內(nèi)網(wǎng)安全已經(jīng)不再是只能看到“病毒”、“木馬”而無法對這些安全事件進(jìn)行控制的擺設(shè)。如何利用現(xiàn)有硬件資源對內(nèi)網(wǎng)進(jìn)行優(yōu)化？如何進(jìn)行內(nèi)網(wǎng)安全管理已經(jīng)成為企業(yè)的最大需求，在這樣的需求點(diǎn)之下，方案商如何把握企業(yè)客戶對內(nèi)網(wǎng)安全應(yīng)用變化的趨勢，已經(jīng)成為擺在所有人面前的一大問題。

尋找內(nèi)網(wǎng)安全新機(jī)

我們談內(nèi)網(wǎng)安全時(shí)，已經(jīng)同以前有了很大區(qū)別，內(nèi)網(wǎng)安全不再是只能看到“病毒”、“木馬”而無法對這些安全事件進(jìn)行控制的擺設(shè)。如何利用現(xiàn)有硬件資源對內(nèi)網(wǎng)進(jìn)行優(yōu)化，如何進(jìn)行內(nèi)網(wǎng)安全管理已經(jīng)成為企業(yè)的最大需求。我們看到今天的客戶的內(nèi)網(wǎng)系統(tǒng)中，結(jié)構(gòu)比較清晰、用戶和資源的情況也比較清楚。在這種情況下，如果依然只能做到技術(shù)層面的“事件”報(bào)告和分析，顯然意味著網(wǎng)絡(luò)安全工作還沒做好。

從這一點(diǎn)而言，客戶內(nèi)網(wǎng)安全應(yīng)用的變化趨勢實(shí)際上是網(wǎng)絡(luò)快速發(fā)展的一個(gè)現(xiàn)實(shí)寫照，客戶今天已經(jīng)非常明確自己要保護(hù)的是“信息”而不是“信息系統(tǒng)”。而“信息”通過我們的用戶、通過我們的網(wǎng)絡(luò)系統(tǒng)和存儲(chǔ)設(shè)備，可能在網(wǎng)絡(luò)中不停地移動(dòng)。有時(shí)候，你的“重要信息系統(tǒng)”沒問題，可是重要信息在別的地方被偷走了；有時(shí)候，你的重要信息系統(tǒng)發(fā)生了變化，可是原來的一些重要信息被扔在無人問津的角落里忘記了，被人偷走了都不知道。

由此而言，在內(nèi)網(wǎng)中，由于網(wǎng)絡(luò)本身是隔離的，這導(dǎo)致用戶本身會(huì)更加大意地處理信息，對個(gè)人計(jì)算機(jī)的安全防護(hù)也覺得不重要，同時(shí)還導(dǎo)致內(nèi)網(wǎng)中的系統(tǒng)升級(jí)和隔離非常不及時(shí)。這兩個(gè)因素都導(dǎo)致內(nèi)網(wǎng)中的實(shí)際安全隱患更多，一旦出現(xiàn)問題，更容易遇到重要信息被竊取等危害。

另一方面，這種應(yīng)用需求的改變，顯然需要方案商為客戶排憂解難，換句話說，這為方案商帶來了新機(jī)會(huì)。

趙立生：作為一名方案商，我認(rèn)為“等級(jí)保護(hù)的概念”幾乎所有的方案商都知道了，但是今天客戶這樣應(yīng)用需求的轉(zhuǎn)變讓我們對內(nèi)網(wǎng)安全有了新的認(rèn)識(shí)，如果今天用戶對于內(nèi)網(wǎng)安全的需求還被狹義地理解為對信息系統(tǒng)的保護(hù)，而忽略了針對信息本身的信息確保等工作，那一定不能達(dá)到企業(yè)用戶安全保護(hù)的目的。

事實(shí)上，企業(yè)今天面臨的問題，方案商可以考慮能否從合規(guī)性方面解決這些問題：用戶的敏感信息為什么會(huì)出現(xiàn)在不該在的地方？是否當(dāng)初存放個(gè)人的這些信息是合規(guī)的，只是技術(shù)升級(jí)以后很多情況都變化了，這些信息卻沒有得到妥善的處理，出現(xiàn)了合規(guī)性的問題也沒人知道。

