【51CTO.com 獨家特稿】內(nèi)網(wǎng)安全已經(jīng)不是需不需要的問題，而是怎樣去管理的問題，用一句話來形容內(nèi)網(wǎng)安全問題那就是"老生常談，不得不談"。這一門錯綜復(fù)雜的學問，想要完全掌握也不是一朝一夕的事情。因此，本文主要從內(nèi)網(wǎng)安全的范圍及特點、制度的建立和人員管理及產(chǎn)品選擇幾個角度來簡單討論一下。

古人云："知己知彼，百戰(zhàn)不殆。"想要保障企業(yè)內(nèi)網(wǎng)的安全，肯定要對內(nèi)網(wǎng)安全的定義以及范圍有所了解，就像看病一樣，要"對癥下藥"。

內(nèi)網(wǎng)安全的范圍

內(nèi)網(wǎng)安全直接影響到企業(yè)信息的機密性，所以怎么強調(diào)都不是過分的事情，若想要做好內(nèi)網(wǎng)的安全防范，對于其特點就要有一個明確的理解。

一位外企信息安全官李洋曾談到："內(nèi)網(wǎng)安全問題主要來源于兩方面，一個是從外到內(nèi)的（交界、邊界安全），另一方面是從內(nèi)到外的。根據(jù)不同來源的安全問題，會有不同的防范措施。"

的確如此，當說道安全問題，一方面很自然地就想到要如何防范來自互聯(lián)網(wǎng)的攻擊，如何防范攻擊者入侵到內(nèi)部網(wǎng)絡(luò)，如何控制遠程接入的訪問權(quán)限等等，這些就是從外到內(nèi)的安全問題；另一方面還要控制從企業(yè)內(nèi)網(wǎng)到外網(wǎng)的訪問，內(nèi)部移動設(shè)備的接入，分發(fā)管理等等。

可見，內(nèi)網(wǎng)安全具有一個雙向交互的管理特點，所以單從一方面去管理是不全面的，因此，在技術(shù)方面就會造成一定的管理難度。然而，除了技術(shù)方面，內(nèi)網(wǎng)安全管理的難點還包括行業(yè)差異和制度的建立兩個方面。

內(nèi)網(wǎng)安全管理的難點

第一：企業(yè)的IT建設(shè)、行業(yè)的不同需求造成的安全管理會有很大的差異。有的企業(yè)可能是注重于數(shù)據(jù)的防泄漏，有的企業(yè)可能注重于員工日常的上網(wǎng)行為控制，還有的企業(yè)更注重于內(nèi)外網(wǎng)的接入和訪問等等。相較于外網(wǎng)的防護，內(nèi)網(wǎng)安全更加雜而亂，沒有一個常規(guī)的防范標準。

第二：內(nèi)網(wǎng)安全所涉及的技術(shù)和產(chǎn)品也非常多。身份驗證，權(quán)限控制，系統(tǒng)管理，行為管理，網(wǎng)絡(luò)監(jiān)控，應(yīng)用管理等等，這么多相關(guān)的技術(shù)和產(chǎn)品讓安全人員應(yīng)接不暇，根本上也是因內(nèi)網(wǎng)安全需求的復(fù)雜度而引發(fā)的。

第三：制度不完善。很多企業(yè)在遇到內(nèi)網(wǎng)安全問題的時候，往往不是因為技術(shù)方面的不足，而是人員管理的問題。很多員工并不是安全人員，不會意識到某些操作會帶來安全威脅。例如，A企業(yè)安裝了上網(wǎng)行為管理產(chǎn)品，控制員工的網(wǎng)絡(luò)使用。然而某員工還是通過3G網(wǎng)絡(luò)接入外網(wǎng)，造成了數(shù)據(jù)泄漏。若在數(shù)據(jù)泄漏之前，公司明文規(guī)定嚴禁以任何形式接入外網(wǎng)，并有效地推動此規(guī)定的實施，想必這樣的事情也不會輕易發(fā)生。

可以說，在一定程度上規(guī)范制度的建立是為了進行更好的人員管理，那么針對內(nèi)網(wǎng)安全，在制度和人員管理方面應(yīng)該注意哪些問題呢？

制度的建立和人員管理

針對制度的建立和人員管理問題，李洋對此也深有感觸，他道："針對不同的行業(yè)，會有不同的人員管理需求（制度，規(guī)定章程方面）。

例如，金融行業(yè)，在金融行業(yè)的IT的治理，面對不同的部門，不同的階層，制定不同的安全等級，達到一個安全目標。

例如，普通員工的日常工作安全標準，運維人員的安全標準，管理人員的安全標準都是不同的。如果落實在章程中，會非常的細致，比如在職人員的安全管理，離職人員的安全管理等等。

另外，人對工具使用。針對安全工具（產(chǎn)品）的使用，以及日常辦公軟件的使用，因為每個人的素質(zhì)不同，對于這些工具的使用，安全防范意識是不同的。"

可見，由于人為因素的加入，讓內(nèi)網(wǎng)安全管理變得更復(fù)雜。那如何制定一個適合企業(yè)的內(nèi)網(wǎng)安全管理制度呢？在這里提出如下幾個建議：

◆了解自身業(yè)務(wù)需求

日常業(yè)務(wù)操作是企業(yè)的命脈，因此從根本出發(fā)，在業(yè)務(wù)工作流程中分析員工的日常工作行為，找出薄弱環(huán)節(jié)，制定符合業(yè)務(wù)需求的工作規(guī)范。

