保密問題的對于企業(yè)越來越困難，于是很多企業(yè)開始考慮采購各種各樣的設(shè)備，以解決此類的問題。主要的手段是：禁用USB等外設(shè)，對郵件、QQ等發(fā)送手段做過濾和監(jiān)控。但是采用了這些手段后，怎么來大致的判斷這些保密措施是否有效或到位呢，這個仍然是個問題，我猜想很多人也沒太多考慮，只能在將信將疑的心理中等待進(jìn)一步的發(fā)展。

保密是個非常龐大的話題，越是深入考察，就會發(fā)現(xiàn)它是個不可窮盡的領(lǐng)域。當(dāng)問道：這么多錢都投進(jìn)去了，難道還買不到一個安心嗎?但是回答只能是：當(dāng)你想追求完全無械可擊的保密時，再多的投入恐怕都是不夠的。保密有很多的層次，可以逐漸的深入。但是每一個層次，都要遵循一定的原理。作為一個簡短的介紹文章，并不想來介入完整的保密原理的介紹。其實只想做一點點的討論，因為這樣對企業(yè)來說，從投入和實現(xiàn)上考慮，也許更現(xiàn)實些。

首先，我們需要來介紹一下信息保密的特殊之處，這要從信息的本質(zhì)來講起。信息是什么?這是一個很含糊的概念。它是一串?dāng)?shù)字，但是比數(shù)字更讓人難以理解。也許是一個圖，也許是一段文字?？傊?，都是信息。在計算機(jī)中，處理信息的手段，被冠以一個名字，叫“軟”件。這個軟字，構(gòu)成了信息的特征表象。什么是“軟”?軟就是沒有不變的形狀，當(dāng)你用力握住一塊脂膏時，脂膏輕輕的從你的掌后跟滑了出去。或者你掬起一捧水，水也從你指縫中溜走了。軟體就是這樣，不可把握，其大無象，其小無形，只能拿個容器來盛載其中。

信息的流動是非常容易的，比如，人可以拷貝一個文件到另一個地方，或者從一個文件中粘貼一部分，或者另存為另一個文件?；蛘甙l(fā)個郵件，或者上網(wǎng)填個信息，等等。即使沒有人的介入，也有好事的病毒和木馬會到處搜索文件，并悄悄的或猛烈的到處亂發(fā)，等等。當(dāng)諸如此類的事件發(fā)生時，信息就四處的流動，也可以變形，也可能截短，但是總之就是四處擴(kuò)散了。

理解信息的特征，就為對信息的管理(當(dāng)然包括保密)提供了決策的依據(jù)。如果，你希望能保留信息在企業(yè)里，就要用容器來盛載信息。要是你試圖用一個動物園用來關(guān)馬或驢的鐵籠子來保護(hù)信息，那么動物當(dāng)然出不來了，但是信息卻將無聲的流了出來。

在信息保護(hù)的概念里，網(wǎng)絡(luò)是信息的載體，要構(gòu)成一個容器，就要把企業(yè)的網(wǎng)絡(luò)也放置其中，形成這個容器的手段，叫“隔離”。在很多行業(yè)中，隔離已經(jīng)司空見慣。隔離給信息制造了一個無從跨越的界限，從而封堵了信息流出的可能性。

隔離最簡單的例子，就是把一臺電腦的網(wǎng)線給拔掉。那么這就斷絕了信息在網(wǎng)絡(luò)上流動的可能性，人們將沒法從網(wǎng)絡(luò)上拷貝信息，病毒木馬即使再努力發(fā)送也只能在硬盤上徒耗一些多余的空間。

這個簡單的例子已經(jīng)簡單說明了隔離的重要性，隔離的意義在于：不僅在正常情況下讓信息無法流出，在異常情況下，甚至失控的惡劣條件下，信息也將得到相當(dāng)?shù)谋Ｗo(hù)，至少無法離開這個“容器”了。所以，強(qiáng)有力的信息保密，至少要建立在一個基礎(chǔ)上，就是網(wǎng)絡(luò)的隔離，通常叫物理隔離。物理隔離是網(wǎng)絡(luò)保密的堅實的基礎(chǔ)。

但是作為一個普通企業(yè)的網(wǎng)絡(luò)，也有現(xiàn)實的困難。因為物理隔離雖然是個相對理想的方案，但是卻意味著較高的成本，這個成本并不完全指硬件的投入成本，也包括運(yùn)營成本和管理成本。企業(yè)總是需要有互聯(lián)網(wǎng)的通信渠道，但是物理隔離卻反對這樣做，所以只能保留2個網(wǎng)絡(luò)，一個內(nèi)網(wǎng)，一個專門用來上網(wǎng)的外網(wǎng)?？傆邢鄳?yīng)的數(shù)據(jù)需要做交換，也有2個隔離的網(wǎng)絡(luò)需要維護(hù)，所以成本就高了很多。

但是即使隔離是很困難的，仍然需要用隔離的概念來衡量一個網(wǎng)絡(luò)的保密建設(shè)。對必須實現(xiàn)強(qiáng)度保密的企業(yè)，不實現(xiàn)物理隔離，那么他就需要知道，保密的嚴(yán)格是無法實現(xiàn)的。對于希望有一定保密力度的企業(yè)，我以為，也許可以通過適當(dāng)?shù)耐ㄟ^劃分邏輯的內(nèi)網(wǎng)和外網(wǎng)，而不是簡單的把網(wǎng)絡(luò)連在一起。如果內(nèi)外網(wǎng)之間不能完全隔離，那么也需要限制互通的接口，比如限制在一臺或若干臺在內(nèi)外網(wǎng)之間交換數(shù)據(jù)的PC，這也是在一定程度上實現(xiàn)隔離。

很多單位把計算機(jī)簡單的連在一起，又接在互聯(lián)網(wǎng)上，希望使用過濾手段來實現(xiàn)網(wǎng)絡(luò)保密，比如監(jiān)控QQ和郵件。從上面的討論來說，好比是用一把篩子，在水流過時用力的篩。但是水也是信息，信息也是水，當(dāng)水流過時，信息無聲的依附在里面，飄走了，不會讓篩子篩出來。

把一個文件壓縮一下，再換個后綴，變成一個圖象文件。再找?guī)讉€文件擠在一起壓縮一下，再換個名字。多操作幾次，軟體的本性將越來越明顯，已無法看出原來的本色，但是信息實際卻仍然含在其中。發(fā)出去時將不會有任何篩子能識別這個文件是什么，不會把這個文件給篩出來的。

保密問題的探討就到這了，我們這里再三強(qiáng)調(diào)了一個概念，就是：信息是軟體，網(wǎng)絡(luò)保密不能用平時對待硬實體的方法，違反了這個原則，那么實際上保密是無法實現(xiàn)的。

【編輯推薦】

1. 看黑客使用四種方法破解密碼
2. 淺析基于公鑰技術(shù)的DNSSEC
3. 淺析基于混合加密機(jī)制的DNSSEC
4. 隨機(jī)密碼生成器應(yīng)具備哪些默認(rèn)功能？
5. 淺析基于公鑰技術(shù)的技術(shù)方案實施復(fù)雜度