在經(jīng)歷了外網(wǎng)安全建設后，企業(yè)普遍面臨“內(nèi)憂”勝于“外患”的局面，換言之，企業(yè)不僅需要堅固的邊界安全，更需要穩(wěn)定的內(nèi)網(wǎng)安全。

最近，國內(nèi)某大型造船廠發(fā)生了一起有驚無險的網(wǎng)絡安全事件。由于該造船廠的計算機系統(tǒng)內(nèi)儲存有大量的重要設計數(shù)據(jù)，某一天，系統(tǒng)突然報警，顯示某個電腦終端正在非法拷貝這些重要文件數(shù)據(jù)，而網(wǎng)管人員通過內(nèi)網(wǎng)審計系統(tǒng)的跟蹤，立刻鎖定了拷貝文件的電腦和登陸系統(tǒng)的用戶名，從而在重要文件還沒被外傳之前，及時制止了該非法行為，避免了無謂的經(jīng)濟損失。

事實上，類似的內(nèi)網(wǎng)安全事件在很多企業(yè)都有發(fā)生，但由于內(nèi)網(wǎng)安全的完善程度不同，并非每個企業(yè)都能避免損失發(fā)生。有調(diào)查顯示，超過85%的安全威脅來自企業(yè)內(nèi)部，其中16%來自企業(yè)內(nèi)部未經(jīng)授權的非法訪問，40%來自電子文件的泄露，由此可見，內(nèi)網(wǎng)安全問題已是企業(yè)網(wǎng)絡安全建設的重頭戲。

為了確保網(wǎng)絡安全，防火墻、殺毒軟件、IPS等產(chǎn)品早已成為企業(yè)用戶的普遍部署，但是，這些主要針對外網(wǎng)的安全防護在面對內(nèi)網(wǎng)安全威脅時，往往形同虛設，因為“內(nèi)憂”勝于“外患”，企業(yè)不僅需要堅固的邊界安全，更需要穩(wěn)定的內(nèi)網(wǎng)安全。

那么，目前企業(yè)CIO們對于內(nèi)網(wǎng)安全的認識是否到位，他們在內(nèi)網(wǎng)安全部署方面處于何種程度，還存在哪些有待完善之處，內(nèi)網(wǎng)安全在產(chǎn)品技術上又存在哪些發(fā)展趨勢。

過半企業(yè)重視內(nèi)網(wǎng)安全

網(wǎng)絡安全威脅層出不窮，網(wǎng)絡安全問題無處不在，但是，事情總有輕重緩急之分，哪個領域的安全問題是企業(yè)用戶當前首需解決的呢？調(diào)查反饋顯示，“內(nèi)網(wǎng)安全”以54.9%的比例占據(jù)第一位置，其次，25.7%的用戶選擇外網(wǎng)安全，10.6%的用戶選擇了終端安全，8.8%的用戶選擇了Web安全。

顯然，企業(yè)網(wǎng)絡安全建設行進之今，過半用戶已經(jīng)將“內(nèi)網(wǎng)安全”設定為首需解決的問題。同時，這也表明用戶對于內(nèi)網(wǎng)安全重要性的認識已經(jīng)達到相當程度。

北京互聯(lián)通網(wǎng)絡科技有限公司產(chǎn)品項目部顧問黃毅就明確表示，內(nèi)網(wǎng)的安全管理，很多時候比外網(wǎng)安全管理更加重要，因為企業(yè)的機密信息泄漏、業(yè)務系統(tǒng)被如侵等，往往就是透過內(nèi)部的非授權訪問和木馬泛濫導致的，所以，保障內(nèi)網(wǎng)安全勢在必行。

作為內(nèi)網(wǎng)安全建設領域的專家，北京鼎普科技股份有限公司戰(zhàn)略市場部經(jīng)理萬俊告訴記者，一直以來，企業(yè)安全防御的理念更多局限在常規(guī)的網(wǎng)管級別（防火墻等）、網(wǎng)絡邊界（漏洞掃描、安全審計、防病毒、IDS）等方面，主要的安全設施大多集中于機房、網(wǎng)絡入口處。應該說，在這些安全設備的嚴密監(jiān)控下，來自網(wǎng)絡外部的安全威脅得到顯著緩解。然而，隨著企業(yè)信息化的不斷深入，來自網(wǎng)絡內(nèi)部的安全威脅開始逐步凸顯出來，網(wǎng)絡的內(nèi)部安全問題大于外部問題漸漸成為業(yè)界共識。