◆了解安全風險

要弄清楚企業(yè)內(nèi)網(wǎng)有可能面臨哪些風險，現(xiàn)有條件下對這些風險的承受程度如何。只有在了解了這些風險的前提下，才能制定相關(guān)的防范措施和應(yīng)急措施，從而保障業(yè)務(wù)的連續(xù)性。

◆提高員工素質(zhì)

實際上大多數(shù)安全問題都是由人直接或間接造成的，因此，培養(yǎng)以及提高內(nèi)部人員的職業(yè)素質(zhì)，信息和網(wǎng)絡(luò)安全素質(zhì)，制定合理的安全管理制度和工作流程，是非常有必要的。

安全總是相對的，百密總會有一疏，但是要盡量將企業(yè)的安全制度和措施相結(jié)合起來，環(huán)環(huán)相扣，其中還有最重要的一點：想盡一切辦法去實施這些制度！

有了內(nèi)網(wǎng)安全制度和人員管理機制后，我們就需要結(jié)合一些安全產(chǎn)品來加強內(nèi)網(wǎng)的防護，那么下面我們就來談?wù)劙踩a(chǎn)品的選擇問題。#p#

產(chǎn)品選擇

相信不少安全人員都會有這方面的困惑，面對有限的預(yù)算，面對廠商天花亂墜的宣傳，選擇一個合適的產(chǎn)品是一件不容易的事情。那么如何選擇安全產(chǎn)品呢？

信息安全官李洋對此的看法是："對于一般的企業(yè)來說，如果具備上網(wǎng)行為管理，敏感信息管理，端點防護（控制病毒等的傳播）和數(shù)據(jù)防泄漏，這四個方面就可以達到一個基本的內(nèi)網(wǎng)安全的防護標準，然后再針對不同企業(yè)的特別需求進行安全模塊的添加。在這方面，我希望能夠采用多個廠商的安全產(chǎn)品。這樣做的原因如下：

第一，是每個安全廠商的（產(chǎn)品）所專注的領(lǐng)域不同，在效果方面肯定也會不同。

第二，如果多個安全模塊全部由一個廠商提供，盡管兼容性很好，但是這樣在價格方面會比較高，這種打包式的產(chǎn)品具有壟斷性和排它性。所以我希望我們所采用的安全產(chǎn)品是多元化的。

但是，這其中就會存在一個兼容的問題。如果我們使用的產(chǎn)品是各個不同廠商的產(chǎn)品，肯定會存在兼容性問題，這里我們就需要先從全局考慮，在選擇產(chǎn)品的時候，可以要求廠商開放一些（產(chǎn)品）端口，看看他們是否能夠提供這樣的服務(wù)，其中他們的服務(wù)態(tài)度也是非常重要的。"

看來這位安全人士在產(chǎn)品的選擇上更注重產(chǎn)品的擴展性和多樣性。那么除了這些問題，還應(yīng)該注意哪些問題呢？下面來簡單總結(jié)一下。

◆可用性和易操作性

在選擇內(nèi)網(wǎng)安全產(chǎn)品的時候，首先要想到安裝了此產(chǎn)品后，會對我們的業(yè)務(wù)操作帶來什么樣的影響。不能過分強調(diào)安全而降低了IT業(yè)務(wù)的操作性，這個就需要在購置產(chǎn)品前考慮到整體的業(yè)務(wù)操作流程和安全策略的規(guī)劃。

◆安全建設(shè)措施、成本和需求的平衡性原則

必須考慮到不同的信息資產(chǎn)的價值不同，則保護措施也不一樣，企業(yè)不可能投入相同的資金保護價值不一樣信息資產(chǎn)，比如普通PC機的安全管理成本和服務(wù)器是完全不同的。

◆整體性

任何一處的安全薄弱點被惡意攻擊者利用的話，都有可能導(dǎo)致整個安全體系的崩潰，所以需要從整體考慮內(nèi)網(wǎng)安全管理的各個方面。

◆穩(wěn)定性和可擴展性

穩(wěn)定性是必須的，產(chǎn)品在使用過程中若動不動就崩潰肯定是不行的，類似于可用性的內(nèi)容，不穩(wěn)定必定會影響到日常業(yè)務(wù)的操作。另外就是可擴展性，這個也就如之前那位用戶談到的產(chǎn)品多元化問題。

◆政策要求

這點也是我們必須要考慮到的，尤其是一些國有企業(yè)、政府行業(yè)和事業(yè)單位中，政策要求往往會更重要。

結(jié)語

關(guān)于內(nèi)網(wǎng)安全管理我們討論了它的范圍，管理的難點和要點，以及制度的建立、人員管理和產(chǎn)品選擇的問題，而這些也只是內(nèi)網(wǎng)安全管理的冰山一角，在今后的安全建設(shè)中我們還需要不斷地去完善安全體系，去解決各種各樣的問題。在上期的51CTO技術(shù)沙龍中，我們也討論了內(nèi)網(wǎng)的相關(guān)問題，最后也做了視頻總結(jié)，感興趣的朋友可以前去觀看。 >>猛擊傳送門

【51CTO.com獨家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 淺析讓內(nèi)網(wǎng)安全問題
2. 免疫網(wǎng)絡(luò)終結(jié)內(nèi)網(wǎng)安全管理難題
3. 細致的內(nèi)網(wǎng)安全管理，確保網(wǎng)絡(luò)安全無憂
4. 內(nèi)網(wǎng)安全管理系統(tǒng)DeskView實現(xiàn)雙向監(jiān)控