【51CTO.com 独家特稿】说到企业网络安全的防护,外网安全技术已经很成熟了,比如一些防火墙、漏洞扫描、入侵检测都已经很完善。不少企业都强调了外网安全产品的部署而忽略了内网安全的威胁。很多时候,真正的威胁来自内部,好多的企业机密信息泄密都是由于内部的管理不善而造成的。随着人们对内网安全意识的加强,对于内网安全产品和服务的需求也就越来越强烈,但是在目前的安全产品却异常的混乱。这是由于内网安全所涉及的产品、技术和管理都具有相当的复杂性而造成的,那么我们应该如何去选择呢?下面我们就采访了某大型外企首席安全官李洋,希望在如下问题的解答中,能够对您有所帮助。
51CTO:我们知道内网安全是一个非常复杂的问题,针对小、中、大型企业或是不同的行业都有各自不同的内网安全问题。那么,以目前来看,您所在企业的内网安全问题有哪些呢?
李洋:内网安全问题主要来源于两方面,一个是从外到内的(交界、边界安全),另一方面是从内到外的。根据不同来源的安全问题,会有不同的防范措施。目前我们更关注于数据防泄漏的安全问题。
51CTO:目前贵企业针对这些内网安全问题使用了哪些管理手段或者是解决方案?效果怎样?
李洋:前面已经提到,根据不同来源的安全问题,会有不同的防范措施,我们也部署了一些内网安全产品,例如刚才提到的数据防泄漏的安全产品。但是,效果怎样,也就是对于安全防范的评估,目前还没有一个标准,只能是在发生一些安全事件的时候才能体现出产品的效果如何。
51CTO:那么以现在的状况,您觉得还有哪些地方存在着不足,希望在(内网安全)哪一方面进行改进?
李洋:移动设备的安全问题。现在的移动智能手机,平板电脑这些移动设备都可以通过3G网络和无线网络的链接,但是针对这方面的控制还比较少。目前只是依赖移动设备的软件和运营商的一些安全控制,但是公司里面并没有这方面的产品,目前对于移动安全产品的部署还在讨论之中。
51CTO:很多人说,内网安全不仅仅是监控网络方面的安全问题,更是管理人的问题。对此您有什么看法?
李洋:人对工具使用。针对安全工具(产品)的使用,以及日常办公软件的使用,因为每个人的素质不同,对于这些工具的使用,安全防范意识是不同的。
针对不同的行业,会有不同的人员管理需求(制度,规定章程方面)。例如,金融行业,在金融行业的IT的治理,面对不同的部门,不同的阶层,制定不同的安全等级,达到一个安全目标。例如,普通员工的日常工作安全标准,运维人员的安全标准,管理人员的安全标准都是不同的。如果落实在章程中,会非常的细致,比如在职人员的安全管理,离职人员的安全管理等等。
51CTO:以您的了解,目前市场上的一些内网安全产品所提供的技术管理体系是否能和企业的内网安全制度结合在一起?
李洋:在一开始很难完全吻合,在后期需要定制一些具有针对性的安全模块,需要安全厂商的一些服务。
51CTO:从这方面看来(前一问题),您觉得内网安全产品或是方案还应该具备哪些功能和要素呢?对于厂商所提供的安全服务,您有什么建议呢?
李洋:对于一般的企业来说,如果具备上网行为管理,敏感信息管理,端点防护(控制病毒等的传播)和数据防泄漏,这四个方面就可以达到一个基本的内网安全的防护标准,然后再针对不同企业的特别需求进行安全模块的添加。
另外,我希望能够采用多个厂商的安全产品。
第一,是每个安全厂商的(产品)所专注的领域不同,在效果方面肯定也会不同。
第二,如果多个安全模块全部由一个厂商提供,尽管兼容性很好,但是这样在价格方面会比较高,这种打包式的产品具有垄断性和排它性。所以我希望我们所采用的安全产品是多元化的。
但是,这其中就会存在一个兼容的问题。如果我们使用的产品是各个不同厂商的产品,肯定会存在兼容性问题,这里我们就需要先从全局考虑,在选择产品的时候,可以要求厂商开放一些(产品)端口,看看他们是否能够提供这样的服务,其中他们的服务态度也是非常重要的。
总结
从上面的采访中,我们不难总结出以下几点:
1.基本的内网安全管理具备上网行为管理,敏感信息管理,端点防护(控制病毒等的传播)和数据防泄漏四个方面,根据不同的内网安全需求,在增加相应的产品模块。
2.在内网安全规章制度的制定中一定要细致,人员管理,设备管理等都应考虑到。
3.在选购内网安全产品的时候,我们应该注重产品的多元化和开放性以及厂商的服务以及态度等。
4.在对安全产品的投资中,我们需要考虑安全防护的前期和后期的一些需求,防止厂商的垄断行为。
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】