對此，我們可以從企業(yè)用戶當前對于安全細節(jié)問題的關注度得到印證。在“哪些安全細節(jié)問題是貴公司當前比較重視的”這一問題中，83.2%的用戶選擇了病毒查殺，69.0%的用戶選擇了數(shù)據(jù)庫安全，46.9%的用戶選擇了網(wǎng)絡設備安全，31.9%的用戶選擇了補丁升級管理，31.0%的用戶選擇了網(wǎng)站運維安全，27.4%的用戶選擇了身份認證，22.1%的用戶選擇了信息加密?？梢钥闯觯徽撌浅Ｒ姷牟《静闅?，還是身份認證或信息加密，用戶對此都持有相當?shù)年P注。

“提高意識管理到位”是首要

為什么需要管理內(nèi)網(wǎng)安全，我們從企業(yè)員工的日常小事即可明白。如今，很多員工在上班閑暇時，偶爾聊聊QQ或MSN，要不上開心網(wǎng)玩“偷菜”或觀看在線電影，要不干脆打開BT電驢等下載軟件下載大容量文件。這些在大小企業(yè)中普遍存在的現(xiàn)象不僅影響了員工的工作效率，而且還會占用企業(yè)網(wǎng)絡流量，從而影響其他正常業(yè)務的開展。

事實當然不僅如此，根據(jù)本次調(diào)查反饋，70.8%的企業(yè)存在“員工隨便登陸MSN、QQ、BT等內(nèi)容”，37.2%的企業(yè)存在“經(jīng)常有人改動IP地址從而造成沖突”，62.8%的企業(yè)存在“經(jīng)常出現(xiàn)某臺電腦沒有打補丁或補丁不全”，31.0%的企業(yè)存在“經(jīng)常受到非法入侵”，48.7%的企業(yè)存在“不能完全限制內(nèi)網(wǎng)的設備與重要信息的保管”。

可以看出，近七成左右的企業(yè)存在“員工隨便登陸MSN、QQ、BT等內(nèi)容”和“經(jīng)常出現(xiàn)某臺電腦沒有打補丁或補丁不全”的現(xiàn)象，另外三項困擾也有近五成企業(yè)有所遭遇。

另外，根據(jù)調(diào)查反饋，目前企業(yè)網(wǎng)絡主要遭遇的安全威脅中，76.1%的用戶選擇木馬病毒，14.2%的用戶選擇蠕蟲，8.8%的用戶選擇電子郵件攻擊，0.9%的用戶選擇網(wǎng)絡釣魚/欺騙?？梢姡抉R泛濫的確到了人人喊打的地步。

需要指出的是，木馬病毒除了可以跟隨Web應用從外網(wǎng)進入內(nèi)網(wǎng)之外，還有一個重要的傳播渠道，即通過移動U盤直接在內(nèi)網(wǎng)終端上蔓延開來。對此，在諸多安全廠商的內(nèi)網(wǎng)安全產(chǎn)品中，都或多或少存在防止移動終端傳播病毒的功能。比如鼎普科技的安全U盤系統(tǒng)，它是通過智能判斷和權限訪問控制技術，使數(shù)據(jù)信息在U盤上實現(xiàn)存取控制，同時也具備對U盤進行身份認證、敏感信息外帶時防止非授權訪問和病毒竊取等功能。目前，金融、電信等行業(yè)用戶大多應用了類似系統(tǒng)以杜絕終端隱患。

拋開行業(yè)特殊性，拋開單一內(nèi)網(wǎng)安全產(chǎn)品或功能，目前企業(yè)用戶針對網(wǎng)絡安全的部署現(xiàn)狀如何呢。根據(jù)調(diào)查反饋，96.5%的用戶選擇了殺毒軟件，78.8%的用戶選擇了防火墻，24.8%的用戶選擇了VPN（安全傳輸），20.4%的用戶選擇了身份認證系統(tǒng)，27.4%的用戶選擇了內(nèi)網(wǎng)安全管理，8.8%的用戶選擇了IDS/IPS。

很明顯，雖然近八成企業(yè)都部署了殺毒軟件和防火墻，但這正好說明企業(yè)在網(wǎng)絡安全建設過程中，外網(wǎng)安全是優(yōu)先經(jīng)歷的階段，而接下來的重點則在內(nèi)網(wǎng)安全。