構(gòu)建應(yīng)用新方案

合規(guī)管理是否就是目前解決用戶內(nèi)網(wǎng)安全應(yīng)用變化的最佳辦法？方案商應(yīng)該如何給客戶進(jìn)行合規(guī)性管理建設(shè)呢？

目前合規(guī)性管理很重要，在企業(yè)內(nèi)網(wǎng)里，不符合規(guī)定的做法大量存在?，F(xiàn)實(shí)中，IT領(lǐng)域的合規(guī)性問題解決得很不好，對不合規(guī)的做法監(jiān)督不到位、方法過時(shí)、技術(shù)手段也不到位；有關(guān)的規(guī)定不合理，又不幫助員工解決問題，導(dǎo)致員工為了工作不得不違規(guī)；靜態(tài)的安全檢查效果很差，周期很長，不能滿足實(shí)際要求，等等。2007年以來，我國披露了很多互聯(lián)網(wǎng)失泄密事件，大部分都屬于這個(gè)原因。當(dāng)時(shí)在分析時(shí)不是沒有規(guī)定，而是規(guī)定沒有被很好地執(zhí)行；不是規(guī)定全都是錯(cuò)的，而是沒有技術(shù)手段幫助規(guī)定產(chǎn)生應(yīng)有的作用。這就引出合規(guī)性管理問題。

管理的概念不同與考核、監(jiān)督檢查等。這也是為何現(xiàn)在我們談為企業(yè)進(jìn)行內(nèi)網(wǎng)構(gòu)建都會(huì)考慮到合規(guī)性管理，它的意義在于制定相關(guān)制度和策略的最終目標(biāo)要定在管理，幫助大家滿足策略要求、達(dá)到要求，而不是只去檢查一下。這種管理工作，并不是列一些規(guī)定，隔一段時(shí)間去檢查就可以完成的，而是要包括很多方面工作的互相配合，例如制度上的設(shè)計(jì)，甚至包括生產(chǎn)流程的調(diào)整；組織結(jié)構(gòu)上的設(shè)計(jì)調(diào)整，以確保制度和其它有關(guān)工作的落實(shí)效果；技術(shù)能力上的建設(shè)，包括相應(yīng)的系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅和不合規(guī)現(xiàn)象；人員能力上的建設(shè)，包括讓每個(gè)人參與到合規(guī)性保障的過程中等等。

從近一年來客戶需求的改變來看，對于現(xiàn)在的內(nèi)網(wǎng)安全保護(hù)工作，方案商在抓住這種應(yīng)用轉(zhuǎn)變的時(shí)候可以從技術(shù)角度和案例實(shí)施兩方面來考慮問題。

在技術(shù)角度方面，今年，我們已經(jīng)可以看到廠商網(wǎng)絡(luò)安全產(chǎn)品上的升級(jí)，比如：上網(wǎng)行為監(jiān)管、設(shè)備管理、用戶管理、系統(tǒng)管理等很多系列的產(chǎn)品。不過似乎在把這些相關(guān)技術(shù)進(jìn)行整體的整合方面還不太夠。我們方案商可以將這些產(chǎn)品進(jìn)行方案整合，制定相應(yīng)的解決方案在圍繞信息確保的思想，幫助用戶以信息追蹤、保護(hù)為核心來進(jìn)行內(nèi)網(wǎng)安全保護(hù)這方面，似乎還需要更多的技術(shù)和產(chǎn)品。

在案例實(shí)施過程中，我們看到用戶本身存在的最大問題是重視不夠。很多用戶還是屬于感知期，認(rèn)為產(chǎn)品和方案是解決自身網(wǎng)絡(luò)安全問題的根本，而忽略了管理問題的重要性。我們要做的就是向用戶普及認(rèn)知，讓他們了解到今天內(nèi)網(wǎng)安全應(yīng)用趨勢已經(jīng)發(fā)生了很大的轉(zhuǎn)變。如果今天用戶還是不重視管理，不重視質(zhì)量控制，那么還是不能從根本上提升客戶的能力和水平。

