1����、內(nèi)網(wǎng)安全的本質(zhì)
最近一兩年信息泄露的案例屢見(jiàn)不鮮�,如匯豐銀行離職員工造成的客戶資料泄露、國(guó)內(nèi)某大型造船廠發(fā)生的設(shè)計(jì)數(shù)據(jù)非法拷貝等事件���。并且�,隨著P2P 應(yīng)用的普及,越來(lái)越多的企業(yè)網(wǎng)絡(luò)流量被占用��,病毒��、木馬等不斷地滋生����,這些都使得企業(yè)和業(yè)界對(duì)內(nèi)網(wǎng)安全的風(fēng)險(xiǎn)更加關(guān)注。那么�,究竟什么是內(nèi)網(wǎng)安全呢?
其實(shí),“內(nèi)網(wǎng)安全”一直沒(méi)有一個(gè)明確的定義��,引用信息安全專家方濱興院士的定義�,信息安全包括5個(gè)層面:物理安全、數(shù)據(jù)安全��、運(yùn)行安全����、內(nèi)容安全和管理安全。物理安全是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)物理裝備的保護(hù);運(yùn)行安全指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過(guò)程和運(yùn)行狀態(tài)的保護(hù);數(shù)據(jù)安全指對(duì)信息在數(shù)據(jù)收集�、處理、存儲(chǔ)�、檢索���、傳輸、交換���、顯示���、擴(kuò)散等過(guò)程中的保護(hù),使得在數(shù)據(jù)處理層面保障信息依據(jù)授權(quán)使用�,不被非法冒充、竊取����、篡改、抵賴;內(nèi)容安全指對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷�,以保證信息流動(dòng)的可控能力;管理安全是指在信息安全的保障過(guò)程中,除上述技術(shù)保障之外的與管理相關(guān)的人員��、制度和原則方面的安全措施�。
究其本質(zhì),并且結(jié)合當(dāng)前業(yè)界關(guān)注的焦點(diǎn)和相關(guān)產(chǎn)品設(shè)計(jì)的思路����,內(nèi)網(wǎng)安全更強(qiáng)調(diào)的是數(shù)據(jù)安全��、運(yùn)行安全和管理安全,而其核心是數(shù)據(jù)安全和管理安全�,也就是如何通過(guò)各種技術(shù)、手段��、工具以及管理方法來(lái)阻止內(nèi)網(wǎng)數(shù)據(jù)的泄漏����。
實(shí)現(xiàn)內(nèi)網(wǎng)安全需要技術(shù)與管理相輔相成,但究竟是“管理為先”還是“技術(shù)為先”一直存在爭(zhēng)論�。其實(shí),管理和技術(shù)的問(wèn)題已經(jīng)談?wù)摵芏嗄炅�。我們暫且不談(wù)撃膫(gè)應(yīng)該為先,我認(rèn)為兩手都要抓�����。技術(shù)以管理為指導(dǎo)�����,管理以技術(shù)為落腳點(diǎn)��。七分管理����,三分技術(shù)�,從很多安全標(biāo)準(zhǔn)以及IT治理標(biāo)準(zhǔn)中都可以看出來(lái)�����,比如ISO270001����,COSO,COBIT等等���,他們大都是從管理入手�,然后談到一些實(shí)現(xiàn)的技術(shù)���。
2�、內(nèi)網(wǎng)安全之技術(shù)選型
舉個(gè)例子����,內(nèi)網(wǎng)安全關(guān)注的信息防泄漏管理包含了監(jiān)控、審計(jì)��、加密等技術(shù)�����,市場(chǎng)上既有實(shí)現(xiàn)單個(gè)功能的產(chǎn)品����,也有整合的解決方案,那么�,實(shí)現(xiàn)信息防泄漏管理,是企業(yè)購(gòu)買多個(gè)單一功能的產(chǎn)品來(lái)自主搭建體系好��,還是采用廠商提供的整體解決方案更佳?我們需要一分為二的來(lái)看待這個(gè)問(wèn)題��。有的企業(yè)剛起步��,沒(méi)有足夠的人力和能力來(lái)做系統(tǒng)集成����,因此傾向于購(gòu)買一整套解決方案;而有的企業(yè)則配備有很多的人力,來(lái)對(duì)各家產(chǎn)品進(jìn)行細(xì)致的選型����,采購(gòu)和部署,自己形成一套解決方案�����,集各家之所長(zhǎng)�,這在當(dāng)前也非常常見(jiàn)�����。這兩種做法各有優(yōu)劣�,根據(jù)企業(yè)的情況來(lái)實(shí)際操作即可�����。