那么，內(nèi)網(wǎng)安全建設應該從何處下手呢，首先，我們可以從“企業(yè)網(wǎng)絡中發(fā)生安全事件的原因通常包括有哪些”這一問題的調(diào)查結果看，有48.7%的用戶選擇“網(wǎng)絡或軟件配置錯誤”，28.3%的用戶選擇“管理員弱口令”，62.8%的用戶選擇“系統(tǒng)漏洞”，74.3%的用戶選擇“員工安全意識淡薄、管理不到位”，15.0%的用戶選擇“DDoS攻擊”。

顯然，“員工安全意識淡薄、管理不到位”是企業(yè)發(fā)生網(wǎng)絡安全事件的最普遍原因，這與很多企業(yè)CIO的看法也是一致。

山西省大同市陽高縣畜牧服務中心飼料牧草管理站站長杭軍表示，影響內(nèi)網(wǎng)安全管理的因素很多，其中，用戶的認識水平、重視程度及使用習慣，尤其是普通用戶的安全意識和相關管理人員的管理水平，尤為重要。

同樣，在吉林吉恩鎳業(yè)股份有限公司信息中心主任周軍利看來，保障內(nèi)網(wǎng)安全，首先需要制訂科學完善的內(nèi)網(wǎng)安全管理制度，從要制度上規(guī)范員工上網(wǎng)行為，其次要加大制度的執(zhí)行和考核力度，讓員工自覺樹立信息安全意識，最后就是使用先進的內(nèi)網(wǎng)安全管理產(chǎn)品，從技術上保障內(nèi)網(wǎng)安全。

從“偏安全”到“偏管理”

從技術角度講，內(nèi)網(wǎng)安全包含的內(nèi)容其實很多，比如如何發(fā)現(xiàn)客戶端設備的系統(tǒng)漏洞并自動分發(fā)補丁，如何防范移動存儲設備隨意介入內(nèi)網(wǎng)、如何防范內(nèi)網(wǎng)設備非法外聯(lián)，如何點對點控制異?？蛻舳说倪\行，如何防范內(nèi)部涉密信息泄露等。

換句話說，與防范外網(wǎng)安全主要集中于邊界部署不同，保障內(nèi)網(wǎng)安全需要涉及的環(huán)節(jié)較多，相應的產(chǎn)品部署也相對更加多樣。比如有的側重內(nèi)網(wǎng)終端防護，有的側重流量和上網(wǎng)行為控制，有的側重監(jiān)控審計，有的側重身份認證或信息加密等。

萬俊介紹，過去幾年，人們對于內(nèi)網(wǎng)安全的管理主要偏向于防止信息泄密，因此，嚴格控制電腦終端的外設及各類端口成為各大廠商產(chǎn)品方案的重點訴求。

然而，隨著網(wǎng)絡安全形勢的不斷演變，企業(yè)用戶開始不僅滿足于對電腦終端的監(jiān)控，而是希望從管理的角度對內(nèi)網(wǎng)安全進行防護。比如本文開頭所說的那家造船廠，通過內(nèi)網(wǎng)審計系統(tǒng)鎖定非法操作，再比如統(tǒng)計網(wǎng)絡流量、補丁分發(fā)以及系統(tǒng)軟硬件的升級管理等。

這在本次調(diào)查也有所反映。“在內(nèi)網(wǎng)安全管理方面，貴公司期望在哪個部分得到加強”，有51.3%的用戶選擇了“監(jiān)控審計”，26.5%的用戶選擇了“桌面管理”，14.2%的用戶選擇了“文檔加密”，8.0%的用戶選擇了“磁盤加密”。

事實上，為了滿足用戶需求，廠商的產(chǎn)品策略上也在隨之跟進?！爱斎?，我們在產(chǎn)品策略上也從最初單純的監(jiān)控審計，到現(xiàn)在把監(jiān)控審計和管理相結合，走向偏重管理的方向?！比f俊表示，“畢竟，內(nèi)網(wǎng)安全的重心已經(jīng)從偏重安全轉移到偏重管理，內(nèi)網(wǎng)的概念已不僅集中在涉密這塊，許多非涉密企業(yè)、非涉密業(yè)務也開始從管理的角度落實內(nèi)網(wǎng)安全。”