把握用戶需求變化

內(nèi)網(wǎng)管理確實(shí)對于現(xiàn)在的企業(yè)客戶而言很重要，但是內(nèi)網(wǎng)安全角度講，方案商在給客戶解決目前的應(yīng)用需求的時(shí)候，應(yīng)該把握住那些方面呢？

從內(nèi)網(wǎng)的安全角度來說，首要解決的問題還應(yīng)該集中在防止黑客攻擊上，那么，技術(shù)上而言就要解決硬件黑客技術(shù)，我們以前比較熟悉的是軟件攻擊，產(chǎn)品端而言，有新一代身份證、電子護(hù)照進(jìn)行破解（中國的第二代身份證，香港、澳門電子護(hù)照皆采用了帶芯片的技術(shù)）等。

其實(shí)，方案商角度看，內(nèi)網(wǎng)安全應(yīng)用趨勢從技術(shù)上考慮，很重要的便是“密碼”技術(shù)，很多方案商在整合解決方案的過程中，實(shí)際上就是在進(jìn)行密碼技術(shù)管理。

概括地講，人們可以用硬件化、標(biāo)準(zhǔn)化、系統(tǒng)化總結(jié)密碼的應(yīng)用趨勢。

除了這三點(diǎn)趨勢外，在不用應(yīng)用領(lǐng)域，密碼技術(shù)也有其不同的特點(diǎn)。對于這一點(diǎn)在信息安全與通信保密雜志社承辦的內(nèi)網(wǎng)安全論壇上聽到過很多業(yè)內(nèi)討論關(guān)于這方面的觀點(diǎn)。

首先在電子政務(wù)領(lǐng)域，需要建立一個(gè)統(tǒng)一的密碼服務(wù)平臺(tái)，利用密鑰管理基礎(chǔ)設(shè)施實(shí)現(xiàn)密碼設(shè)備的統(tǒng)一管理、統(tǒng)一密碼策略和統(tǒng)一的密鑰分發(fā)。利用電子認(rèn)證基礎(chǔ)設(shè)施在電子政務(wù)內(nèi)網(wǎng)中建立統(tǒng)一的信任體系，提供統(tǒng)一的PKI基礎(chǔ)設(shè)施；利用安全應(yīng)用支撐平臺(tái)建立安全的應(yīng)用支撐環(huán)境和密碼服務(wù)；在終端采用電子政務(wù)專用密碼算法和設(shè)備。電子政務(wù)外網(wǎng)也在逐步向這個(gè)方向發(fā)展，開始建立財(cái)務(wù)統(tǒng)一的認(rèn)證基礎(chǔ)設(shè)施。

另外，可信計(jì)算也離不開密碼技術(shù)。事實(shí)上，可信計(jì)算的核心技術(shù)就是密碼技術(shù)，針對內(nèi)網(wǎng)來說，可信計(jì)算可以包括以下3個(gè)方面：第一用戶身份可信，從源頭控制，要保證用戶身份可信；第二設(shè)備的可信，只有受信任的載體能夠進(jìn)入終端；第三應(yīng)用程序的可信，不管原因是什么，只要是允許在內(nèi)網(wǎng)里運(yùn)行的程序都是可信的；第四是行為可信，這要求內(nèi)網(wǎng)里邊所有用戶行為要可控，主要在可信框架中完成。

最后，等級(jí)保護(hù)也需要密碼技術(shù)的安全項(xiàng)，重點(diǎn)是對三級(jí)以上系統(tǒng)密碼技術(shù)的使用，密碼技術(shù)在等級(jí)保護(hù)里提供的主要保護(hù)措施是身份鑒別、信息機(jī)密性保護(hù)、信息完整性保護(hù)還有防抵賴。

內(nèi)網(wǎng)安全的發(fā)展是多元化的，這還需要企業(yè)多多關(guān)注才可以。

【編輯推薦】

1. 內(nèi)網(wǎng)安全的六大弊病
2. 設(shè)計(jì)院內(nèi)網(wǎng)安全解決方案
3. 如何簡單快速部署企業(yè)內(nèi)網(wǎng)安全管理系統(tǒng) 圖解