另外����,在設(shè)備選型方面,業(yè)界其實(shí)并沒(méi)有非常統(tǒng)一的標(biāo)準(zhǔn)����,我根據(jù)經(jīng)驗(yàn)給出如下幾個(gè)判定因素,供大家在實(shí)踐選型中參考:(1)功能性:防泄露產(chǎn)品的功能需要保證在復(fù)雜的網(wǎng)絡(luò)環(huán)境和工作環(huán)境中���,以及復(fù)雜的條件下都能夠很好的工作���。主要判斷其是否包括數(shù)據(jù)防泄漏、上網(wǎng)行為管理���、數(shù)據(jù)使用及應(yīng)用行為審計(jì)等功能;(2)穩(wěn)定性:產(chǎn)品能夠在大數(shù)據(jù)量環(huán)境甚至極端環(huán)境中都能穩(wěn)定地運(yùn)行��,不存在單點(diǎn)故障���。并且,需要確保其處理能力(吞吐量)能夠應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)流量的壓力��,不至于導(dǎo)致大流量環(huán)境下的部分甚至全部功能失效;(3)兼容性:產(chǎn)品應(yīng)該能夠很好���、方便地集成到現(xiàn)在的企業(yè)安全體系中�����,而不是獨(dú)立于安全體系之外�。舉個(gè)簡(jiǎn)單的例子���,現(xiàn)在很多內(nèi)網(wǎng)安全產(chǎn)品都在客戶端作為Agent(代理)進(jìn)行部署����,與服務(wù)器上部署的安全服務(wù)端進(jìn)行聯(lián)動(dòng)�����,這些Agent不應(yīng)與用戶計(jì)算機(jī)上的其他軟件產(chǎn)品產(chǎn)生沖突和不兼容,以避免由于部署安全產(chǎn)品而導(dǎo)致業(yè)務(wù)無(wú)法進(jìn)行等問(wèn)題;(4)可審計(jì)性:能夠提供強(qiáng)大的報(bào)告生成(report generation)功能����,并且以用戶友好的GUI(圖形用戶界面)方式來(lái)展現(xiàn)給管理員和審計(jì)者,以方便審計(jì)�、查閱和檢索,因?yàn)閮?nèi)網(wǎng)安全產(chǎn)生的數(shù)據(jù)是海量的����,報(bào)告將給管理工作帶來(lái)極大便利。
3�、內(nèi)網(wǎng)安全之技術(shù)涉及隱私的考慮
內(nèi)網(wǎng)安全的行為審計(jì)可以發(fā)現(xiàn)不少內(nèi)網(wǎng)安全的“內(nèi)鬼”,但是國(guó)內(nèi)對(duì)于“行為審計(jì)是否侵犯?jìng)(gè)人隱私”一直存在爭(zhēng)論�����。從企業(yè)的角度來(lái)看�,部署行為監(jiān)控和行為審計(jì)類產(chǎn)品無(wú)可厚非,這是企業(yè)合規(guī)的一個(gè)重要步驟����。比如郵件的archive和auditor,這都是非常必要的工作�����。從技術(shù)層面來(lái)看,行為審計(jì)并不一定要侵犯?jìng)(gè)人隱私�����,或者說(shuō)不完全要侵犯?jìng)(gè)人隱私�����。只需要提供一些關(guān)鍵的審計(jì)詞�����,通過(guò)借助軟件的方式�����,并且嚴(yán)格限制審計(jì)者對(duì)原始數(shù)據(jù)的接觸���,就能比較好地做到尊重個(gè)人隱私。而且����,企業(yè)審計(jì)也是一門學(xué)問(wèn),當(dāng)前有很多的認(rèn)證���,比如CISA等����,就很好地證明了審計(jì)的重要性。
4����、云計(jì)算時(shí)代給內(nèi)網(wǎng)安全帶來(lái)的挑戰(zhàn)
隨著技術(shù)的快速發(fā)展,云計(jì)算�、移動(dòng)應(yīng)用、社交網(wǎng)絡(luò)已經(jīng)成為許多員工的日常應(yīng)用����,這些設(shè)備與技術(shù)的應(yīng)用,給內(nèi)網(wǎng)安全帶來(lái)了巨大的影響���。在選擇����、實(shí)施內(nèi)網(wǎng)安全技術(shù)和產(chǎn)品的時(shí)候���,需要根據(jù)新的情況提出新的要求�,從而滿足日益變化的應(yīng)用需求的挑戰(zhàn)���。
在此環(huán)境下�����,內(nèi)網(wǎng)安全產(chǎn)品供應(yīng)商除了提供設(shè)備外��,還應(yīng)該為企業(yè)提供一些咨詢服務(wù)��。其實(shí)���,現(xiàn)在安全產(chǎn)品供應(yīng)商應(yīng)該順承一個(gè)趨勢(shì)����,就是從 device provider(設(shè)備提供商)逐步地過(guò)渡到solution provider(解決方案提供商)�����,沒(méi)有哪一家廠商可以說(shuō)自己的產(chǎn)品包羅萬(wàn)象��,可以滿足用戶的所有需求�����。用戶目前更關(guān)注的是解決方案�,其次才是實(shí)施的產(chǎn)品。沒(méi)有方案�����,何談產(chǎn)品����。企業(yè)用戶在產(chǎn)品選擇時(shí)也要更多地關(guān)注產(chǎn)品供應(yīng)商的解決方案是不是合適,高效���。
