内网安全是信息安全的重要组成部分,历年频发的内网安全事件使得企业对其备受重视。然而,"内网安全"一词出现了近十年,却一直没有明确的定义。在防护内网安全过程中,往往对网络、终端、外设等各个方面设防,那么其核心到底在何处?我们近期采访了知名业界专家、企业代表、厂商专家,集结三方与您一起探讨这个问题。
众所周知,传统网络安全主要防治来自网络外部的威胁,因而主要防护的是网络边界的安全,主要采用防病毒软件、防火墙等手段进行防护。而内网安全不仅需要防护网络边界,还要确保存在于内网中的终端、服务器、网络的安全,同时防止员工即人的泄密。对此,业界主要采用认证、授权、审计、准入、监控、加密等多种手段来保护内网安全。
之所以需要多种手段,这与企业内部信息化的建设使得内网问题不断演化不无关系。内网安全问题一直在演化,早期内网安全产品主要以桌面防护为主,主要是通过连接控制、补丁分发、设备加密等手段保证安全。当内网安全产品相对成熟,文档加密、安全管理、主机监控与审计、移动存储介质管理、网络准入控制等技术产品随着企业信息化发展,相继在内网安全领域走热。内网安全的范畴在不断变化,定义也就无从说起。时至今日,"内网安全"并没有一个官方的定义。制造业信息化专家黄培博士认为:"'内网安全'这个概念一直没有明确定义,是因为'内网安全'的范围在不断的变化,它本身就是一个泛指。"
在溢信科技产品总监黄凯看来 ,"内网安全"范畴之所以不断变化,因为"内网安全"更像是一个理念,而非简单的概念。相比于传统安全是假设威胁来自于系统外部,"内网安全"的假设信息系统内部存在着潜在的来自网络、终端、外设以及 "人"这个不确定的因素的多方威胁。实际上,包括监控、准入控制、加密等不同的技术,可以理解成数据安全保护技术在不同时间段的阶段性技术,每一个时期都有一个热点。比如早期是监控,尔后出现了可以即时阻断的防水墙和过滤技术、高强度的加密技术,再后面出现的准入控制等等。"行业的发展证明,内网安全并不是某一项技术,而是以内网的数据保密为中心,结合多种技术形成的信息防泄漏体系。"
由于保证内网安全的手段有众多,需要多种技术,各个技术各司其职,对于内网安全的核心在何处,争端也不少。有人认为是监控--掌握全局;有人认为是桌面管理--桌面是主阵地;有人认为是准入控制--不准接入;也有人认为内网安全的核心是信息防泄漏--数据是王道。不难看出,在黄凯眼中,内网安全的核心是信息防泄漏。"从理念上来说,内网安全最核心的点应该是在数据安全,反映在产品上就是信息防泄漏解决方案,它是包括加密、管理、审计、监控等多个方面的整体方案,这种方案也是目前市场的重点,比如溢信科技最近提出的信息防泄漏的'整体防护理念'和'IP-guard整体信息防泄漏解决方案'"。
信息防泄漏体系包含多种技术,而要做到信息防泄漏,也必须从多方面入手。"归根结底,内网安全核心就是如何通过各种技术、手段、工具以及管理方法来阻止内网数据的泄漏。"信息安全专家李洋博士说道。"落到对应的点上,内网安全的核心就是数据安全和管理安全。"数据安全指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、完整性、不可抵赖性等。管理安全是指在信息安全的保障过程中,除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施。二者相结合,才能保证内网安全。游侠安全网站长张百川也表示赞同这种看法,除了技术上保证数据安全,还要通过权限控制等管理手段去保证技术的落实、填补技术的空缺。
技术和管理是相辅相成的。尤其在内网,人的因素被放大,技术对管理的需求也就放大。纵观内网数据泄密的案例,从源头上都与用户的安全意识、操作习惯等密切相关,纵然技术能解决主动、被动的人为泄密,而要从根本上降低信息泄露的风险,还需要从管理上建设。作为用户端,企业对此深有体会。郑州三全食品股份有限公司 CIO 周清湘强调"内网安全"的核心在于技术手段与管理举措的完备结合。他对"内网安全"的定义是指内网所承载的信息进行合理的授权使用以及授权之外的防泄漏措施。可以看到,"授权使用"也是对人的管理。
在技术和管理的博弈中,三一重工股份有限公司研究总院信息化经理谭俊峰更偏重管理。他认为内网安全的核心是合理的体制制度及有效执行,包括规划、实施、日常管理等。这与三一重工的企业现状不无关系。在大企业中,技术手段只是维护的一部分,而管理则是企业保证长治的必须手段。在这些CIO们眼中,管理是根本上解决问题的,技术是辅助手段。
综上所述,笔者认为,内网安全的核心在于信息防泄漏,实现手段是技术和管理,这是无可厚非的共识。随着互联网2.0的兴起,网络环境变得更为复杂,对企业非常重要的敏感数据的安全已经越来越难以保证。从无数个案例中可以看出,敏感数据对企业的重要性,因此数据安全应该作为内网安全乃至信息安全的重中之重。调查显示,2010年中国至少49%的企业表示至少有过一次数据泄漏事件,因内部原因造成的数据泄漏较上一年增加了两倍,并且还在高速的增长。信息防泄漏已经成为既黑客攻击之后,企业关注的焦点。
在技术实现手段上,无论是监控、桌面管理、准入控制还是加密、审计等等,最终都将为信息防泄漏服务,它们都是信息防泄漏体系中的一环。随着企业信息化的发展,内网安全的范畴也在不断变化,只有全面的体系才能保证内网安全。此外,通过单方面的技术手段是解决不了内网安全问题的,由于内网中有不确定的"人"的因素,因此,企业内部管理也是非常重要的一方面。作为产品提供商,溢信科技强调,产品只是帮助用户解决问题的一种技术手段,企业自身的管理和制度对于内网安全保护,都是非常重要的环节。而从企业的回答来看,作为企业代表,周清湘非常明确的认可了这一点。
内网安全,心在信息防泄漏,要实现它,技术和管理二者缺一不可。常言道"三分技术、七分管理",但是有人说"四分技术、六分管理",更有人说"二分技术、八分管理",您认为呢?请关注"内网安全"十年之"辩"系列之二:"内网安全,何马当先?"