在實踐應用中，偏重管理就是要求企業(yè)在運用內(nèi)網(wǎng)功能的時候，不是為了在事后進行補救，而是一方面可以做到預防危險的發(fā)生，另一方面把公司一些理念、文化都能在計算機內(nèi)網(wǎng)監(jiān)控中得到體現(xiàn)。比如鼎普科技最新研發(fā)的“獵隼”網(wǎng)絡信息監(jiān)測系統(tǒng)，這個系統(tǒng)通過對所有網(wǎng)絡的內(nèi)容進行解析，能夠及時阻止內(nèi)部的計算機通過互聯(lián)網(wǎng)發(fā)生的敏感信息泄露，快速定位追查源頭，防止違規(guī)事件發(fā)生。它還能對整個網(wǎng)絡及計算機用戶上網(wǎng)行為、網(wǎng)絡流量進行監(jiān)控，幫助網(wǎng)絡高效、穩(wěn)定、安全的運行，為信息化建設及管理提供有效的技術支撐。

打造立體防御體系

“未來一年，貴公司是否制定了進一步加強內(nèi)網(wǎng)安全管理的計劃”，結果顯示，41.6%的企業(yè)表示有，32.7%的用戶表示暫時沒有，25.7%的用戶表示不確定。可見，有四成多的用戶打算加強內(nèi)網(wǎng)安全部署。

不過，涉及內(nèi)網(wǎng)安全的因素非常多，產(chǎn)品形式也比較多樣，在哪些環(huán)節(jié)如何部署就顯得非常重要?？傮w而言，內(nèi)網(wǎng)安全集中關注的對象包括引起信息安全威脅的內(nèi)網(wǎng)用戶、應用環(huán)境、應用環(huán)境邊界和內(nèi)網(wǎng)通信安全，因此，如何在企業(yè)內(nèi)網(wǎng)構建一個有機統(tǒng)一的安全控制系統(tǒng)，實現(xiàn)立體式實時監(jiān)管，才是實施內(nèi)網(wǎng)安全部署的關鍵所在。

在萬俊看來，保障內(nèi)網(wǎng)安全不能僅靠各種功用安全產(chǎn)品的堆疊，而需要由單純的安全產(chǎn)品部署上升到如何實現(xiàn)可信、可控的立體防護體系。比如通過四級可信認證機制，則可以讓系統(tǒng)既突出安全性，有注重管理性。

第一級認證：基于硬件級別的安全防護和訪問控制。在最底層實現(xiàn)對計算機終端進行物理安全加固，例如使用鼎普計算機安全防護卡從BIOS級實現(xiàn)登錄認證和全盤數(shù)據(jù)保護，一方面可以杜絕非法用戶從光盤啟動繞過軟件防護竊取數(shù)據(jù)，同時還可令用戶不能隨意安裝操作系統(tǒng)、卸載已安裝的軟件系統(tǒng)改變現(xiàn)有安全環(huán)境。

第二級認證：基于操作系統(tǒng)的身份認證和文件保護。采用基于USB-KEY的雙因素認證技術實現(xiàn)操作系統(tǒng)登錄的可信可控，即在計算機硬件啟動之后，可以限制用戶權限，如是否可以進一步登錄操作系統(tǒng)，以及可以進行何種權限的文件操作，文件如何安全存放以及安全刪除。

第三級認證：實現(xiàn)對程序安裝運行的授權控制。對應用程序進行黑白名單控制，只有經(jīng)過管理員簽名授權的程序才能在單機終端上運行使用，進一步規(guī)范終端用戶的軟件程序使用行為，可以最大程度防止程序的隨意安裝使用帶來的病毒、木馬的傳播。

第四級認證：實現(xiàn)可信計算機接入內(nèi)網(wǎng)的認證管理。網(wǎng)絡邊界的安全可控是內(nèi)網(wǎng)安全的基本問題，通過基于802.1X認證協(xié)議的可信終端認證子系統(tǒng)，實現(xiàn)網(wǎng)絡的安全接入——只有經(jīng)過授權許可的可信、可控、健康計算機才能接入到內(nèi)網(wǎng)，并對入終端的運行、健康狀態(tài)進行實時監(jiān)控，通過創(chuàng)新的技術理念打造出一個信得過、進得來、控得住的健康可信內(nèi)部網(wǎng)絡。如果不健康，防護系統(tǒng)會采取進一步措施，如報警、斷網(wǎng)等。

在建立以上四級可信認證機制的縱深防御體系基礎上，企業(yè)用戶還要實現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護、安全審計、實時監(jiān)控等防護要求，如此才能達到扎實有效的安全效果。

【編輯推薦】

1. 為內(nèi)網(wǎng)安全提供四級認證 立體布控才是出路
2. 由繁化簡 企業(yè)內(nèi)網(wǎng)安全的精益化管理全
3. 網(wǎng)關準入控制—初探內(nèi)網(wǎng)安全的新思路