。加密不能解決所有的問題,單純審計也沒有任何意義。只有從全局的視角出發(fā),對安全問題進(jìn)行統(tǒng)籌規(guī)劃、統(tǒng)一管理,整合運用審計、權(quán)限管理、透明加密等防泄密功能,根據(jù)涉密程度的不同(如核心部門和普通部門),部署力度輕重不一的梯度式防護(hù),將技術(shù)、管理、審計進(jìn)行有機的結(jié)合,在內(nèi)部構(gòu)建起立體化的整體信息防泄漏體系,使得成本、效率和安全三者達(dá)到最優(yōu)平衡,才能實現(xiàn)真正意義上的內(nèi)網(wǎng)安全。作為內(nèi)網(wǎng)安全領(lǐng)域的最新理念,融審計、監(jiān)控、加密于一體的"整體信息防泄漏"正式登上舞臺。
無限未來
云計算、虛擬化、SNS、移動終端,這些名詞可能你還沒有消化,但安全威脅卻已隨之而來。在這個世界,唯一不變的就是"變",從內(nèi)網(wǎng)安全的這十年發(fā)展來看,內(nèi)網(wǎng)安全經(jīng)歷了關(guān)注安全技術(shù)、關(guān)注人的行為、關(guān)注管理、關(guān)注整體解決方案到最近回歸本質(zhì)的關(guān)注信息本身的立體化整體信息防泄漏體系這五個過程,技術(shù)、體系、理念都在不斷進(jìn)步和完善,不斷的加固著企業(yè)的內(nèi)網(wǎng)安全防護(hù)體系。但是,技術(shù)不斷在進(jìn)步,威脅不斷在產(chǎn)生,內(nèi)網(wǎng)安全的范疇和焦點亦在不斷的變化。未來內(nèi)網(wǎng)安全關(guān)注的焦點是什么?這個問題恐怕要留給時間來回答。
思,辨
正所謂"三人行,必有我?guī)熝?quot;,思、辯是學(xué)習(xí)的最佳方式。文首提到的問題,并沒有所謂的"標(biāo)答",在回顧了內(nèi)網(wǎng)安全十年發(fā)展史之后,或許您已經(jīng)有了自己的答案。"思"過之后,自當(dāng)是"辯",您是否有過相關(guān)經(jīng)歷?您如何看待這些問題?寫下您的看法,讓我們一起開始內(nèi)網(wǎng)安全的十年之"辯"。
專題鏈接:http://netsecurity.51cto.com/secu/ethernet10/