管理上建设是降低信息泄露风险之关键

　　众所周知，传统网络安全主要防治来自网络外部的威胁，因而主要防护的是网络边界的安全，主要采用防病毒软件、防火墙等手段进行防护。而内网安全不仅需要防护网络边界，还要确保存在于内网中的终端、服务器、网络的安全，同时防止员工即人的泄密。对此，业界主要采用认证、授权、审计、准入、监控、加密等多种手段来保护内网安全。

    之所以需要多种手段，这与企业内部信息化的建设使得内网问题不断演化不无关系。内网安全问题一直在演化，早期内网安全产品主要以桌面防护为主，主要是通过连接控制、补丁分发、设备加密等手段保证安全。当内网安全产品相对成熟，文档加密、安全管理、主机监控与审计、移动存储介质管理、网络准入控制等技术产品随着企业信息化发展，相继在内网安全领域走热。内网安全的范畴在不断变化，定义也就无从说起。时至今日，“内网安全”并没有一个官方的定义。

    在溢信科技产品总监黄凯看来 ，“内网安全”范畴之所以不断变化，因为“内网安全”更像是一个理念，而非简单的概念。相比于传统安全是假设威胁来自于系统外部，“内网安全”的假设信息系统内部存在着潜在的来自网络、终端、外设以及 “人”这个不确定的因素的多方威胁。实际上，包括监控、准入控制、加密等不同的技术，可以理解成数据安全保护技术在不同时间段的阶段性技术，每一个时期都有一个热点。比如早期是监控，尔后出现了可以即时阻断的防水墙和过滤技术、高强度的加密技术，再后面出现的准入控制等等。“行业的发展证明，内网安全并不是某一项技术，而是以内网的数据保密为中心，结合多种技术形成的信息防泄漏体系。”

    由于保证内网安全的手段有众多，需要多种技术，各个技术各司其职，对于内网安全的核心在何处，争端也不少。有人认为是监控——掌握全局；有人认为是桌面管理——桌面是主阵地；有人认为是准入控制——不准接入；也有人认为内网安全的核心是信息防泄漏——数据是王道。不难看出，在黄凯眼中，内网安全的核心是信息防泄漏。“从理念上来说，内网安全最核心的点应该是在数据安全，反映在产品上就是信息防泄漏解决方案，它是包括加密、管理、审计、监控等多个方面的整体方案，这种方案也是目前市场的重点，比如溢信科技最近提出的信息防泄漏的‘整体防护理念’和‘IP-guard整体信息防泄漏解决方案’”。

    信息防泄漏体系包含多种技术，而要做到信息防泄漏，也必须从多方面入手。“归根结底，内网安全核心就是如何通过各种技术、手段、工具以及管理方法来阻止内网数据的泄漏。”信息安全专家李洋博士说道。“落到对应的点上，内网安全的核心就是数据安全和管理安全。”数据安全指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、完整性、不可抵赖性等。管理安全是指在信息安全的保障过程中，除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施。二者相结合，才能保证内网安全。

    技术和管理是相辅相成的。尤其在内网，人的因素被放大，技术对管理的需求也就放大。纵观内网数据泄密的案例，从源头上都与用户的安全意识、操作习惯等密切相关，纵然技术能解决主动、被动的人为泄密，而要从根本上降低信息泄露的风险，还需要从管理上建设。作为用户端，企业对此深有体会。郑州三全食品股份有限公司 CIO 周清湘强调“内网安全”的核心在于技术手段与管理举措的完备结合。他对“内网安全”的定义是指内网所承载的信息进行合理的授权使用以及授权之外的防泄漏措施。可以看到，“授权使用”也是对人的管理。

   在技术和管理的博弈中，三一重工股份有限公司研究总院信息化经理谭俊峰更偏重管理。他认为内网安全的核心是合理的体制制度及有效执行，包括规划、实施、日常管理等。这与三一重工的企业现状不无关系。在大企业中，技术手段只是维护的一部分，而管理则是企业保证长治的必须手段。在这些CIO们眼中，管理是根本上解决问题的，技术是辅助手段。

    综上所述，内网安全的核心在于信息防泄漏，实现手段是技术和管理，这是无可厚非的共识。随着互联网2.0的兴起，网络环境变得更为复杂，对企业非常重要的敏感数据的安全已经越来越难以保证。从无数个案例中可以看出，敏感数据对企业的重要性，因此数据安全应该作为内网安全乃至信息安全的重中之重。调查显示，2010年中国至少49%的企业表示至少有过一次数据泄漏事件，因内部原因造成的数据泄漏较上一年增加了两倍，并且还在高速的增长。信息防泄漏已经成为既黑客攻击之后，企业关注的焦点。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!